1999年7月、高度情報通信社会推進本部に個人情報保護検討部会を設置して検討を開始。同年12月、検討部会中間報告(11月)を受け、「我が国における個人情報保護システムの確立について」を本部決定。2000年2月より、個人情報保護法制化専門委員会で検討。同年10月、専門委員会が「個人情報保護基本法制に関する大綱」を取りまとめた。政府は、同大綱を基に、個人情報の保護に関する法律案を策定し、2001年第151回国会に提出。第154回国会まで4回にわたり継続審議とされた後、2002年第155回国会で廃案。2003年3月7日に新法案が第156回国会に提出された。
法律案については、以下を参照。
http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/030307houan.html
日本経団連では、上記検討部会および専門委員会に対し意見を述べたほか、2000年12月には、大綱に関する懇談会を開催。その模様については、以下を参照。
http://www.keidanren.or.jp/japanese/policy/2000/065.html (懇談会の模様)
インターネット上のサービスにおいて、サービスの提供者が明らかにする個人情報の取扱い方針。メールアドレスや通信記録の管理方法などを明示するものであるが、内容やレベルは企業によって異なる。
GBDeは「個人データプライバシー保護ガイドライン」を作成し、企業がプライバシーポリシーを策定する際、そのガイドラインに準拠するよう呼びかけている。
以下を参照。
http://www.gbde.org/acrobat/recommendations01j.pdf (GBDe2001提言書)
プライバシーポリシーや、ウェブ上に公開するポリシーステートメントを作成する際に指針となるツール。提示される質問に答えることで、その時点における当該組織の個人情報取扱い方法を反映したポリシーステートメント案が作成される仕組み。プライバシーポリシーがどの程度OECDのガイドラインに沿っているかが示される。以下を参照。
http://cs3-hq.oecd.org/scripts/pwv3/pwhome.htm
コンプライアンスプログラムは、企業が定める遵守規定。個人情報保護のコンプライアンスプログラムに関する要求事項を定めたJIS Q 15001では、「事業者が、自ら保有する個人情報を保護するための方針、組織、計画、実施、監査および見直しを含むマネジメント・システム」と定義されている。以下を参照。
http://privacymark.jp/ref/jisq15001.pdf (JIS Q 15001)
例えば、適切な個人情報保護措置を講ずる体制を整備している民間事業者に対してマークを付与し、事業活動に際してマークの使用を認めるプライバシーマーク制度がある。以下を参照。
なお、本報告取りまとめにあたっての議論の過程では、プライバシーマーク制度をめぐって、全社単位を原則とするのではなく、マネジメント単位の取得を推進すべきであるなどの意見があった。また、マーク制度等の普及にあたっては、プライバシーマーク制度と後述の情報セキュリティマネジメントシステム適合性評価制度等との関係をわかりやすく示す必要があるなどの指摘があった。
http://privacymark.jp/ (JIPDECのプライバシーマーク制度)
個人情報保護法案第23条第2項では、本人の求めによる第三者への個人データの提供を停止すること、即ち「オプトアウト」の仕組みを規定している。
行政機関が収集した個人情報の流出や不正利用を防ぐため、1988年に「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」を制定。2001年の第151回に提出された個人情報保護法案第11条第1項および第2項ならびに附則第7条において、国の行政機関等について、公的部門に相応しい個人情報の適正な取扱いが確保されるよう、政府に対し、法制上の措置その他必要な措置を講ずべきことを規定。これを受け、政府は、2002年の第154回国会に上記88年法の全部改正案「行政機関の保有する個人情報の保護に関する法律案」を提出。継続審議となったが、第155回国会で廃案。2003年3月7日に新法案が第156回国会に提出された。
情報セキュリティとは、情報の機密性(許可された者だけが確実に情報にアクセスできること)、完全性(情報および処理方法が完全かつ確実であるように保護すること)、可用性(許可された者が、必要なときに確実に情報にアクセスできること)を確保すること。具体的には、情報を物理的・技術的、人的・組織的、法的に管理することによって盗聴、不正侵入、なりすまし、改竄、システム破壊等を防止するとともに、事故(インシデント)が発生した場合に適切に対応することと理解される。
ネットワーク社会の発達に伴い、安全で信頼性の高い電子商取引環境を整備する観点から、OECDは1992年に情報セキュリティガイドラインを制定。5年ごとに見直すことになっており、1997年は改定の必要なしとされた。その後、2001年9月11日の米国同時テロ事件を受けて、見直し作業が加速され、2002年7月25日のOECD理事会において改定版を採択。新ガイドラインは次の9原則を提唱。
下記総務省調査では、「企業組織としての情報セキュリティの目的と考え方の原則、技術面・設備面・運用管理面などの具体的な対策を記述したもの。すべての社員がこれを正しく理解して、自分の責任と役割を果たすことでセキュリティが保たれる」とされている。
(財)日本情報処理開発協会(JIPDEC)の2001年秋の調査によれば、回答企業718社のうち、経営理念に基づいてセキュリティポリシーを定めている企業は24.0%。総務省が2002年5月に大企業(東証一部・二部上場企業)、9月に中小企業(非上場で従業員数が300人未満の企業)を対象にした調査では、大企業で約43%、中小企業で約13%がセキュリティポリシーを策定。それぞれ以下を参照。
企業や政府などの情報セキュリティ対策の有効性について、独立した専門的知識を有する者が客観的に評価を行うこと。下記経済産業省研究会報告書中間とりまとめ(パブリックコメント版)では、「情報セキュリティに係るリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備、運用状況を、情報セキュリティ監査人が独立かつ専門的な立場から、国際的にも整合性のとれた基準に従って検証又は評価し、もって保証を与えあるいは助言を行う活動」と定義している。
経済産業省は、2003年度の制度創設を目指し、2003年1月29日に「情報セキュリティ監査研究会」報告書中間とりまとめを公表し、パブリック・コメントに付した。以下を参照。
http://www.meti.go.jp/kohosys/press/0003614/
(財)日本情報処理開発協会(JIPDEC)が2002年4月より本格運用を開始した制度。2003年1月15日現在で70社が認証を取得。情報セキュリティマネジメントとは、「組織のマネジメントとして、自らのリスク評価により必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用すること」。以下を参照。なお、同様の制度として、英国規格協会(BSI)によるBS7799に基づく審査登録制度がある。
http://www.isms.jipdec.or.jp/
(JIPDEC:「情報セキュリティマネジメントシステム適合性評価制度」)
詳細については、経済産業省作成の「世界規模で報告されたネット障害についての総括レポート」を参照。
http://www.meti.go.jp/policy/netsecurity/Slammerreport.html
巻末資料【参考】 <PDF> を参照。
日本経団連では、電子政府の実現にあたって、行政の業務改革を断行するよう求めてきた。以下を参照。
情報セキュリティ対策推進会議(内閣官房副長官を議長とし、全省庁を構成員とする会議)では、2000年7月に「情報セキュリティポリシーに関するガイドライン」を策定。2002年11月に一部改定。同ガイドラインは、情報セキュリティを担保するために必要となる各省庁の情報セキュリティポリシーに関する基本的な考え方、策定、運用および見直し方法を記しており、各省庁の情報セキュリティポリシー策定のための参考に資することを目的としている。ガイドラインは、「情報セキュリティ対策は、本ガイドラインを基に情報セキュリティポリシーを策定することによって完結する一過性の取組みではなく、情報セキュリティポリシーの策定及びそれに続く日々の継続的な取組みによって確保される性質のものであることを十分認識するべきである」とし、情報セキュリティポリシーの策定、導入、運用、評価・見直しの実施サイクルの必要性を指摘している。一方、ガイドラインの一部改定の参考とすべく、内閣官房が各省庁の情報セキュリティポリシーの実施状況を評価したところ、今後の課題として、「各情報資産で求められる対策を精査し、監査、予算、組織等の必要な措置を電子政府の構築に併せて計画的に実施するとともに、対策基準の評価・見直し、実施手順等の作成等のいわゆる『ポリシーの実施サイクル』を効果的に機能させていくことが必要である」と指摘している。以下を参照。
http://www.bits.go.jp/taisaku/pdfs/ISP_Guideline_20021128.pdf
上記「情報セキュリティポリシーに関するガイドライン」は、外部監査について、「(外部の機関に)情報システムの弱点が知られることになるということを十分留意の上、信頼性について慎重な検討を行い、機関の選定を行うことが必要である」としている。また、総務省資料「住民基本台帳ネットワークシステムの稼動について」(2002年7月29日)では、住基ネット稼動にあたって、全地方公共団体を対象に監査法人等による外部監査を実施する(稼働後できるだけ早期に、全団体に対して、運営面でのチェックリストを配布し、その回答状況を点検するとともに、監査法人等により個別に監査を行う方法を検討)としている。
電子政府におけるセキュリティ確保のためには、暗号について、一定水準以上の安全性および信頼性を有するものの利用が不可欠であることから、総務省、経済産業省が開催する「暗号技術検討会」、通信・放送機構(TAO)、情報処理振興事業協会(IPA)が開催する「暗号技術評価委員会」の両研究会により、CRYPTRECと呼ぶプロジェクトを開始。同プロジェクトは、2002年11月、電子政府推奨暗号リスト案を公表し、パブリックコメントに付した(パブリックコメントの結果については、http://www.meti.go.jp/kohosys/press/0003696/ を参照)。今後は、「電子政府の情報セキュリティ確保のためのアクションプラン」に基づき、同リストを踏まえ、2002年度中に各省庁における電子政府推奨暗号の利用方針について合意を目指す予定。また、最終的な評価結果については、2003年4月に暗号技術評価報告書(2002年版)(CRYPTREC Report 2002)を公開する予定。
e-Japan重点計画においては、政府の情報セキュリティ対策の一環として、情報セキュリティ水準の高い製品等を利用することとされている。政府では、「各省庁の調達におけるセキュリティ水準の高い製品等の利用方針」(2001年3月29日 行政情報化推進各省庁連絡会議了承)を踏まえてIT関連製品の調達を行うとともに、そのための情報セキュリティに関する評価・認証基盤の整備を行うこととしている。同方針では、「各省庁は、セキュリティに関する信頼度の高い情報システムの構築を図る観点から、今後の情報システムの構築に当たっては、(中略)、ISO/IEC15408に基づいて評価又は認証された製品等の利用を推進するものとする」とされている。これを受け、2002年12月20日に、IT製品およびシステムの評価を行う機関として2団体が認定された。以下を参照。
http://www.meti.go.jp/kohosys/press/0003524/
政府は、「政府認証基盤相互運用性仕様書」(2001年4月25日。2002年3月28日改定 行政情報化推進各省庁連絡会議幹事会基本問題専門部会了承)を定めて、GPKIのブリッジ認証局と相互認証を行う認証局、およびGPKIを利用するアプリケーションについて、相互運用性を確保することとしている。以下を参照。
http://www.soumu.go.jp/gyoukan/kanri/a_01_f.htm
「e-Japan重点計画2002」では、「高度情報通信ネットワーク社会の安全性及び信頼性の確保に資するため、2005年までのできるだけ早い時期に、各種のハイテク犯罪に対する罰則、情報通信ネットワークに関する捜査手続について、適切な処罰を確保するため必要に応じた法整備を行う」とされている。以下を参照。
http://www.kantei.go.jp/jp/singi/it2/kettei/020618honbun.pdf
内閣の知的財産戦略会議が2002年7月3日に決定した知的財産戦略大綱では、情報(無体物)の一つである「営業秘密」が社外に流出し、企業の競争力が損なわれている現状を指摘し、第156回国会に不正競争防止法改正法案を提出する必要性について言及。政府は、2003年2月28日に、「不正競争防止法の一部を改正する法律案」を第156回国会へ提出。
知的財産戦略大綱については、以下を参照。
http://www.kantei.go.jp/jp/singi/titeki/kettei/020703taikou.html#2-2-3
司法制度改革推進本部のADR検討会第1回配布資料では、「法律学小辞典」(有斐閣)を引用して、「判決などの裁判によらない紛争解決方法を指し、民事調停・家事調停、訴訟上の和解、仲裁及び行政機関や民間機関による和解、あっせんなどを意味する。このうち、(民事)調停や訴訟上の和解は、民事訴訟手続に付随する手続として裁判所において行われるが、紛争解決の作用面に着目して、ADRに分類されることが多い。裁判による解決が法を基準として行われるのと比較すると、ADRは、必ずしも法に拘束されず、紛争の実情に即し、条理にかなった解決を目指す点に特徴がある」と説明している。司法制度改革推進計画(2002年3月19日閣議決定)には、ADRの拡充・活性化策として、(1)ADRに関する関係機関等の連携強化、(2)ADRに関する共通的な制度基盤の整備、が挙げられている。
以下を参照。
http://www.kantei.go.jp/jp/singi/sihou/kentoukai/adr/dai1/1siryou1_2_01.html (ADR検討会第1回配布資料)
http://www.kantei.go.jp/jp/singi/sihou/index.html (司法制度改革推進本部)
電子商取引推進協議会(ECOM)では、2001年9月〜2003年3月の予定で「ネットショッピング紛争相談室」を設置し、インターネット取引に関する苦情、紛争等についての相談を受け付けている。
(ECOMネットショッピング紛争相談室)