[ 日本経団連 ] [ 意見書 ] [ 目次 ]

安心・安全で自由なネット社会を目指して

2003年3月18日
(社)日本経済団体連合会
  情報通信委員会情報化部会
  電子商取引の推進に関するWG

はじめに

国民生活の質的向上と産業競争力の強化によって活力と魅力溢れる経済社会を実現するには、ブロードバンド常時接続環境あるいは今後の発展が期待されるユビキタスネットワーク環境の下で企業や個人によるITの利活用を推進する必要がある。
特に個人による利用を促すためには、企業、政府による個人情報の適切な取扱いが不可欠である。それによって個人の安心感を高めることは、電子商取引市場の拡大や電子政府の活用につながり、事業活動や行政の効率化と付加価値の創造に貢献することになる。また、ネットワークでつながった企業、個人、政府など各主体は、取引や手続の重要性に応じて適切な情報セキュリティ水準を自らの責任において確保し、安全なネット社会を実現する責務を有する。さらに、安心・安全なネット社会を脅かす犯罪行為を効果的に抑止するための必要最小限の法整備も必要であろう。
以上の実現には、企業を含めネットワークに参加する者全てに相応の負担が伴うが、ネット社会の利便性と自由は、そのような自立、自助、自己責任の原則に基づいた取組みなくして享受できないことを銘記すべきである。政府による規制ではなく、企業や個人の創意工夫が最大限発揮される環境を確保し、最も適切と考えられる措置を講じている取引等の相手方を選択することで市場原理の中で「安心・安全」を確保していく必要がある。ただし、市場の要求に直接さらされない政府については、国・地方を問わず、他の主体に増して厳格な対策が求められることは言うまでもない。
このような基本的な認識に基づき、以下、安心・安全で自由なネット社会を実現するために必要な取組みを提示することとする。

I.個人情報の適切な取扱い

1.個人情報保護法制の整備

ITを利用することによって、情報を有効活用し、また、優れた商品・サービスを市場に提供する機会が飛躍的に増えることが期待される。そのような中、ヒト、モノ、カネに次ぐ重要な経営資源として個人情報の価値、重要性が高まっており、その活用如何が市場における競争にも大きな影響を与えるようになっている。反面、個人、消費者側では、自身のプライバシーが侵されるのではないかとの不安感が嵩じる恐れがあることも確かであり、そのような不安が現実のものとならないようにするために、個人情報を事業上取り扱う者に対して相応の規律が求められるのは当然である。
一昨年春に国会に提出された個人情報保護法案は先の臨時国会で廃案となり、今通常国会に新法案 1 が提出された。個人情報保護法制は電子商取引や電子政府などITの利活用を促進するための基盤であり、個人情報保護のための法制が未整備の現状は、わが国の国際競争力上も大きなマイナスである。企業内への周知徹底など、企業側の態勢整備には一定の時間がかかると考えられることから、早期成立を期す必要がある。
その際、経済界として予て主張しているとおり、(1)企業の自己規律に基づく自主的な取組みを基本とし、政府の関与は必要最小限に止めること、(2)個人情報の保護と利用による便益とのバランスを確保するとともに、事業活動の実態を踏まえること、が不可欠である 2 。例えば、個人情報の取得に際して利用目的の「通知」を原則とするなど、事業活動に対する縛りを強めるような修正には反対である。また、法整備後に策定されるであろう政令および基本方針ならびに各種運用ガイドラインについても同様の配慮が必要である。例えば、利用目的の特定方法などが、企業に過度の負担を課すことにならないようにすべきである。
いずれにしても、個人の安心感と事業活動の自由とを両立させる必要がある。もちろん、経済界としては、個人情報を適正に取扱うよう真摯に取り組んでいくことが重要であり、そのような姿勢なくして、個人の信頼を得ることはできないし、経済活動も成り立たないことを強く認識しなければならない。

2.何をなすべきか

(1) 企 業
  1. 経済社会の様々な活動にITが浸透し、情報の流通量が飛躍的に拡大する中にあって、企業は、個人に関する情報を従来に増して慎重に取扱わなければならない。特に事業活動の特性から、それらの情報が集積する企業では、個人情報の保護にきめ細かく配慮する必要がある。法制の整備を待つことなく、個人情報保護のための措置〔例えば、個人情報保護のための基本方針(プライバシーポリシー 3 )などの策定、公開(自社のホームページへの掲載等)、ならびにその実効性確保のための社内体制整備〕を自主的に講ずることが不可欠である。なお、具体的なポリシーの策定にあたっては、「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告」(1980)で示された8原則 4 を遵守するとともに、"OECD Privacy Policy Statement Generator" 5 などのツールを活用することができる。

  2. また、経営トップ自ら、個人情報保護ための措置の定着と継続的な改善に取り組むためには、内部規程(コンプライアンスプログラム 6 )の策定が求められよう。ネット社会においては、ビジネスモデルの変化も頻繁なことから、コンプライアンスプログラムが事業の実態に整合しているかどうかを常に見直し、改善していくことが重要である。その上で、当該内部規程や社内体制が一定の基準に合致している場合には、自社の信頼性や競争力の向上にとって有益か否かという判断に従って、第三者機関の評価・認定を受け、それを表象するマークを取得することで消費者の信頼を得る方法もある 7 。いずれにしても、そうしたマークを取得することができる程度に社内体制を整備することが肝要である。

(2) 個 人
  1. 個人には、自己責任の原則の下、不用意に個人情報を提供しない慎重さが求められる。

  2. また、企業のプライバシーポリシーの閲覧、オプトアウト 8 の活用などによって自己の情報を自ら保護する必要がある。

  3. さらに、紛争が生じた場合には、後述のADR(Alternative Dispute Resolution:裁判外紛争解決)制度などを積極的に活用することが期待される。

(3) 政 府
  1. 個人情報保護法制の整備に加えて、政府は、まず、行政機関個人情報保護法の全部改正 9 を待って、企業のプライバシーポリシーに相当する個人情報に関する保護方針を策定・公表する、また、コンプライアンスプログラムを策定するなど、国民の信頼に足る、また、他の組織の範となるような実効的な体制を整備すべきである。地方公共団体に対しても、それに準じた体制整備を求める必要がある。

  2. また、個人情報の保護に資する技術を積極的に採用する(特に、ネット上のIDと個人情報とを切り離す革新的な技術を開発・採用)。

  3. さらに、個人情報の保護の重要性について周知・啓蒙を行う必要がある。そのため、義務教育段階からの教育が重要である。

II.情報セキュリティの確保

本年1月下旬、世界規模でネット障害が発生した。わが国への影響は、韓国に比べて小さくて済んだが、既知の対策を施していれば、感染被害を受けず、被害の拡大やネット障害にもつながらなかったと言われており、改めて情報セキュリティ確保 10 のための継続的な取組みの重要性を認識させる事件であった。
情報セキュリティの確保は、(1)企業、個人など民間部門の情報セキュリティ対策の実施、(2)政府をはじめとする公的機関など重要インフラの保護、(3)サイバー犯罪への対応、の3つに整理できる。本章では、「セキュリティ文化」の確立の必要性に触れた上で、(1)、(2)について、次章で(3)について記述する。

1.「セキュリティ文化」の確立

誰もが自由に取引やコミュニケーションを行えるネット社会においては、「安全」は国や電気通信事業者等から与えられるものではなく、それらを含めたネットワーク参加者全員の努力で作りあげていくものである。個人をも含めた参加者が情報セキュリティの重要性を認識し、「安全」のためのコストを分担していくことが不可欠である。
インターネットの普及、常時接続環境の進展、経済社会の情報システム等への依存度の高まりなどに伴い、情報システム等の利用環境が大きく変化し、情報漏洩などの危険性が増していることを踏まえ、昨年7月のOECD理事会おいて、92年に採択したOECD情報セキュリティガイドライン 11 が改定された。改定の重要なポイントの一つは、"a culture of security"(セキュリティ文化)という概念が導入されたことである。
「セキュリティ文化」とは、「情報システム及びネットワークを開発する際にセキュリティに注目し、また、情報システム及びネットワークを利用し、情報をやりとりするに当たり、新しい思考及び行動の様式を取り入れること」 12 を意味する。それは、全ての参加者に適用可能な具体的な対応策を示すものではなく、ネット上の取引やコミュニケーションの規模、頻度などに応じて個々の参加者が育んでいくべき基本的考え方を示したものと理解される。各参加者が「文化」として情報セキュリティ意識を組織に根づかせ、適切な対策をとることでネット社会全体の安全がはじめて保たれることになる。企業は、情報システム等の開発当事者であり、また、最大の利用者であることから、他の参加者の協力を得ながら、率先して「文化」の確立に貢献していく責任がある。

2.何をなすべきか

(1) 企 業

上記のとおり、安心・安全なネット社会を実現する上で企業が果たすべき役割と責任は大きい。日々変化するビジネス環境の中で、どの程度の情報セキュリティ対策を講じるかは、それに要する投資はもちろん、事業の実態に合わせたシステムの設計、人員の配置など、勝れて重要な経営課題である。したがって、経営トップ自らが問題の重要性を認識し、情報システム等の専門家だけでなく、社員全体にセキュリティ意識を根づかせるよう努力することが、「セキュリティ文化」醸成の第一歩となる。また、ネット社会においては、情報セキュリティ対策を怠った場合、事故や犯罪の被害者になるばかりでなく、他の多くの参加者を危険にさらす加害者となる恐れがあり、企業の存立そのものが脅かされる可能性さえあることを認識しなければならない。さらに、そうしたリスク管理上の要請にとどまらず、競争戦略上も情報セキュリティの重要性が増しており、信頼に足る取引先として選ばれる企業であるために、経営トップは、セキュリティ水準の向上に日々努めることが不可欠となっている。
以上から、企業には、次のような自発的な取組みが求められる。無論、各企業が直面しているリスクは異なることから、個々のリスクに応じた取組みを取捨選択することが重要である。

  1. インシデントレスポンス(事故対応)を含め情報セキュリティ対策の手順やルールを定めた基本方針(情報セキュリティポリシー 13 )を策定する(Plan)。セキュリティポリシーに基づく計画に従って対策を実施・運用する(Do)。実施した結果を監査する(Check)。経営トップにより計画、基本方針を見直す(Act)。このPDCAサイクルを継続的に繰り返すことによって対策を改善する。
  2. 情報セキュリティ担当役員を任命し、あるいは情報セキュリティ対策のための委員会を設置し、経営トップによる 1. のサイクルの継続、監視を支援、補完する。
  3. 情報システム系だけでなく、人間系も含めた包括的な対策を講じる(従業員、業務委託先に対するセキュリティ教育の定期的な実施、情報資産へのアクセス管理)。
  4. 安全性の高いIT関連製品・サービスを調達する。
  5. 企業内、グループ内等で相互運用可能なセキュリティ関連技術・サービスを実装する。
  6. 情報セキュリティ監査 14 、情報セキュリティマネジメントシステム適合性評価制度 15 を活用する(活用方法としては、監査の導入や認定の取得に限らず、公開されている管理基準や認証基準を自社の情報セキュリティポリシーや体制整備に役立てることも含まれる。なお、国内の情報セキュリティマネジメントシステム認証制度であるISMSと、英国のBS7799の相互承認を推進する必要がある)。
  7. 企業間で情報セキュリティの確保に関する情報交換・共有を行う(各企業が対応に苦慮している事例などについて情報交換することからスタートし、人的な信頼関係を構築した上で、将来的に脆弱性情報などを共有することが考えられる)。
  8. 自社の情報セキュリティ対策の脆弱性など、1.〜7. の取組みの結果得られた知識を組織として蓄積する。

(2) 個 人

ネットワークでつながっている以上、特に常時接続環境の下では、個人や家庭のコンピュータも二次感染源や「踏み台」となる恐れがあり、それによって被害が拡大することも想定される。したがって、個人においても情報セキュリティの重要性を認識し、一定のセキュリティ水準が確保されるよう、下記のような対策を講じることが期待される。なお、さる1月末の世界規模のネット障害において、韓国での被害が大きかった原因の一つにインターネットに接続する個人利用者が多く、しかもセキュリティの管理・対策が不充分なコンピュータが比較的多かったことが指摘されている 16

  1. 不正コピーソフトを使用しない。
  2. アンチウィルスソフトを導入し、最新のものに保つ。
  3. ファイアウォールソフトを適宜導入し、定期的に更新する。
  4. 見知らぬ者からの電子メール(特に添付ファイル)に注意する。
  5. OS、アプリケーションを定期的に更新する。

(3) 政 府

電子政府はネット社会の最重要インフラであり、その信頼性を確保できるか否かで、わが国の情報セキュリティに対する姿勢および対策水準が判断されることになる。既にe-Japan戦略等の一環として種々の対策 17 が講じられているが、政府は、民間部門の範となるよう、最高水準の情報セキュリティを目指して、以下のような対策を講じることが不可欠である。その際、外部の専門家を活用することが重要である。また、行政手続の電子化にあたって、手続の廃止、簡素化、統合など業務改革を断行することによって経費を節減し 18 、その一部をセキュリティの向上に充てることが検討されて然るべきである。なお、地方公共団体の情報システムが全国的に連携する時代において、地方公共団体ごとにセキュリティ水準が異なるようなことがあってはならない。こと情報セキュリティの確保に関しては、「地方自治」の問題と捉えるべきではない。各地方公共団体は個々に情報システムを開発するのではなく、セキュリティ水準の高い複数のシステムを共同利用・共同運用すべきである。

  1. インシデントレスポンス(事故対応)を含め情報セキュリティ対策の手順やルールを定めた国・地方公共団体共通の基本方針(情報セキュリティポリシー)を策定する(Plan)。基本方針に基づく計画に従って対策を実施・運用する(Do)。実施した結果を監査する(Check)。組織トップにより計画、基本方針を見直す(Act) 19 。このPDCAサイクルを継続的に繰り返すことによって対策を改善し、国・地方公共団体で均一のセキュリティ水準を担保する。その際、外部監査を継続的に実施する 20 。また、情報システム系だけでなく、人間系も含めた包括的な対策を講じる(職員、業務委託先に対するセキュリティ教育の定期的な実施、情報資産へのアクセス管理)。
  2. 電子政府における利用暗号の信頼性向上に努める 21
  3. 安全性の高いITハードウェア、ソフトウェアを調達する 22
  4. セキュリティ製品・サービスの調達・運用・保守は省庁横断的に行う。
  5. 電子認証システムの相互運用性を確保する 23
  6. 通信サービス停止時の代替措置の技術的有用性、費用対効果を検討する。
  7. 省庁間、国・地方公共団体間、地方公共団体間で情報セキュリティに関する情報交換・共有を進める。
  8. 自らの情報システムに最高水準の情報セキュリティ技術を適用すべく研究開発を行うとともに、開発成果の普及を図る。
企業、個人の自主的な取組みを補完すべく、併せて以下に取り組む必要がある。
  1. 情報セキュリティの重要性に関する国民意識の向上に努める。
  2. 国民に対するセキュリティ教育を義務教育段階から実施する(例えば、小中学校の「総合的な学習の時間」において、「セキュリティ文化」の観点も踏まえつつ、セキュリティ教育を実施する)。

III.サイバー犯罪への対応

上記 I、II では、自立、自助、自己責任の原則に基づく取組みの重要性を記述した。とりわけ、企業については、個人情報の適切な取扱いや情報セキュリティの確保にあたって、経営トップの積極的な関与が重要であることを強調した。しかし、それは、あくまで情報資産管理やリスク管理の甘さがもたらす脆弱性を低減するためであって、安心・安全なネット社会を脅かす原因が企業経営にあるわけではない。今日、ネット社会として対峙すべきは、サイバー犯罪であり、それを効果的に抑止するため、必要最小限の法整備が必要となる。
サイバー犯罪はグローバルな広がりを持つため、その取締、捜査、摘発には、国際的な連携と制度の調和が不可欠である。この点、2001年11月に欧州評議会で採択され、わが国も調印したサイバー犯罪に関する条約に合わせて国内法制度を整備する必要がある。その際、現行の法律との整合性を精査し、対象となる犯罪行為が重複しているものは既存の法律を廃止する必要がある。また、民間企業として、必要な協力は当然行うが、過度な負担を民間企業に背負わすことにならないよう十分配慮すべきである。例えば、サービスプロバイダーの責任を適切に限定すること、営業秘密を適切に取扱うこと、が必要である。また、個人のプライバシー保護への適切な配慮も当然である。
いずれにしても、国内法制化案 24 を早期に公表し、パブリックコメントなどを通じて事業活動の実態や経済界の意見を十分反映できるようにすることが重要である。また、ITの急速な進歩を踏まえれば、法制化後の環境変化によって制度が現実に適合しなくなる事態も想定されるため、柔軟に改廃可能な法体系とすべきである。
なお、コンピュータプログラム、デジタルコンテンツ等の電子化された情報(無体物)の窃盗等は、刑事罰の対象ではないと考えられてきたが、事業活動上の重要性に鑑み、情報資産を不正な取得、使用行為等から刑事的に保護することについて検討が必要である 25

IV.個のエンパワーメント

以上述べてきたように、各主体の自主的な取組みによって個人情報を保護し、また、情報セキュリティを確保することが期待される。その上で、紛争を未然に防止するためには、ネット社会における自らの義務と責任を認識した「自立した賢い個人」の存在が欠かせない。そのような個人は、企業の提供する製品・サービスや行政サービスの厳しい評価者となり、企業や政府の透明でオープンな運営と競争力の強化にも貢献することになる。また、そのような個人が、将来、企業や政府の運営を担うことも期待される。
この点、個人の能力や個性に合った多様な教育サービスの一環として、情報に係るモラル、セキュリティに関する教育が義務教育の段階から実施される必要がある。また、第三者による企業の信頼度の評価(国内外で通用する各種マーク制度)で個人の判断・選択を容易にすることは、自らに関する情報を自ら守ろうという個人の意識向上にもつながるものと期待される。
「自立した賢い個人」を前提とした場合であっても、誰もがネット上で自由な活動を展開できる環境では、紛争が発生する可能性は残される。それらを簡易な手続で迅速に解決するためには、裁判の迅速化とアクセスの改善が求められる。加えて、個人が電子商取引に安心して参加できるようにするためには、裁判に比して廉価で迅速な解決が期待できる仕組みとしてADR 26 制度の確立が待たれるところである。電子商取引に係る紛争の解決には、高い専門性を必要とし、また、その過程では、営業秘密や個人のプライバシー等の適切な保護が必要であるが、ADR制度では、それらの要件を満たすことが期待できる。また、電子商取引は、グローバルな広がりを持つだけに、紛争が生じた場合に裁判管轄や準拠法をめぐって様々な問題が生じる可能性があり、そのようなグローバルな紛争にも適用し得る制度が必要である。さらに、アクセスの容易性という観点から、ODR(Online Dispute Resolution) 27 という方法も増えていく可能性がある。このようなADR制度の活用を促すためには、それを担う人材の質量の拡充が必要であり、その一環として裁判官OBや隣接法律専門職種の活用を考慮する必要があろう。なお、民主導型のADR機関であっても、その立上げ期においては、資金面も含めた公的な支援が期待される。
いずれにしても、ADRが国民生活や企業活動に深く根ざした制度になるかどうかは、一にそれを利用する個人の意識改革にかかっており、そのためにも自立、自助の精神の醸成に努めるとともに、行政によるADR制度に関する広報が必要である。

V.政府への提言

以上、I から IV にかけて述べてきた必要な取組みのうち、政府に関するものを改めて列挙し、おわりにかえることにしたい。なお、情報セキュリティの確保については、省庁間あるいは国・地方間でバラバラに対応することのないよう、統一的な推進体制を強化する必要がある。

【個人情報の適切な取扱い】
  1. 個人情報保護法制を整備すること。
  2. 企業のプライバシーポリシーに相当する個人情報に関する保護方針を策定・公表する、また、コンプライアンスプログラムを策定するなど、国民の信頼に足る、また、他の組織の範となる実効的な体制を整備すること。地方公共団体に対しても、それに準じた体制整備を求めること。
  3. 個人情報の保護に資する技術を積極的に採用すること(特に、ネット上のIDと個人情報とを切り離す革新的な技術を開発・採用)
  4. 個人情報の保護の重要性について周知・啓蒙を行うこと。

【情報セキュリティの確保】
  1. 国・地方公共団体共通の情報セキュリティポリシーを策定し、PDCAサイクルを継続的に繰り返すことによって、情報セキュリティ対策を改善すること。また、国・地方公共団体均一のセキュリティ水準を確保すること。その際、外部監査を継続的に実施すること。また、情報システム系だけでなく、人間系も含めた包括的な対策を講じること。
  2. 電子政府における利用暗号の信頼性向上に努めること。
  3. 安全性の高いITハードウェア、ソフトウェアを調達すること。
  4. セキュリティ製品・サービスの調達・運用・保守は省庁横断的に行うこと。
  5. 電子認証システムの相互運用性を確保すること。
  6. 通信サービス停止時の代替措置の技術的有用性、費用対効果を検討すること。
  7. 省庁間、国・地方公共団体間、地方公共団体間で情報セキュリティに関する情報交換・共有を進めること。
  8. 自らの情報システムに最高水準の情報セキュリティ技術を適用すべく研究開発を行うとともに、開発成果の普及を図ること。
  9. 情報セキュリティの重要性に関する国民意識の向上に努めること。
  10. 国民に対するセキュリティ教育を義務教育段階から実施すること。

【サイバー犯罪への対応】
  1. サイバー犯罪条約の国内法制化にあたって、現行の法律との整合性を精査し、対象となる犯罪行為が重複しているものは既存の法律を廃止すること。民間企業に過度な負担を課すことにならないよう十分配慮すること。また、個人のプライバシー保護に適切に配慮すること。
  2. サイバー犯罪条約の国内法制化案を早期に公表し、パブリックコメントなどを通じて事業活動の実態や産業界の意見を十分反映できるようにすること。法制化後の環境変化によって制度が現実に適合しなくなることも想定されるため、柔軟に改廃可能な法体系とすること。
  3. 情報(無体物)の不正な取得、使用行為等からの刑事的保護について検討すること。

【個のエンパワーメント】
  1. 情報に係るモラル、セキュリティに関する教育を義務教育段階から実施すること。
  2. ADR制度の確立と活用のために人材の質量の拡充、民主導型のADR機関の立上げ期における資金面の支援、広報等に努めること。

【その他】
  1. 国内の情報セキュリティマネジメントシステム認証制度であるISMSと、英国のBS7799の相互承認を推進すること。
  2. 長期保存電子文書の原本性保証のための要件を明確化することによって、電子文書の証拠能力を確保すること。
以 上

日本語のトップページへ