サイバーセキュリティ基礎論 ― IT社会を生き抜くために ―

Slides:



Advertisements
Similar presentations
情報セキュリティ 第13回:2005年7月8日(金)   . 2 本日学ぶこと 組織におけるセキュリティ  セキュリティポリシー  規格・制度  コンピュータ犯罪を取り締まる法律  個人情報保護法.
Advertisements

個人情報保護講座 目 次 第1章 はじめに 第2章 個人情報と保有個人情報 第3章 個人情報保護条例に規定されている県の義務 第4章 個人情報の漏えい 第5章 個人情報取扱事務の登録 第6章 保有の制限 第7章 個人情報の取得制限 第8章 利用及び提供の制限 第9章 安全性及び正確性の確保 第 10.
情報漏洩トラブル根絶に向けて 平成20年度 光風台小学校 情報主任 松﨑作成.  要点は6つ ウィニー 個人情報とは?パスワード 情報管理 ウィルスモラル・ルール.
1 個人情報保護について 弁護士法人龍馬 弁護士 舟木 諒,板橋俊幸. 情報化社会 □ 個人情報保護法の概要 2003 年(平成 15 年) 5 月 23 日成立, 2005 年(平成 17 年) 4 月 1 日全面施行。 ◆成立の背景 プライバシー侵害 国際上の問題 住民基本台帳問題 個人情報漏洩問題.
1 1.制度の理解と住民説明 平成 28 年 1 月 個人番号の利用開始(申請者等に対し、各種申請書類へ個人番号の記入を求め る等) このため、窓口担当者を含め関係業務に関わる職員は、住民等からの問合せに対応できるよう、 番号制度への理解を深める必要がある。 ※ マイナンバーホームページ(内閣官房 HP.
オープン&ビッグデータ活用・地方創生推進機構 事務局 オープン&ビッグデータ活用・地方創生推進機構 自治体条例調査資料 平成26年度 第1回データガバナンス委員会資料 資料1-6.
東北大学全学教育科目 情報基礎 A 担当:大学院 情報科学研究科 塩浦 昭義 1セメスター 木曜1,3講時 経済学部・法学部 第 1 回 オリエンテーション.
電子社会設計論 第12回 Electronic social design theory 中 貴俊.
サイバーセキュリティ基礎論 ― IT 社会を生き抜くために ― 法律を知る.  サイバーセキュリティ基本法  刑法  不正アクセス行為の禁止等に関する法律  著作権法  電子署名及び認証業務に関する法律  特定電子メールの送信の適正化等に関する法律  有線電気通信法  電波法  個人情報保護法.
情報セキュリティ 第13回:2007年7月13日(金)   . 2 本日学ぶこと 組織におけるセキュリティ  セキュリティポリシー  規格・制度, ISMS  コンピュータ犯罪を取り締まる法律  個人情報保護法 セキュリティポリシーとは,組織の情報資産を守るため の方針や基準を明文化したものである.
第6章 インターネットと法律(後編) [近代科学社刊]
国及び地方公共団体が分担すべき役割の明確化 機関委任事務制度の廃止及びそれに伴う事務区分の再構成
個 人 情 報 保 護 法 情 報 社 会 と 情 報 倫 理 10/18/07.
インターネットを取り巻く法律 情報社会と情報倫理 第13回.
情報セキュリティ読本 - IT時代の危機管理入門 -
ケータイ・ネット安全教室 被害者・加害者にならないために
住民基本台帳ネットワークシステムの 利用状況等について
秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然として知られていないもの(不2Ⅳ)
第5回 コンピュータ犯罪と 不正アクセス禁止法 2010年5月24日(月)
電子署名及び認証業務に関する法律 (概要)
サイバーセキュリティ基礎論 ― IT社会を生き抜くために ―
マイナンバー対策 実演セミナー 1 2 第一部 13:30~14:30 2015年7月21日(火) 第二部 14:40~15:40
衆議院総務委員会及び参議院総務委員会附帯決議
参考資料2 地方独立行政法人法(抜粋) (定款) 第八条 地方独立行政法人の定款には、次に掲げる事項を規定しなければならない。 一~四 (略) 五 特定地方独立行政法人又は特定地方独立行政法人以外の地方独立行政法人の別 六~十一(略) 2 (略) 3 第一項第五号に掲げる事項についての定款の変更は、特定地方独立行政法人を特.
資料8-1 第11次大阪府鳥獣保護管理事業計画の概要
新潟のブラックバス リリース禁止について 新潟53PickUP実行委員会.
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
【資料5】 条例の基本的な方向性について 平成28年8月30日 福岡市障がい者在宅支援課.
サイバー犯罪と捜査 ~なぜ犯人は捕まったのか~
社会保険ワンポイント情報 13号 マイナンバーと社会保険、法人番号 社会保険 法人番号 社会保険実務の留意事項
インターネットの規制   最近の話題から メディアコミュニケーションⅢ 6/20/08.
第5章 情報セキュリティ(前半) [近代科学社刊]
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
サイバーセキュリティ基礎論 ― IT社会を生き抜くために ―
個 人 情 報 保 護 法(2) 情報社会と情報倫理 第5回.
2016年12月8日 2016年度法情報学演習 第9回 サイバー犯罪 2016年12月8日(木) 東北大学法学研究科 金谷吉成
教職員学習資料 『部落差別解消法』より学ぶ 大分県教育庁人権・同和教育課.
サイバーセキュリティ基礎論 ― IT社会を生き抜くために ―
第6章 インターネットと法律(後編) [近代科学社刊]
GDPRの適用開始に向けて 個人情報保護委員会事務局.
ニッセン WEB広告での個人情報取り扱い審査内容について
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
情報セキュリティとは? 環境情報学部1年      卯野木邦宏.
情報セキュリティ - IT時代の危機管理入門 -
国際的な情報セキュリティへの取り組み 各国の対応とサイバー犯罪条約 インターネット時代のセキュリティ管理.
第6回 NPO法人が設立したら 設立する前に ・・・
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
個人情報保護法案整備の背景 情報処理の普及 (インターネットの普及) プライバシーの権利 個人情報の保護の必要 脅威 事故
第1章 日本の統計制度 ー 経済統計 ー.
「ポジティブ・オフ」運動賛同登録申請書 賛同登録申請書 送付先 「ポジティブ・オフ」運動事務局長 殿 1 3 2 4 5 6
「内部告発」 という名の ボランティア 金沢大学附属病院 産婦人科講師 打出喜義.
血液事業と血液製剤 血液新法 鹿児島大学輸血部 古川良尚.
2001.12.4 エルティ総合法律事務所所長弁護士 システム監査技術者 藤 谷 護 人
平成24年4月から 業務管理体制整備の届出が必要となります。 休止・廃止届を事前届出制にするなどの制度改正が併せて行われました。
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
サイバーセキュリティ基礎論 ― IT社会を生き抜くために ―
サイバーセキュリティと法律.
社会と情報 情報社会の課題と情報モラル 情報化が社会に及ぼす影響と課題
総合講義B:インターネット社会の安全性 第12回 権利の保護
コミュニケーションと ネットワークを探索する
討議テーマ① 現行憲法に緊急事態条項を 創設すべきという意見がありますが どう思いますか?
地方公共団体オープンデータ推進ガイドラインの概要
個人情報の共同利用について 小売電気事業者となることを予定している事業者は、スイッチングに必要となる個人情 報を共同利用(個人情報の提供又は受領)するにあたって、以下の事項を「本人が容易 に知りうる状態」※1にする必要があります。   ① 共同利用する者の範囲   ② 共同利用の目的   ③ 共同利用する情報項目.
4 許可証(全面施行後。2県以上から許可証の交付を受けている古物商等のみ。)
サイバーセキュリティ基礎論 ― IT社会を生き抜くために ―
情報社会の安全と情報技術.
内部統制とは何か.
情報モラル06 情報 セキュリティ.
秘密保全法立法過程情報公開と市民への2つのリスク
個人情報に関する基本方針 基本方針 具体的な取り組み 相談体制
Presentation transcript:

サイバーセキュリティ基礎論 ― IT社会を生き抜くために ― 法律を知る

法律を知る サイバーセキュリティ基本法 刑法 不正アクセス行為の禁止等に関する法律 特定電子メールの送信の適正化等に関する法律 電波法 個人情報保護法 クラウド利用と外国の法律 九州大学でのセキュリティに関する規定など

本日の講義の主な参照元 http://ja.wikipedia.org http://www.ipa.go.jp

サイバーセキュリティ基本法 (2014年11月6日成立) サイバー攻撃対策に関する国の責務などを定めた法律 (教育研究機関の責務)第八条 大学その他の教育研究機関は、 基本理念にのっとり、自主的かつ積極的にサイバーセキュリティの 確保、サイバーセキュリティに係る人材の育成並びにサイバーセ キュリティに関する研究及びその成果の普及に努めるとともに、国 又は地方公共団体が実施するサイバーセキュリティに関する施策 に協力するよう努めるものとする。 (国民の努力)第九条 国民は、基本理念にのっとり、サイバーセ キュリティの重要性に関する関心と理解を深め、サイバーセキュリ ティの確保に必要な注意を払うよう努めるものとする。 法案全文 http://www.shugiin.go.jp/internet/itdb_gian.nsf/html/gian/honbun/houan/g 18601035.htm サイバー攻撃対策に関する国の責務などを定めた法律。 サイバーセキュリティに関する対策は、国の責務であることを明確にした。 内閣に「サイバーセキュリティ戦略本部」を設置 サイバーセキュリティ基礎

刑法 (けいほう、明治40年法律第45号) 犯罪に関する総則規定および個別の犯罪の成 立要件やこれに対する刑罰を定める日本の法律。 明治40年(1907年)4月24日に公布、明治41年 (1908年)10月1日に施行。 広義の「刑法」と区別するため、刑法典とも呼ば れる。 日本において、いわゆる六法を構成する法律の 一つであり、基本的法令である。 ただし、すべての刑罰法規が刑法において規定 されているものではなく、刑事特別法ないし特別 刑法において規定されている犯罪も多い。

刑法 (けいほう、明治40年法律第45号) 1987年の改正で、コンピュータ犯罪を防止するた めの3法が追加 電子計算機損壊等業務妨害罪 電磁的記録不正作出及び供用罪 電子計算機使用詐欺罪 コンピュータやデータの破壊や改ざんには刑事罰 が科せられる

電子計算機損壊等業務妨害罪 業務を妨害する行為 DoS攻撃 不正なプログラム、データを操作 サポート外ブラウザでサイトアクセスによる障害発生 業務に使用するコンピューターの破壊、 コンピューター用のデータの破壊、 コンピューターに虚偽のデータや不正な実行をするなど の方法 業務を妨害する行為 DoS攻撃 不正なプログラム、データを操作 サポート外ブラウザでサイトアクセスによる障害発生

電磁的記録不正作出及び供用罪 刑法161条の2 http://www.asahi-net.or.jp/~zi3h-kwrz/kedenji-2.html キャッシュカードの偽造・複写による,現金不正 搾取(東京地判平1・2・22,東京地判平1・2・17) 勝馬投票券の印磁・改竄 (甲府地判平成 1.3.31) 使用済みテレホンカードの通話可能度数改竄 (名古屋地方裁判所平成5年4月22日判決) など

電子計算機使用詐欺罪 第246条の2(電子計算機使用詐欺) http://www.asahi-net.or.jp/~zi3h-kwrz/kedenji-3.html 人の事務処理に使用する電子計算機に虚偽の情報若しく は不正な指令を与えて財産権の得喪若しくは変更に係る不 実の電磁的記録を作り、又は財産権の得喪若しくは変更に 係る虚偽の電磁的記録を人の事務処理の用に供して、財産 上不法の利益を得、又は他人にこれを得させた者 電磁記録を書き換えて利得を得る詐欺罪 拾得した他人のCDカードをATMに使用して自己の口座に振込む行 為(以前は,振込みに使う場合は処罰する規定がなかった) 定期券などのプリペイカード不正使用 盗んだ他人のキャッシュカードを使ってATMから、現金を取り出す行為は、窃盗罪

不正アクセス行為の禁止等に関する法律(平成11年 (1999年) 8月13日法律128号) https://www.npa.go.jp/cyber/legislation/pdf/1_kaisetsu.pdf 管理者の 防御措置 行為者への処罰 行政の援助

不正アクセス行為の禁止等に関する法律 他人の識別符号を不正に取得する行為の禁止、処罰 不正アクセス行為を助長する行為の禁止、処罰 不正アクセス行為の用に供する目的で、他人の識別符号(パスワード等) を取得してはならない(4条)。 違反者は1年以下の懲役又は50万円以下の罰金に処せられる(12条1 号)。 平成24年改正で新たに禁止された。 不正アクセス行為を助長する行為の禁止、処罰 何人も、業務その他正当な理由による場合を除いては、他人の識別符号 (パスワード等)を、アクセス管理者及び利用権者以外の者に提供しては ならない(5条)。違反者は1年以下の懲役又は50万円以下の罰金に処せ られる(12条2号)。 平成24年改正で、どの特定電子計算機の特定利用に係るものであるか が明らかでない識別符号を提供する行為も新たに禁止された。 他人の識別符号を不正に保管する行為の禁止、処罰 何人も、不正アクセス行為の用に供する目的で、不正に取得された他人 の識別符号を保管してはならない(6条)。違反者は1年以下の懲役又は 50万円以下の罰金に処せられる(12条3号)。

不正アクセス行為の禁止等に関する法律 識別符号の入力を不正に要求する行為の禁止、処罰 (平成24年改正) アクセス管理者による防御措置 識別符号の入力を不正に要求する行為の禁止、処罰 (平成24年改正) フィッシングサイト構築(7条1号)と電子メール送信(7条2号)によるフィッ シング行為を禁止する。違反者は1年以下の懲役又は50万円以下の罰金 に処せられる(12条4号)。 アクセス管理者による防御措置 アクセス管理者は、以下の措置を行う努力義務がある (8条)。罰則はない。 1.識別符号等の適切な管理 2.アクセス制御機能の検証および高度化 3.その他不正アクセス行為から防御するために必要な措置

特定電子メールの送信の適正化等に関する法律 http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/legal/08.html 利用者の同意を得ずに広告、宣伝又は勧誘等を目 的とした電子メールを送信する際の規定を定めた法 律 特定電子メールの送信制限 取引関係以外においては、事前に電子メールの送信 に同意した相手に対してのみ、広告、宣伝又は勧誘 等を目的とした電子メールの送信を許可する方式(オ プトイン方式)が導入(平成20年12月1日改正施行) 表示義務 当該送信者の氏名,名称,メールアドレスなど 送信者情報を偽った送信の禁止 送信に偽の電子メールアドレスを用いる 送信に偽の電気通信設備の識別文字,番号を用いる 架空電子メールアドレスによる送信の禁止

特定電子メールの送信の適正化等に関する法律 http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/legal/08.html 以下、主なものを挙げる。なお、平成20年法改正によ り、一部の違反につき法人に対する罰金が大幅に引 き上げられた。 1年以下の懲役又は100万円以下の罰金(法人は 3000万円以下の罰金) 送信者情報を偽った時(34条1号) 7条の規定に基づく措置命令(受信者の同意等 の記録保存に関するものを除く)に違反した場 合(同条2号) 100万円以下の罰金 7条の規定に基づく措置命令(受信者の同意等 の記録保存に関するものに限る)に違反した場 合(35条1号) 28条1項の規定に基づく報告・検査の拒否、もし くは虚偽の報告をした場合(同条2号)

電波法(昭和25年5月2日法律第131号) 電波(300万MHz以下の電磁波)の公平かつ能率的な利 用の確保を目的 電波に関する条約 http://law.e-gov.go.jp/htmldata/S25/S25HO131.html 電波(300万MHz以下の電磁波)の公平かつ能率的な利 用の確保を目的 電波に関する条約 無線局の開設 総務大臣の免許 呼出符号又は呼出名称の指定 欠格事由 免許の申請,予備免許,免許状,登録更新など 罰則規定(第9章) 微弱な電波(26.9MHz~27.2MHz, 0.5W以下)は規定外 第百六条  自己若しくは他人に利益を与え、又は他人に損害を加える目的で、無線設備又は第百条第一項第一号の通信設備によって虚偽の通信を発した者は、三年以下の懲役又は百五十万円以下の罰金に処する。

個人情報の保護に関する法律 (略称)個人情報保護法 2003年(平成15年)5月23日成立 個人情報の保護に関する法律 (略称)個人情報保護法 2003年(平成15年)5月23日成立 http://law.e-gov.go.jp/htmldata/H15/H15HO057.html 第一条:目的 基本理念,基本方針,国及び地方公共団体の責務等,個人情 報を取り扱う事業者の遵守すべき義務,個人の権利利益の保 護 第二条 個人情報:生存する個人の情報.氏名,生年月日,その他の記 述で個人を識別できるもの 個人情報データベース等,個人情報取扱事業者,個人データな どを規定 第十五~三十六条 個人情報取扱事業者の義務等 利用目的(本人の同意)による(流用、売買、譲渡などの)制限, 適正な取得,利用目的の通知,正確性の確保,安全管理措置, 第三者提供の制限,開示 法第二条第三項第五号(個人情報取扱事業者の例外規定) 個人情報によって識別される特定の個人の数の合計が 過去六月以内のいずれの日においても五千を超えない者

クラウド利用と外国の法律 (経済産業省より) クラウド利用と外国の法律 (経済産業省より) データの物理的保存場所がわからない場合がある 海外の大規模クラウド事業者が提供するサービスの場合、 自分のデータがどの国に設置されたサーバに保存 されているかを特定できない場合がある 法規制上の制約(後述)や、司法の実効性を考えた場合、 国内のサーバに保存することを確約する事業者を選択することも必要 米国愛国者法(USA Patriot Act) 2001年9月11日に発生した同時多発テロ事件を受け、捜査機関の権限の拡大 や国際マネーロンダリングの防止、国境警備、出入国管理、テロ被害者への救 済などについて規定 テロリズムやコンピュータ詐欺及びコンピュータ濫用罪に関連する有線通信や電 子的通信を傍受する権限を明記 捜査機関は金融機関やプロバイダの同意を得れば、裁判所の関与を求め ることなく操作を行うことができることを規定 米国サーバにデータを保存する場合は、政府機関の捜査権限が大きいことに留意が必要 クラウドサービスを利用する場合、仮想的に分離された環境であっても、他ユーザと物理的 に同一のサーバ機器などを共有している場合があるため、他ユーザが捜査を受ける ことで、自社もシステム停止などの影響を受けるリスクがある http://www.publicpolicy.telefonica.com/blogs/blog/2011/05/19/cloud-computing-isn%E2%80%99t-just-a-buzzword-2/

九州大学でのセキュリティに関する規定など 九州大学セキュリティポリシ 九州大学情報倫理規定 企業コンプライアンス(corporation compliance) コーポレートガバナンスの基本原理の一つ.企業が法律や内規な どのごく基本的なルールに従って活動すること.ビジネスコンプライ アンスという場合もある。 「コンプライアンス」は「企業が法律に従うこと」に限られない「遵守」 「応諾」「従順」などを意味する語だが,ここでは「法令順守」の意味 で使用.「社会規範,企業倫理」を含める意見もある. 企業 = 九州大学 食品の偽装表示・不正会計・不正入札・クレームの隠蔽(いんぺい)・盗聴事件などの不祥事の頻発が背景 http://dictionary.sanseido-publ.co.jp/topic/10minnw/003compliance.html

考えてみよう 代返などのために、他人に SSO-KID や パスワード教えると、 九州大学情報倫 理規定に抵触するでしょうか。理由を つけて解答して下さい。