情報システム・法務担当者が知っておくべきガイドラインと法制度(1)まずは法令の「目的」と「定義」を知ろう
●企業の社会的責任と法令
特集
特集
企業の不祥事が続発している現在、企業に対して適切なコーポレート・ガバナンス(企業統治:Corporate Governance)が求められていることは周知のことであろう。同時に現代の企業は、情報システムの支援なしには、その日常業務を遂行することもできなくなっている。よって、コーポレート・ガバナンスを着実に実行していくためには、情報システムを確実にガバナンスすること、すなわち、ITガバナンスが要求されているのだ。
また、企業は社会の一員でもある。社会に提供するサービスや商品を通じて、株主や従業員、取引先などのステークホルダーに対する責任を果たすことはもちろんだが、その前に法令※1の遵守が社会的責任を果たす上での基本条件となる。
※1 ここでいう「法令」とは、議会が制定した法律のほか、行政機関が制定する政令や省令、地方自治体議会が制定する条例などを含んでいる。
しかし実際問題として、情報システムに関わる多くの経営者は、法令の遵守をどこまで真剣に考えられているのだろうか。読みにくいという批判の多い法令文に目を通している時間が無いとか、全ての法令や基準を遵守していては仕事が回らない、と思い込んでいないだろうか。法令や各種省庁が作ったガイドラインの内容から実際の業務に落とし込んだり、法令違反になっていないかどうかをチェックするのは、法務部門の仕事だと決め付けていないだろうか。
本稿では、主に企業において「情報セキュリティ」を統括する役員や担当者が、最低限知っておくべき法律や、各省庁や関連団体が公表している基準やガイドラインについて、できるだけ実務レベルに近い場面を想定して解説していこう。個々の法令についての厳密な解釈は専門家に任せるとして、実務的な観点から理解しておくべき法令や各種ガイドラインの紹介とその読み方、そしてそれらを実務に生かしていく方策を解説していきたい。
●法令の入手と読み方
最初に、法令の原本を入手する方法や、法令の内容を理解するコツを説明しておこう。
まず、法令を読むには「六法全書」を買ってくる必要があるのでは? と思っている人がいるが、法律を本格的に学ぶわけではないのでこれは不要だ。それよりも、総務省行政管理局が提供している「法令データ提供システム※2」を利用すればよい。ここでは、指定した用語を含む法令を検索したり、もちろん法令そのものの全文を表示することもできる。工業や商業などの分野別に関連する法令の一覧も見ることができる。とにかく全文検索できることがありがたい。
※2 http://law.e-gov.go.jp/
たとえば“不正アクセス”ということばを含む法令を「法令データ提供システム」で検索してみると、なんと13もの法令に含まれていることがわかる。その中には、なんと昭和25年に公布された「地方税法」まで含まれている。
そこでこの法律の本文をみてみると、平成17年11月に最終改正が行われていることがわかるだろう。そして、(固定資産税等の課税標準の特例)第十五条の35項に、“不正アクセス”という言葉が登場していることが簡単に検索できる。このように、法令というものは最初の公布が古いものであっても、時代の変化とともに刻々と改正が行われているものなのだ。そして、関連する多数の法令にも改正が加わる。この点をよく認識しておこう。
次は法令そのものの読み方だ。ほとんどの法令では、最初に(目的)と(定義)が書かれている。これを読まずに済ませてはいけない。
(目的)は、その法令が公布された背景や理由も含めて、そもそも何のための法令なのかがシンプルに記述されている。
たとえば、「不正アクセス行為の禁止等に関する法律※3」−平成十一年八月十三日法律第百二十八号− の第一条を、次のURLから読んでみてほしい。
http://law.e-gov.go.jp/htmldata/H11/H11HO128.html
※3通称は「不正アクセス禁止法」
【執筆:大阪市立大学大学院 創造都市研究科 柳原秀基】
──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
◎有料版Scan申込> http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm
《ScanNetSecurity》