ITパスポート 令和6年度 問2：corporate_legalに関する問題

答えは b「サイバーセキュリティ基本法」 です。

この問題は「ネット攻撃から“国全体”を守るための、おおもとの考え方を決めた法律はどれ？」と聞いています。

ポイントは「国全体」「基本理念」「国の責務」という言葉。国が中心になって守りの方針を決める、いわば“国の防御の憲法みたいなもの”がサイバーセキュリティ基本法です。

👉 覚え方：「基本理念を決める＝サイバーセキュリティ基本法」。名前にヒントあり。

ほかの選択肢：a 公益通報者保護法＝会社の不正を内部告発した人を守る／c 不正アクセス禁止法＝他人のIDで勝手にログインする“個人の行為”を罰する／d プロバイダ責任制限法＝ネット上の悪口などへのプロバイダ（回線業者）の責任ルール。

なぜこれが正解か

正解は b。サイバーセキュリティ基本法は、サイバーセキュリティに関する施策を総合的・体系的に推進するため、基本理念を定め、国・地方公共団体・重要インフラ事業者などの責務を明らかにした法律。問題文の「国全体で体系的に防御」「基本理念」「国の責務」がそのままキーワード。

各選択肢の解説

• a 公益通報者保護法：組織の不正を通報した労働者を不利益取扱いから保護する法律。
• c 不正アクセス禁止法：他人のIDパスワードでの不正ログインなど、個人の不正アクセス行為を禁止・処罰する。
• d プロバイダ責任制限法：ネット上の権利侵害に関するプロバイダの損害賠償責任の制限と発信者情報開示を定める。

覚え方・ひっかけ注意

「基本理念・国の責務＝基本法」とセットで暗記。cの不正アクセス禁止法は“個人の行為を罰する”法で、国の体系的施策を定める基本法とは役割が違う点が最大のひっかけ。

理論的背景

サイバーセキュリティ基本法（2014年施行・2016年改正）は「サイバーセキュリティに関する施策を総合的かつ効率的に推進する」ための基本理念と国・地方公共団体・重要社会インフラ事業者等の責務を定めた基本法である。本法の制定背景として、2011年の防衛省・航空宇宙企業へのサイバー攻撃事件（MHI・IHI等の防衛関連企業が標的）、2013年の東京五輪招致関連機関へのサイバー攻撃、政府機関のセキュリティ対策の法的根拠の欠如という国家的課題があった。本法は「サイバーセキュリティ戦略」の策定根拠となり、内閣サイバーセキュリティセンター（NISC）の法的位置づけを確立した。「サイバーセキュリティ」の定義として、電子的方式による情報の管理・処理に係る安全の確保、サイバー攻撃等による被害からの迅速な復旧、および国民が安全・安心にITを利用できる環境の整備が含まれる。基本法としての性格から具体的な違反行為・罰則規定はなく、「基本的な理念・国の責務・推進体制を定めた上位法」として機能する。

実務での使われ方

サイバーセキュリティ基本法の下位に位置する「サイバーセキュリティ戦略」（内閣決定）は3〜5年ごとに改定され、DX推進に伴うサイバーリスク対応・重要インフラ保護・サイバー人材育成・国際連携が主要施策として位置づけられる。企業の実務においては本法の直接的な罰則はないものの、下位の「経済産業省サイバーセキュリティ経営ガイドライン（Ver.3.0）」や「NISC重要インフラのサイバーセキュリティに係る行動計画」が実践的指針として機能し、CISO設置・リスクマネジメントへの組み込み・サプライチェーンセキュリティ確保が経営課題として明示されている。また同法の対象である「重要社会インフラ」として電力・ガス・水道・鉄道・空港・金融・医療・通信・政府システム等14分野が指定されており、これらの事業者には年次のセキュリティ対策状況の自己評価・共有が求められる。

試験での位置づけ

サイバーセキュリティ基本法はITパスポートの法律・規格分野で他の情報セキュリティ関連法規とセットで出題される。本問の4選択肢は「公益通報者保護法（内部告発者保護）」「サイバーセキュリティ基本法（国全体のサイバー防御基本理念）」「不正アクセス禁止法（不正アクセス行為の禁止・罰則）」「プロバイダ責任制限法（ISPの責任・情報発信者の特定）」という4つの異なる法律を並べており、「国全体・体系的・防御施策・基本理念」というキーワードからサイバーセキュリティ基本法を特定する識別問題である。不正アクセス禁止法との混同が最も多く、「基本法＝罰則なし・理念・国の体制」「不正アクセス禁止法＝具体的行為の禁止・罰則あり」という違いを確実に把握しておく必要がある。基本情報技術者では個人情報保護法（改正法対応）・不正競争防止法・著作権法・電子署名法等との体系的な理解が求められ、各法律の保護対象・規制行為・罰則の有無を正確に整理することが必要となる。

選択肢の発展補足

選択肢aの公益通報者保護法は、労働者が事業者内の法令違反行為を公益通報（内部告発）した場合に解雇・降格・減給等の不利益取扱いから保護する法律（2006年施行・2022年改正強化）である。2022年改正では300人超の事業者への内部通報窓口の設置・運用義務化、通報者の探索禁止規定の強化が行われた。情報セキュリティの文脈では内部不正の通報や個人情報漏えいの自主開示に関連するが、直接のサイバーセキュリティ対策法ではない。選択肢cの不正アクセス禁止法（不正アクセス行為の禁止等に関する法律、2000年施行・複数改正）は、他人のIDやパスワードを使った不正ログイン・セキュリティホールを突いた侵入等の「不正アクセス行為」を具体的に禁止し、3年以下の懲役または100万円以下の罰金という罰則規定を持つ実体法である。「技術的手法による不正侵入の禁止と罰則」という具体的行為規制がサイバーセキュリティ基本法との最大の違いである。選択肢dのプロバイダ責任制限法（特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律）はSNS・掲示板等のプラットフォームにおける誹謗中傷・プライバシー侵害への対処として、プロバイダの責任制限と被害者による発信者情報開示請求の制度を定める法律であり、2022年改正で開示請求の迅速化・非訟手続きの一本化が図られた。