IT関連法規・基準等の概要<法規基準<Web教材<木暮仁

スタートページWeb教材一覧法規基準

IT関連法規・基準等の概要

IT関連では、個人情報保護法や不正アクセス禁止法などの法律、ISO2000やJIS X 8341などの規格、PMBOK、ITIL、システム管理基準などの基準、各種ガイドラインなどが多くあります。ここでは、それらの位置づけを理解することを目的とします。個々の法律や基準の内容については、本文のリンク先を参照してください。

関連ページ
「規格・標準化団体」 ISOやJISなど、主な規格・標準化団体の説明
「ISOとJIS」 本文で掲げた規格や基準の一覧表。辞書として利用
「法律・基準・ガイドライン等リンク集」


共通概念

規格・基準・ガイドラインの関係

規格はISOやJISなど標準化団体が策定したもの、基準は経済産業省やJPAなどが策定したローカルなものというニュアンスの違いはありますが厳密ではありません。基準が普及して規格化されることもあります。ガイドラインも基準との境界があいまいですが、法律や規格・基準を、実践するために、より具体的に示したものといえます。

規格や基準により違いはありますが、これらの関係の例を示します。
 ITILという基準があります。英国商務局の依頼によりNPO組織のitSMFが情報システム運用保守(ITサービス)のベストプラクティスを収集し整理したものです。ITIL推進の一環として、itSMFがITIL技術者試験を行っています。
 ITILは、英国規格BS 15000になり、さらに国際規格 ISO/IEC 20000になり、日本では JIS Q 20000 になりました。 規格化により、ISO/IEC 20000-1(要求事項)とISO/IEC 20000-2(実践規範)の体系になりました。この実践規範は、ほぼITILと合致しています。要求事項は、企業が適切に実践していることを第三者が認証するITSMS適合性評価制度の審査基準です。すなわち、要求事項を満たしていることが審査合格の条件であり、それには実践規範を参考にすることが適切だということです。また、その審査員に関する試験制度があります。

個人情報保護の分野では個人情報保護法があり、個人情報取扱従業者の義務が定められています。しかし、法律の条文だけでは、何をどの程度行えばよいのか不明確です。それで、経済産業省、厚生労働省、金融庁などはそれぞれの所管産業を対象に、条文の説明や具体的な対処方法などを示したガイドラインを公表しています。
 また、規格では JIS Q 15001(個人情報保護マネジメントシステム-要求事項)があります。2006年に改正され、個人情報保護法との整合性をもつようになりました。この規格にそった体制を整備し実践しているかを第三者認証するのがプライバシーマーク制度です。

マネジメントシステム

マネジメントシステムとは、仕事の仕方を管理する方法です。多くのマネジメント系の規格・基準は、次の基本概念を採用しています。

参照:「経営の基礎」

その他

多くの規格・基準では、対象とする分野をいくつかのエリア(カテゴリ)に区分しています。これをプロセスということもありますが、一般にプロセスとは、業務の流れを意識するときに用いるのが多いようです。
 プロセスを大区分とすると、中区分をアクティビティ、小区分をタスクとしています。そして、3.5.2 のように体系的に項目番号が振られており、項目番号でタスクが特定できるようになっています。

監査・認証に関する規格・基準では、前述のように実践規範(管理基準、ベストプラクティス)と要求事項(監査基準)から成っています。
 監査人は、被監査部門と独立した立場であることが必要です(被監査部門自身あるいはそれに近い部門が実施する場合は内部統制といいます)。ISOやJISなどの規格での認証では、認証機関があり、認証機関が認めた審査機関に属する資格をもつ審査員が審査を行います(この場合、監査人を審査員といいます)。
 審査を受けたい企業は、自社でセキュリティポリシーやそれに関係する各種規程類を策定します。審査員は、それらが要求事項を満たしているか、実際にそれらが遵守されているかを審査し、合格していれば、認証機関に申請して認証を受けることになります。この制度では認証期間は2~3年程度で、更新が必要になります。そのとき、以前よりも向上していることを条件として、継続的向上を義務付けています。
 審査の場合は、ただ審査をするだけで、助言や指導はしません(それはコンサルタントの業務です)。それに対して、助言も行う監査制度もあります。例えば、ISMS適合性評価制度では審査だけですが、情報セキュリティ監査制度では、助言も行うとしています。


人材の評価育成

IT化を推進するのは「人」です。適切な人材を適切に活用することが大切です。
 ユーザ企業で、ITに関する最高責任者をCIO(Chief Information Officer)といいます。CIOの指導の下にITを統括部門をIT部門といいます。営業部や経理部など実際にITを活用する部門(すなわちIT部門以外の部門)を利用部門といい、利用部門の人たちをエンドユーザといいます。
 情報システムの構築では外注するのが通常ですし、コンピュータのオペレーションをアウトソーシングしている場合もあります。そのような外部企業あるいはその技術者をベンダといいます。開発者・提供者という場合、一般的にはベンダを指しますが、状況によっては社内のIT部門も加える場合があります。
 その他外部要員には、ITコンサルタントや監査人などがあります。

CIOは組織における情報戦略の最高責任者であり、ITガバナンスを発揮する人です。CIOがその任務を達成するには,経営とITに関する「経験」「知識」「人的資質」「ツール」「組織」が必要になります。
 国のIT推進にもCIOが任命されており、CIOがもつべき知識スキルとして、米国政府では「Clinger-Cohen Core Competencies Learning Objectives」、経済産業省では「CIO育成のためのコアコンピタンスと学習項目の調査研究 報告書」を策定しています。
 また、CIOの育成カリキュラムとして、IPA(情報処理推進機構)「CIO育成テキスト(CIO実践力強化版)」IT経営応援隊「CIO育成研修テキスト」などがあります。

医師には外科医や内科医など専門職種があるように、IT技術者にも多様な職種があります。また、同一職種でも知識・スキルはまちまちです。名刺にコンサルタントとあっても、新入社員がたまたまコンサルタント部門に所属しているだけかもしれません。IT分野の職種や能力は、部外者にはわかりにくいので、「共通のものさし」が必要になります。
 知識レベルを示す客観的なものさしとして、資格試験があります。情報処理技術者試験は国家資格ですが、ITコーディネータやPMP(プロジェクトマネージャ)など協会が行っているもの、マイクロソフトやシスコなどの企業が行っているものなど多数です。これらの資格の対象知識や合格レベルなどを知っておく必要があります。
参照:「情報処理技術者試験」「(その他の)IT関連資格」

試験は知識を評価するだけで、経験スキルを評価できません。それらのものさしとして、次の評価基準があります。
・ITSS(IT Skill Standards):主にベンダ企業のIT技術者を対象
・ETSS(Embedded Technology SS):組み込みソフトウェアの分野での技術者を対象
・UISS(Users’ Information Systems SS):主にユーザ企業のIT部門技術者を対象
これらは、細かい職種(人材像)に分けて、それぞれ新人レベルのレベル1から、世界的に通用するレベル7の各レベルについて、達成すべき能力や経験を示しています。
 ITSSの高いレベルの技術者が多数いることは、ユーザ企業では外注するベンダの技術力を評価するものさしになりますし、ベンダでは受注機会を増大させるために必要です。また、これらの基準は、現状とあるべき状態を比較して必要な人材を育成・確保する計画に役立ちますし、技術者本人がキャリアパスを考えて自己研さんをするのにも役立ちます。
 この3つの基準を統合して、共通キャリア・スキルフレームワークが作られており、これと情報処理技術者試験のマッチングがなされています。
参照:「共通キャリア・スキルフレームワーク」 経済産業省「情報処理技術者試験 新試験制度の手引」-高度IT人材への道標-の公表について


情報システムの企画・調達・運用

ライフサイクル全般

情報システムの企画から調達、運用に至るライフサイクル全般で用いられる用語や概念について、関係者の間で共通の理解をもつことが必要です。それを体系化したものがISO/IEC 12207(JIS X0160)で、共通フレーム2007は、それに企画や監査などのプロセスを加え、業務の観点を重視して拡大したものです。すべての規格や基準が必ずしもここでの用語に統一されてはいませんが、情報システムの開発に関する全体像を理解するのに必要な規格です。
参照:「ISO/IEC 12207(JIS X0160)と共通フレーム2007」「共通フレーム」

IT推進においては、経営や業務の観点から、全社的に統合して推進することが必要です。その方法論にEA(Enterprise Architecture)があります。EAは政策・業務体系,データ体系,適用処理体系,技術体系の4つの体系で構成され、現状の把握、あるべき姿の検討から、次期システムの仕様を明確にしようとするものです。特に検討資料の可視化や標準化を重視しています。
 行政では、EAを「業務・システム最適化計画」と名付けて電子政府・電子自治体推進のフレームワークとして採用しており、民間にもその利用を推奨しています。
参照:「EA,業務・システム最適化計画」経済産業省「EAポータル」

同様な方法論にITCプロセス・ガイドラインがあります。ITC(ITコーディネータ)とは、中小企業のIT推進を支援するコンサルタントで、このガイドラインは、情報システムを外注で調達するときのプロセスと、そのプロセスで経営者やコンサルタントが留意すべきことを示しています。
参照:「ITCプロセス・ガイドライン」ITコーディネータ協会「ITコーディネータ プロセス・ガイドライン v1.1」

情報システムの調達はプロジェクトです。期待された品質(機能)の情報システムを、定められたコストや納期で実現することが求められます。プロジェクトを円滑に行うための知識を体系化した基準にPMBOK(A Guide to the Project Management Body of Knowledge)があります。9つの知識エリアにわけて、どのような局面で、何をする必要があるかを体系的に示しています。なお、PMBOK技術者の認定制度もあります。
 ISO 10006(JIS Q 10006)は、プロジェクトにおける品質マネジメントの指針です。ISO9001(品質マネジメント)を実施するときのプロジェクトの部分を補充するガイドラインの位置づけでもあり、PMBOKの9つの知識エリアを、プロジェクト・プロセスの品質という観点から再編成したものだともいえます。
参照:「プロジェクトマネジメントとPMBOK」「ISO 10006(JIS Q 10006)とPMBOKの関係」

企画プロセス

役に立つIT化を進めるには、経営の観点からITをマネジメントすること、すなわち、ITガバナンスを確立することが重要です。COBIT(Control Objectives for Information and related Technology)は、ITガバナンスの成熟度を測定し向上させるための、チェックリスト、KGI・KPI・CSFなどを体系化したものです。
 対象分野を,「PO:計画と組織」「AI:調達と導入」「DS:サービス提供とサポート」「MO:モニタリング」の4つのドメイン(分野)に区分しています。そして,それを34個のITプロセスに区分し,それぞれのプロセスにおいて,「アプリケーション」「情報」「インフラ」「人」というIT資源のどれに該当するかを示し,それらのIT資源について,品質,受託,セキュリティの観点から,「有効性」「効率性」「機密性」「インテグリティ」「可用性」「準拠性」「信頼性」の7つのビジネス要件からの情報要請規準により,ITガバナンスが確保されているかを評価します。
参照:「ITガバナンスとCOBIT」ISACA(情報システムコントロール協会)「COBIT v4.0」

なお、自社の成熟度をチェックリストにより自己測定する技法として、ITコーディネータ協会「IT経営成熟度診断ツール」があります。また、成熟度測定とともに、IT投資の方向付けまでも行う技法として、英国で開発されERP研究推進フォーラムが普及している「e-BAT」があります。

ITガバナンスで最も重要なのは、IT投資の費用対効果の評価です。それに関しては、次のガイドラインが公表されています。
   経済産業省、JUAS(日本情報システム・ユーザー協会)「IT投資価値評価ガイドライン(試行版)」
   JIPDEC(日本情報処理開発協会)「IT投資マネジメントガイドライン」
参照:「IT投資の評価に関するガイドライン」

契約定義プロセス

情報システムは、外注により開発するのが通常です。取引一般に関しては商法や民法などの法律がありますが、ここでは、情報システムの開発に関する取引の契約で留意すべき事項に限定します。
 契約には、請負、委任(準委任)、派遣があります。

 請負委任(準委任)派遣
契約内容業務一括引受、
結果に対して報酬
業務処理の一任、
善管注意義務
派遣先の命令
指揮下への従事
命令指揮受託者受託者派遣先(発注者)
対価支払原則一括支払時間(工数)時間(工数)
完成責任ありなしなし
瑕疵担保責任ありなしなし
 一般には大規模開発では請負契約が多いのですが、コンサルタント契約など準委任契約もあります。また、自社開発あるいはIT部員不足対策では派遣契約も行われています。派遣に関しては、労働者派遣法の規制があります。

大企業が中小企業に発注する場合、大企業が優越的な立場から不当な取引を強いる濫用行為を禁止する下請法(下請代金支払遅延等防止法)の制約を受けます。経済産業省は、具体的な解説と対処方法を示した「情報サービス・ソフトウェア産業における下請適正取引等の推進のためのガイドライン」を策定しています。
 下請法は、情報サービス・ソフトウェア業界での元請と下請の関係を対象にしたものですが、ユーザ企業の場合でも、他社への販売を目的とした情報システムの場合やIT子会社を介して発注する場合は対象になります。また、委託者が受託者に対し取引上優越した地位にある場合、優越的地位の濫用には独占禁止法が適用されることがあります。

ソフトウェア取引では、開発仕様が明確でない、開発途中で要件が変更になる、リスクが発生して納期が遅れるなど、多様な事柄が発生します。また、完成したソフトウェアや文書の著作権の帰属についての問題もあります。それを回避するには、契約の段階で詳細な合意を得ることが求められます。経済産業省は、公平な立場での標準的な契約書のモデルとして、
   『情報システム・モデル取引・契約書(第一版)』
   『情報システム・モデル取引・契約書(追補版)』
を策定しています。
 第一版は、重要インフラ・企業基幹システムの受託開発情報システムを発注するときの契約を取り扱っており、対等に交渉力のあるユーザ・ベンダ前提にしています。
 追補版は、中小企業等におけるパッケージソフト、SaaS/ASP等の活用と保守、運用を含めた情報システム構築のための取引と契約のあり方を対象としています。

従来、情報システム調達の全プロセスを一括して契約することが多かったのですが、プロセスの経過により、仕様変更に伴うトラブルが発生します。そのため、情報システムへの要件を決定するまでの上流工程プロセス、それを受けてプログラミングなど情報システムの実装を行う下流工程プロセス、その後の運用・保守プロセスにわけて契約するほうが適切だといわれています。

要件定義プロセス

外注により情報システムを調達するときには、発注者がいくつかのベンダに対してRFP(Request For Proposal:提案依頼書)を示します。それに応じて提出された提案書を検討して、ベンダを決定します。そして、発注者とベンダが相談して、実際に構築する情報システムの要件を決定します。それが要求仕様書です(参照:「情報システムの外部調達」。ここまでのプロセスを要件定義プロセスといいます。
 RFPでは、適切な提案を受けるのに必要な情報を与えることが目的なので、情報システムへの要件だけでなく、業務の状況や提案内容などの記述も必要です。しかし、RFPの段階で、詳細な要件を決定できないこともあります。このように、RFPと要求仕様書は厳密には異なるといえますが、その境界を厳密に定義することはできません。ここでは区別しないことにします。

開発すべき情報システムへの要件が適切でない、あるいは、ベンダに正確に伝えられないときには、適切な情報システムが得られないのは当然です。また、要件がなかなか決まらないとか開発の途中で要件が変更になると、納期遅延や費用増加につながります。情報システムの成否に最も大きな影響を与えるのが、要件定義プロセスです(参照:「要件定義」

漏れのない要件を列挙し、発注者とベンダが共通の理解をするためには、標準化されていると便利です。その規格に“IEEE Recommended Practice for Software Requirements Specifications IEEE Std 830-1998”があります。
 要件には、どのような処理をするのかといった機能要件と、操作性や応答性、信頼性などの非機能要件があります。重要なのは機能要件ですが、それを列挙し伝えることは比較的容易です。それに対して、非機能要件は当初から明確に示すことが困難であり、それが後になってから大きな問題になりがちです。IPA(情報処理推進機構)は、「非機能要求記述ガイド」(2006年)、JUAS(日本情報システム・ユーザー協会)は、「要求仕様定義ガイドライン(UVC)」2007年を発表しています。主に前者は「要求仕様書に何を記述すればよいか」、後者は「要求仕様書をいかに書くか」を重視した内容になっています。セキュリティを重視したものに、IPAの「調達におけるセキュリティ要求仕様作成マニュアル」(2006年)があります。
 なお、RFPの書き方には、ITコーディネータ協会「RFP・SLAドキュメント見本提供について」などがあります。

漏れがなく矛盾のない要件を整理するには、要求の引き出し方、整理の仕方などの技術知識が必要になります。BABOK(Business Analysis Body of Knowledge:ビジネス分析の知識体系)は、ビジネス分析(BA)、すなわちシステム開発における「要件定義」以前での「超上流工程」を円滑にするために、その工程の関係者がもつべき知識や業務の進め方を体系化したものです。

品質プロセス

情報システムでの品質を高めるには、情報システムを開発する組織や仕組みを改善することが必要です。それには、経営者が中心になって、全社的・継続的な改善運動としてマネジメントすることが求められます。
 情報システムだけでなく、製品・サービス一般に関する包含的な品質規格として、ISO 9000(JIS Q 9000)シリーズがあります。ISO 9000シリーズには、次の規格があります。
   ISO 9000 品質マネジメントシスム-基本及び用語集
   ISO 9001 品質マネジメントシステム-要求事項
   ISO 9004 品質マネジメントシステムパ-フォーマンス改善の指針
   ISO 19011 品質及び環境マネジメントシステム監査の指針
 企業がISO9001の要求事項を満たしているかを、第三者による審査認証などの規定があります。多くの企業がこの認証を取得しています。
参照:「ISO 9001(JIS Q 9001)」

ソフトウェア品質の体系的定義、その測定方法に関しては、ISO/IEC 9126(JIS X 0129)(ソフトウェア製品の品質)があります(ISO/IEC 25000シリーズ:Software product Quality Requirements and Evaluation、SQuaRE)に置換され、関連事項の制定作業が進められています)。

ソフトウェアの品質向上には、ソフトウェア開発組織が品質向上に関する成熟度を高めることが必要です。ベンダのソフトウェア開発能力のレベルを評価する基準にCMM(Capability Maturity Model:ソフトウェアプロセス成熟度モデル」があります。成熟度モデルは次の5レベル(0を加えて6レベル)を設定しています。この成熟度モデルは、多様な分野でも成熟度を考えるときの基本になっています。
   レベル0  Non-Existent(存在しない)
   レベル1  Initial(初歩的)
   レベル2  Repeatable(繰り返し可能)
   レベル3  Defined(定義されている)
   レベル4  Managed(管理されている)
   レベル5  Optimized(最適化)
 当初は、ソフトウェア開発を対象にしていたのですが、その後、
   CMM-SW:ソフトウェアエンジニアリング(従来のCMM)
   CMM-SE:システムエンジニアリング
   CMM-IPD:統合プロダクトおよびプロセス開発
   CMM-SA:ソフトウェア調達能力
   CMM-PSP:個人のソフトウェアプロセス
   CMM-TSP:チームソフトウェアプロセス
など、多くの分野に拡大されました。
 そして,現在では、これらをを統合したCMMI(CMM Integration)に発展しています。
参照:「CMM/CMMI」「成熟度モデル」

このCMMIをベースに規格(フレームワーク)化したものに、ISO/IEC 15504(JIS X 0145)があります。SPICE(Software Process Improvement and Capability Determination)ともいいます。さらに、この規格に準拠して、自社の成熟度を測定するPPA(Process Professional Assessment)や、ベストプラクティスと自社現状のギャップ分析のための診断をし、その結果から実際にソフトウェアプロセス改善するSPA/SPI(Software Process Assessment/Software Process Improvement)があります。
参照:「CMM/CMMI、ISO/IEC15504」

運用・保守プロセス

情報システムが稼働した後に、ハードウェアの故障やソフトウェアのエラーなどが起こりますし、環境変化への対応、改善なども必要になります。それらへの対処をすることをITサービスといいます。ITサービスは、ユーザ企業内のIT部門が行うこともありますが、ベンダに外注することもあります。
 ITサービスを円滑に運営することをITMS(ITサービスマネジメント)といいます。ITMSを適切に行うことは、ユーザ企業、ベンダにとっても重要です。

ITIL(IT Infrastructure Library)とは、ITサービスの提供者(ベンダ)がITサービスマネジメントを企画し運営するためのベストプラクティス(グッドプラクティス)集で、次の5つのステージからなっています。
 ・サービス戦略:ベンダがユーザ企業に対して、ITサービス提供に関する経営戦略
 ・サービス設計:顧客へのITサービスに関する中長期の計画と改善
 ・サービス移行:サービス提供における変更管理の役割や変更実行の仕組み
 ・サービス運用:日常的なITサービス運用での、発生から解決までのプロセスと機能
 ・継続的なサービス改善
 そして、それぞれの関係は、サービス戦略をベースに、サービス設計→サービス移行→サービス運用のステージを、継続的サービス改善によりPDCAサイクルとしてマネジメントするようになっています。
 ITILの著作権は英国商務省にあり、その普及をitSMFが行っており、ITIL技術者の資格認定試験を行っています。
参照:「ITサービスマネジメントとITIL」

ITILは英国規格BS 15000になり、さらにISO/IEC 20000(JIS Q 20000)になりました。
   ISO/IEC 20000-1  第1部:要求事項
   ISO/IEC 20000-2  第2部:実践規範
 ISO/IEC 20000-2は、実際にITサービスマネジメントを実践するときに参考にすべきベストプラクティスで、ITILと似たような内容になっています。ISO/IEC 20000-1は、仕様・規格であり、企業(主にベンダ)がそれに準拠しているかを第三者が認定するITSMS適合性評価制度での審査基準になっています。
参照:「ITILとISO/IEC 20000(JIS Q 20000)」

ITサービスの契約の内容は、開発した情報システムの応答時間など運用上の要求や瑕疵修正や保守・改訂に関する事項など、情報システム開発ベンダに直結する事項もありますし、ハードウェアやネットワークなどの故障、OSやミドルウェアなど第三者ソフトウェアの不都合による事項やエンドユーザとのQ&Aに関する事項などのように、特定の情報システムに限定しない事項もあります。それぞれ別個に契約する場合もありますし、それらを一つのベンダが統合して契約する場合もあります。

いずれの場合でも、応答時間の上限値や故障から復旧までの上限時間などサービスレベルについて、利用者とベンダとの間で合意をする必要があります。それをSLA(Service Level Agreement)といいます。SLAはITMSの一部だともいえます。
 SLAに関するガイドライン等には、
経済産業省『情報システムに係る政府調達へのSLA導入ガイドライン』
ITコーディネータ協会『RFP・SLA見本』
などがあります。SaaS環境に特化したものでは
経済産業省『SaaS向けSLAガイドライン』
JEITA(電子情報技術産業協会)『民間向けITシステムのSLAガイドライン-追補版:SaaS対応編』
などがあります。
参照:「SLA/SLM」「SaaS向けSLAガイドライン」


セキュリティ、安全・安心

情報システムを構築・運用するのにあたり、セキュリティ対策や効率性、有効性などに配慮することが重要です。そのための法律、規格、基準が多くあります。また、企業がそれらを適切に実践していることを第三者機関が審査して認定する監査制度もあります。
リンク集・ポータルサイト
経済産業省「法律、ガイドライン等」
システム監査学会「リンク(法令・基準・ガイドライン等)」

システム全般

情報システム全般を対象にしたものに、経済産業省によるシステム監査制度があります。経営戦略に沿って効果的な情報システム戦略を立案し、その戦略に基づき情報システムの企画・開発・運用・保守というライフサイクルの中で、効果的な情報システム投資、リスクコントロールを適切に整備・運用する全般的な事項を対象にしています。
 実践規範(ベストプラクティス)を示したシステム管理基準、それを適切に実践されているかを第三者が審査して認定するときのシステム監査基準、財務報告での内部統制に係るIT統制ガイダンスに特化した追補版があります。
参照:「システム監査基準の概要」
経済産業省「システム管理基準」同省「システム監査基準」同省「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」

セキュリティ関係

セキュリティ対策は、その脅威や保護する対象などから、次のように区分されます。

インターネットセキュリティのうち、ウイルス対策には、経済産業省のコンピュータウイルス対策基準があります。関係者をシステムユーザ、システム管理者、ソフトウェア供給者、ネットワーク事業者、システムサービス事業者に区分して、それぞれ講ずるべき基準を示しています。
参照:「コンピュータウイルス対策基準」
 不正アクセスに関しては不正アクセス禁止法があり、不正アクセスをした者だけでなく,他人のパスワードなどを第三者に漏らす「不正アクセスを助長する行為」も本法により罰せられます。また,システム管理者に適切な管理措置を講じる必要があることを努力義務としています。
参照:「不正アクセス禁止法」
 不正アクセスへの防衛策としては、経済産業省のコンピュータ不正アクセス対策基準があります。コンピュータウイルス対策基準と同様に、システムユーザ基準、システム管理者基準、ネットワークサービス事業者基準及びハードウェア・ソフトウェア供給者基準からなっています。
参照:「コンピュータ不正アクセス対策基準」
 なお、IPA(情報処理推進機構)セキュリティセンターでは、個人や企業に向けてセキュリティ対策に関する多様な情報を提供しています。
参照:「ウイルス対策(IPA)」IPA「情報セキュリティ」

情報システムセキュリティのレベルでの対策に関しては、経済産業省の情報システム安全対策基準情報システムの信頼性向上に関するガイドラインがあります。情報システム安全対策基準は、1997年に改正されたままで、現在の環境とはマッチしない部分もありますが、情報システムセキュリティの基本概念を知るのに便利です。
参照:「情報システム安全対策基準の概要」経済産業省「情報システム安全対策基準」

「情報システムの信頼性向上に関するガイドライン」は、情報システム安全対策基準と同じような分野を対象に、現状に合わせて発展させたものだと考えられます。
 情報システムが本来保持すべき信頼性・安全性を確実に具備させることを目的とし、情報システムの企画・開発から保守・運用にわたり関係者が遵守すべき又は遵守することが望ましい事項を次の体系で定めています。
  信頼性・安全性向上に向けての全般的配慮事項
  企画・開発及び保守・運用全体における事項
  技術に関する事項
  人・組織に関する事項
  商慣行・契約・法的要素に関する事項
参照:「信頼性向上ガイドライン概要」経済産業省「情報システムの信頼性向上に関するガイドライン」

情報セキュリティ対策は、経営者が主体になって全社的・継続的なマネジメントとして推進すべきです。それをISMS(情報セキュリティマネジメントシステム)といいます。
 ISMSに関する規格に、
  ISO/IEC 27001(JIS Q 27001)要求事項
  ISO/IEC 27002(JIS Q 27002)実践規範
があります。要求事項とは、ISMSが適切に実践していることを第三者が審査するのに際して、合格するのに求められる事項であり、実践規範は、ISMSを適切に行うためのベストプラクティスを体系的に示したものです。また、ISMSに関する第三者認証制度にISMS適合性評価制度があります。
参照:「ISO27001(JIS Q 27001)」「ISMS適合性評価制度の概要」

同様なものに、経済産業省による情報セキュリティ監査制度があります。
  情報セキュリティ監査基準(平成15年)
  情報セキュリティ管理基準(平成20年改正版)
 これらは、ISO/IEC 27001/27002 と整合性を整合性をもっていますが、幅広い利用者を想定して計画、実行、点検、処置の各プロセスで行うべき事項を明確にしています。これに関連した多数のガイドライン等も策定しています。
 この監査には保証型監査と助言型監査があります。保証型監査は、情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査であり、助言型監査は情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査です。それに対してISMS適合性評価制度は、審査を行い、合格したときに認証と合格マークの使用を許可する制度で、審査員は助言をしないことになっています。
 このような関係により、まず情報セキュリティ監査制度により成熟度を高め、一定のレベルに達したときにISMS適合性評価制度により第三者認定を取得するのが適切です。
参照:「情報セキュリティ監査制度の概要」経済産業省「情報セキュリティ監査制度」

自社の事業停止が取引先や事業停止へと影響が連鎖したり,社会全般に大きな影響を与えたりします。そのため、企業には危機に直面したときでも
    許容限界以上のレベルで事業を継続させること
    許容される期間内に操業度を復旧させること
ことにより,事業を継続する社会的責任があります。
 そのための計画立案・実施,そのマネジメントシステムをBCP(Business Continuity Plan:事業継続計画)といいます。
 特に、情報システムの停止は物流や金流の混乱に直結するので、未然防止、復旧の迅速化が求められます。
 BCPに関するガイドラインとして、内閣府の事業継続ガイドラインと経済産業省の事業継続計画策定ガイドラインがあります。前者は、自然災害,特に地震時における業務全般のBCPに関する考え方を示しており、後者は、脅威を限定せず情報システムを早期に復旧することを対象にして、具体的なBCPの策定方法を示しています。
参照:「事業継続計画(BCP/BCM)」

情報セキュリティ対策が社会的責任であることの代表的な分野が個人情報の保護です。個人情報保護法では、個人情報取扱事業者の義務が示されていますが、法律の条文は具体的な遵守方法やレベルの記述はありません。それで、経済産業省や厚生労働省などが、各省が主管する業種に関してガイドラインを策定しています。
 個人情報保護に関する規格にJIS Q 15001(個人情報保護マネジメントシステム-要求事項)があります。2006年に改正され、個人情報保護法との整合性をもつようになりました。この規格にそった体制を整備し実践しているかを第三者認証するのが、プライバシーマーク制度です。
参照:「個人情報保護法とその関連」
法律「個人情報保護法」 経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」JIPDEC(日本情報処理開発協会)「プライバシーマーク制度」


知的財産権

知的財産権に関する法律には、次のものがあります。
  著作権法
  産業財産権(工業所有権ともいう) 特許法、実用新案法、意匠法、商標法
  その他 半導体回路配置保護法、種苗法、不正競争防止法、知的財産基本法など
ここでは、情報システムに関連が深いものを対象にします。

著作権で情報システムに関係が深いのは次の4点です。

情報システムで用いられているアルゴリズム(解法)は著作権法の保護対象にはならないので、他人のプログラムを調べて、そのアイデアを自分のプログラムに取り込むことができます。しかし、その解法がソフトウェア特許になっている場合があります。
また、「ソフトウェアとハードウェア資源とが協同した具体的手段によって実現されている」方法がビジネスモデル特許として認められることがあります。
特許権は先に出願した者が権利をもつので、独自に考えたものでも特許権の侵害になります。通常では、発注者が特許を調べる能力が低いので、特許権抵触に関して、契約で明記しておくことが必要です。
参照:「特許法」

不正競争防止法で、情報システムに関係が深い事項を掲げます。
 「不正競争の禁止」では、複製できないようにプロテクトのかけてあるCD-ROMなどのプロテクトを外す装置の使用や譲渡は禁止されています。不正利益目的、損害を加える目的で、他社の商標や商品名などと同一・類似のドメイン名の取得、保有、使用することは禁じられています。
 社内には個人情報以外にも多様な機密情報(営業秘密)があります。それを不当に取得するのは不正競争になりますが、それが営業秘密であるとするには、秘密管理性、有効性、非公然性が条件になります。社内の情報システムでは、秘密としてパスワード管理されていること、情報システムの開発・運用を外注するときには、秘密であることを明確に示す必要があります。
参照:「不正競争防止法の概要」法律「不正競争防止法」


その他

国のIT化推進政策

国は、日本を世界のIT先進国にする戦略を推進しています。2000年にIT基本法を策定して、その基本方針を示し、具体的な戦略を統括するIT戦略本部を設置しました。IT戦略本部は、
  e-Japan戦略(2001年~2005年)
  IT新改革戦略(2006年~2010年)
  i-Japan戦略2015(2010年~2015年)
のIT推進5カ年計画を継続的に推進しています。
 各戦略により重点は変化してきましたが、次の事項が基本になっています。
  ネットワーク環境などインフラの整備
  電子政府・電子自治体の実現(これには電子申請が含まれます)
  電子商取引の推進、医療や教育など重点分野のIT化
  安全・安心のためのセキュリティ対策の推進
  人材の育成
参照:「国のIT政策」

地域経済の発展や雇用の確保など、経済・社会の発展のためには、中小企業の経営体質を強化することが重要です。それにはITの利活用が効果的です。国は、中小企業のIT推進のために、金融面の優遇、税制の優遇などとともに、中小企業診断士やITコーディネータの派遣などの施策を行っています。

デジタル化支援

電子商取引での契約や行政への申請などでは実印を捺印する必要がある場合があります。それらの文書を電子媒体にすると,捺印することができません。電子署名法により、電子署名が実印と同じ法的効果があることを認めたものです。
 なお、経済取引に伴って作成する契約書や領収書などの文書には印紙税が課税されますが、紙の書面ではない電子データの場合には不課税になっています。

情報システムの普及によりオフィスのペーパレス化が進んでいますが,従来,法律により紙文書での保存が義務づけられており,多くの無駄が生じていました。それを解消するために、電磁的記録での保存を認められるようになりました。
 ネットワークによる商取引データのように,当初から電子的に作成された書類を「電子的文書」といい、領収書や財務諸表のように紙の書面をスキャナで読み込んだものを「電子化文書」といいます。これらを電子的に保存することは、電子的文書については電子帳簿保存法、電子化文書についてはe-文書法で認められています。
 特に、領収書など国税関係書類がデジタル化されたことは、大量文書の保存や検索のコストを削減できるメリットがあります。しかし、そのためには、真実性確保要件と可視性確保要件を満たす必要があります。
参照:「e-文書法の概要」経済産業省「文書の電子化の促進」

電子商取引関連

Webサイトを利用した、対消費者取引が発展するのに伴い、安心・安全を確保するために、民法以外に、電子商取引に関して多くの法律があります。
  電子契約法(電子消費者契約及び電子承諾通知に関する民法の特例に関する法律)
  特定商取引法(特定商取引に関する法律)
  迷惑メール防止法(特定電子メールの送信の適正化等に関する法律)
経済産業省では、これらの法律を総合的に整理し、最近の状況に合わせて解釈をとりまとめた電子商取引及び情報財取引等に関する準則を策定しています。

Webページ関連

多くの自治体や企業がWebサイトを開設しています。高齢者や障害者が不自由なくWebページを操作できるようにすることは、Webページ作成者の社会的義務だといえます。それをWebアクセシビリティといいます。
 Webアクセシビリティの規格にJIS X 8341-3(高齢者・障害者等配慮設計指針 -ウェブコンテンツ)があり、考慮すべき事項が列挙されています(高齢者及び障害のある人々のニーズに対応した規格にはISO/IECガイド71があり、それをベースに JIS X 8341 が作られました。JIS X 8341-3 はその一部です)。
 特に地方自治体のWebサイトでは、住民の機会均等の観点から、総務省「みんなの公共サイト運用モデル」が策定されています。これには JIS X 8341-3 の解説だけでなく、構築・運営の体制や方法。PDCAサイクルによる改善などの説明もあります。
 高齢者や障害者に限らず、使いやすいWebページにすることをWebユーザビリティといいます。ISO 09421-11JIS Z8521(人間工学-視覚表示装置を用いるオフィス作業-使用性の手引き)では、ユーザビリティとは「特定の利用状況において、特定のユーザーによって、ある製品が、特定の目標を達成するために用いられる際の、有効さ、効率、ユーザーの満足度の度合い」と定義しています。
 中央官庁のオンライン申請システム等のユーザビリティに関して、IT推進本部「電子政府ユーザビリティガイドライン」があります。
 「みんなの公共サイト運用モデル」や「電子政府ユーザビリティガイドライン」は、民間企業でのWebサイトでも、ほぼそのまま利用できます。
参照:「Webアクセシビリティ」「Webユーザビリティ」

財務システム関連

財務報告は税務や投資の基本資料ですから、虚偽や過失があってはなりません。そのため、従来から監査人(公認会計士)による会計監査が義務付けられいましたが、さらにJ-SOX法(金融商品取引法)により、財務処理での誤りや不正が発生しないように,社内でも経営者が責任を持って内部統制の仕組みを整備すること,それが正しく運営されていることを経営者が評価して公表すること,さらに監査人がそれを監査することになりました。
 財務処理はITにより処理されていることが多く、J-SOX法では「ITへの対応」が重視されています。情報システムの構築・運用において、不正や過失によるリスクを防ぎ、その発見を確実にすることが求めています。そのためには、業務の流れ図、業務記述書、RCM(リスクコントロール・マトリックス)などを整備し、それを遵守する必要があります。しかも、販売の売上データが財務での売掛金データになるように、大部分の情報システムは財務に深く関係していますので、対象が大きくなります。  この対応には、次の基準やガイドラインがあります。
  金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」
  「サーベインズ・オクスリー法(企業改革法)遵守のためのIT統制目標」
  経済産業省「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」
参照:「金融商品取引法(日本版SOX法)」

IFRS(International Financial Reporting Standard:国際財務報告基準または国際会計基準)とは、会計基準の国際標準です。日本における現行の会計基準(企業会計原則)は、国際会計基準と異なっている部分があり、このままでは、海外の公認会計士や投資アドバイザに、財務報告の数値に「これは日本特殊の算出方法による」というようなコメントをつけられることになり、投資家の信用が低下したり、資金調達が不利になるなど、国際的な資本取引で不利な立場になってしまいます。
 これまでにも部分的な修正を重ねてきました。J-SOX法もその一つですが、IFRSへの移行はそれを抜本的に共通にしようというものです。金融庁は、「我が国における国際会計基準の取扱いについて(中間報告)」を公表し、国際会計基準移行のロードマップ案を示しました。
 しかし、これに対応するには、従来の財務システムの大幅な改訂が必要で、かなりの負担になり、経営環境が厳しい折から、大きな問題になっています。
参照:「国際会計基準」