---
> [!NOTE] 目次
```table-of-contents
title:
minLevel: 0
maxLevel: 0
includeLinks: true
```
---
> [!NOTE] リスト掲載用文字列
- [「サイバーセキュリティ関係法令Q&Aハンドブック」Web版](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-index.html)【NCO】(2025年12月20日)
---
> [!NOTE] この記事の要約(箇条書き)
- 内閣官房国家サイバー統括室(NCO)発行の「サイバーセキュリティ関係法令Q&Aハンドブック」を紹介するページです。
- 企業における平時のサイバーセキュリティ対策およびインシデント発生時の対応に関する法令上の事項をQ&A形式で解説しています。
- 情報セキュリティの概念として、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の「CIA」の重要性を説明しています。
- サイバーセキュリティ基本法、会社法、個人情報保護法、不正競争防止法、労働法、電気通信事業法、刑法など、多岐にわたる関連法令が解説対象です。
- インシデント対応、データ管理、契約、従業員関連、海外法令など、14の主要なトピックスと87のQ&Aで構成されています。
- Ver2.0(2023年9月、PDF版およびHTML版)とVer1.0(2020年3月、PDF版)が公開されており、Ver2.0は書籍としても出版されています。
> [!NOTE] 要約おわり
---
 
内閣官房国家サイバー統括室(NCO)は、サイバーセキュリティ対策において参照すべき関係法令をQ&A形式で解説する「サイバーセキュリティ関係法令Q&Aハンドブック」(以下「本ハンドブック」といいます。)を作成しています。企業における平時のサイバーセキュリティ対策及びインシデント発生時の対応に関する法令上の事項に加え、情報の取扱いに関する法令や情勢の変化等に伴い生じる法的課題等を可能な限り平易な表記で記述しています。企業実務の参考として、効率的・効果的なサイバーセキュリティ対策・法令遵守の促進への一助となれば幸いです。
| [Ver2.0 PDF版(6.1MB)](https://security-portal.cyber.go.jp/guidance/pdf/law_handbook/law_handbook_2.pdf) | 令和5年9月(誤記訂正 令和6年12月) |
| --- | --- |
| [Ver1.0 PDF版(3.9MB)](https://security-portal.cyber.go.jp/guidance/pdf/law_handbook/law_handbook.pdf) | 令和2年3月 |
※ PDF閲覧時に注意が表示される方は [電子署名付きPDFファイル閲覧時の注意表示への対処方法](https://security-portal.cyber.go.jp/pdf_shomei.html) をご参照ください。
## Q&Aで取り上げている主なトピックスについて
1. サイバーセキュリティ基本法関連
2. 会社法関連(内部統制システム等)
3. インシデント対応関連総論(当局等対応、関係者対応)
4. 個人情報保護法関連
5. 不正競争防止法関連
6. 労働法関連(秘密保持・競業避止等)
7. 情報通信ネットワーク関連(IoT関連等を含む)
8. 契約関連(電子署名、システム開発、クラウド等)
9. 資格等(情報処理安全確保支援士等)
10. その他各論(リバースエンジニアリング、暗号、情報共有、脅威インテリジェンス、データ消去等)
11. インシデント対応関連(事後的対応等)(ランサムウェア対応、デジタル・フォレンジック、サイバー保険等を含む)
12. 民事訴訟手続
13. 刑事法(サイバー犯罪等)
14. 海外法令(GDPR等)
## 総説
### 1.サイバーセキュリティと法制度
#### (1)サイバーセキュリティ基本法の制定前の状況について
サイバーセキュリティという概念は、法制度の領域から生成・発展した概念ではなく、サイバーセキュリティ基本法が制定されるまでは、わが国の法令において「セキュリティ」という単語を用いたものはなかった。ただ、平成12年に制定された高度情報通信ネットワーク社会形成基本法(平成12年法律第144号)第22条における「高度情報通信ネットワークの安全性及び信頼性」という文言の中に、情報セキュリティを読み取ることが可能であった。
情報セキュリティとは、一般に「情報の機密性(Confidentiality)、完全性(Integrity)及び可用性(Availability)の3要素を維持すること」ということができ、この3要素の各々の頭文字を取って「情報のCIA」ということもある。
機密性とは、情報に関して正当な権限を持った者だけが、情報にアクセスできることをいう。機密性が損なわれた場合の典型例として不正アクセス等が挙げられる。
完全性とは、情報に関して破壊、改ざん又は消去されていないことをいう。完全性が損なわれた場合の典型例として情報の不正改ざん等が挙げられる。
可用性とは、情報に関して正当な権限を持った者が、必要時に中断することなく、情報にアクセスできることをいう。可用性が損なわれた場合の典型例としてシステム障害による利用不能等が挙げられる。
このようなCIAの概念を用いたものとしては、1992年に経済協力開発機構(OECD)が採択した「情報システムセキュリティガイドライン(Guidelines for the Security of Information Systems)」(以下「1992年ガイドライン」という。)が挙げられる。同ガイドラインにおいては、情報セキュリティの目的について、「情報システムに依存する者を、可用性、機密性、完全性の欠如に起因する危害から保護すること」と定義している。
これを踏まえ、情報セキュリティマネジメントシステム(ISMS)に関する国際規格であるISO/IEC 27001・同27002、これを日本産業規格化したJIS Q 27001・同27002にも情報セキュリティに関する同様の定義が置かれている。
#### (2)サイバーセキュリティ基本法
平成26年にサイバーセキュリティ基本法が制定された。具体的な内容については後述するが、情報、情報システム、情報通信ネットワークという3つの客体に着目して「サイバーセキュリティ」が定義されていることをはじめ、わが国のサイバーセキュリティ政策を推進するための様々な規定が置かれた基本法としての役割を有している。
ただし、同法は基本的に民間の企業等に対する具体的な権利・義務等を定めるものではなく、また、同法は、デジタル社会形成基本法と相まって、サイバーセキュリティに関する施策を総合的かつ効果的に推進するもの(同法第1条)であるが、現状において、これらの法律も含め、サイバーセキュリティに関して民間の企業等に対する権利・義務等を通則的に適用する法令が存在しているものではない。
一方で、個別の法令においては、サイバーセキュリティに関わる規定が存在しており、特に情報の安全管理に関する規定を置く法令が増加する傾向にある。本書においては、個別に存在するサイバーセキュリティに関する法令について解説を加えていく。
#### (3)サイバーセキュリティ対策と法令・ガイドライン
サイバー攻撃が複雑化・巧妙化する今日において、各々の企業がサイバーセキュリティ対策をとることの重要性は増加している。各々の企業は、企業の規模や業態、時代背景、取り扱う情報の種類と適用される法令等に基づき、必要なサイバーセキュリティ対策をとることとなる。
サイバーセキュリティに関しては、関係する法令を遵守する必要があることはもちろん、その他、国内外を問わず、様々な政府機関、民間の団体や企業等による様々なガイドライン等が発出されている。また、前述のとおり関係する国際規格も存在する。
一般論として、IT・ICTを活用することの利便性と、セキュリティはトレードオフの関係にある。セキュリティを万全に整えようとすればするほど、利便性は落ちることとなるため、企業としては、セキュリティ上の脅威を含めてリスクマネジメントを行い、必要なセキュリティ対策を選択することとなる。
以上を参考としながら、各々の企業においては、必要とされる具体的なサイバーセキュリティ対策を行うことが望ましい。
### 2.本書で取り上げる主な法律について
サイバーセキュリティ基本法(平成26年法律第104号)
「サイバーセキュリティ」の定義を置くとともに、基本法として、わが国のサイバーセキュリティ政策を推進するための様々な規定を定めている。
民法(明治29年法律第89号)
契約に関する規律や、不法行為に基づく損害賠償請求等を規定している。
会社法(平成17年法律第86号)
株式会社の取締役に対し、サイバーセキュリティを確保するための体制を含む内部統制システム構築義務を課している。
個人情報の保護に関する法律(平成15年法律第57号)
個人情報の取扱いに関する基本法であると同時に、個人情報取扱事業者及び行政機関等における個人情報等の適正な取扱いに係る一般法としての規律を定める。当該義務の中に、個人情報の不適正取得の禁止や、個人データ及び保有個人情報の安全管理措置義務、個人データの漏えい等報告義務、本人通知義務等が含まれる。また、個人番号を含む個人情報(特定個人情報)については行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)が規律を定めている。
不正競争防止法(平成5年法律第47号)
不正競争の防止を目的の一つとしており、営業秘密や限定提供データの保護や、技術的制限手段の無効化、回避の禁止等を定める。
著作権法(昭和45年法律第48号)
プログラムを含む著作物の保護と複製権をはじめとする著作権等について規定している。
労働基準法(昭和22年法律第49号)
労働基準を定める法律であり、企業の就業規則に関する規定などを置いている。その他、労働契約に関する基本的な事項を定める労働契約法(平成19年法律第128号)等がある。
電気通信事業法(昭和59年法律第86号)
サイバー空間における活動の基盤となるインターネットサービス等の電気通信事業に関する諸規定や、通信の秘密等を規定している。
電子署名及び認証業務に関する法律(平成12年法律第102号)
一定の条件を満たす電子署名を手書き署名や押印と同等に通用する旨等を規定している。
情報処理の促進に関する法律(昭和45年法律第90号)
情報処理安全確保支援士や新設されたDX認定制度に関する規定、独立行政法人情報処理推進機構(IPA)の業務としてサイバーセキュリティに関する講習や調査等を措置している。
国立研究開発法人情報通信研究機構法(平成11年法律第162号)
国立研究開発法人情報通信研究機構(NICT)の業務においてサイバーセキュリティに関する研究開発等、国や自治体の職員を対象とする演習の「CYDER」の実施を定めるとともに、時限的な業務としてIoT機器の調査を行う「NOTICE」に関する規定を措置している。
刑法(明治40年法律第45号)
不正指令電磁的記録に関する罪(いわゆるウイルス罪)をはじめとするサイバー犯罪を処罰する規定を含む刑罰が規定されている。
不正アクセス行為の禁止等に関する法律(平成11年法律第128号)
不正ログインといった不正アクセス行為や、いわゆるフィッシング行為を処罰する旨が規定されている。
### 3.本書の構成について
| [Q1](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-01.html#q001) ,Q2 | サイバーセキュリティに関する基本法として、サイバーセキュリティ基本法における「サイバーセキュリティ」の定義及び同法の概要を解説するものである。 |
| --- | --- |
| [Q3](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-02.html#q003) ~Q6 | 会社法を中心に、経営体制の観点から取締役が負う義務(内部統制システム構築義務)や、当該体制が適切であることを担保するための監査や情報開示について解説するものである。ここでの考え方は、企業以外の組織、たとえば官公庁、医療法人などにもおおむね妥当する。 |
| [Q7](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-03.html#q007) ~Q9 | 企業がサイバーセキュリティインシデントに直面した際に必要となる法的な対応やそれに準ずる対応、その他必要となる措置や関係者について解説するものである。 |
| [Q10](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-04.html#q010) ~Q19 | 個人情報の保護に関する法律等を中心に、個人データの安全管理措置を軸として様々な論点を解説するとともに、クレジットカード情報、労働者の心身の状態に関する情報、マイナンバーについて解説を加えるものである。 |
| [Q20](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-05.html#q020) ~Q25 | 不正競争防止法を中心に、営業秘密の保護、限定提供データ、技術的手段の回避行為・無効化行為に関して解説し、その他知的財産法について補足するものである。 |
| [Q26](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-06.html#q026) ~Q34 | 労働関係法令を中心に、企業においてサイバーセキュリティ対策を行うに当たっての組織的対策・人的対策について解説するものである。 |
| [Q35](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-07.html#q035) ~Q42 | 電気通信事業者に対する規律や、IoT機器に関する法的論点、その他重要インフラ分野や関連する諸分野(ドローン、モビリティ等)について解説するものである。 |
| [Q43](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-08.html#q043) ~Q47 | 契約を軸としつつ、電子署名、データ取引、システム開発、クラウドサービス、サプライチェーンなど、サイバーセキュリティに関わる論点を解説するものである。 |
| [Q48](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-09.html#q048) ~Q51 | サイバーセキュリティに関する資格等を対外的に示す法的な仕組み(情報処理安全確保支援士等)や情報セキュリティに関する第三者認証、国際規格等について解説するものである。 |
| [Q52](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-10.html#q052) ~Q59 | その他サイバーセキュリティに関わる各論を解説するものである(リバースエンジニアリング、暗号、輸出管理、情報共有、脅威インテリジェンス、データ消去等)。 |
| [Q60](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-11.html#q060) ~Q69 | サイバーセキュリティインシデントに対する事後的な対応等(ランサムウェア対応、デジタル・フォレンジック、サイバー保険等を含む)を解説するものである。 |
| [Q70](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-12.html#q070) ~Q75 | サイバーセキュリティに関する紛争が民事訴訟となった場合に留意すべき手続等について解説するものである。 |
| [Q76](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-13.html#q076) ~Q83 | サイバーセキュリティに関係する刑事法について解説するものである。 |
| [Q84](https://security-portal.cyber.go.jp/guidance/law-handbook/v2-14.html#q084) ~Q87 | わが国の事業者がサイバーセキュリティ対策を行う上で留意すべき主な海外法令や条約等について簡単な解説を加えたものである。 |
## 凡例・略称
- 本書は、令和5年1月1日時点の法令等を基準としている。
ただし、それ以降の法令でも、記載した方がよいと判断したものは、適宜掲載している。(個人情報保護法については、読みやすさの便宜から、令和5年4月1日施行の改正法を基準としている)
- 引用しているURLの最終アクセス日は令和5年9月20日時点である(令和6年8月1日に更新)。
- 年月日の表示については原則として和暦を用いる。例:令和3年4月12日
- 法令、判例・判例集等の書籍等、その他関係文書等の略称は慣例による。
- 裁判例の表示については、最高裁大法廷は「最大」、その他最高裁は「最」、高裁は「高」、地裁は「地」と略し、判決は「判」、決定は「決」と略すこととする。支部の場合は「支」と略すこととする。
例:最判昭和54年7月10日民集32巻4号1222頁
横浜地川崎支判昭和45年10月10日
### 【法令の略称】
| 略称 | 正式名称 |
| --- | --- |
| 独占禁止法 | 私的独占の禁止及び公正取引の確保に関する法律(昭和22年法律第54号) |
| 情促法 | 情報処理の促進に関する法律(昭和45年法律第90号) |
| 不正アクセス禁止法 | 不正アクセス行為の禁止等に関する法律(平成11年法律第128号) |
| 電子署名法 | 電子署名及び認証業務に関する法律(平成12年法律第102号) |
| プロバイダ責任制限法 | 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律(平成13年法律第137号) |
| 個情法 | 個人情報の保護に関する法律(平成15年法律第57号) |
| 行個法 | 行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号)※令和4年4月1日、デジタル社会形成整備法の施行に伴い廃止され、個情法に統合された。 |
| 独個法 | 独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)※令和4年4月1日、デジタル社会形成整備法の施行に伴い廃止され、個情法に統合された。 |
| 番号利用法 | 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号) |
| デジタル基本法 | デジタル社会形成基本法(令和3年法律第35号) |
| デジタル社会形成整備法 | デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号) |
### 【関係文書の略称】
| 略称 | 正式名称 |
| --- | --- |
| サイバーセキュリティ2021 | サイバーセキュリティ戦略本部「サイバーセキュリティ2021(2020年度報告・2021年度計画)」(令和3年9月) |
| 政府機関等統一基準群 | サイバーセキュリティ戦略本部・内閣官房内閣サイバーセキュリティセンター「政府機関等のサイバーセキュリティ対策のための統一基準群(令和5年度版)」 |
| 重要インフラ行動計画 | サイバーセキュリティ戦略本部「重要インフラのサイバーセキュリティに係る行動計画」 |
| 個情法ガイドライン(通則編) | 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年11月、令和4年9月一部改正) |
| 個情法QA | 個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(平成29年2月16日、令和5年5月更新) |
| 経営ガイドライン | 経済産業省・独立行政法人情報処理推進機構「サイバーセキュリティ経営ガイドライン Ver3.0」(令和5年3月24日) |
| 逐条不正競争防止法 | 経済産業省知的財産政策室「逐条解説 不正競争防止法 令和元年7月1日施行版」 |
| 営業秘密管理指針 | 経済産業省「営業秘密管理指針」(平成31年1月23日最終改訂) |
| 限定提供データ指針 | 経済産業省「限定提供データに関する指針」(令和4年5月最終改訂) |
| 秘密情報保護ハンドブック | 経済産業省「秘密情報の保護ハンドブック~企業価値向上に向けて~」(令和4年5月最終改訂) |
| グループガイドライン | 経済産業省「グループ・ガバナンス・システムに関する実務指針(グループガイドライン)」(令和元年6月28日策定) |
| 電子商取引準則 | 経済産業省「電子商取引及び情報財取引等に関する準則」(令和4年4月) |
### 【裁判例集の略称】
| 略称 | 正式名称 |
| --- | --- |
| 民集(刑集) | 最高裁判所民事(刑事)判例集 |
| 集民(集刑) | 最高裁判所裁判集民事(刑事) |
| 知財集 | 知的財産権関係民事・行政裁判例集(法曹会) |
| 無体集 | 無体財産権関係民事・行政裁判例集(法曹会) |
| 労裁集 | 労働関係民事事件裁判集(法曹会) |
| 労民 | 労働関係民事裁判例集(法曹会) |
| 労刑 | 労働関係刑事事件判決集(法曹会) |
| 判時 | 判例時報(判例時報社) |
| 判タ | 判例タイムズ(判例タイムズ社) |
| 判自 | 判例地方自治(ぎょうせい) |
| 労判 | 労働判例(産業労働調査所) |
| 労経速 | 労働経済判例速報(経団連事業サービス) |
### 【その他組織等の略称】
| 略称 | 正式名称 |
| --- | --- |
| NISC | 内閣官房内閣サイバーセキュリティセンター |
| 公取委 | 公正取引委員会 |
| 個情委 | 個人情報保護委員会 |
| 厚労省 | 厚生労働省 |
| 経産省 | 経済産業省 |
| NICT | 国立研究開発法人情報通信研究機構 |
| IPA | 独立行政法人情報処理推進機構 |
| JPCERT/CC | 一般社団法人JPCERTコーディネーションセンター |
## 変更履歴
| 令和7年12月 | **Ver2.0のHTML版を公開しました。** 掲載内容はVer2.0公開時点のものとなります。そのため、組織名等が現在と異なる場合や、一部にリンク切れの可能性がございますのでご了承ください。 |
| --- | --- |
| 令和6年12月 | 令和5年9月にアップしたものに誤記がありましたので、以下リンク先ファイルのとおり、お詫びして訂正致します。 [誤記修正箇所(115KB)](https://security-portal.cyber.go.jp/guidance/pdf/law_handbook/seigo.pdf) |
| 令和5年9月 | Ver2.0を作成し、PDF版を公開しました。 **(Ver2.0で追加されたQの一覧)** - サイバーセキュリティインシデント発生時の当局等対応 - インシデントレスポンスと関係者への対応 - 5G促進法 (特定高度情報通信技術活用システムの開発供給及び導入の促進に関する法律) - ドローンとサイバーセキュリティ - 重要インフラ分野における規律 - モビリティとサイバーセキュリティ - DX認定・DX銘柄とサイバーセキュリティ - サイバーセキュリティに関する規格等とNIST SP800シリーズ - 認証/本人確認に関する法令について - サイバーセキュリティ事業者への投資 - 脅威インテリジェンスサービス - データの消去、データが記録された機器・電子媒体の廃棄 - ランサムウェア対応 - インシデント対応における費用負担及びサイバー保険 - 越境リモートアクセス - 海外における主なサイバーセキュリティ法令 - 国際捜査共助・協力に関する条約・協定 |
| 令和2年3月 | Ver1.0(初版)を作成し、PDF版を公開しました。 |
## 書籍の出版について
本ハンドブックVer.2.0については、株式会社商事法務から、同社の私費による出版承認願いがあり、これを許可しておりますのでお知らせします。(ISBN:978-4-7857-3136-6)