第353号コラム:小向 太郎 理事(株式会社情報通信総合研究所 取締役
法制度研究グループ部長 主席研究員)
題:「『サイバーセキュリティ』ということば」

情報技術に関する用語は、次々と新しいものが生まれている。略語や造語も多いので、ことばの意味を正確に理解することがなかなか難しい。仕事柄、情報通信の概況をレクチャーする機会があるが、最近も「ARPU」や「PSTN」がなんの略だったかとっさに出てこなくて、ちょっと気まずい思いをした。前者はユーザー1人あたりの平均売上金額(Average Revenue Per User)、後者は公衆交換電話網(Public Switched Telephone Network)である。

よく考えると定義がはっきりしない言葉も結構多い。「情報セキュリティ」ということばは、一般に情報の①機密性(Confidentiality)、②完全性(Integrity)、③可用性(Availability)の確保であると考えられている。システムに対する外的な脅威とシステム自体の脆弱性から生じるリスクへの対応ということになろう。類似の言葉として、最近ではサイバーセキュリティということばもよく使われる。サイバーセキュリティは、サイバー空間でのインシデントに対応することを指すという人もいれば、情報セキュリティより広い意味で使う人もいる。一方で、「情報セキュリティ」には、例えばインターネット空間の秩序を保つための情報のコントロールを含むという人もいる。

しかし、「サイバーセキュリティ」については、法律上の定義が定められることになった。昨年11月に成立したサイバーセキュリティ基本法では、サイバーセキュリティを次のように定義している。

「電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう(第2条)」

おそらく、法律に馴染みがない人には、かなり分かりにくい文章なのではないだろうか。少し分解してみよう。

まず、下記の定義を括りだす。

「電子的方式、磁気的方式その他人の知覚によっては認識することができない方式」=「電磁的方式」
「電磁的方式で作られた記録に係る記録媒体」=「電磁的記録媒体」

そうすると次のようになる。

「電磁的方式により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的記録媒体を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう(第2条)」

次に、法令用語で、「又は」「若しくは」「並びに」「及び」「その他の」で括られている各文言は、次の様な関係に立つ。

A又はB若しくはC = A or (B or C)
A、B又はC = A or B or C
A又はB、C若しくはD = A or (B or C or D)
A並びにB及びC =A and (B and C)
A、Bその他のC = C(C∋A,B)

したがって、

「電磁的方式により記録され、又は発信され、伝送され、若しくは受信される情報」
=「電磁的記録により”記録され” or (“発信され”or”伝送され”or”受信される”)情報」
=「電磁的記録により記録されるか、伝送(受発信を含む)される情報」
≒「デジタル情報」

「漏えい、滅失又は毀損の防止」
=「”漏えい”or”滅失”or”毀損”の防止」
≒「漏えい・滅失・毀損の防止」

「漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置」
=「”当該情報の安全管理のために必要な措置(∋「漏えい・滅失・毀損の防止」)” and(”情報システム”and”情報通信ネットワーク”)の(”安全性”and “信頼性”)の確保のために必要な措置”」
≒「情報の安全管理のために必要な措置(漏えい・滅失・毀損の防止等)と、
「情報システムと情報通信ネットワーク」の「安全性と信頼性」の確保のために必要な措置」

「情報通信ネットワーク又は電磁的記録媒体を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置」
=「”情報通信ネットワーク”or”電磁的記録媒体”を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置」
≒「ハッキングやマルウェア等による被害の防止のために必要な措置」

以上から、「サイバーセキュリティ」の定義は、次のような内容を指していると考えられる。

「デジタル情報の安全管理のために必要な措置(漏えい・滅失・毀損の防止等)と、情報システムと情報通信ネットワークの安全性と信頼性の確保のために必要な措置(※)が講じられ、その状態が適切に維持管理されていること」
(※)ハッキングやマルウェア等による被害の防止のために必要な措置を含む

法律の文言は、できるだけ曖昧さを排除するために、記述方法にルールが設けられている。その結果、一般には分かりにくい表現になっていることも多い。上記の書き換えは、少しでも分かりやすくしようとして行ったものだが、論理的には少し曖昧になっている。しかし、新しい概念について議論する際には、できるだけ分かりやすい定義が共有されていることが望ましい。専門家はどうしても自分の分野の言い回しにこだわる傾向があるが、それが理解しやすいものかどうか、少しでも分かりやすい表現ができないかを、考えることも重要であろう。

【著作権は、小向氏に属します】