「IT犯罪対策としての法律は未整備な部分が多い」
ハミングヘッズ株式会社 顧問 石津 広也氏
あらゆる業務システムのIT化、モバイル端末の普及など、企業のIT依存比率は否応なしに高まりつつある。一方、システム管理の複雑化や高度なシステム人材の必要性も高まっている。ビジネスにおけるシステムの必要性が高まる一方なのに、それを支える仕組みを維持する難易度が上がっているという状況だ。
企業に迫るリスクとして特に課題となるのがIT犯罪対策。近年IT犯罪は遠隔操作や検出を回避する技術など、ますます巧妙に複雑化し、対策を困難にしている。必要な対策をどう講じればいいか。対策の高コスト化も頭の痛い問題だ。潤沢に予算があればいくらでも対策に費用を投じることができるが、現実的には予算は限られている。必要な対策を見極めるには高い知見が必要だ。どこから知見や人材を獲得していけばいいのか。セキュリティ担当者の悩みはつきない。
技術的に難しい部分を法律でけん制するという方法も考えられるが、石津氏は「IT犯罪を前提とした法律はまだ少ない」と法整備について指摘した。つい最近、2014年11月6日にサイバーセキュリティ基本法が可決、成立したものの、まだ基本法でしかない。内閣に「サイバーセキュリティ戦略本部」が設置され、実効性のある取り決めがなされていくのは来年以降だ。実質的には法律が現実的な対策としての役割を果たしていけるのはこれからと考えていい。
実在する法律でIT犯罪に有効なものとなると「不正アクセス行為の禁止等に関する法律」や「不正指令電磁的記録に関する罪」などがあるものの、これらは急速に拡大するIT犯罪すべてを網羅できているとは言えない。公訴時効も3年と短い。そのため現実的には「不正競争防止法」を根拠にするケースが多いという。これなら公訴時効は7年と長く、金銭を目的としたIT犯罪への有効性が高いからだ。石津氏は「IT犯罪対策としての法律は未整備な部分が多い」と現状に苦言を呈する。
