第五章 日本加密法規研析
第一節 日本加密法規介紹
本部分主要介紹日本網路安全基本法(サイバーセキュリティ基本法 / Basic Act on Cybersecurity)、關鍵基礎設施基本政策(重要インフラの情報セキュリテ ィ対策 / Basic Policy of Critical Information Infrastructure Protection) 與高度情報 通訊網路社會形成基本法(度情報通信ネットワーク社会形成基本法 / Basic Act on the Formation of an Advanced Information and Telecommunications Network Society,又稱 IT 基本法),以及日本政策所推動之 CRYPTREC 密碼清單。
一、網路安全基本法
(一)立法目的
日本於2014 年通過網路安全基本法,該法之目的係為推動日本之資訊安全政 策,包括:確立國家網路安全政策之基本原則、確認地方與中央政府之責任分野、
建立網路安全戰略本部(サイバーセキュリティ戦略本部)…等102。於 2018 年時,
日本提出網路安全基本法之修正,並於2019 年通過修正草案,期能夠透過相關作 為或措施之推動,確保日本於2020 年辦理之東京奧運的安全性,包括:建立網路 安全協議會(サイバーセキュリティ協議会)以討論網路安全的促進措施、網路安 全戰略本部得將部分功能委託其他機關執行之、與國內和國外之利害關係者合作 以共同對抗網路安全事件與威脅103。
102 Sayuri Umeda, Japan: Basic Act on Cybersecurity Amended , December 26, 2018,
https://www.loc.gov/law/foreign -news/article/japan-basic-act-on-cybersecurity-amended/.
103 Id;サイバーセキュリティ基本法の一部改正に伴う関係規則等の改正について,サイバーセキュリテ ィ戦略本部第 22 回会合(令和元年 5 月 23 日)資料 5,https://www.nisc.go.jp/conference/cs/ 。
(二)主管機關
成立網路安全戰略本部,負責研擬與推動網路安全政策與措施。
(三)規範標的及適用主體
網路安全基本法為敍明日本網路安全政策原則、推進措施…等之基本法,不 涉及特定之網路安全產品或服務之規範,亦不涉及網路安全相關事業之管理。
(四)重點摘要說明
網路安全基本法總計有 5 章節,包括:總則、網路安全戰略、基本措施、網 路安全戰略本部、以及罰則,計有 38 條(參見表 12 日本-網路安全基本法架構)。
其中,於本研究議題較相關者為網路安全基本法第20 條之規定,其提及為強化產 業與其國際競爭力之提升,得就技術安全性與可信賴標準之國際化進行推動,並 參與相關機制或採取相關措施,以達標準相互承認之目的。
表12 日本-網路安全基本法架構 網
路 安 全 基 本 法
第1 章 總則 第1 條 目的 第2 條 定義 第3 條 基本理念 第4 條 國家之責任
第5 條 地方公共團體之責任 第6 條 重要社會基盤事業之責任
第7 條 網路相關連事業及其事業之責任 第8 條 教育研究機關之責任
第9 條 國民之努力 第10 條 法制上之措施等 第11 條 行政組織之整備等 第2 章 網路安全戰略 第12 條 網路安全戰略
第3 章 基本措施 第13 條 國家行政機關等網路安全之確保
第14 條 重要社會基盤事業等網路安全之確保與促 進
第15 條 民間事業者及教育研機構之自願努力 第16 條 各方之合作
第17 條 網路安全協議會
第18 條 犯罪之取締與損害擴大之防止
第19 條 對我國安全具重大影響之事件的對應 第20 條 產業振興與國際競爭力強化
第21 條 研究開發之促進 第22 條 人才之確保
第23 條 教育與學習之振興、普及啓發等 第24 條 國際合作之促進
第 4 章 網路安全戰略 本部
第25 條 設置 第26 條 職掌 第27 條 組織
第28 條 網路安全戰略本部長 第29 條 網路安全戰略副本部長 第30 條 網路安全戰略本部員 第31 條 事務之委託
第32 條 資料提供等
第33 條 資料之提出與其他合作 第34 條 與地方公共團體之合作 第35 條 事務
第36 條 主任大臣 第37 條 內閣命令授權 第5 章 罰責 第38 條 罰責
資料來源:本研究整理自サイバーセキュリティ基本法
二、關鍵基礎設施基本政策
(一)立法目的
考量特定情報通信、電力、金融等關鍵基礎設施(重要インフラ)如果停止運 作,將可能會對國民生活與社會經濟活動造成重大影響,故有必要採取必要措施,
維持該等關鍵基礎設施之正常運作。是以,日本針對關鍵基礎設施自平成12 年起 即有研擬相關的行動計畫,於平成29 年 4 月時,日本網路安全戰略本部核定關鍵
基礎設施之資訊安全對策-第 4 次行動計畫(重要インフラの情報セキュリティ対 策に係る第4 次行動計画)(以下稱第 4 次行動計畫)。104
(二)主管機關
關鍵基礎設施係指難以替代之服務,且該等服務如果未能正常提供或是停止 提供,將會對國民生活與經濟活動產生重大影響。第 4 次行動計畫納入的關鍵基 礎設施主要有14 個領域,分別是情報通信、金融、航空、機場、鐵路、電力、瓦 斯/天然氣(ガス)、政府/行政服務(含地方公共團體在內)、醫療、供水、物流、化 學、信用(クレジット)與石油,並依前揭領域而分涉不同的主管機關,詳參見下 表(參見表 13 日本-關鍵基礎設施主管機關)。
表13 日本-關鍵基礎設施主管機關
主管機關 領域
金融廳 金融
總務省 情報通信、地方公共團體
厚生勞動省 醫療、供水
經濟產業省 電力、瓦斯/天然氣(ガス)、化學、信用(クレジット)與 石油
國土交通省 航空、機場、鐵路、物流
資料來源:内閣サイバーセキュリティ センター105
104 内閣サイバーセキュリティ センター,重要インフラの情報セキュリティ対策に係る第4次行動計画, https://www.nisc.go.jp/active/infra/outline.html (最後瀏覽日:2019/08/05);重要インフラの情報セキュ リティ対策に係る第 4 次行動計画(平成 29 年 4 月 18 日サイバーセキュリティ戦略本部決定;平成 30 年
7 月 25 日 サ イ バ ー セ キ ュ リ テ ィ 戦 略 本 部 改 定 ) , 頁 1 ,
https://www.nisc.go.jp/active/infra/pdf/infra_rt4_r1.pdf。
105 内閣サイバーセキュリティ センター,重要インフラの情報セキュリティ対策に係る第4次行動計画, https://www.nisc.go.jp/active/infra/outline.html (最後瀏覽日:2019/08/05)。
(三)規範標的及適用主體
如前所提及,第4 次行動計畫納入的關鍵基礎設施主要有 14 個領域,分別是 情報通信、金融、航空、機場、鐵路、電力、瓦斯/天然氣、政府/行政服務(含地 方公共團體在內)、醫療、供水、物流、化學、信用與石油,其所涉及之對象如 下表(參見表 14 日本-關鍵基礎設施領域所涉及之對象)。
表14 日本-關鍵基礎設施領域所涉及之對象
領域 主要涉及之事業
情報通信 主要的電信事業
主要的地面廣播事業
主要的有線電視事業
金融 銀行等 人身保險 財產保險 証券
銀行、信用金庫、信用合作社、勞動金庫、農業合作社等
資金清算機關
電子債權記錄機關
人身保險
財產保險
証券公司
金融商品交易所
證券保管振替機構
金融商品交清算機構等。
航空 主要的定期航空運送事業
機場 主要的機場、機場營運事業
鐵路 主要的鐵路事業,如:JR 公司
電力 一般的輸配電事業、發電事業等。
瓦斯/天然氣 主要的瓦斯/天然氣事業
政府/行政服務 各政府省廳
地方公共團體
醫療 醫療機關(小規模者不納入)
供水 供水事業與自來水供應事業(小規模者不納入)
物流 具主導地位的物流事業
化學 主要的石油化學事業
信用 主要的信用卡(クレジットカード)公司等。
石油 主要的煉油、分銷商等。
資料來源:重要インフラの情報セキュリティ対策に係る第4 次行動計画106
106 重要インフラの情報セキュリティ対策に係る第 4 次行動計画(平成 29 年 4 月 18 日サイバーセキュリテ
(四)重點摘要說明
有關第 4 次行動計畫之構成及各章之概要如下表所示(參見表 15 日本-關鍵 基礎設施之資訊安全對策-第 4 次行動計畫之構成)。
表15 日本-關鍵基礎設施之資訊安全對策-第 4 次行動計畫之構成
章 概要
I. 前言 有關關鍵基礎設施之資訊安全對策-第 3 次行動計畫之檢 討結果,以及第 4 次行動計畫針對第 3 次行動計畫實施之 不足點所為之補強或改善方向。
II. 本 行 動 計 畫 之要點
於推動本行動計畫時之主要考量點,包括:(1)關鍵基礎 設施之防護目的,(2)基本的思維,(3)關鍵基礎設施提供 者、政府機關、資訊安全相關機關等利害關係人,(4)關 鍵基礎設施提供者之管理階層的期待。
III. 計 畫 施 實 期 間之資訊安全對策
有關於資訊安全之5 大措施,包括:(1)安全基準等之整備 與推動,(2)情資分享之強化,(3)災害應對體制之強化,
(4)風險管理與處理機制之強化,(5)防護基盤之強化。
IV. 利 害 關 係 人 相關議題之解決
有關於利害關係人之資訊安全對策及其期待事項。
V. 評估與驗證 有關於本行動計畫之方針、實施方法等之評估與驗證。
VI. 本 行 動 計 畫 之檢視
有關於本行動計畫之審查。
資料來源:重要インフラの情報セキュリティ対策に係る第4 次行動計画107
ィ 戦 略 本 部 決 定 ; 平 成 30 年 7 月 25 日 サ イ バ ー セ キ ュ リ テ ィ 戦 略 本 部 改 定 ) , 頁 22 , https://www.nisc.go.jp/active/infra/pdf/infra_rt4_r1.pdf 。
107 重要インフラの情報セキュリティ対策に係る第 4 次行動計画(平成 29 年 4 月 18 日サイバーセキュリテ ィ 戦 略 本 部 決 定 ; 平 成 30 年 7 月 25 日 サ イ バ ー セ キ ュ リ テ ィ 戦 略 本 部 改 定 ) , 頁 22 , https://www.nisc.go.jp/active/infra/pdf/infra_rt4_r1.pdf 。
三、高度情報通訊網路社會形成基本法
(一)立法目的
因應網路資通訊社會的來臨,對於社會經濟結構造成影響,日本於2001 年制 定高度情報通訊網路社會形成基本法(高度情報通信ネットワーク社会形成基本 法,以下稱 IT 基本法),以使日本可以有效率因應網路資訊社會的來臨,並透過 網路資訊社會的建構,豐富日本國民之生活。108
(二)主管機關
依 IT 基本法第 25 條規定,日本成立高度情報通訊網路社會推進戰略本部(高 度情報通信ネットワーク社会推進戦略本部),一般簡稱為 IT 總合戰略本部(IT 総 合戦略本部),負責高度情報通信網路社會形成之相關政策的擬定與推動事宜。
(三)規範標的及適用主體
IT 基本法主要涉及高度情報通信網路社會形成之相關政策原則,並不涉及特 定之網路產品或服務之規範,亦不涉及網路相關事業之管理。
(四)重點摘要說明
IT 基本法計有 4 個章節,包括:總則、策略擬定之基本方針、高度情報通訊 網路社會推進戰略本部、以及高度情報通訊網路社會形成之重點計畫,計有38 條。
(參見
108 http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h13/pdf/D0130900.pdf (最後瀏覽日:2019/08/07);高度情報通信ネットワーク社会形成基本法概要,
https://www.kantei.go.jp/jp/singi/it2/hourei/gaiyou.html (最後瀏覽日:2019/08/07)。
表16 日本-高度情報通訊網路社會形成基本法架構)
表16 日本-高度情報通訊網路社會形成基本法架構
高 度 情 報 通 訊 網 路 社 會 形 成 基 本 法
第1 章 總則 第1 條 目的
第2 條 定義
第3 條 國民享受情報通訊技術所帶來益處之社會的實現 第4 條 經濟結構改造之推進與產業國際競爭力之強化 第5 條 豐富國民生活
第6 條 有活力的地方社會與居民福祉之提升 第7 條 國家與地方公共團體及民間之角色分工 第8 條 縮減通訊情報技術利用機會的落差 第9 條 社會經濟結構改變引發之新課題的因應 第10 條 國家與地方公共團體的責任
第11 條 國家與地方公共團體的責任 第12 條 國家與地方公共團體的責任 第13 條 法制上之措施
第14 條 統計等之作成與發佈 第15 條 增進國民理解之措施 第 2 章 策略擬定之基本方
針
第16 條 高度情報通訊網路社會之整體推進
第17 條 世界最高水準之高度情報通訊網路社會之形成 第18 條 教育及學習之促進與人才培育
第19 條 促進電子商務交易 第20 條 行政電子化
第21 條 公部門活動情報通訊科技
第22 條 確保高度情報通訊網路社會之安全性 第23 條 促進研究開發
第24 條 國際合作 第 3 章 高度情報通訊網路
社會推進戰略本部
第25 條 設置 第26 條 職掌 第27 條 組織
第28 條高度情報通訊網路社會推進戰略本部長 第29 條高度情報通訊網路社會推進戰略副本部長 第30 條高度情報通訊網路社會推進戰略本部員 第31 條 資料之提出與其他合作
第32 條 與地方公共團體之合作 第33 條 事務
第34 條 主任大臣 第35 條 內閣命令授權 第 4 章 高度情報通訊網路
社會形成之重點計畫
第36 條 高度情報通訊網路社會形成之重點計畫
資料來源:本研究整理自高度情報通信ネットワーク社会形成基本法