（１）電気通信事業を営む場合

電気通信事業法（昭和59年法律第86号。以下、本項において「事業法」という。）は、電気通信事業（事業法第2条第4号）を営もうとする者は、同法第9条の規定による登録を受け、又は第16条第1項の規定による届出を行う必要がある旨を定める。事業法第9条の登録を受けた者及び第16条第1項の規定による届出をした者を電気通信事業者という（事業法第2条第5号）。

（２）外国法人等が電気通信事業を営む場合に関する事業法等の改正

令和3年4月1日、外国法人等が電気通信事業を営む場合の規定を整備した電気通信事業法の改正法が施行された。当該施行に伴って、令和3年2月12日、総務省は「外国法人等が電気通信事業等を営む場合における事業法の適用に関する考え方」を公表し、外国法人等（外国の法人及び団体並びに外国に住所を有する個人をいう。以下同じ。）が営む電気通信事業に対する事業法の適用に関する解釈が示された。

具体的には、事業法は、①外国法人等が、日本国内において電気通信役務を提供する電気通信事業を営む場合のほか、②外国から日本国内にある者に対して電気通信役務を提供する電気通信事業を営む場合に適用されること、さらに、②については、外国から日本国内にある者（訪日外国人を含む。）に対する電気通信役務の提供の意図を有していることが明らかであることを指し、例えば、aサービスを日本語で提供している場合、b有料サービスにおいて決済通貨に日本円がある場合、c日本国内におけるサービスの利用について広告や販売促進等の行為を行っている場合には、当該意図を有していることが明らかと判断され得ること等の解釈が示されている。また、改正された事業法は、外国法人等に対して、電気通信事業の登録又は届出を行う際には、国内における代表者又は国内における代理人を定めて総務大臣に提出することを求める（事業法第10条第1項第2号）。

（３）登録又は届出を行うことを要する場合

次の①から④の全てに該当する場合は、事前に登録（事業法第9条）又は届出（事業法第16条第1項）を行うことを要する。なお、登録、届出のいずれの手続が必要かを含め、詳しい内容は総務省ホームページ（https://www.soumu.go.jp/menu_seisaku/ictseisaku/denkitsushin_suishin/tetsuzuki/）に掲載されている「電気通信事業参入マニュアル」［追補版］及び「電気通信事業参入マニュアル（追補版）ガイドブック」を参照されたい。

1. 提供する役務が「電気通信役務」に該当すること

   電気通信役務とは、a電気通信設備を用いてb他人の通信を媒介し、その他c電気通信設備を他人の通信の用に供することをいう（事業法第2条第3号）。

   1. 「電気通信設備」とは、電気通信（有線、無線その他の電磁的方式により、符号、音響又は影像を送り、伝え、又は受けること。）（事業法第2条第1号）を行うための機械、器具、線路その他の電気的設備をいう（事業法第2条第2号）。
   2. 「他人の通信を媒介する」とは、他人の依頼を受けて、情報をその内容を変更することなく伝送・交換し、隔地者間の通信を取次ぎ、又は仲介してそれを完成させることをいう。
   3. 「電気通信設備を他人の通信の用に供する」とは、広く電気通信設備を他人の通信のために運用することをいう。

2. 事業が「電気通信事業」に該当すること

   電気通信事業とは、電気通信役務をd他人の需要に応ずるために提供するe事業（放送法（昭和25年法律第132号）第118条第１項に規定する放送局設備供給役務に係る事業を除く。）をいう（事業法第2条第4号）。

   1. 「他人の需要に応ずるため」とは、電気通信役務の提供について自己の需要のために提供していることではなく、他人の需要に応ずることを目的とすることをいう。
   2. 「事業」とは、主体的・積極的意思、目的をもって同種の行為を反復継続的に遂行することをいう。

3. 「事業法の適用除外」に該当しないこと

   次の場合には、「適用除外となる電気通信事業」（事業法第164条第1項）に該当する。

   表1「適用除外となる電気通信事業」※令和4年改正（令和4年法律第70号）の後のもの

   • 専ら一の者に電気通信役務（当該一の者が電気通信事業者であるときは、当該一の者の電気通信事業の用に供する電気通信役務を除く。）を提供する電気通信事業（同項第1号）
   • その一の部分の設置の場所が他の部分の設置の場所と同一の構内（これに準ずる区域内を含む。）又は建物内である電気通信設備その他総務省令で定める基準（設置する線路のこう長の総延長が5km）に満たない規模の電気通信設備により電気通信役務を提供する電気通信事業（同項第2号）
   • 他人の通信を媒介しない電気通信役務（ドメイン名電気通信役務、検索情報電気通信役務、媒介相当電気通信役務（後二者にあっては、当該電気通信役務を提供する者として総務大臣が総務省令で定めるところにより指定する者により提供されるものに限る）を除く。）を電気通信回線設備を設置することなく提供する電気通信事業（同項第3号）

   このうち、第3号の適用除外となる電気通信事業には、以下のものが含まれる（総務大臣が総務省令で定めるところにより指定する者による検索情報電気通信役務又は媒介相当電気通信役務を提供する電気通信事業は除く。）。

   1. 電子メールマガジンの配信（企業等から提供された製品PRやイベント開催案内等に関する情報を元に電子メールマガジンを作成し、あらかじめ登録した購読者等に対して送信するもの）
   2. 各種情報のオンライン提供（電気通信設備（サーバ等）を用いて、天気予報やニュース等の情報を、インターネットを経由して利用者に提供するもの）
   3. ウェブサイトのオンライン検索（広範なウェブサイトのデータベースを構築し、検索語を含むウェブサイトのURL等を、インターネットを経由して利用者に提供するもの）
   4. ソフトウェアのオンライン提供（クラウド上にアプリケーションソフトウェアを構築し又はアプリケーションソフトウェアをインストールしたサーバ等を設置し、インターネット等を経由して当該ソフトウェアを企業や個人等に利用させるもの）
   5. オンラインストレージ（利用者がデータを保存することを目的として、サーバ等を設置して、インターネット等を経由して利用者のデータ等を受信して保存するもの）
   6. オープン・チャット（インターネット経由で不特定多数の利用者がリアルタイムで文字ベースの会話を行うことができる「場」を提供するもの）
   7. ECモール/ネットオークション/フリマアプリの運営（インターネット経由で複数の店舗でネットショッピングを行うことができる又は複数の出品者の商品等を購入できる「場」を提供するもの）

   なお、適用除外となる電気通信事業である場合でも、事業法第3条（検閲の禁止）及び第4条（通信の秘密の保護）は当該電気通信事業を営む者の取扱中に係る通信については、適用されるので（事業法第164条第3項）、注意が必要である。また、適用除外となる電気通信事業を行う者についても、電気通信事業における個人情報等の保護に関するガイドライン（令和4年個人情報保護委員会・総務省告示第4号（最終改正令和5年個人情報保護委員会・総務省告示第5号））が適用される¹ことにも注意が必要である。

4. 「電気通信事業を営むこと」に該当すること

   「電気通信事業を営む」とは、電気通信役務を利用者に反復継続して提供して、電気通信事業自体で利益を上げようとすること、すなわち収益事業を行うことを意味する。

（４）登録又は届出を要する電気通信事業者の例示

「電気通信事業参入マニュアル」［追補版］には、電気通信事業について、登録又は届出を要する事例と登録又は届出を要しない事例が例示されているので参照されたい。もっとも、事業の内容によっては異なる判断となる場合があるので、個別かつ具体的な検討が必要である。また、いわゆる「クラウド」、「プラットフォーム」、「スーパーアプリ」、「ポータルサイト」等、様々なサービスが複合的に提供されている場合は、それぞれのサービスごとに、登録又は届出の要否を判断することとなる。

（５）参考：電気通信事業法改正法（令和4年）

令和4年6月13日に、電気通信事業法の一部を改正する法律が可決成立し（令和4年法律第70号）、令和5年6月16日に施行された。同改正は、主に、①情報通信インフラの提供確保、②安心・安全で信頼できる通信サービス・ネットワークの確保、③電気通信市場を巡る動向に応じた公正な競争環境の整備の３つよりなるが²、本ハンドブックと関連しうる②について触れておくと³、内容としては２点ある。１点目は、利用者の利益に及ぼす影響が大きい電気通信役務を提供する事業者に対する規律である。本規律の対象となる電気通信事業者に指定されると、特定利用者情報を適正に取り扱うべき電気通信事業者として、その情報の取扱規程の策定・届出、情報取扱方針の策定・公表等の義務が課されることとなる。２点目は、「外部送信規律」と呼ばれる規律であり、総務省からパンフレットも出されている⁴⁵。ウェブサイトやアプリケーションを運営している事業者は、タグや情報収集モジュールを使って、利用者に関する情報を外部に送信する場合に、利用者が確認できるようにする義務が課されることとなる。

（１）電気通信事業者に係る規律

電気通信事業者に対する全般的な規律として、検閲の禁止（事業法第3条）、通信の秘密の保護（事業法第4条）、利用の公平（事業法第6条）、重要通信の確保（事業法第8条）、業務の停止等の報告（事業法第28条）、電気通信設備の維持（事業法第41条）がある。

（２）通信の秘密の保護

まず、事業法が定める通信の秘密の保護の大要を説明する。

日本国憲法第21条第2項後段は、「通信の秘密は、これを侵してはならない」と定めるところ、同規定は、プライバシー権の観念が発展した現在において、その一局面を取り上げて通信の秘密を保護する規定であるとともに、通信事業者に特別の位置づけを与えることを通じて、国民の自由なコミュニケーション、すなわち通信の自由を保障する規定であると解される¹。同規定を受けて、電気通信事業法第4条第1項では、「電気通信事業者の取扱中に係る通信の秘密は、侵してはならない」との定めが置かれ、同法第179条では違反した場合の罰則も定められている。

同法第4条第1項の趣旨は、通信が人間の社会生活にとって必要不可欠なコミュニケーションの手段であることから、日本国憲法第21条第2項後段の規定を受けて思想表現の自由の保障を実行たらしめること及び個人の私生活の自由を保護し、個人生活の安寧を保護すること（プライバシー保護）にとどまらず、国家権力が自ら通信を侵害しないのみならず、自然による侵害から通信の秘密を保護すること、国民が安全・安心に通信を利用できるよう通信制度を保障することにより、国民の通信の自由を確保することにあると考えられる。

「通信の秘密」の範囲には、個別の通信に係る通信内容のほか、個別の通信に係る通信の日時、場所、通信当事者の氏名、住所・居所、電話番号等の当事者の識別符号等これらの事項を知られることによって通信の意味内容を推知されるような事項全てが含まれる。

「通信の秘密」を侵害する行為は、一般に、通信当事者以外の第三者（電気通信事業者とそれ以外の全ての者を含む）による行為を念頭に、以下の①から③の3類型に大別されている。知得や窃用には、機械的・自動的に特定の条件に合致する通信を検知し、当該通信を通信当事者の意思に反して利用する場合のように機械的・自動的に処理される仕組みであっても該当し得る。

1. 知得  ：積極的に通信の秘密を知ろうとする意思のもとで知ること²
2. 窃盗  ：発信者又は受信者の意思に反して利用すること
3. 漏えい ：他人が知り得る状態に置くこと

通信当事者の「有効な同意」がある場合、通信当事者の意思に反しない利用であり、通信の秘密の侵害に当たらないが、一般的に「有効な同意」は「個別具体的かつ明確な同意」であることが必要と解されていることに注意が必要である³。

また、通信当事者の同意を得ることなく通信の秘密を侵した場合であっても、①正当防衛（刑法第36条）、②緊急避難（刑法第37条）（例　人命保護の観点から緊急に対応する必要のある電子掲示板等での自殺予告事案について、ISPが警察機関に発信者情報を開示する場合）、③正当行為（刑法第35条）に当たる場合⁴（例　電気通信事業者が課金・料金請求目的で顧客の通信履歴を利用する行為）等違法性阻却事由がある場合には、例外的に通信の秘密を侵しても違法とはならない⁵。

（３）通信の秘密の保護とサイバー攻撃への適正な対処の在り方

総務省は、サイバー攻撃が巧妙化・複雑化する中で、電気通信事業者が通信の秘密等に配慮しつつ、新たな対策や取組みを講じていくことが可能となるように、電気通信事業におけるサイバー攻撃への適正な対処の在り方について検討を行うことを目的として、「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」を開催している。同研究会における議論を取りまとめた結果については、これまでに、第一次とりまとめが平成26年4月に、第二次とりまとめが平成27年9月に、第三次とりまとめが平成30年9月、第四次とりまとめが令和3年11月にそれぞれ公表されているので、サイバー攻撃との詳しい関係については、同取りまとめを参考されたい。

このうち、第四次とりまとめにおいては、①ISPがサイバー攻撃に予防的に対処するため、平時から自らのネットワーク内の通信トラフィックに係るデータを収集・蓄積・分析し、C&Cサーバ⁶である可能性が高い機器の検知を行うことは、必要最低限の範囲でフロー情報を収集・蓄積し、当該情報をC&Cサーバ検知以外で使用しない場合に限り、正当業務行為として違法性が阻却されること、②各ISPがサイバー攻撃に対処できるようにする観点から、一のISPが自らの電気通信ネットワーク内のフロー情報の収集・蓄積・分析によって検知したC&Cサーバに関するIPアドレス及びポート番号のリストの情報のみを、サイバーセキュリティ対策を行うために必要最小限の情報として、適切な事業者団体等に提供することは、通信の秘密の保護規定に直ちに抵触するとまではいえないと考えられることが示されている。

（４）電気通信設備に関する規律

サイバーセキュリティ基本法におけるサイバーセキュリティの定義の中に情報通信ネットワークの安全性・信頼性を含んでいることからも明らかなとおり、情報通信ネットワークを構築するための通信インフラは、サイバー空間における活動を支える基盤であり、重要インフラ行動計画においても、電気通信を含む情報通信分野は、重要インフラ分野⁷の1つとして、セキュリティ強化の取組みが求められている。

電気通信サービスを提供する上での基盤となる電気通信設備に対する規律として、事業法第41条において、電気通信回線設備を設置する電気通信事業者、基礎的電気通信役務を提供する電気通信事業者及び利用者の利益に及ぼす影響が大きい電気通信役務を提供する電気通信事業者等に対し、その電気通信事業の用に供する電気通信設備（以下「事業用電気通信設備」という。）について、電気通信役務の確実かつ安定的な提供を確保するため、技術基準への適合維持義務を課している。このうち、サイバーセキュリティ対策については、電気通信事業者は、事業用電気通信設備について、サイバーセキュリティ対策を含む防護措置を取らなければならないと事業用電気通信設備規則（昭和60年郵政省令第30号）第6条に定められており、当該措置等の具体的な内容については、事業法第42条において、電気通信設備の使用を開始しようとするときには、当該電気通信設備が技術基準に適合することを自ら確認し、その結果を電気通信設備の使用の開始前に、届け出なければならないことが規定されている。

また、同法第44条において、事業用電気通信設備の技術基準適合維持義務が適用される電気通信事業者は、電気通信役務の確実かつ安定的な提供を確保するため、当該設備について、電気通信事故の事前防止や発生時に必要な取組みのうち、技術基準等で画一的に定めることが必ずしも適当でなく、電気通信事業者ごとの特性に応じた自主的な取組みにより確保すべき管理の方針・体制・方法等の事項について管理規程を定め、事業の開始前に届け出なければならないことが規定されている。このうち、サイバーセキュリティ対策については、事業用電気通信設備の情報セキュリティの確保のための方針と情報セキュリティ対策の内容について、管理規程に記載をしなければならないとされている⁸。

さらに、同法第44条の3において、電気通信役務の確実かつ安定的な提供を確保するための事業用電気通信設備の管理の方針・体制・方法に関する事項に関する業務を統括管理させるため、事業運営上の重要な決定に参画する管理的地位にあり、かつ、電気通信設備の管理に関する一定の実務の経験等の要件を備える者のうちから、電気通信設備統括管理者を選任すること、及び、同法第45条において、事業用電気通信設備の工事・維持・運用に関する事項を監督させるため、電気通信主任技術者を選任することが規定されている。

（５）通信の秘密の漏えい等の重大事故に関する報告及び四半期報告に関する規律

電気通信事業者は、電気通信業務の一部を停止したとき、又は電気通信業務に関し通信の秘密の漏えいその他総務省令で定める重大な事故（電気通信役務の提供を停止又は品質を低下させた事故で、継続時間及び影響利用者数が一定の基準を満たすもの等）が生じたときは、速やかにその発生日時及び場所、概要、理由又は原因、措置模様等について報告するとともに、30日以内にその詳細について報告しなければならない（事業法第28条、施行規則第57条、第58条）。

また、電気通信事業者は、電気通信役務の提供を停止又は品質を低下させた事故で、影響利用者数3万以上又は継続時間2時間以上のものや、電気通信設備に関する情報であつて、電気通信役務の提供に支障を及ぼすおそれのある情報が漏えいした事故等が発生した場合には、毎四半期毎に、毎四半期経過後2か月以内に、その発生状況について報告しなければならない（電気通信事業報告規則第7条の3）。

事故に関する報告等の適用関係については、「電気通信事故に係る電気通信事業法関係法令の適用に関するガイドライン（第５版）」（令和2年1月27日）が参考になる。

（６）その他の規律（参入などの各場面に関する規律）

以上のほか、参入などの各場面に関する規律として、次のものがある。特に、消費者保護に関する規律の詳しい内容は、総務省総合通信基盤局が公表している「電気通信事業法の消費者保護ルールに関するガイドライン」（平成28年（2016年）3月（令和4年2月最終改定）を参照されたい。

表2「そのほか、電気通信事業者における参入などの各場面に関する規律」

（７）参考：電気通信事業法改正法（令和4年）

令和4年6月13日に、電気通信事業法の一部を改正する法律が可決成立し（令和4年法律第70号）、令和5年6月16日に施行された。同改正は、主に、①情報通信インフラの提供確保、②安心・安全で信頼できる通信サービス・ネットワークの確保、③電気通信市場を巡る動向に応じた公正な競争環境の整備の３つよりなるが⁹、本ハンドブックと関連しうる②について触れておくと¹⁰、内容としては２点ある。１点目は、利用者の利益に及ぼす影響が大きい電気通信役務を提供する事業者に対する規律である。本規律の対象となる電気通信事業者に指定されると、特定利用者情報を適正に取り扱うべき電気通信事業者として、その情報の取扱規程の策定・届出、情報取扱方針の策定・公表等の義務が課されることとなる。２点目は、「外部送信規律」と呼ばれる規律であり、総務省からパンフレットも出されている¹¹¹²。ウェブサイトやアプリケーションを運営している事業者は、タグや情報収集モジュールを使って、利用者に関する情報を外部に送信する場合に、利用者が確認できるようにする義務が課されることとなる。

（１）IoT機器特有の性質について

IoTの進展が企業活動や製品・サービスのイノベーションを加速する一方で、IoT特有の性質と想定されるリスクを踏まえたセキュリティ対策を行うことが必要とされている。一般的なIoT機器特有の性質は次のとおりである²。

1. 脅威の影響範囲・影響度合いが大きいこと
   IoT機器がひとたび攻撃を受けると、IoT機器単体に留まらずネットワークを介して関連するIoTシステム・サービス全体へ影響が波及する可能性が高い。
2. IoT機器のライフサイクルが長いこと
   長期にわたって使用されるものも多く、構築・接続時に適用したセキュリティ対策が時間経過とともに危殆化した状態で、ネットワークに接続され続ける可能性がある。
3. IoT機器に対する監視が行き届きにくいこと
   IoT機器の多くは画面がないため、利用者にはIoT機器に問題が発生していることがわかりづらく、勝手にネットワークにつながり、マルウェアに感染する可能性がある。
4. IoT機器側とネットワーク側の環境や特性の相互理解が不十分であること
   IoT機器側とネットワーク側のそれぞれが有する業態の環境や特性が、相互間で十分に理解されていないと、所要の安全や性能を満たすことができなくなる可能性がある。
5. IoT機器の機能・性能が限られていること
   センサー等のリソースが限られたIoT機器では、暗号等のセキュリティ対策を適用できない場合がある。
6. 開発者が想定していなかった接続が行われる可能性があること
   これまで外部につながっていなかったモノがネットワークに接続されることで、IoT機器メーカーやシステム、サービスの開発者が当初想定していなかった問題が発生する可能性がある。

これらの性質と想定されるリスクがあることから、IoT機器のセキュリティに関する法的な対策として、次に取り上げるものを中心とした取組みが行われている。

（２）サイバー攻撃の踏み台となるおそれがある機器に係る脆弱性調査

平成31年2月より、総務省、NICT及びインターネットプロバイダが連携し、サイバー攻撃に悪用されるおそれのある機器を調査し、利用者への注意喚起を行う取組みである「NOTICE」が実施されている。

これは、国立研究開発法人情報通信研究機構法（NICT法）附則第8条に基づき、「令和六年三月三十一日までの間」（同条第2項柱書）の時限的な業務として行われるものであり、既に市場に出ている機器に関する対策として、具体的には、次の①～④の運用がされている³。

1. 機器調査：NICTは、インターネット上のIoT機器に対して、容易に推測されるパスワード等⁴を入力し、特定アクセス行為⁵を行うことができるかを確認することなどにより、サイバー攻撃⁶に悪用されるおそれのある機器を調査し、当該機器の情報をインターネットプロバイダに通知する（NICT法附則第8条第2項）。総務省は、令和2年9月に、調査の取組強化として、特定アクセス行為において入力する識別符号（ID・パスワード）の追加、特定アクセス行為の送信元のIPアドレスの追加を認可している。
2. 注意喚起：インターネットプロバイダは、NICTから受け取った情報を元に該当機器の利用者を特定し、電子メールなどにより注意喚起を行う。
3. 設定変更等：注意喚起を受けた利用者は、注意喚起メールやNOTICEサポートセンターサイトの説明などに従い、パスワード設定の変更、ファームウェアの更新など適切なセキュリティ対策を行う。
4. ユーザサポート：総務省が設置するNOTICEサポートセンターは、ウェブサイトや電話による問合せ対応を通じて、利用者に適切なセキュリティ対策等を案内する。

（３）電気通信事業法の技術基準関係

利用者⁷は、電話機、FAX、モデム等の端末機器を電気通信事業者のネットワーク（電気通信回線設備）に接続し使用する場合、原則として、電気通信事業者の接続の検査を受け、当該端末機器が電気通信事業法に基づく技術基準に適合していることを確認する必要がある（電気通信事業法第52条第1項）。

そして、技術基準は、①電気通信回線設備を損傷し、又はその機能に障害を与えないようにすること、②電気通信回線設備を利用する他の利用者に迷惑を及ぼさないようにすること、③電気通信事業者の設置する電気通信回線設備と利用者の接続する端末設備との責任の分界が明確であるようにすること（電気通信事業法第52条第2項各号）の各事項が確保されるものとして、端末設備等規則（昭和60年郵政省令第31号）において定められている⁸。

令和2年4月から、端末設備等規則にIoT機器の技術基準にセキュリティ対策が追加された。

新たに技術基準に位置づけられた具体的な内容は次のとおりである。インターネットプロトコルを使用し、電気通信回線設備を介して接続することにより、電気通信の送受信に係る機能を操作することが可能な端末設備について、セキュリティ対策として、①アクセス制御機能（端末への電力供給が停止した場合でも機能の維持が可能）、②アクセス制御の際に使用するID/パスワードの適切な設定を促す等の機能、③ファームウェアの更新機能（端末への電力供給が停止した場合でも更新されたファームウェアの維持が可能）、又は①～③と同等以上の機能を具備すること、を追加した。なお、PCやスマートフォン等、利用者が随時かつ容易に任意のソフトウェアを導入することが可能な機器については本セキュリティ対策の対象外とされている。また、電気通信回線設備に直接接続して使用されない機器も認定等を要しない。

総務省は、令和2年9月、当該改正後の端末設備等規則の各規定等に係る端末機器の基準認証に関する運用について明確化を図る観点から、「電気通信事業法に基づく端末機器の基準認証に関するガイドライン（第2版）」を策定・公表しているので、詳細については同ガイドラインも参照されたい。

（４）参考：米国カリフォルニア州IoTセキュリティ法

米国カリフォルニア州では、IoT機器のセキュリティ対策に関する法律が2018年9月に成立し、2020年1月から施行されている。同法では、接続される装置がローカルエリアネットワークの外部に認証手段を備えている場合、IoT機器には、ユーザがIoT機器に初めてアクセスする時に、ユーザが新しい認証手段を生成しなければならないようにするか、1台ずつ固有のパスワードを設定して出荷するようにしなければならないというセキュリティ機能を含むことが必要とされている。日本の企業であっても、米国カリフォルニア州で販売されることとなる機器を製造する場合には、同法の対象となりえるので、注意が必要である。

（１）IoT機器の特徴

IoT機器はネットワークにつながっているため、従来の機器に比べると、データ漏えいが生じるリスクが高く、かつ漏えいが生じた場合にその影響が広範囲に及ぶ可能性もある。さらに、ネットワークにつながることで、データ漏えいの原因が解明しづらくなることから、製造者だけではなく、IoT機器を利用したサービスを提供する第三者を含む多数の者が当該漏えいによる被害者から責任追及されうるという特徴がある。

IoT機器からデータが漏えいした場合、① IoT機器に原因があった場合、② IoT機器を利用したサービスを提供する第三者に原因があった場合、③ 利用方法が不適切であったなど利用者に原因があった場合、④ ①～③の原因が複合的にあった場合に大きく分類できる。以下、それぞれの場合に分けて、IoT機器の製造者がデータ漏えいの被害者に対して負う可能性がある民事上の責任について検討する。なお、データ漏えい時における損害額については、Q61を参照されたい。

（２）IoT機器の製造者がデータ漏えいの被害者に対して負う可能性がある民事上の責任

（３）（参考）英国における13項目のベストプラクティス

英国のデジタル・文化・メディア・スポーツ省（DCMS）は、2018年10月にIoT製品を利用する消費者のセキュリティに関する負担を軽減することを目的として、製造メーカー等がIoT製品の開発、製造及び販売の段階で安全を確保するために実践すべき対策について、13項目のベストプラクティスを公表している³。具体的な項目は次のとおりであるが、参考に当たっては法制などの違いについても留意する必要がある。

① デフォルトパスワードを使用しない。② 脆弱性の情報公開ポリシーを策定する。③ ソフトウェアを定期的に更新する。④ 認証情報とセキュリティ上重要な情報を安全に保存する。⑤ 安全に通信する。⑥ 攻撃対象になる場所を最小限に抑える。⑦ ソフトウェアの整合性を確認する。⑧ 個人データの保護を徹底する。⑨ 機能停止時の復旧性を確保する。⑩ システムの遠隔データを監視する。⑪ 消費者が個人データを容易に削除できるように配慮する。⑫ デバイスの設置とメンテナンスを容易にできるように配慮する。⑬ 入力データを検証する。

（４）（参考）米国立標準技術研究所（NIST）のNIST Cybersecurity for IoT Program

米国の米国立標準技術研究所（NIST）は、IoTに対する信頼を醸成するとともにスタンダード、ガイダンス及び関連するツールを通じてグローバルスケールのイノベーションを可能とすることを目的として「NIST Cybersecurity for IoT Program」を確立している。

かかるプログラムにおいては、多数のガイドラインやベースラインを公表しており、近時に新規に公表されたものとしては以下のようなものがある。このうち、Baseline Security Criteria for Consumer IoT Devicesのドラフトは2021年8月31日にドラフトが公表され、同年10月17日までパブリックコメントに付されていた。

• SP 800-213A - IoT Device Cybersecurity Guidance for the Federal Government⁴
• SP 800-213 - IoT Device Cybersecurity Guidance for the Federal Government Establishing IoT Device Cybersecurity Requirements⁵
• Baseline Security Criteria for Consumer IoT Devices⁶
• NISTIR 8259B - IoT Non-Technical Supporting Capability Core Baseline⁷

（１）背景

5G促進法は、Society 5.0の実現に不可欠な社会基盤となる特定高度情報通信技術活用システム（5G及びドローン）のサイバーセキュリティ等を確保しながら、その適切な開発供給及び導入を促進するための措置を講じて、5G及びドローンの普及を図ることを目的として制定され、令和2年8月31日より施行されている。

なお、「特定高度情報通信技術活用システムの開発供給及び導入の促進に関する法律及び国立研究開発法人新エネルギー・産業技術総合開発機構法の一部を改正する法律」（令和4年3月1日施行）による改正により、5G促進法に特定半導体（5G情報通信システムに不可欠な大量の情報を高速度での処理を可能とするもので、国際的に生産能力が限られている等の事由により国内で安定的に生産することが特に必要なもの）の生産施設整備等計画の認定制度及び認定事業者に対する支援措置が追加されている。

（２）概要

（３）5G促進法におけるサイバーセキュリティの確保

（４）その他参考

ドローンのサイバーセキュリティに関する留意点についてはQ40及びIPAが公表する「ドローンサイバーセキュリティハンドブック～安全なドローン利活用の勘どころ～」¹⁰も参照されたい。また、ドローンのサイバーセキュリティに関する守るべき要件等については、経産省とNEDOで策定した「無人航空機分野サイバーセキュリティガイドライン」¹¹も合わせて参照されたい。

（１）ドローンを規制する法律の概要

（２）ドローンのサイバーセキュリティに関する留意点

ドローンの中には、スマートフォン等を介して外部データセンターとの飛行・撮影情報のやり取りや、プログラム更新を行う機種が存在し、また、ドローンは一般的に無線回線で機体が制御されている。そのため、ユーザが意図しないプログラムの更新や飛行・撮影情報の外部漏えい、他人による機体制御乗っ取り等のサイバーセキュリティ上のリスクが指摘されている（令和2年9月14日付内閣官房「ドローンに関するセキュリティリスクへの対応について」³）。そこで、内閣官房は、令和3年9月14日、関係省庁で申合せを行った「政府機関等における無人航空機の調達等に関する方針について」を公表し、以下の業務に用いられるドローンについては、令和4年度以降の新規調達に当たって、サプライチェーンリスクの少ない製品を採用するために、セキュリティ上の疑義に留意した「IT調達に係る国等の物品等又は役務の調達方針及び調達手続に関する申合せ」⁴と同様の措置を講ずることとした。

1. カメラやセンサーから収集される情報の窃取や飛行記録データ（時間・場所）の窃取により、活動内容が推測されうることで、公共の安全と秩序維持に関する業務の円滑な遂行に支障が生じるおそれがある業務（例：防衛、領土・領海保全、犯罪捜査・警備等）
2. カメラやセンサーから収集される情報の窃取により、公共の安全と秩序維持等に支障が生じるおそれがある業務（例：国民保護法の生活関連等施設の脆弱性に関する情報を収集する業務（点検等）等）
3. 人命に直結する業務であって、無人航空機の適時適切な飛行が妨げられる（例：無人航空機が突然動かなくなる）ことで、その遂行に支障が生じるおそれがある業務（救難、救命等の緊急対応業務等）

なお、ドローンのセキュリティに関して、IPA産業サイバーセキュリティセンターは、令和3年6月、ドローンの歴史や基礎的な機能・仕様、法規制、利活用シーン、ドローンの事故攻撃と防御事例の紹介を踏まえて、ドローンに対するサイバー攻撃（脆弱性）とその対策を検証し、安全に利活用するための勘どころについて取りまとめた「ドローンサイバーセキュリティハンドブック～安全なドローン利活用の勘どころ～」⁵を公表しており参考になる。

（１）重要インフラ分野

わが国の重要インフラ防護に関しては、重要インフラ行動計画により、重要インフラ分野として、情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流、化学、クレジット、石油という合計14の分野が指定されている。

また、分野に属する事業を営む者全てが重要インフラ事業者となるわけではなく、例えば、電力分野では「一般送配電事業者、主要な発電事業者」という限定が付されている（重要インフラ行動計画別紙1参照）。

（２）総説

重要インフラ分野においては、それぞれ、適用される主な業法がある。例えば、情報通信であれば電気通信事業法、電力であれば電気事業法などが適用される。重要インフラ事業者がサイバーセキュリティ対策を行うに当たっては、業法の中で、サイバーセキュリティに関する情報の安全管理や保安規定の有無（データの保管場所を含む）、事故の報告に関する規定の有無、所管省庁による報告徴収規定の有無について把握しておくことが肝要である。

なお、令和4年5月11日に可決成立した「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律」（令和４年法律第43号）は、その柱の一つとして、基幹インフラ役務の安定的な提供の確保に関する制度の導入している。ここにいう基幹インフラと、重要インフラは、重なる部分もあるが同一のものではないため注意が必要である。

（３）金融分野

金融庁は、金融分野のサイバーセキュリティの確保が金融システム全体の安定のための喫緊の課題であるとの認識の下、2015年に公開し、2022年2月にアップデートした、「金融分野におけるサイバーセキュリティ強化に向けた取組方針 (Ver. 3.0)」（以下、本項において「取組方針」という。）に基づき、官民一体となって金融分野のサイバーセキュリティ強化に向けた取り組みを実施している。そして、その中で把握された実態や課題等について取りまとめた「金融分野のサイバーセキュリティレポート」を令和2年6月30日に公表している¹。

（４）医療分野

厚労省は、医療機関等におけるサイバーセキュリティ対策の充実は喫緊の課題であるという認識の下で、平成30年に地方自治体向けに、「医療機関等におけるサイバーセキュリティ対策の強化について（通知）」を発出し、関係ガイドラインの周知徹底、インシデント発生時の報告、医療分野におけるサイバーセキュリティの取組みとの連携等について通知を行っている。

（１）　自動運転に向けた法整備について

（２）サイバーセキュリティに関する法整備について