サイバーセキュリティという概念は、法制度の領域から生成・発展した概念ではなく、サイバーセキュリティ基本法が制定されるまでは、わが国の法令において「セキュリティ」という単語を用いたものはなかった。ただ、平成12年に制定された高度情報通信ネットワーク社会形成基本法（平成12年法律第144号）¹第22条における「高度情報通信ネットワークの安全性及び信頼性」という文言の中に、情報セキュリティを読み取ることが可能であった。

情報セキュリティとは、一般に「情報の機密性（Confidentiality）、完全性（Integrity）及び可用性（Availability）の3要素を維持すること」ということができ、この3要素の各々の頭文字を取って「情報のCIA」ということもある。

機密性とは、情報に関して正当な権限を持った者だけが、情報にアクセスできることをいう。機密性が損なわれた場合の典型例として不正アクセス等が挙げられる。

完全性とは、情報に関して破壊、改ざん又は消去されていないことをいう。完全性が損なわれた場合の典型例として情報の不正改ざん等が挙げられる。

可用性とは、情報に関して正当な権限を持った者が、必要時に中断することなく、情報にアクセスできることをいう。可用性が損なわれた場合の典型例としてシステム障害による利用不能等が挙げられる。

このようなCIAの概念を用いたものとしては、1992年に経済協力開発機構（OECD²）が採択した「情報システムセキュリティガイドライン（Guidelines for the Security of Information Systems）」（以下「1992年ガイドライン」という。）が挙げられる。同ガイドラインにおいては、情報セキュリティの目的について、「情報システムに依存する者を、可用性、機密性、完全性の欠如に起因する危害から保護すること」と定義している³。

これを踏まえ、情報セキュリティマネジメントシステム（ISMS）に関する国際規格であるISO/IEC 27001・同27002、これを日本産業規格化したJIS Q 27001・同27002にも情報セキュリティに関する同様の定義が置かれている。

平成26年にサイバーセキュリティ基本法が制定された。具体的な内容については後述するが、情報、情報システム、情報通信ネットワークという3つの客体に着目して「サイバーセキュリティ」が定義されていることをはじめ、わが国のサイバーセキュリティ政策を推進するための様々な規定が置かれた基本法としての役割を有している。

ただし、同法は基本的に民間の企業等に対する具体的な権利・義務等を定めるものではなく、また、同法は、デジタル社会形成基本法と相まって、サイバーセキュリティに関する施策を総合的かつ効果的に推進するもの（同法第1条）であるが、現状において、これらの法律も含め、サイバーセキュリティに関して民間の企業等に対する権利・義務等を通則的に適用する法令が存在しているものではない。

一方で、個別の法令においては、サイバーセキュリティに関わる規定が存在しており、特に情報の安全管理に関する規定を置く法令が増加する傾向にある。本書においては、個別に存在するサイバーセキュリティに関する法令について解説を加えていく。

サイバー攻撃が複雑化・巧妙化する今日において、各々の企業がサイバーセキュリティ対策をとることの重要性は増加している。各々の企業は、企業の規模や業態、時代背景、取り扱う情報の種類と適用される法令等に基づき、必要なサイバーセキュリティ対策をとることとなる。

サイバーセキュリティに関しては、関係する法令を遵守する必要があることはもちろん、その他、国内外を問わず、様々な政府機関、民間の団体や企業等による様々なガイドライン等が発出されている。また、前述のとおり関係する国際規格も存在する。

一般論として、IT・ICTを活用することの利便性と、セキュリティはトレードオフの関係にある。セキュリティを万全に整えようとすればするほど、利便性は落ちることとなるため、企業としては、セキュリティ上の脅威を含めてリスクマネジメントを行い、必要なセキュリティ対策を選択することとなる。

以上を参考としながら、各々の企業においては、必要とされる具体的なサイバーセキュリティ対策を行うことが望ましい。