令和8年度問21ストラテジ系

ITパスポート令和8年度問21：corporate_legalに関する問題

サイバーセキュリティ基本法の立法趣旨を説明したものはどれか。

aコンピュータへの不正アクセス行為を定義し、その行為を禁止するとともに罰則を定め、ネットワーク通信秩序の維持を図ること
b情報セキュリティに関する適切なコントロールを整備、運用するための実践的な規範を定め、企業などで効果的な情報セキュリティ対策の推進を促すこと
c情報通信ネットワークを通じたコンピュータへの不正侵入などの行為に対する防御施策に関し、基本理念を定め、国及び地方公共団体の責務などを明らかにして、施策の総合的かつ効果的な推進を図ること正答
dデジタルコンテンツの複製防止のための技術的制限手段を無効化する行為などを規制することによって、企業などの営業上の利益を確保すること

正答：C情報通信ネットワークを通じたコンピュータへの不正侵入などの行為に対する防御施策に関し、基本理念を定め、国及び地方公共団体の責務などを明らかにして、施策の総合的かつ効果的な推進を図ること

AI解説（初心者・標準・上級）

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは c です。

サイバーセキュリティ基本法は、「国全体でサイバー攻撃に立ち向かう」ための基本的な考え方と、国や自治体がやるべきこと（責務）を決めた法律です。火事に備えて国や市が消防のルールや役割を決めておくのと同じで、サイバー攻撃という“火事”に国ぐるみで備える土台をつくる法律、とイメージするとわかりやすいです。

👉 覚え方：基本法＝「国や自治体の役割を決めた“土台のルール”」。

ほかの選択肢：a 不正アクセスを禁止して罰する法律（不正アクセス禁止法）／b 企業向けの実践的な対策の手引き／d コピー防止技術を破る行為を取り締まる話——どれも“国の基本理念と責務”ではありません。

標準試験対策の基準レベル

なぜこれが正解か

正解は c。サイバーセキュリティ基本法は、サイバーセキュリティに関する施策の基本理念を定め、国および地方公共団体の責務などを明らかにし、施策を総合的・効果的に推進することを目的とした法律。個別の犯罪を罰するのではなく、国家レベルの方針と体制づくりを担う「基本法」である。

各選択肢の解説

a：不正アクセス行為を禁止・処罰する内容＝不正アクセス禁止法の説明。
b：情報セキュリティの実践規範を定める＝ISMS（ISO/IEC 27001）など管理基準の説明。
d：コピー防止技術の無効化を規制＝不正競争防止法（技術的制限手段）の説明。

覚え方・ひっかけ注意

「基本法」とつく法律は、罰則よりも“基本理念・国の責務・推進体制”を定めるのが特徴。aの不正アクセス禁止法（具体的な禁止・罰則）と混同しやすいので、「基本法＝枠組み・理念」「禁止法＝行為の禁止と処罰」と役割で区別する。

上級誤答論破・背景理論まで深掘り

理論的背景

サイバーセキュリティ基本法は2014年11月に公布・施行された日本固有の法律で、サイバーセキュリティに関する「基本理念の確立・国の責務・地方公共団体の責務・重要インフラ事業者の責務・基本的施策」を定める根本法（ベーシックロー）である。立法趣旨は「サイバーセキュリティに関する施策を総合的かつ効率的に推進すること」で、具体的な罰則規定を定めた刑罰法規（不正アクセス禁止法等）とは性格が異なる。同法に基づき内閣にサイバーセキュリティ戦略本部が設置され、NISC（内閣サイバーセキュリティセンター）が実施機関として機能する。重要インフラの定義として「情報通信・金融・航空・空港・鉄道・電力・ガス・政府・行政サービス・医療・水道・物流・化学・クレジット・石油の14分野」が指定されており、これらへの攻撃は国家安全保障上の問題として扱われる。

実務での使われ方

サイバーセキュリティ基本法は企業の情報セキュリティポリシー策定・CSIRT（Computer Security Incident Response Team）構築・サプライチェーンセキュリティ管理の法的根拠として機能する。経済産業省のサイバーセキュリティ経営ガイドライン（Ver3.0・2023年3月）はサイバーセキュリティ基本法の精神を企業経営に落とし込んだ実践指針で、経営者が実施するべき「3つの原則・10の重要項目」を定義している。上場企業では有価証券報告書・コーポレートガバナンス報告書でのサイバーセキュリティリスク開示が実質的に求められるようになり、CISO（Chief Information Security Officer）を設置するグローバル基準の整備も進んでいる。近年のランサムウェア被害（病院・自治体・製造業等）を受けて、重要インフラ事業者への情報共有・インシデント対応の義務化強化が進んでいる。

試験での位置づけ

サイバーセキュリティ関連法令はITパスポートの法律・コンプライアンスカテゴリで毎年出題される重要テーマ。本問の各選択肢は別個の重要法規・規格を示している。aは不正アクセス禁止法（1999年制定・コンピュータへの不正アクセス禁止・罰則規定）の説明、bはISO/IEC 27001・ISMS（情報セキュリティマネジメントシステム）の実践規範（ISO 27002）の説明、dは不正競争防止法の中の「技術的制限手段の無効化規制」に近い説明。本問の核心はcの「基本理念・国及び地方公共団体の責務・施策の総合的推進」という「基本法の性格」を正確に記述していることにある。近年はサイバーセキュリティ基本法の改正動向（2018年改正でNISC機能強化・重要インフラ情報共有の義務化）も問われ始めている。

選択肢の発展補足

選択肢aの不正アクセス禁止法（正式名称：不正アクセス行為の禁止等に関する法律）は「識別符号窃用型（他人のID・パスワードを使用して侵入）」「セキュリティホール攻撃型（脆弱性を利用して侵入）」の二類型を禁止し、3年以下の懲役又は100万円以下の罰金を規定する。選択肢bのISMS（ISO/IEC 27001）は第三者認証が取得可能な管理規格で、PDCA（Plan-Do-Check-Act）サイクルで情報セキュリティを継続的に改善するフレームワーク。ISMS認証取得は取引先・公共調達での競争力に直結し、日本の認証取得件数は世界最多レベルを維持している。選択肢dの「技術的制限手段の無効化」規制は著作権法（コピープロテクト回避禁止）と不正競争防止法（営業秘密アクセス制限の回避禁止）の二法に跨る規制で、ゲームのチート行為・DRMの回避に関連する法的問題として現実事例でも争点となっている。

出典・引用について

出典：IPA（情報処理推進機構）公式 ITパスポート試験令和8年度問21／公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。