【国内法は無力?】〜海外からのサイバー攻撃に中小企業が備える方法〜

cyber-law-risk-smallbiz Security

中小企業にとって「法律で守られる」ことを期待するのは危険だ。とくにサイバー攻撃の多くは海外から仕掛けられるものであり、国内法の範囲では対応が極めて困難である。個人情報保護法や不正アクセス禁止法などが存在していても、それは「責任を追及するための枠組み」に過ぎず、「攻撃を防ぐ」盾にはならない。本稿では、法律の限界を知ったうえで、経営者としてどのように“自衛”を捉え、実践すべきかを具体的に提案する。ITセキュリティ、サイバー攻撃、中小企業、経営者向けの視点を重視した、実務に役立つ内容だ。

  1. 法律は“情報”を守っていない?
    1. 個人情報保護法の目的は「国民の権利」と「社会的信頼性」
    2. 法律ができるのは“責任追及”と“ルール作り”にとどまる
    3. 法律そのものが漏洩を防ぐわけではない
  2. 誰のため、何のための法律なのか?
    1. 国 → なぜ国は法律を作るのか?その目的は“企業保護”ではない
    2. 消費者 → 法律は誰の安心感のためにあるのか?
    3. 企業 → なぜ“法律を守っていても攻撃される”のか?
      1. 1つ目は、法律の設計が“静的”であること。
      2. 2つ目は、“実行主体”が企業自身であるということ。
    4. なぜ“守られる法律”という誤解が危険なのか?
  3. なぜ海外からの攻撃に国内法は効かないのか?
    1. サイバー攻撃はなぜ「国境を越える」のか?
    2. 「法律」は“どこに住んでいるか”を前提に作られている
    3. なぜ身元特定はここまで難しいのか?
    4. なぜ「訴える」という選択肢が現実的ではないのか?
    5. 「法律で守られる」という思い込みが、リスクを最大化させる
  4. 経営者が法律をどう認識すべきか
    1. 法律は“守りの盾”ではなく“責任の線引き”
    2. 「最低限ここまではやれ」という基準を示すもの
    3. 守られるのを期待するのではなく“自衛の警鐘”と捉える
  5. 中小企業が取るべき現実的な行動
    1. 法律は“罰則回避”ではなく“自衛のきっかけ”に使う
    2. IPA「セキュリティ5か条」など基本策を徹底する
  6. まとめ ― 「法律に守られる」から「法律を活かす」へ
      1. 法律は企業を直接守ってはくれない
      2. 経営者がどう捉え、どう行動につなげるかが未来を分ける

法律は“情報”を守っていない?

法律があるから安心できる…その感覚こそが最大のリスクである。

個人情報保護法の目的は「国民の権利」と「社会的信頼性」

個人情報保護法は、企業を守る法律ではない。あくまで「個人の権利の保護」や「社会的信用の確保」が主眼である。企業が個人情報を適切に扱うよう義務付けるものであり、企業の損害回避を目的としたものではない。実際に漏洩が起これば企業が罰則を受ける立場であり、守られるどころか「責任を問われる側」なのだ。

法律ができるのは“責任追及”と“ルール作り”にとどまる

法律とは、事後対応の枠組みである。たとえば不正アクセス禁止法は、違法アクセスを行った者に対する罰則を定めるが、攻撃そのものを事前に止める力はない。そもそも、法律の性質上、違反があったことを証明して初めて動き出せる。これはサイバー攻撃のスピードと匿名性には到底追いつけない。

法律そのものが漏洩を防ぐわけではない

どれほど厳しい法規制があっても、技術的・運用的なセキュリティ対策がなければ情報漏洩は起きる。つまり、法令遵守だけではサイバー攻撃から自社を守ることはできない。ここを履き違えると、セキュリティ対策が「法令対応レベル」で止まり、本質的なリスク対策に至らない。

誰のため、何のための法律なのか?

「法律があるから安心だ」は、誰にとっての“安心”なのか?そこを見誤ると経営判断を誤る。では、なぜそんな誤解が生まれるのか? それは、法律というものの本質を見失っているからだ。

法律は本来「誰を守るためにあるのか?」「何を目的に設計されたのか?」この根本を見直すことで、企業がどう立ち回るべきかが見えてくる。

国 → なぜ国は法律を作るのか?その目的は“企業保護”ではない

多くの中小企業経営者が「国が法整備しているのだから、それに従っていれば安心だろう」と思うのは自然な感覚だ。だが、そこに大きな誤解がある。

国が情報セキュリティ関連の法律を整備する目的は、決して「企業を守るため」ではない。主眼は、国際的な信用の維持であり、海外諸国との整合性を保つための施策である。

とくに注目すべきは、EUのGDPR(一般データ保護規則)との対応関係だ。GDPRは、データの取り扱いに関して非常に厳しい基準を設けており、違反すれば巨額の制裁金が課される。このような国際的なルールが存在する以上、日本国内の法制度も足並みを揃えなければ、ビジネスの信頼性が損なわれ、国際取引に支障をきたす。

つまり、国の立場からすれば、「自国企業が海外市場で排除されないために、形式的にでも法整備しておくこと」が重要なのだ。中小企業のサイバー攻撃対策を強化するために法律を整備しているわけではない。これはあくまで“外交ツール”であって、“防衛策”ではない

したがって、国内法があっても「実務的な保護効果がある」と考えるのは、根本的なすれ違いである。

消費者 → 法律は誰の安心感のためにあるのか?

法律が“守っている”のは誰か?それは企業ではなく「消費者」である。もっと言えば、個人情報の当事者であり、国民の「権利」や「信頼」を守るための仕組みだ。

たとえば、個人情報保護法を思い出してみてほしい。
この法律が定めているのは、「企業が情報を扱う際の義務と、漏洩時の通知・報告・謝罪のフロー」だ。つまり、消費者が何か被害を受けたときに、それを訴え出て救済されるための手段を整えるのが法律の目的である。

つまりこれは、企業の「盾」ではなく、消費者の「武器」なのだ。

よくある誤解は、「法律があるから安心してビジネスできる」と思い込んでしまうことだが、それはまったく逆である。実際には、法律によって企業の義務が明確になり、違反時の責任がより重くなる。「守られている」どころか、「監視されている」「責任を課されている」のである。

では、なぜこのような誤解が生まれるのか?
それは、法律の存在を「ガードレール」のように捉えているからだ。落ちそうなときに守ってくれるもの…というイメージだ。しかし、実態はそうではない。法律は「落ちたあとにどれだけ責任を取らされるか」を定義しているだけだ。事故を防ぐ役割は、ガードレールではなくドライバーの注意力(=企業の自主対策)に委ねられている。

企業 → なぜ“法律を守っていても攻撃される”のか?

企業側にとって法律とは、「最低限の基準を示すもの」でしかない。たしかに個人情報保護法などには、情報管理に関する基準や罰則が定められている。しかし、その基準を満たしていたとしても、サイバー攻撃の被害を100%防ぐことはできない。

ではなぜか?

その理由は2つある。

1つ目は、法律の設計が“静的”であること。

法律は原則として「不特定多数の事業者が対象」であり、内容が画一的にならざるを得ない。しかも改正には年単位の時間がかかる。一方、サイバー攻撃の手口は“日進月歩”どころか“秒進分歩”で進化している。変化のスピードに法律が追いつけるわけがない。

2つ目は、“実行主体”が企業自身であるということ。

どれほど立派な法律があっても、それを企業が実務として実行しなければ意味がない。ツールを入れる、研修を実施する、アクセス管理を強化する…これらを行動に落とし込むのは経営者の判断と体制構築の問題だ。

さらに言えば、「法律があるから安心」と思ってしまった時点で、その企業は“守られる側”の意識になってしまっている。
 しかし、サイバーセキュリティの本質は「攻撃される前提で、自衛すること」である。受け身の姿勢では、いずれ確実に被害を受ける。

なぜ“守られる法律”という誤解が危険なのか?

企業、特に中小企業にとって最大の問題は、「法律に守られている」という幻想に安心し、本質的な“行動”を後回しにしてしまう構造にある。
この心理は「罰則を回避するためだけに対策をとる」「形式的な研修だけで済ませる」という“コスト最小化思考”を生み出す。だが、攻撃者から見れば、こうした企業こそ“狙いやすいターゲット”になる。

守ってくれると思っていた法律が、実は「守らないことの責任を明確化している」だけだった…この事実に気づいたとき、中小企業の経営者は初めて本気で自衛に取り組み始めるのではないか。

今こそ、「守られること」を期待するのではなく、「守るために動くこと」を常識にするべき時である。

なぜ海外からの攻撃に国内法は効かないのか?

“法の網が届く”という前提が崩れている現実から、目を逸らしてはいけない。

「法律があるんだから、なにかあれば裁けるだろう」「被害が出れば国が動いてくれるだろう」…こう思いたくなるのが人情だ。しかし現実は、サイバー攻撃の9割以上が“どこの誰がやったのかもわからない”まま放置される。
なぜここまで無力なのか?どうして「犯人を捕まえる」「損害賠償を求める」ができないのか?それは、サイバー空間という戦場の“構造”そのものが、既存の法律の発想を超えているからだ。

この章では、その構造を一つずつ分解しながら、なぜ法律が効かないのかを解き明かしていく。

サイバー攻撃はなぜ「国境を越える」のか?

まず前提として、サイバー攻撃というのは“物理的な行動”ではない。
ドアを壊して侵入するでもなく、倉庫から機材を盗むわけでもない。
指一本で世界中に仕掛けられる、きわめて抽象的かつ匿名性の高い“操作”である。

たとえばあなたの会社のサーバーが夜中にアクセスされたとしよう。
そのアクセス元IPを調べると「東ヨーロッパからの通信」と分かる。
しかしそのIPアドレスはVPN(仮想プライベートネットワーク)を通じて偽装されている。
実際の攻撃者はさらに別の国から操作しており、しかもボットネット(他人のPCを乗っ取って遠隔操作する仕組み)を使っていたとしたら…?

つまり攻撃の構造はこうだ:

  • 攻撃者が日本人かどうかも不明
  • 攻撃元の国も偽装されている
  • 使用されたサーバーは世界中に点在
  • 証拠が物理的に存在しない

このような環境で、警察が動けるか?弁護士が訴訟できるか?…答えは明白だ。

「法律」は“どこに住んでいるか”を前提に作られている

日本の法律は、「日本国内で発生したこと」「日本人による行為」「日本の法人が関与している」など、“国籍”や“所在地”を起点にして組み立てられている。

たとえば不正アクセス禁止法は、「正当な権限なく他人のシステムにアクセスした者を罰する」ための法律だが、その“罰する”という行為は、国内の捜査機関が対象に物理的にアクセスできて初めて成立する。

だが海外からの攻撃に対してはどうか?

  • 攻撃者が外国人で、その国が日本と犯罪人引き渡し条約を結んでいなかったら?
  • その国に捜査協力を依頼しても、返答がない、あるいは何年もかかる場合は?
  • 仮に攻撃者が見つかっても、その国の法律では“違法とされていない”場合は?

…このように、法律というのは「自国の中でしか効力を発揮できない」という“管轄権の壁”がある。
これは、現代のサイバー空間の“国境なき構造”と、決定的に噛み合っていないのだ。

なぜ身元特定はここまで難しいのか?

「いやいや、技術が発達してるんだから、追跡すれば犯人を特定できるのでは?」と考えるのも自然な反応だろう。

だが、実態はその逆だ。
攻撃者は、技術を熟知しているからこそ、“身元を隠す方法”も熟知している。

▼たとえば彼らが使う手口:

  • VPNやTorでIPアドレスを隠す
  • 他人のPCやサーバーを踏み台にする
  • ワンクリックマルウェアで社員のPCを感染させる
  • ログを自動で削除するスクリプトを入れておく
  • ダークウェブで使い捨ての攻撃ツールを購入

こうなると、たとえアクセスログが残っていても、それは別人のPCを経由した記録でしかない。誰がどこから操作していたかを特定するには、「全世界の通信履歴をリアルタイムで追いかける」レベルの技術と協力体制が必要になる。

これはもはや、国家間の情報戦レベルの話であり、中小企業が自前で対応できる問題ではない。

なぜ「訴える」という選択肢が現実的ではないのか?

仮に犯人が特定できたとしよう。顔も名前も分かり、損害も立証できたとする。
ではその人を裁判にかけて、損害賠償を請求できるか?

答えは、「ほぼ無理」だ。

その理由は以下のとおり:

  1. 国際民事訴訟の手続きが複雑すぎる
  2. 相手国に法的権限が及ばない場合が多い
  3. 費用が高額(着手金だけで数百万〜)
  4. 判決が出ても、回収不能なケースが大半

とくに中小企業にとっては、この手間・費用・時間をかけてまで動く価値があるか?という判断になるだろう。現実的には、「泣き寝入り」せざるを得ないのが大半である。

「法律で守られる」という思い込みが、リスクを最大化させる

ここまでの構造を見てきたとき、見えてくる事実がある。

それは、「法律があるから大丈夫」という認識こそが最大のリスク」であるということだ。

法律が効かない以上、唯一の守りは「自分で備えること」しかない。
 つまり、経営者が「うちは関係ない」「やられてから考える」ではなく、やられる前提で行動する“自衛の発想”に切り替えられるかどうかが、生き残れるかどうかを分ける。

法律は抑止力ではない。
法律は、攻撃を止めてはくれない。
法律は、損害を補償してくれない。
そして法律は、海外の攻撃者には届かない。

「守られるもの」から「守るための行動」へ。
 ここに視点を変えることで、初めて“実効性のあるセキュリティ”が始まる。

経営者が法律をどう認識すべきか

「守られる法」ではなく「責任の指標」として捉えるべき。

法律は“守りの盾”ではなく“責任の線引き”

法制度は経営者にとっての“責任の境界線”を示すものである。どこまでやっていれば過失とは言われないのか、どこを怠れば法的責任を問われるのか。その判断基準を与えてくれるのが法律の役割だ。

「最低限ここまではやれ」という基準を示すもの

個人情報保護法やサイバーセキュリティ基本法にしても、対応義務ではなく「努力義務」にとどまっている項目が多い。つまり、「最低限ここまではやっておけ」と言っているにすぎない。法令遵守=安全、という考えは根本的に間違っている。

守られるのを期待するのではなく“自衛の警鐘”と捉える

「法があるから大丈夫」ではなく、「法があるからこそ、ここから先は自己責任」という危機感を持つことが必要だ。経営判断における“自衛の警鐘”として法律を認識すべきである。

中小企業が取るべき現実的な行動

守られるのではなく、守るために動く。それが唯一の道である。

法律は“罰則回避”ではなく“自衛のきっかけ”に使う

法律の条文を「抜け道を探す道具」としてではなく、「行動の動機」として捉える。特にIPAが発行している「中小企業の情報セキュリティ対策ガイドライン(セキュリティ5か条)」は、自衛の第一歩として極めて有効だ。

IPA「セキュリティ5か条」など基本策を徹底する

1)OS・ソフトは最新に保つ
2)ウイルス対策ソフトを導入する
3)パスワードを強化する
4)共有設定を見直す
5)脅威や攻撃の手口を知る


これらは低コストかつ専門知識が不要。「できるけど、やらない」企業が多いのが問題である。

【徹底解説】セキュリティ対策ガイドライン 5か条!【事例から検証】
中小企業でやるべきセキュリティ対策はIPAのセキュリティ対策5か条である。基本的なことが明記されいるだけという見方もできるのだが、これがいかに重要であり現実的な対策であるかをインシデント事件を例にその効果を解説する。
blog.info-flag.com
2024.07.15

社員教育と運用ルールを「日常習慣」として根付かせる「やることはわかっている」が「実行されない」。この断絶を埋めるのが“習慣化”である。セキュリティ研修やチェックリストの定期運用を通じて、ルールを“日常”に溶け込ませる必要がある。実務として根付かせるには、社長が関心を持ち「優先度を上げる」ことが最も重要だ。

まとめ ― 「法律に守られる」から「法律を活かす」へ

法に頼るな、自ら動け。それが生き残る経営判断である。

法律は企業を直接守ってはくれない

中小企業の現実として、法整備だけでサイバー攻撃から守られることはない。法の力は限定的であり、攻撃は日々進化している。守るべきは企業自身の意志と行動である。

経営者がどう捉え、どう行動につなげるかが未来を分ける

「法律があるから安心」ではなく「法律があるからこそ、自衛が必要」と認識するかどうかで、企業の未来は大きく変わる。経営者が本気で取り組み、社員を巻き込んだ“文化”としてのセキュリティが築かれたとき、はじめて“防御力”を持った企業になれるのだ。

最後までお付き合いいただきありがとうございます。
また、お会いしましょ。