(ロゴマークはhttp://www.meti.go.jp/press/2016/10/20161021002/20161021002.htmlより引用)
2016年10月21日(金)に情報処理安全確保支援士制度が開始されました。
具体的な登録手続きは2016年10月24日(月)から開始されています。登録手続を経ることによって情報処理安全確保支援士を名乗ることができます。
私はこの制度を論評する上で、改正された「情報処理の促進に関する法律」の全条文を読んでいます。経済産業省やIPAが掲載している概要説明のPDFだけでは全く不十分だからです。
特に情報処理安全確保支援士に登録しようとしている方に強く忠告しておきたいことは、情報処理安全確保支援士は罰則が規定されおり、義務の不履行があると民事訴訟のみならず刑事訴訟に発展します。
よって情報処理安全確保支援士に登録したからには、故意でやることは論外ですが、義務違反を犯してしまった場合に、罰金刑・懲役刑を受ける可能性があることは十分留意しておくべきです。
ただし、単に情報セキュリティスペシャリスト試験や情報処理安全確保支援士試験に合格しただけで、登録をしていない人にはこの罰則は適用されません。情報処理安全確保支援士として登録を受けた者に対する罰則です。
この罰金刑と懲役刑のような罰則については、概要説明のPDFでほぼ全くといっていいほど詳しく触れられていません。
ネットで情報処理安全確保支援士の罰則について検索してみるとかなり間違った記載をしているサイトが見受けられるので、ここで原典である法律・政令にしっかりあたって正しい情報を記載しておきたいと思います。
情報処理安全確保支援士制度は法律・政令を根拠として実施されているので法令に書いてあることがすべてです。法律や政令に書いてないことが急に実施されることはないので、原典である法令にしっかり目を通しておくことが重要です。
1. 秘密保持義務違反は一年以下の懲役又は五十万円以下の罰金に処される ただし親告罪
秘密保持義務に違反した場合は、1年以下の懲役、または50万円以下の罰金に処されます。「両方」とは書いていないので、懲役刑か罰金刑かどちらかということになります。
たとえ懲役刑ではなく罰金刑だとしても馬鹿にできません。罰金刑を受けるとそれも懲役刑と等しく前科になり、一定期間公務員になれないばかりか、米国に出張や旅行に行くにしてもビザが下りなくなり多大なペナルティになります。
特に「罰金」と書くと「スピード違反や駐車違反のときの罰金か」と思う人がいますが、それは完全に誤りです。スピード違反や駐車違反で科せられるのは正しくは「反則金」という軽いものであり罰金ではありません。反則金では前科はつきませんが、罰金は刑事罰の一つですから立派な前科になります。情報処理安全確保支援士に科せられる「罰金」は、科料・過料・反則金などの軽いものではなく、完全なる刑事罰としての「罰金刑」ですから、もし情報処理安全確保支援士として登録後に罰金を受けると一生前科というペナルティを背負って生きていくことになります。さらに後述しますが、支援士としての登録期限が切れて支援士でなくなったあとでも、一生この罰則の対象であり続けます。
第五十一条第二十五条の規定に違反した者は、一年以下の懲役又は五十万円以下の罰金に処する。2 前項の罪は、告訴がなければ公訴を提起することができない。
ここでは2項で「告訴がなければ公訴を提起することができない」とされているので、これは親告罪です。
つまり秘密をバラされた側(企業など)が告訴をしない限りはこの罰則は適用されないということです。もし企業側が温情で、秘密をばらした人の今後の人生への影響の大きさを鑑みて見逃してあげようと告訴しなかった場合は、この罰則は適用されません。
そもそも秘密保持義務とは何かという定義条文である第二十五条を掲載しておきます。
(秘密保持義務)
第二十五条情報処理安全確保支援士は、正当な理由がなく、その業務に関して知り得た秘密を漏らし、又は盗用してはならない。情報処理安全確保支援士でなくなつた後においても、同様とする。
この条文からわかりますが、一度情報処理安全確保支援士になると、もし途中で情報処理安全確保支援士をやめたくなってやめたとしても、この罰則による束縛は一生続くということです。そのあたりが窮屈に感じる人はよく考えてから登録しましょう。
2. 支援士の詐称は三十万円以下の罰金に処される
情報処理安全確保支援士として登録していないのにもかかわらず、「私は情報処理安全確保支援士です」と詐称すると30万円以下の罰金に処されます。
これは上述した1.よりある意味重いです。こちらは「非」親告罪なので、例えば「情報処理安全確保支援士」だと詐称する者の被害を受けた企業が温情で見逃してあげたいとしても、公訴を提起されます。つまり被害者の意思に関係なく検察が起訴するということです。
1.には懲役刑がある一方で、この2.には懲役刑はないのでその点は軽いですが、非親告罪ゆえに警察が認知したら告訴を経ずに必ず捜査されるので企業からの温情の余地はありません。
罰則条文を見てみましょう。
第五十三条次の各号のいずれかに該当する者は、三十万円以下の罰金に処する。一 第十九条第二項の規定により情報処理安全確保支援士の名称の使用の停止を命ぜられた者で、当該停止を命ぜられた期間中に、情報処理安全確保支援士の名称を使用したもの二 第二十七条の規定に違反した者
まず第二号からみていきます。情報処理安全確保支援士でない者が詐称した場合です。
(名称の使用制限)第二十七条情報処理安全確保支援士でない者は、情報処理安全確保支援士という名称を使用してはならない
これは当たり前の条文であり、支援士でない人が支援士と名乗ったら30万円以下の罰金だということです。
次に第一号です。情報処理安全確保支援士を名乗ることを停止されてる者が詐称しても同じく罰則が適用されます。登録の取り消しについて書かれているのは第19条です。
第十九条経済産業大臣は、情報処理安全確保支援士が次の各号のいずれかに該当する場合には、その登録を取り消さなければならない。一 第八条各号(第四号を除く。)のいずれかに該当するに至つた場合二 虚偽又は不正の事実に基づいて登録を受けた場合
これらの事由で支援士登録が取り消されているときに、支援士だと名乗るのは30万円以下の罰金だということです。
一応第19条の一号に書いてある「第八条各号」も見ておきましょう。
第八条次の各号のいずれかに該当する者は、情報処理安全確保支援士となることができない。一 成年被後見人又は被保佐人二 禁錮以上の刑に処せられ、その執行を終わり、又は執行を受けることがなくなつた日から起算して二年を経過しない者三 この法律の規定その他情報処理に関する法律の規定であつて政令で定めるものにより、罰金の刑に処せられ、その執行を終わり、又は執行を受けることがなくなつた日から起算して二年を経過しない者
一号から解説しますと、成年被後見人とはかなりボケてしまって判断能力を欠く状態にある人が後見人のサポート有りで生活しており、被保佐人とは判断能力が不十分な人が後見開始をして後見人のサポート有りで生活している人のことです。つまり他人のサポートなしには法律行為を有効にできない人は情報処理安全確保支援士にはなれないということです。
情報処理安全確保支援士に登録した当初は自分一人で生活できている人であっても、途中からボケが始まってしまって後見開始がされたら支援士は取り消しされるということです。
二号は死刑・懲役・禁錮の刑に処されている者は支援士を取り消されるということです。たとえ執行猶予つきでも禁錮以上に処されたら支援士は取り消しになります。
三号は罰金刑に処された者の場合です。二号は禁錮以上についての規定でしたが、死刑・懲役・禁錮よりさらに1つ軽い罰金刑についてが三号に書いてあります。「この法律の規定その他情報処理に関する法律の規定であつて政令で定めるものにより」というところが重要で、「ITに関する法令」に違反して罰金刑を受けた人だけが支援士を取り消されるということです。つまりIT関連の法令違反以外で罰金刑を受けた場合は支援士が取り消されないということです。これは二号の規定よりは甘くなっています。二号はいかなる禁錮以上の刑でも支援士は取り消されますが、三号では「IT系の法令違反で罰金刑を受けたときだけ取り消します」ということなので、他の罰金刑なら支援士登録の取り消しはされずにお目こぼしされるということです。
これらの理由で支援士登録が取り消し、または停止されているときに「私は情報処理安全確保支援士です」と詐称すると30万円以下の罰金ということになります。
一般の情報処理安全確保支援士の人は上記の2つだけに注意しておけばOK
以上の2つが情報処理安全確保支援士として登録すると処される可能性のある罰則です。
他にも情報処理推進機構(IPA)の役職員に課される罰則の条文もあるのですが、今回の記事はIPAの内部者を対象としていないので省略します。
特筆すべき点があるとすれば、1.の秘密保持義務の「親告罪」の部分が、IPAの役職員の場合は「非」親告罪になっていることでしょうか。
情報処理安全確保支援士よりもIPA役職員の方が罰則が厳しいのは、制度を運用する側としてある意味当然とも言えます。
【重要】信用失墜行為は違法だが罰則はない
ここを取り違えている方が多いようです。
ネットで検索してみると「信用失墜行為も懲役刑・罰金刑」というのが見受けられますが誤りです。
また、この条文における信用失墜行為というのは、支援士が勤めている組織の信用を失墜させる行為を指しているものではありませんし、相手先の組織の信用を失墜させる行為でもありません。
この法律で禁止している信用失墜行為とは、「情報処理安全確保支援士」そのものの社会的信用を失墜させてしまうことを指しています。
何に対する信用失墜行為なのかという部分について誤解されていることが多いようなので注意すべきところです。
業務で自分が所属する組織の信用を失墜させた場合は、懲戒免職・解雇、諭旨退職、停職、減給、また民法上の損害賠償請求などで内輪で解決するものです。相手先の企業の信用を失墜させた場合は、その企業から民法上の損害賠償請求をされるなど、これも民事訴訟で解決されるものです。
これらは違法行為ではなく「不法行為」といいます。
ですがそれでは、一人の心無い支援士の行動によって侵害された、他に多数存在するまともな支援士の信用を維持することができないので、支援士そのものの社会的信用を損なうような行動を取るのは違法行為であると定めてあるのがこの条文です。
(信用失墜行為の禁止)第二十四条情報処理安全確保支援士は、情報処理安全確保支援士の信用を傷つけるような行為をしてはならない。
本法律第4章の「罰則」の部分で第24条には言及されていません。つまり「信用失墜行為」は罰則対象ではないのです。
もちろん「信用失墜行為」は違法です。罰則がない=合法だと勘違いしないようにしてください。法律で禁止されている以上「信用失墜行為」は違法です。
違法なのになぜ罰則がないかというと、信用失墜行為というのは極めて抽象的なものであり、なにをもって「信用失墜行為」なのかを定義することが難しいからです。
日本の法令では罪刑法定主義といって、何が罪にあたって何が罪にあたらないのかは抽象的な記述ではなく、具体的に明文化されていなければなりません。
「秘密をばらした」り、「情報処理安全確保支援士でもないのに支援士を名乗った」というのは客観的に明確に線引をして罪に該当するか否か判断できるものなので罰則を定めることができます。
よって何をもって「信用失墜行為」にあたるか明確に定義できないため、「信用失墜行為」は罰則対象からはずされ、客観的に明確に判断できる「支援士詐称」と「秘密保持義務違反」が罰則対象なのでしょう。
このように「信用失墜行為」に罰則はありませんが、支援士の取り消しまたは停止はあり得ます。
第十九条2 経済産業大臣は、情報処理安全確保支援士が第二十四条から第二十六条
までの規定に違反したときは、その登録を取り消し、又は期間を定めて情報処理安全確保支援士の名称の使用の停止を命ずることができる
この第19条2項に「第二十四条から第二十六条までの規定に違反」と書かれているので、信用失墜行為の第24条は、取り消しまたは停止の対象だということがわかります。
取り消しと停止の違いは、取り消しは支援士の登録自体が無効になります。2年間経ってから再登録しなければなりません。
停止の場合は登録自体は抹消されずに一応有効ですが、その効力が停止されるということです。「期間を定めて」とあるので、一定期間は支援士と名乗れないがその後は再登録せずに支援士を名乗ることを再開できるということです。もちろん取り消しの方がペナルティは重いです。
このように信用失墜行為は懲役刑や罰金刑などの罰則はないものの、支援士登録の取り消しか停止というペナルティがあるわけです。
まとめ:秘密保持義務違反は1年以下の懲役刑又は50万円以下の罰金刑(ただし親告罪) 支援士の詐称は30万円以下の罰金刑(非親告罪)
秘密保持義務違反が最も重いです。1年以下の懲役または50万円以下の罰金です。ただし親告罪なので、秘密を漏らされた側の被害者が告訴しなければ警察は動きません。
そしてもう一つが「情報処理安全確保支援士」として登録していないのにもかかわらず「情報処理安全確保支援士」を名乗る詐称です。
これは30万円以下の罰金であり懲役刑はありませんが、非親告罪なので警察が認知したら必ず捜査対象になります。詐称された被害者側が「見逃してやってください」とお願いできる余地はありません。
注意すべきなのは、ウェブサイトなどで情報処理安全確保支援士試験「合格」と書くべきところを、「情報処理安全確保支援士です」と書いてしまう違反行為です。単なる試験合格と、合格後に登録して支援士になっているのでは全く違います。
単に試験に合格しただけで未登録なら、情報処理安全確保支援士「試験合格」としっかり「試験合格」まで明記しておき、さらに「未登録」であることも明記しておくべきです。
