あらけす屋＞情報処理技術者試験

午前問題対策（その他）

品質・情報セキュリティ・プライバシ保護に関する法規・標準/関連法規/規格/標準

品質に関する法規・標準

1. ISO9000シリーズ
   • 顧客満足度の向上を目指した品質マネジメントシステムの規格
   • 品質要求事項を満たすための品質システムの構築と品質マニュアルの作成を要求している
   • ISO 9000:2005(JIS Q 9000:2006)品質マネジメントシステム―基本及び用語
     • 第三者監査に該当するもの：審査機関が依頼を受けた会社の品質マネジメントシステムを監査する
     • 品質マネジメントシステム：品質管理を実施するための組織構造、責任、手順、工程（プロセス）および経営資源
     • 品質マネジメントにおける品質保証：プロジェクトで定めた品質基準を確実に満たすための、計画的かつ体系的な活動のこと
     • 妥当性確認
       客観的証拠を提示することによって、特定の意図された用途又は適用に関する要求事項が満たされていることを確認すること
     • 是正処置
       検出された不適合又はその他の検出された望ましくない状況の原因は除去するための処置
   • ISO 9001:2000(JIS Q 9001:2000)品質マネジメントシステム―要求事項
     • 品質マネジメントシステムの国際規格要求事項を満たす組織を認定する
     • 指定された用途又は意図された用途に応じた要求事項を満たし得ることを確実にするために実施する行為と規定されているもの
       設計・開発の妥当性確認
     • トレーサビリティが要求される製品は、製造番号などによって固有の識別を管理し記録する
     • 内部監査とシステム監査の関係
       ソフトウェアの品質確保の観点から行うシステム監査は、ISO9001:2000の内部監査に相当する場合がある
     • 内部監査についての規定
       内部監査では、品質マネジメントシステムの効果的な実施と維持、個別製品の実現計画や規格要求事項への適合を確認する
     • ソフトウェアの品質マネジメントシステムを構築する方針
       トップマネジメントは、JIS Q 9001に基づいた製品の品質保証にくわえて顧客の満足度の向上を目指し、JIS Q 9004を組織全体のパフォーマンスと効率との継続的な改善の手引きとしてQMS（Quality Management System）を確立・実行・維持し、プロセスの改善を推進する。
       また、QMSに基づいてコスト、納期、安全、環境などの経営要素の維持向上と合わせてTQM（Total Quality Management）を推進する
     • 品質マネジメントの活動
       品質に関する記録は、関係者間での情報共有化のためにサーバに保管している
     • 運用
       よく吟味されて作成された品質マネジメントシステムでも、運用段階で不都合があった場合は、正規の手続きを経て変更する
     • 経営者の責任
       経営者は、品質マネジメントシステムの構築及び実施、改善に対するコミットメントの証拠を示さなければならない
     • 審査登録
       ”品質マネジメントシステムの国際規格要求事項を満たす組織”を審査し登録する
   • ISO 9000-3
     • ソフトウェアの取引において、供給者の責任だけでなく、購入者の責任も規定している
     • 購入者側の責任：受け入れ基準および手続きの明確化
   • ISO 9004:2000(JIS Q 9000:2000)
     品質マネジメントシステムのパフォーマンス改善の指針
2. JIS X 0129-1（ソフトウェアの品質特性 ISO/IEC 9126）
   1. 機能性…ソフトウェアがある目的を達成するために、必要な機能を実装している度合い
      ソフトウェアが、指定された条件の下で利用されるときに、明示的及び暗示的必要性に合致する機能を提供するソフトウェア製品の能力
      • 副特性…合目的性、正確性、相互運用性、標準適合性、セキュリティ
   2. 信頼性…実装している機能が、あらゆる条件の下で機能要件を満たして、必要な時間、正常動作し続けることができる度合い
      • 副特性…成熟性、障害許容性、回復性
        故障時に、指定された達成水準を再確立し、直接に影響を受けたデータを回復するソフトウェア製品の能力
   3. 使用性…ソフトウェアシステムの使いやすさ、使うことにかかる労力、使うことによって得られる結果の善し悪しの度合い
      • 副特性…理解性、習得性、運用性
   4. 効率性…明示された条件におけるソフトウェアがもつ目的達成と、使用する資源量の度合い
      明示的な条件の下で、使用する資源の量に対比して適切な性能を提供するソフトウェア製品の能力
      • 副特性…時間効率性、資源効率性
   5. 保守性…改訂（訂正や環境適合のための改修等を含む）を行うために必要な労力の度合い
      • 副特性…解析性、変更性、安定性、試験性
   6. 移植性…ソフトウェアをある環境から別の環境下に移した場合のソフトウェア能力の度合い
      • 副特性…環境適応性、設置性、規格適合性、置換性

情報セキュリティに関する法規・標準

1. ISO 2700シリーズ（情報セキュリティマネジメント規範）
   • ISO/IEC 27001:2005 (JIS Q 27001:2006) 情報セキュリティマネジメントシステム(ISMS)―要求事項
     • BS7799パート2に基づいて定められた
     • 規定されているもの：経営者の責任が重要であり、コミットメント、経営資源の提供、マネジメントレビューなどに関与しなければならない
     • 情報システムのリスクとその評価：リスクとは、脅威が情報資産の脆弱性につけ込み、情報資産に損失又は損害を与える可能性のこと
     • ISMSの確立に必要な事項の順序
       １．リスクの分析と評価
       ２．リスク対応のための管理目的及び管理策の選択
       ３．適用宣言書の作成
     • BS7799-2
       セキュリティ管理システム構築の枠組み
       1. セキュリティポリシを定める
       2. 情報セキュリティ管理システムの運用範囲を決める
       3. リスクアセスメントを行う
       4. リスクを管理する
       5. 実施すべき管理目的および管理策を選択・追加する
       6. 適用宣言書を作成する
   • ISO/IEC 27002:2005（JIS Q 27002:2006）情報セキュリティマネジメントシステム―実践のための規範
     • 変遷
       • ISO BS7799パート1→ISO 17799→ISO/IEC 27002
       • JIS ISO/IEC 27002→JIS X 5080→JIS Q 27002
       • 組織としてセキュリティを構築運用するためのガイドラインで、情報セキュリティマネジメントの実践のための規範を示したもの
       • 情報セキュリティ管理システム (ISMS) を立ち上げ、実装し、運用するための情報セキュリティ管理に関するベストプラクティスを提供する
       • 情報セキュリティを、機密性、完全性、可用性の三つの事項を維持するものとして特徴付けている
       • 可用性の定義 
         利用者が必要なときに情報資産を利用できることを確実にする
2. ISO/IEC 15408（システム及び製品に関する情報技術セキュリティ評価基準　CC Common Criteria)
   情報システム製品が、セキュリティ用件を満足しているかを評価するための国際標準規格
   評価対象：パケットフィルタリング機能を持つファイアウォール用ソフトウェア
3. JIS X 5070（ISO 15408；情報セキュリティ評価基準）
   • 製品やシステムのセキュリティ機能及び実装のレベルを技術面から評価する基準
   • 品質維持の基準は含まれないが、セキュリティ要件や環境の変化などに伴って行われる評価済み製品の再評価の手順を対象範囲としている
   • EAL（評価保証レベル）による評価
     評価を受けるには、IT製品やシステムのセキュリティ設計仕様が記されたPP（プロテクションプロファイル）を提出する必要がある
   • 評価保証レベルEAL4に相当するもの
     詳細設計書と一部のソースコードや製造図面など、実装を確認するレベル
4. JIS X 5731-8(ITU-T X.509)
   開放形システム間相互接続−ディレクトリ−第8部 認証の枠組み 
   公開鍵証明書の標準形式や証明書パス検証アルゴリズムなどを定めている
5. CC（Common Criteria）
   米国で運用されたTCSECや欧州政府調達のITSECを統合して、標準化が進められた情報技術に関するセキュリティの評価基準
6. 情報システム安全対策基準
   情報システムの機密性、保全性、可用性を確保するために情報システムの利用者が実施する対策項目を列挙したもの
   設置基準、技術基準、運用基準の三つで構成されている
7. ISMS認証基準（情報セキュリティマネジメントシステム適合性評価制度）
   • 情報セキュリティは機密性、完全性、可用性の三つの事項を維持するものとして特徴付けられている
   • 情報セキュリティポリシに関する記述
     情報セキュリティの方針は、事業、組織、所在地、資産及び技術の特徴を考慮して策定する
   • ISMSを導入、運用、改善などするためには、プロセスアプローチを採用することが望ましい
   • 情報セキュリティ基本方針文書は、経営陣によって承認され、全従業員に公表し通知する
   • ベースラインアプローチ
     公表されている基準などに基づいて一定のセキュリティレベルを設定し、実施している管理策とのギャップ分析を行った上で、リスクを評価する
   • ISMS適合性評価制度における情報セキュリティポリシ
     基本方針は、事業の特徴、組織、その所在地、資産および技術の観点から策定する
     • ISMSのPDCAサイクルモデル
       • P:PLANフェーズ：情報資産のリスクアセスメント、セキュリティポリシの策定
       • D:DOフェーズ：運用状況の管理、セキュリティ教育
       • C:CHECKフェーズ：実施状況に対するレビュー、内部監査
       • A:ACTフェーズ：改善策の実施、重要な不適合部分の是正
   • ”情報セキュリティ監査制度：情報セキュリティ管理基準”
     • 情報セキュリティ基本方針の目的
       情報セキュリティのための経営陣の指針及び支持を規定する
       組織内の情報セキュリティを管理するため
     • 利用者のアクセス管理のコントロール
       情報システムにおける特権の割り当て及び使用を制限し、管理すること
     • 助言型監査
     • 保証型監査：監査手続きを実施した限りにおいて、監査対象の情報セキュリティに関するマネジメントやコントロールが適切であることを保証する監査
8. コンピュータ不正アクセス対策基準
   • コンピュータ不正アクセスにより被害の予防、発見及び復旧並びに拡大及び再発防止について、企業などの組織及び個人が実行すべき対策をとりまとめたもの
   • 企業の組織だけでなく個人ユーザも対象としている
   • 構成
     • システムユーザ基準
     • システム管理者基準
     • ネットワークサービス事業者基準
     • ハードウェア・ソフトウェア供給者基準
9. コンピュータウイルス対策基準
   • コンピュータウイルスに対する予防、発見、駆除、復旧などについて実効性の高い対策をとりまとめたもの
   • 構成
     • システムユーザ基準
     • システム管理者基準
     • ソフトウェア供給者基準
     • ネットワーク事業者基準
     • システムサービス事業者基準
10. 不正アクセス禁止法（不正アクセス行為の禁止等に関する法律）
    • ID・パスワードの不正使用やその他の攻撃的手段でアクセス権限のないコンピュータ資源にアクセスすることを禁止する法律
    • 他人のID・パスワードを第三者に教えることも禁止されている
    • 他人のID・パスワードを不正に使用するだけでも対象となる
    • ID・パスワードなどのアクセス制御機能を持たないコンピュータの場合は、管理者の承諾を得ずに侵入しても、ID・パスワードを使用しなくてもアクセスできるため保護対象とならず不正アクセス行為として処罰の対象とはならない
11. 刑法（コンピュータ犯罪防止法）
    コンピュータの不正使用に関する条文を含む法規
    • 電磁的記録不正作出及び供用罪
      • いやがらせを目的に、通信事業者のコンピュータに不正アクセスし、他人の通信記録を書き換えて、通信会社から過大な請求をさせた
      • バーコードは電磁的記録に含まれない
      • 文書性が認められた電磁的記録を改変又は偽造する
      • キャッシュカードを偽造して、他人の銀行口座から現金を引き出した
    • 電子計算機損壊等業務妨害罪
      • オンラインショップのWebサーバに不正アクセスし、ホームページを改ざんしたことで、一定時間オンラインショップを閉鎖させた
      • データやプログラムを改変し、使用目的に反する動作をさせ、業務の遂行を妨害する
      • 原本データが格納されている磁気ディスクを破壊して、帳票の出力をできなくした
    • 電子計算機使用詐欺罪
      • 銀行のパソコンバンキングシステムを悪用して、偽りの振込送金情報を与えて、特定口座へ資金を移動して不当な利益を得た
      • インターネットを経由して銀行のシステムに虚偽の情報を与え、不正な振込みや送金をさせる
      • データやプログラムを改変し、不法な利益を得る
      • プログラムを改ざんして、自分が出資している取引先への納品量を水増しした
    • 電磁的公正証書原本不実記録罪
      • 転入届の際に事実と異なる情報を届け出て、住民台帳システムに登録させた
    • 電磁的記録毀棄の罪
      • 文書性が認められた電磁的記録を破壊又は消去する
12. インターネットの各種技術の標準化を進めている任意団体IETFは技術仕様をRFCとして発行しており、セキュリティ分野にはRADIUSやLDAPの仕様がある

プライバシ保護に関する法規・標準

1. OECDのプライバシガイドライン
   • 基本8原則
     • 収集制限の原則
       法律の規定による場合には、個人データの収集ができる
     • データ内容の原則
     • 目的明確化の原則
     • 利用制限の原則
     • 安全保護の原則
       個人データは紛失もしくは無制限アクセス・破壊・使用・修復・開示の危険に対し、合理的な安全保護措置により保護されなければならないことを定めている
     • 公開の原則
     • 個人参加の原則
     • 責任の原則
2. 個人情報保護法(個人情報の保護に関する法律)
   • 個人情報の不適切な取り扱いによって、個人の権利利益が侵害されることを未然に防止する
   • 対象としている個人情報
     生存している個人に関する情報に限られる
   • 要件
     • 本人の同意を得ずに個人情報を第三者に提供してはいけない
     • 利用目的の達成に必要な範囲を超えて個人情報を扱ってはならない
     • 個人情報の利用目的をできる限り特定しなければならない
       情報主体から直接に個人情報を収集する場合には、必ず情報主体に収集目的を通知しなければならない
     • 本人の求めに応じて保有個人情報を開示しなければならない
     • 個人情報を正確かつ最新の内容に保つよう努めなければならない
   • 個人情報取扱事業者が、自社の提供サービスに関して、住所や氏名を記入させるアンケート調査を実施する場合の留意点
     • NG
       アンケート実施時に特には言及せずに、回答者へ新製品発表会の招待状を郵送する
     • OK
       アンケートの回答者には特別なプレゼントを用意するなど、回答率を高めるための施策を実施する
       アンケート用紙に、質問票とその回答情報の利用目的を並記しておく
       ブラウザの画面でアンケート調査を行う場合も、紙で行う場合と同じ規定を適用する
   • 個人情報に該当しないもの
     顧客のアンケート結果を統計処理し、年齢別に集約したデータ
   • 個人情報保護法の中で規定された、個人情報の取り扱いに関する不正行為に対して用意されている仕組み
     苦情処理の制度及び主務大臣が個人情報取扱事業者に対して行う報告の徴収、助言、勧告又は命令
3. 行政機関個人情報保護法および保護条例
   • 行政機関の保有する電子計算機に係る個人情報の保護に関する法律
     国の行政機関だけを対象としており、民間の保有する情報は保護の対象外
4. 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律（プロバイダ責任制限法）
   Webサイトの掲示板に個人のプライバシを侵害する書き込みがあった場合などの事例に対し、プロバイダや掲示板の運営者の責任範囲を定めたもの
5. 個人情報の保護に関するガイドライン
   • 厚生労働省
     医療・介護事業者における個人情報の適切な取り扱いのためのガイドライン
   • 金融庁
     金融分野における個人情報保護に関するガイドライン
   • 総務省
     電気通信事業における個人情報保護に関するガイドライン
   • 経済産業省
     個人情報の保護に関する法律についての経済産業分野を対照とするガイドライン
     • 物理的安全簡易措置
       個人データを取り扱う情報システムを、ICカードによる入退室管理を実施している室内に設置する
6. JIS Q 15001:2006
   • 個人情報を事業の用に供している、あらゆる種類、規模の事業者に適用できる個人情報保護マネジメントシステムに関する要求事項
   • 事業者が、一般に公開されている個人情報を使用して継続的にダイレクトメールを送付する場合、JIS Q 15001:2006に規定された通知事項を本人に通知し、同意を得れば送付できる
   • JIS Q 15001の内容を満たしていると認められる場合にその旨を示すプライバシマークが付与される
     • プライバシーマーク制度
       個人情報の取扱いについて、財団法人日本情報処理開発協会（JIPDEC）が運営し、適切な保護措置を講ずる体制を整備し運用している事業者を認定する制度

関連法規

1. 知的財産権（知的財産法）
   • 知的所有権/知的財産権
   • 産業財産権
     • 特許権（特許法）
     • 実用新案権（実用新案法）
     • 意匠権（意匠法）
     • 商標権（商標法）
   • 著作権
     • 著作権（著作権法）
       • 著作財産権 
       • 著作者人格権：著作者人格権は著作者に専属し、他者には譲渡できない
     • 著作隣接権（著作権法）
   • その他
     • 肖像権
     • 営業秘密（不正競争防止法）
2. 知的財産基本法
   知的所有権について定めた法律
3. 著作権法
   • 著作物を創作した時点で権利が発生する
   • 個人の著作物の保護機関化終了するのは、著作者の死後50年
   • 法人が作成し、公開、販売したソフトウェアの著作権の権利期間は公開から50年
   • 日本国内においては、著作物に著作権表示が明記されていない場合でも、無断で複製して配布したときには著作権の侵害になる
   • 特許権の場合、独自の発明の実施であっても、先に権利を取得した人がいれば権利の侵害になるが、著作権では、独自の創作であれば、結果として同じものを創作しても権利の侵害にはならない
   • 著作権者の許諾なしに公衆に情報を送信する行為は、サーバに情報を蓄積するか否かにかかわらず権利侵害となる
   • ソフトウェア／プログラムの著作権
     • ソフトウェアには、著作権の移転や権利の設定にかかわる登録制度が設けられている
     • ソースプログラムとオブジェクトプログラムの両方とも著作権法によって保護される
     • プログラム言語や規約（アルゴリズム）は保護の対象としていない
     • 著作物を作成するために用いるプログラム言語や規約は、著作権法による保護の対象外
     • 使用許諾契約の場合、使用者は著作権を取得できない
     • 他人の著作物であるプログラムを購入し、自社のパソコンでより効果的に利用するために（パフォーマンスを上げるために）改変を加える事ができる
     • 使用許諾を受けている購入プログラムを、著作者に無断でコピーし、子会社に使用させた場合、著作権法に抵触するおそれがある
     • 特に取り決めのない場合、労働者派遣契約によって派遣された派遣労働者が派遣先企業の指示の下に開発したプログラムの著作権の帰属先は派遣先企業にある
     • 開発されたプログラムの著作権の帰属に関する規定が契約に定められていないとき、著作権の原始的な帰属は請負の場合は発注先に、派遣の場合は派遣先に帰属する
     • A社は、B社と著作物の権利に関する特段の取決めをせず、A社の要求仕様に基づいて、販売管理システムのプログラム作成をB社に依頼した場合のプログラム著作権の原始的帰属
       B社に帰属する
     • プログラム開発における職務上の著作について、就業規則などに特段の取決めがない限り、権利は法人に帰属する
     • 適法の例
       • 処理速度を向上するなど、効果的利用のためにプログラムの改変を行った
       • 購入したソフトウェアをバックアップコピーする
     • 違法の例
       • 海賊版を複製したプログラムと事前に知りながら、業務で使用した
       • 業務処理用に購入したプログラムを複製し、社内教育用として各部門に配布した
       • 職務著作のプログラムを、作成した担当者が独断で複製し協力会社に貸与した
       • 違法な複製を防止する技術的保護手段を解除しコピーする行為やそのためのツールを製造・販売・配布する行為
   • webページの著作権
     • 特定の分野ごとにWeb ページのURLを収集し、簡単なコメントをつけたリンク集は、著作権法で保護される
       マルチメディアの素材集（画像データや効果音など）をソフトウェア販売店で購入し、自社の Web ページ作成時に利用しても、使用許諾の範囲内で使用していれば、著作権法違反にはならない
     • Webページを作成する際、著作権者に確認せずに行った著作物利用
       • 適切なもの
         • 車の販売台数を説明するために、通商白書の統計データをそのまま使って図表化し、Webページに活用した
       • 不適切なもの
         • カーテン記事のカタログに掲載された図柄が、著名デザイナ制作のもので、背景に適切だったので、スキャナで取り込んで、色を変更して活用した
         • 最新情報を提供するために、新聞の写真をスキャナで取り込んで活用した
         • 雑誌のイラストを加工して、Webページ上の自社広告に活用した
   • DMR(Digital Rights Management)
     ディジタル化された音楽や動画などの著作権を保護し、コピーを制限するなどの技術の総称
     著作権者の意図に沿って複製や頒布をコントロールするために利用される
4. 特許法
   • 先願主義であり、一番早く出願した人に特許が与えられる
   • 原則として、出願前に自ら発表して公知となった発明は特許登録できない
   • 有効期限は願を行ってから20年間（ソフトウェア特許、ビジネスモデル特許含む）
   • ビジネスモデル特許
     インターネットやコンピュータを利用したビジネスの方法を対象とした具体的なビジネスモデルに対して登録が認可される
   • ソフトウェア特許の保護の対象
     ハードウェアと関連づけられた場合に特許の保護の対象とされる
     アルゴリズムは特許の対象となる
     例）高圧縮率を実現する、新しいデータ圧縮プログラムを記録した記録媒体
5. 意匠法
   形状のデザインが美しいパソコンは、意匠として登録できる
6. 不正競争防止法
   企業の経営計画や経営方針または店舗ごとの売り上げや顧客情報などの営業秘密に当たる情報を保護するために、企業とその情報に触れるものとの間で秘密保持契約を締結する必要がある
   • 違法行為の例
     • 市場において広く知られている他社の商品表示と類似の商品表示を用いた新商品を販売する
     • 広く知られた商品の表示に類似した表示を使用した商品を販売する
   • 営業秘密（トレードシークレット）
     ”社外秘”の表示をして施錠したロッカーに保管され、公然とは知られていない生産方法に関する情報
     特許は技術情報を公開した上で保護されるが、トレードシークレットは秘密として管理されていることを条件として保護される
   • 不正競争防止法で保護されるもの
     秘密として管理している事業活動の非公開の顧客名簿
     事業活動に有用な技術又は営業上の情報で、秘密として管理されているもの
7. 電子帳簿保管法
   • 国税関係帳簿を磁気媒体で保存する場合、あらかじめ所轄の税務署長の承認が必要となる
   • 国税関係帳簿書類を電磁的記録として保存するには、これらを作成するシステム関係書類も備え付けておく必要がある
8. 下請代金支払遅延等防止法
   下請事業者は、親事業者が受領検査をするか否かにかかわらず、親事業者の受領日から起算して60日以内に、代金を受け取ることができる
   • 下請け業者から納品されたプログラムに、下請け業者側の事情を原因とするバグが発見され、プログラムの修正が必要となった時、支払期限を改めて定めようとする場合、下請代金支払遅延等防止法上認められている期間（60日）の起算日は修正済みプログラムが納品された日
   • ソフトウェア開発を下請け業者に委託する場合に禁止されている行為
     下請業者に委託する業務内容は決まっているが、ユーザ側との契約代金が未定なので、下請代金の取り決めはユーザとの契約決定後とする
   • 下請業者から受領したプログラムの返品を禁止している場合
     親事業者と顧客との間の委託内容が変更になり、すでに受領していたプログラムが不要になった場合
9. 通信傍受法
   傍受を実施する際、電気通信事業者は正当な理由なく協力を拒んではならない
10. 製造物責任法（PL法）
    製造物を引き渡した時点での科学または技術では欠陥を認識できなかった場合、その欠陥によって被害が発生しても、製造者に責任を負わせる事はできない
11. 会社法
    委員会設置会社における企業統治に関して、執行役の選任は取締役会が行うよう規定している
12. 労働安全衛生法
    月100時間を越える時間外労働など、省令に定められる要件に該当する従業員がいる場合、企業は医師による面接指導を受けさせなければならない
13. e-文書法
    各法令によって保存が義務付けられている文書について、電子化された文書ファイでの保存を可能とするもの
14. 電子署名及び認証業務に関する法律（電子署名法）
    • 電子署名とその認証に関する規約を定め、電子署名が手書き署名や押印と同様に通用する法的基盤を整備し、情報流通の促進を目的としたもの
    • 特定の認証業務については認定制度があるものの、一般の認証業務について許認可制度を設けていない
    • 電子署名とは、それを施した電磁的記録に記録することができる情報が作成者本人のものであることを示し、かつ作成後に改変されていないことを確認する措置のこと
    • 将来新しい技術が誕生する可能性を考慮し、認証方式を特定のものに定めていない
    • 電子証明された電磁的記録が真正に成立したものと推定するという意味は、その電磁的記録は電子署名した者の意志内容を示していると裁判上推定されるということである
15. 電子契約法（eコマースの契約）
    • 電子メールによる購入申し込みにおいて意思表示の効力が発生するのはメールが到達した時点
    • 消費者の操作ミスによる申し込み行為は錯誤により無効となる
    • 申し込み最終段階で契約内容の確認訂正のための画面が用意されている場合は、「消費者の操作ミスによる申し込み行為は錯誤により無効となる」は適用外となる
    • サービス提供者が定めた約款の具体的内容を消費者が知らなかったとしても、約款の存在を前提に契約が行われ、消費者が容易に約款の内容を確認できるような措置が取られていれば消費者は約款の内容に原則として拘束される
    • サーバーモールにおける売買契約は、出店者と消費者の間での契約でありモール運営者は売買契約には関係しないため、原則として売買に関する紛争にモール運営者が介入する義務はない
16. 特定商取引法
    • インターネット通販事業者が広告中に記載する項目として要求されているもの
      • 価格（送料別の場合は送料も含む）
      • 商品の引き渡し時期
      • 返品の可否と条件
      • 有効期限がある場合にはその期限
      • 販売事業者の代表者または責任者の名前
17. 金融商品取引法（日本版SOX法）
    従来の金融証券取引法の枠を拡大し、有価証券に関わる情報開示義務（ディスクロージャ義務）や投資勧誘説明義務、市場の公正さを維持して一般投資家を保護するための経営者責任の諸事項が盛り込まれている

規格

1. JIS X 7011(EDIFACT)
   EDIに対して、EDIにおける標準メッセージなど、対象となる情報データをお互いのコンピュータで理解できるようにするための取決めが規定されている
2. 世界貿易機関（WTO）の”貿易の技術的障害に関する協定”（TBT協定）が加盟国に義務付けているもの
   国内強制規格を策定する場合には国際規格を基礎として使用すること
3. TRIPS協定
   GATTウルグアイラウンドの協定
   知的財産権の全般的保護に関する国際条約

標準

1. ソフトウェア管理ガイドライン
   経済産業省が策定
   ソフトウェアの違法複製などを防止するために法人団体などがソフトウェアを使用するに当たって実施すべき事項を取りまとめたもの
   ソフトウェアの使用許諾契約の内容は、ソフトウェアユーザ全員に周知徹底する必要がある
2. システム管理基準
   • 経済産業省が定めた基準
   • 情報システム戦略に基づき、効果的な情報システム投資のための、また、リスクを低減するためのコントロールを適切に整備・運用するための実践規範
   • 運用業務におけるソフトウェア管理に該当するもの：プログラムの違法コピーが発生しないよう教育する
   • 全体最適化に含まれる作業：情報システム基盤の整備計画の策定
3. システム開発と取引のための共通フレーム2007(SLCP-JCF2007 ； Software Life Cycle Processes-Japan Common Frame 2007)
   • 作成の目的
     • システム開発作業全般にわたって”共通の物差し”や”共通語”を使うことによって、作業範囲・作業内容を明確にし、購入者（取得者）と供給者の二者間取引に共通の物差しを用いて取引を明確化すること
     • ソフトウェアを中心としたシステムの開発及び取引を可視化できる、契約者双方の共通の枠組み
     • 顧客と開発ベンダの受発注契約にかかわる取引以外に、社内の部門間取引も対象に規定している
     • システム開発作業をJIS X 0160に基づいてプロセス、アクティビティ、タスクの3階層構成で定義している
   • 適用方法
     プロジェクトの環境、特性、開発モデルや手法にあわせ、プロセスやアクティビティを選択し組み立てる
   • 構成
     • 主ライフサイクルプロセス
       1. 取得プロセス
          • 開始（要件の定義と分析など）
          • 提案依頼書の準備
          • 契約準備及び更新
          • 供給者の監視
          • 受け入れ及び完了
       2. 供給プロセス
          • 開始
          • 提案書の準備
          • 契約締結
          • 計画立案
          • 実行及び管理
          • レビュー及び評価
          • 納入及び完了
       3. 契約の変更管理プロセス
          取得者と供給者間で変更内容の合意を導くプロセス
       4. 規格プロセス
          • プロセス開始の準備
          • 情報戦略の立案
          • 情報システム構想の立案
          • システム計画の立案
       5. 要件定義プロセス
          業務システムのIT化範囲と機能の内容について利害関係者間の合意を目的とするプロセス
       6. 開発プロセス
          • プロセス開始の準備
          • システム要件定義
          • システム方式設計
          • ソフトウェア要件定義
          • ソフトウェア方式設計
          • ソフトウェア詳細設計
          • ソフトウェアコード作成及びテスト
          • ソフトウェア結合
          • ソフトウェア適格性確認テスト
          • システム結合
          • システム適格性確認テスト
          • ソフトウェア導入
          • ソフトウェア受入れ支援
       7. 運用プロセス
          • ソフトウェア製品やシステムの運用
          • 利用者に対する運用支援
       8. 保守プロセス
          問題発生、改善要求、環境変化への適応のためにソフトウェア製品及び関連文書を変更する
          修正されたシステムの完全性の確認のため保守レビューを行う
     • 支援ライフサイクルプロセス
       • 文書化プロセス
       • 構成管理プロセス
       • 品質保証プロセス
       • 検証プロセス
       • 妥当性確認プロセス
       • 共同レビュープロセス
         取得者と供給者がプロジェクトの状況や成果物について評価し、共同レビュー手法を用いて調整、合意する
       • 監査プロセス
       • 問題解決プロセス
       • ユーザビリティ（使用性向上）プロセス
     • 組織に関するライフサイクルプロセス
       • 管理プロセス
       • 環境整備プロセス
       • 改善プロセス
       • 人的資源プロセス
       • 資産管理プロセス
       • 再利用プログラム管理プロセス
       • ドメイン技術プロセス
     • システム監査プロセス
       情報システム全体にわたる信頼性、安全性、効率性をチェックする
     • 修正プロセス
       組織やプロジェクトの特性に合わせて共通フレームを部分的に変更するための要求事項をまとめたもの