■経済産業省制定の情報セキュリティ・ガイドライン
　旧通商産業省が「コンピュータウイルス」に関する情報セキュリティのガイドラインを制定したのは、1990年であった。その後「情報システム安全対策基準」や「コンピュータ不正アクセス対策基準」が設けられ、それらは直接的な法的拘束力はないものの、一般に「情報化社会」の実務に則していたため、効果的な「指針」として機能してきた。

　「コンピュ－タウイルス対策基準」は初めて「ウイルス」について定義し、その機能を3つに分類した後、評価し、その対策基準を使用対象者別に5つの基準に整理している。システムユーザ基準、システム管理者基準、ソフトウェア供給者基準、ネットワーク事業者基準、システムサービス事業者基準がそれである。なかでも、システムユーザ基準（ソフトウェア管理・運用管理・事後対応・監査）は18項目、システム管理者基準（コンピュータ管理・ネットワーク管理・運用管理・事後対応・教育・啓蒙・監査）は31項目にわたり、詳細に「ウイルス」に対する「管理基準」を設けている。

　また1995年には、従来の基準が見直されて「情報システム安全対策基準」が設けられた。これは、自然災害や機器障害などへのリスク防止およびリスク対応策をまとめたものである。設置基準、技術基準、運用基準の3基準からなり、「リスク回避」の計画策定に効果的な内容となっている。

　さらに1996年には、「コンピュータ不正アクセス対策基準」が設けられた。「不正アクセス」についての定義がなされ、使用対象者別に4つの基準に整理されている。システムユーザ基準、システム管理者基準、ネットワークサービス事業者基準、ハードウェア・ソフトウェア供給者基準がそれである。システムユーザ管理基準は、パスワード・ユーザID管理、情報管理、コンピュータ管理、事後対応、教育・情報収集、監査について、システム管理者基準は、管理体制の整備、システムユーザ管理、情報管理、設備管理、履歴管理、事後対応、情報収集・教育、監査についてまとめられている。この基準は、後に「不正アクセス禁止法（2000年）」に発展する。

■高度情報化社会のコンピュータ犯罪
　コンピュータ情報ネットワーク社会の到来により、コンピュータを利用した犯罪は増加の一途をたどっている。それは、匿名性に加えて、遠隔操作や証拠隠滅、不特定多数への攻撃が容易といった特徴があるため、罪悪感をともなわないで行われる傾向がある。

　一般に刑法においては、コンピュータ犯罪に関して3つの罰則が適応されている。

　これらの犯罪に「不正アクセス」「ネットワーク利用犯罪」を含めると、企業内外を問わず2005年・1年間での検挙数が3,000件を超えている。なかでも、企業として特に警戒すべきは、2005年に前年から倍増した「不正アクセス」（277件）である。2000年に施行された「不正アクセス禁止法」で、不正に入手したID・パスワードでの「なりすまし」による情報ネットワーク侵入、セキュリティホールの脆弱性をついた不正侵入、不正に入手したID・パスワードを許可なく第三者に漏らす「不正アクセス助長」行為は、厳しく罰せられることになった。企業が不正アクセスを受けた場合、データ改ざん、情報盗難、情報システムの破壊など、企業活動そのものへの「損害」は計り知れない。経済産業省の情報セキュリティ・ガイドラインは、企業に「リスクアセスメント」を促し、ISO27001の取得を求める一助にもなっているのである。