取引先や海外子会社等のサプライチェーンを経由したサイバー攻撃が増加の一途をたどるなか、サプライチェーン全体を俯瞰したサイバーセキュリティー対策を強化すべく、各国・地域の法規制の最新動向を把握することが重要である。
そこで、経団連は9月12日、東京・大手町の経団連会館で「サイバーセキュリティーセミナー」を開催した。米国コビントン&バーリング法律事務所のアシュデン・ファイン弁護士、ヤン・ルオ弁護士、マーク・ヤング弁護士から、米国・中国・欧州におけるサイバー関連法規制の最新動向等について説明を聴いた。概要は次のとおり。
■ 概観
各国・地域に共通するサイバーセキュリティー関連法制度の最近の特徴として、(1)さまざまな規制の複層化(2)規制対象の拡大(3)違反した場合の制裁金の高額化――等が挙げられる。こうした法規制は、システムやデータの防御、インシデント発生時の政府への報告義務等に大別される。
■ 米国
ホワイトハウスが2023年3月に公表した「国家サイバーセキュリティー戦略」では、サイバーセキュリティー強化策の5本柱((1)重要インフラの防御(2)脅威アクターへの対抗(3)安全と強靭性を促進するための市場形成(4)強靭な未来への投資(5)共通目標を追求する国際パートナーシップの構築)が示されている。7月には、広範な分野を網羅した今後3年間の実施計画も公表されたところである。
同戦略の特徴として、最低限のセキュリティー要件の義務化や、重要インフラの安全性確保に向けたサービス提供者の責務の明確化等が挙げられる。
■ 中国
中国では、サイバーセキュリティー法(17年6月施行)、データセキュリティー法(21年9月施行)、個人情報保護法(21年11月施行)の三つの法律のもと、外国企業に法令遵守を義務付けている。
とりわけサイバーセキュリティー法のもとでは、公共通信やエネルギー、交通等の重要情報インフラ施設の運営者に対する義務が強化されるとともに、ネットワーク運営者に等級保護(Multi-Level Protection)の実施が義務付けられている。これは、情報システムのセキュリティー等級を国家安全や社会秩序、公共の利益等の観点から5段階に分類するもので、ネットワークセキュリティーの管理体制に対する公的認証スキームは、企業にとって負担となっている。
■ EU
EUでは、23年1月に改正NIS2指令(Network and Information Systems Directive=改正ネットワークおよび情報システム指令)が発効した。重大なインシデントを認識してから、(1)24時間以内に早期警告(2)72時間以内に当該早期警告の情報を更新し、重大なインシデントの影響度や侵害の兆候等に関する初期評価――を通知することとされた。
さらに、24年初頭の採択が見込まれているサイバーレジリエンス法(草案)においては、EU市場で販売されたすべてのデジタル製品を対象に、SBOM(Software Bill of Materials=ソフトウエア部品表)(注)の作成や更新プログラムの提供といった、セキュリティー要件への適合が必要となる。
■ 総括
企業は各国・地域におけるサイバーリスクと規制を適切に認識したうえで、社内体制を整備するとともに、デュー・ディリジェンス対策を講じ、ベストプラクティスの共有等を通じて、サイバー脅威への即応力を高める必要がある。
(注)製品に含むソフトウエアを構成するコンポーネントや依存関係、ライセンスデータ等をリスト化した一覧表。SBOMを活用することで、サプライチェーンに潜む脆弱性やライセンス違反等、リスクの可視化が可能となる
【産業技術本部】