法令から見たサイバー防衛の強化(ヘリテージ財団の記事)
写真出展:succoによるPixabayからの画像
ヘリテージ財団の2021年3月24日の記事で、サイバーセキュリティについての記事が発表されていた。今回は法令の観点から、どのようにサイバー防衛を強化するのかが論じられている。日本にも法令はあるが、アメリカのものほど踏み込んだ内容とはなっていない。本記事の提案は、法案改正にとって有益な情報となるだろう。
↓リンク先(Additional Liability Protections Are Needed Against Cyberthreats)https://www.heritage.org/cybersecurity/report/additional-liability-protections-are-needed-against-cyberthreats
1.サイバー関係の法令改正に関する提言について
・連邦法に民間のサイバーセキュリティ対処を強化するインセンティブ が存在するものの、サイバーセキュリティを更に改善するため、微調整する 必要がある。特に、サイバーセキュリティ情報共有法、SAFETY法を改正する 必要がある。
・サイバーセキュリティ情報共有法は2016年に制定されたものであり、国土安全保障省(DHS)が「有益なサイバーセキュリティの情報について、民間、連邦、州、地方自治体、地域及び部族などのあらゆる組織間で強固に共有することを奨励する」権限を与えるものである。一定の要件の下にサイバーセキュリティ目的で情報共有をした場合には、サイバー攻撃による被害に関して免責されるとしている。
・サイバーセキュリティ情報共有法の免責条項の適用を受けるには、一定の要件を満たしていなければならない。その中で、意図的にエラー組み込まれた機器やウィルスに感染したソフトなどによる被害が明確に適用されるのか否かが不明であることから、明確に適用されるようにしなければならない。
また、サイバーの脅威に関する情報を受け取った際、何らかの対策を取った結果として発生した被害に対して、免責されない場合がある。このような条項はあえて対策しないことを誘発してしまうことから、対策の結果に対して保護を与えるべきである。
・SAFETY法は、2001年9月11日のテロ攻撃を受けて成立した法律であり、セキュリティ技術、政策、手続き及びサービスを創設、配備、利用する組織に対する不法行為訴訟の保護を与えている。
・SAFETY法は、その成立からテロ組織によるテロ行為を不法行為訴訟保護適用の要件としているが、近年のサイバー攻撃はテロ行為か否かが不明なものが多々あり、本法の保護要件は不十分であることから、あらゆるサイバー攻撃を対象として保護を与えるべきである。
また、サイバーセキュリティ技術全般についてもテロ行為の防止が要件とされており、このこともセキュリティインフラ更新に二の足を踏ませることになる。サイバー攻撃との格闘には新興のツール及び技術が必要となることから、テロを要件としない情報技術全般を保護の対象とすべきである。
2.日本にとっての教訓
SolarWindsの事件では、死者が1名発生している。サイバーセキュリティの脅威のレベルが上がっていることを示す事件である。
このような状況下において、サイバーセキュリティ企業の責任も増大しており、日本でもある程度の免責条項を設けなければ、日本のセキュリティ企業が成長しにくくなると考えられる。(言い換えれば、サイバーセキュリティソフトや設備が不十分なことで、損害賠償責任を負わされることになると、企業が委縮するということである。)
ただ、財務省などの横やりで、こういった不法行為に対する補償をするような法案にはなりそうにない。内閣サイバーセキュリティセンターの質疑応答でもどの程度の免責がされるのかについては、曖昧である。
サイバーセキュリティ産業は間違いなく成長産業であり、或る程度は国内で対処できるようにしておかなくてはならない。日本においても大胆な法律の改正を求めたいものである。
英文を読んでわからないという方は、メールにて解説情報をご提供させていただきます。なにぶん素人の理解ですので、一部ご期待に沿えないかもしれませんので、その場合はご容赦願います。当方から提供した情報については、以下の条件を守ったうえで、ご利用いただきますようよろしくお願いいたします。
(1) 営利目的で利用しないこと。
(2) 個人の学習などの目的の範囲で利用し、集団での学習などで配布しないこと。
(3) 一部であっても不特定多数の者が閲覧可能な場所で掲載・公開する場合には、出典を明示すること。(リンク先及び提供者のサイト名)
(4) 著作元から著作権侵害という指摘があった場合、削除すること。
(5) 当方から提供した情報を用いて行う一切の行為(情報を編集・加工等した情報を利用することを含む。)について何ら責任を負わない。
この記事が気に入ったらサポートをしてみませんか?