セキュリティ関連ハード・ソフトローの動き
セキュリティは法務分野にも重要な事項になった
EUではインターネットに接続する製品に一定のセキュリティ水準の充足を義務付けるCyber Resilience Actが2024年には施行される見通しであるとか、各国のAIガイドラインでもセキュリティに関する原則が織り込まれるなど、セキュリティに関する関心は技術系の業務に携わる人に留まらず、むしろ法務系にとって重要なマターになってきている。
この記事では、2024年3月15日時点でのセキュリティに関するハードロー・ソフトローの動向についてメモしておく。
セキュリティ関連ソフトロー・ハードロー
EU Cyber Resilience Act
2024年中施行。
ネットワークに接続する全てのソフトウェア・製品は、製造時、販売時に一定のセキュリティ水準を満たし、CEマークを付されなければならない(すなわち水準未達であればEU市場で販売できない)。
参考
AI Actと同じくリスクベースアプローチで、
Class Ⅱ、Class Ⅰ、通常カテゴリ、の3つに分類され、各水準を満たす必要がある。
対象製品の例
ただし医療機器、航空機、自動車など既存のルールでカバーされているもの、オープンソースソフトウェアなどは除外されている。
なお、この規則を遵守することでAI Act上のセキュリティ要件も満たしているものとされる。
条文
NIS2 Directive
2024年10月18日施行。
改正により適用範囲が拡大。
リスクマネジメント、通報などの義務が拡大。
条文
NIST Cybersecurity Framework 2.0
アメリカの機関であるNISTが定めるサイバーセキュリティフレームワーク。
直接的な法令ではないが、セキュリティ対策の標準として、経産省のガイドラインなどでも参照される。
経産省「サイバー攻撃による被害に関する情報共有の促進に向けた検討会の最終報告書」、「攻撃技術情報の取扱い・活用手引き」及び「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」
https://www.meti.go.jp/press/2023/03/20240311001/20240311001.html
サイバー攻撃の情報を社会全体で共有し、同様の被害を防ぐための情報共有のあり方に関する検討資料。
モデル条項では支援企業による情報共有を正当化するモデル条文が提示されているが、現状でもセキュリティ企業は被害企業を特定しない範囲でサイバー攻撃情報を活用しているので、真面目にこの条文を用いる正直者が馬鹿を見そうな気がしなくもない。
IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめ
https://www.meti.go.jp/press/2023/03/20240315005/20240315005.html
IoT機器のセキュリティ評価・可視化の制度構築のための検討資料。
IPAが認証機関になる方向性。
Cyber Resilience ActのECマークっぽい。
セキュリティ要件・適合基準はCyber Resilience Actを含めた諸外国の要件を全てカバーするという野心的な内容だが、厳しすぎて認証されるものが限られる事態にならないだろうか懸念したが、☆1〜4までのレベル別基準になっている。
パブコメ(2024年3月15日から2024年4月15日まで)で☆1セキュリティ要件・適合基準案が公示されている。
この記事が気に入ったらサポートをしてみませんか?