2022年度、政府による重要インフラ事業者へのセキュリティ強化規制が導入される

2021/5/18の日経新聞に「政府は民間が手がける情報通信や電力といった14業種の重要インフラに関し、安全保障上のリスクを避ける共通の規制を設ける。IT機器の調達やクラウド利用などで「安保上の懸念に配慮する」と法律に明記する」との記事が掲載された。

これは、直接的には、5/7に発生した米　コロニアルパイプラインへのサイバー攻撃が石油供給へ大きな影響を与えたことを踏まえた対応といえる。

しかし、数年前から政府は、14業種の重要インフラ事業者へのセキュリティ強化が必要と認識しており、着々とその準備を進めてきており、今回の米国パイプラインへのサイバー攻撃が発生したタイミングを狙って新聞記事にさせたというのが実情ではないかと考える。

規制はどのように行われるのか

具体的な規制としては、業種毎に基本的な事業要件を定めている業法というものが存在し、その業法を2022年度中に改定することで規制を行うことになる。

14業種のなかには、現時点で業法がない業種もあるが、このタイミグで業法が作られる可能性もあるのではないかと考える。

米国、日本とも中国を念頭に国家が支援する形でのサイバー攻撃や情報搾取への警戒を高めており、民間企業もそれへの対応を迫られそうである。

2022年度に業法改正が行われ、各社の情報セキュリティ強化に関する規制が実施された場合、どのようなことが想定されるだろうか？

業法による規制といっても、全くゼロから新たなセキュリティ対策の基準が作られるわけではないと考えられる。

既に各業種には、セキュリティ対策に関する様々な基準、ガイドラインが存在する。

業法では、「それらの基準への準拠状況を確認する仕組み」と「基準に準拠していない場合に許認可取消しや業務停止」を命令できるようにするのではないかと考える。

そのため、各社では、2022年度を待たずに、業種毎の既存のセキュリティ対策に関する基準、ガイドラインへの準拠状況を再確認しておくことが必要ではないだろうか。

セキュリティ対策を実施するには、当然ながらコストが発生する。

上記のように、国が主導して民間企業にセキュリティ対策の強化に関する規制を行うのでれば、各社がその対策を実施しやすいように何等かのインセンティブが必要ではないかと考える。

先日、発表された次期サイバーセキュリティ戦略の骨子の中では、「経営層の意識改革のため、デジタル経営に向けた行動指針の実践を通じ、サイバーセキュリティ経営ガイドラインに基づく取組の可視化・インセンティブ付けを行い、更なる取組を促進」とある。

規制自体もインセンティブの一つであると考えられるが、やはり取組に係るコストへの何らかの減税施策が必要不可欠ではないかと考える。

ここ数年、各社の経営層においても徐々にサイバー攻撃への対策に重要性が認識されはじめて来ている。

しかし、どちらかというと実際に日本でも大きな被害でている個人情報の扱いに関心が集中しており、重要インフラへのサイバー攻撃に関しては、どこか他人事になっていたのではないでしょうか？

今回の米国コロニアルパイプライン社へのサイバー攻撃は、先進国において、実際の石油供給に大きな影響が出たことで、日本でも大きく報道され、注目を集めた。

米国で発生したようなことが、日本で発生しないよう国が規制強化に動き出したことは評価できる。

具体的にどのレベルまでの規制となるかは、今後注視する必要があるが、2022年度に向け、実際に各社がセキュリティ強化への取組を開始することが重要である。