2019 年 10 月 16 日
企業が注目すべきサイバーセキュリティに対する国の指針
EU による GDPR(General Data Protection Regulation; EU ⼀般データ保護規則 ※)の発行によって、政府⺠間それぞれに影響を受けます。世界情勢に呼応して、サイバー空間のセキュリティも常に変化しています。
日本の個人情報保護法との相違点も多く、個人情報保護ガイドラインの他に「個人情報の保護に関する法律に係る EU 域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」に基づく対応が必要である。
オリンピックとサイバーセキュリティ
来年 2020 年は東京オリンピックが開催されます。世界中の注目を浴びる第一級のイベントです。裏を返すと世界的な注目を浴びる場所なので、テロリストが狙う価値が高くなる、ということでもあります。実際、ロンドン、リオデジャネイロ、平昌では多数のサイバー攻撃が報告されています。
例えば、リオデジャネイロでは、乗っ取られた IoT 機器から膨大なデータを送信して通信を阻害する DDoS 攻撃が数千万回確認されたとの報告がありますし、平昌では海外の IT サービス提供会社が狙われ、そこからいくつものサーバーを経由して組織委員会を狙う攻撃が確認されました。
物理的な攻撃を島国日本で外国のテロリストが行うのは困難です。そもそも入国が難しいですから。しかし、サイバーテロに国境は意味を為しませんし、組織の枠組みも関係ありません。オリンピックのような一大イベントでは、一般企業でも攻撃の踏み台になりやすいのです。対岸の火事だと思ってサイバーセキュリティ対策を放っておくと、とんでもない犯罪に巻き込まれる可能性があるのです。
国際的なサイバーセキュリティの取組み
国境を意識しないインターネットの世界のマイナス面に対する世界的な連携が始まったのは 2001 年のことでした。EU から「サイバー犯罪条約」締結の提案があったのです。
サイバーセキュリティ対策は自社のみ、或いは日本国内のみの問題ではありません。サイバー犯罪組織は国境を意識せず活動の範囲を広げます。自社へのサイバー攻撃かと思ったら、アメリカやヨーロッパへの攻撃の踏み台になっていた、という事態も十分にあり得るのです。
2003 年にはオンライン上のレイシズム等も禁止事項に加えられ、2004 年に日本も批准し、欧米では 2006 年に条約が発効しました。
ところが、日本では国内法整備が遅々として進まず、ようやくサイバー犯罪条約が発効したのは 6 年も遅れた 2012 年のことでした。
そして 2014 年、「サイバーセキュリティ基本法」が成立し、国際的には遅ればせながらもサイバーセキュリティ対策を官民挙げて推進する体制が固まったのです。
サイバーセキュリティ経営ガイドライン
さて、サイバーセキュリティ基本法以降は、関係省庁から多くのガイドラインが出ることとなりました。
その中でも企業経営者が真っ先に押さえておく必要があるのは経済産業省の「サイバーセキュリティ経営ガイドライン 」でしょう。
このガイドラインが画期的だったのは、サイバーセキュリティ対策を行うことは経営責任であると明確に定義したところです。さらに、別途内閣府より発表された「企業経営のためのサイバーセキュリティの考え方 」では、会社法上の経営責任であるとされました。
誰か担当者をつければ良い、というレベルではありません。トップが率先してサイバーリスクを認識し、担当者に指示する 10 項目まで設定されています。
つまり、情報漏洩事件が発生した場合、経営者が「担当者に任せてあるのでわかりません」などという記者会見をしたら、職務懈怠として株主訴訟の要因にすらなり得るということなのです。
重要インフラの情報セキュリティに係る第 4 次行動計画
次に知っておくべきガイドラインは、内閣サイバーセキュリティセンター(NISC)の「重要インフラの情報セキュリティに係る第 4 次行動計画 」でしょう。「重要インフラ」とは、他に代替することが著しく困難なサービスで、停止、低下又は利用不可能な状態に陥った場合に、国民生活又は社会経済活動に多大なる影響を及ぼすおそれが生じるものであり、次の 14 分野が指定されています。
【重要インフラ 14 分野】
情報通信・金融・航空・空港・鉄道・電力・ガス・政府・行政サービス(地方公共団体を含む)・医療・水道・物流・化学・クレジット・石油そして、このガイドラインでは、情報セキュリティ対策をサプライチェーン末端まで管理するよう要求しています。何か問題が発生した場合、「委託先がやったこと」という言い訳は通用しないということです。
すなわち、この 14 分野と取引がある企業なら、「我が社は情報セキュリティ対策をしっかりやっている」と対外的に証明できないと、仕事が貰えなくなる可能性まであるということです。
高度にシステム化・分業体制が確立した現代、ほんの一行のプログラムミス、ほんの一つのデータ相違、ほんの一台の機器の故障が大事故に繋がることも往々にしてあります。重要インフラに挙げられる業務であれば、委託先であっても意図的・偶発的を問わず大事故の発生要因になり得るのです。
すなわち、情報セキュリティ対策をおろそかにすると、企業の大小を問わず事業継続に関わる問題に発展するケースもあるのです。
インターネットの発達は黒船来航のようなもの
今まで日本は、世界的に見れば安全・安心な社会でした。国民全体のセキュリティ意識が低くても問題なく動いていました。しかし、インターネットに国境はありません。日本も紛争地帯も同じフィールドに立っています。
黒船来航で否応無しに世界に目を向けざるを得なかった江戸時代末期のように、インターネットを使うなら否応無しに世界の情報セキュリティ事情に目を向けなければなりません。「ここは日本だから大丈夫」は通用しないのです。
日本の経済界はまだまだ動きが鈍いようですが、だからこそ政府は多数のガイドラインを提示し、日本の情報セキュリティ水準のレベルアップを図っています。他社と比べて様子見するのも企業戦略の一つかも知れませんが、こと情報セキュリティに関する限り、比べてみるべきは国内企業ではなく国外企業です。インターネットは世界標準なのですから。
情報セキュリティの対策不足によってサイバー攻撃に狙われることのないよう、サイバーセキュリティ関連の指針や動向に注目し、企業としての対策を進めましょう。