相次ぐ企業規制強化の記事

　2022年2月24日から開始されたロシアのウクライナへの軍事侵攻は、安全保障および国家支援によるサイバー攻撃に対する意識を今一度再考するきっかけとなっている。特に国民の生活の基礎を支える重要インフラを担う企業にとっては、決して他人事ではないだろう。

　この有事が起こる前、日経新聞は2021年12月20日付けの「重要インフラ、サイバー防衛義務付け」という記事の中で、政府が策定している行動計画に「経済安全保障を重視する方針を盛り込む」と報じた。共同通信は1カ月後の2022年1月22日付けの「サイバー攻撃対策、経営責任に」という記事で「情報漏えいなどによる損害の発生で会社法上の賠償責任を問われる可能性があると示し（以下略）」と報じている。

　どちらの記事も21年の北米パイプラインのサイバー攻撃、国内の地方病院のサイバー攻撃被害を引き合いに出している。7年前のウクライナ大停電（ロシアのサイバー攻撃とされる）や三菱電機・NEC（日本電気）ら国内防衛産業を狙った攻撃事例にも触れている。しかし、記事本文は、それぞれの事例や取材内容、政府方針などを並べているだけで、行動計画の主旨、背景事例との因果関係は明言していない。

　平均的な論理思考を持つ人なら「政府は、国家がからむサイバー攻撃の激化に伴い、安全保障の観点から政府および民間企業を含む重要インフラ関係事業者に罰則を含む規制を考えている」と読み取れる内容になっている。

　また産経新聞は独自情報として、総務省が電気通信事業者の情報管理責任者の解任命令をできる法案が検討されていると報じている（2月3日付け）。これはLINEのユーザー情報が海外データベースに保存されていたことを見据えた対策法案と思われる。

重要インフラセキュリティの行動計画が目指すところ

　日本においてもサイバーセキュリティが、国家安全保障の重要事項であることは論をまたない。ナショナルセキュリティの視点から、民間といえども重要インフラ事業者にはなんらかの規制や規則で守りを強化することに異論はない。むしろもっと議論を深めるべきだろう。


　だが、セキュリティ対策を強化する目的で攻撃被害者の罰則を強化することは慎重に考える必要がある。そもそも、上記の記事がいう「行動計画」とは、内閣が進める「重要インフラの情報セキュリティ対策に係る行動計画（案）」のことで、これは、サイバーセキュリティ基本法を根拠とした重要インフラ事業に関するセキュリティ対策の指針を示すものだ。しかも（案）となっているとおり、行動計画を詰めるためのたたき台だ。

　書かれている内容も、ISMSやISO27001といったセキュリティマネジメントで規定されている指針や基準に沿ったもので、安全保障の観点はない。昨今のサイバー攻撃事情と重要インフラが置かれている状況を踏まえて、経営層のコミットメント、サプライチェーンへの対策、業界の情報共有、特にインシデント対応体制の強化など細則・各論が強化されているが、言ってしまえば、IPAが中小企業向けに公開している「中小企業の情報セキュリティ対策ガイドライン」などと本質部分は変わらない。

【次ページ】規制や罰則強化で統制を図る愚