欧州委はサイバーセキュリティー強化策も提起－2017年EU一般教書演説の注目点（7）－

背景にはサイバー攻撃などの増加

「サイバーセキュリティー・パッケージ」は、欧州委のジャン＝クロード・ユンケル委員長が9月13日の一般教書演説で言及したもので（2017年10月13日記事参照）、その後、9月19日にアンシプ副委員長らが、非個人データの域内の自由移動の枠組みに関する規則案と同時に、記者会見で説明を行った（2017年10月20日記事参照）。

今回の発表の背景には、近年のデータの詐取や政府の不安定化などを狙うサイバー攻撃、サイバーセキュリティー・インシデントの増加と、それに伴う経済的影響への懸念がある。パッケージ全体を総括するコミュニケーション（政策指針）に加えて、次の3点が主要な文書となる。

（1）「欧州ネットワーク・情報セキュリティー庁（ENISA）、『EUサイバーセキュリティー庁』および『ICTサイバーセキュリティー認証』に関する規則案」（サイバーセキュリティー法案）

（2）「大規模サイバーセキュリティー・インシデントおよび危機への対応の協調に関する勧告」

（3）「現金以外の支払い手段に関する詐欺・偽造対策のための指令案」

産業界は認証制度の新設には懐疑的

（1）の「サイバーセキュリティー法案」は、従来、期限付きとなっているENISAの権限を無期限とした上で人員・予算ともに拡充し、サイバー攻撃の予防・対策において加盟国を支援する「EUサイバーセキュリティー庁」へと発展させるものだ。その取り組みには「汎（はん）欧州サイバーセキュリティー訓練」の実施や、「情報共有分析センター」設置による脅威情報・知識の共有などが含まれる。

同法案には、将来のIoT（モノのインターネット）の普及を見据え、製品とサービスの域内共通のセキュリティーレベルや認証制度の枠組みなどを規定する「サイバーセキュリティー認証」の創設も含まれている。域内における複数の制度の並立・重複を解消し、企業にかかる管理負担やコストを軽減することが目的だが、企業による認証の利用は任意とされている。提案では、加盟国の認証監督機関からなる「欧州サイバーセキュリティー認証グループ」の支援・専門的助言・緊密な協力の下、ENISAが認証制度の草案を作成し、欧州委が採択する制度となっている。

EUの情報通信技術（ICT）関連産業団体のデジタルヨーロッパは、サイバーセキュリティー促進に向けた欧州委の姿勢を歓迎したものの、認証制度に関しては、国際的な標準・認証と、産業界の密接な関与が重要との立場を表明。認証制度よりも、産業界の「自主的な行動規範の方が、信頼性が高く実施可能なアプローチであり、推奨されるべきだ」との見解を示した。

効果的な法執行を通じてサイバー犯罪を抑止

（2）の「大規模サイバーセキュリティー・インシデントおよび危機への対応の協調に関する勧告」には、EUレベルの大規模なサイバー危機への対応の手続きを提案した「迅速な危機対応の青写真」が含まれている。また、同勧告は加盟国とEU機関に対して、「青写真」の目的と方法論を踏まえた「サイバーセキュリティー危機対応枠組み」の策定を要請している。

（3）の「現金以外の支払い手段に関する詐欺・偽造対策指令」は、サイバー犯罪に対する抑止力として、犯罪の探知と追跡、起訴に重点を置いた効果的な法執行が必要との観点から、仮想通貨を含む現金以外の支払いに関する詐欺・偽造対策の強化を提案するものだ。これに加えて、加盟国間での罰則の調和、域内国境を越えた犯罪行為に関する加盟国の法域に関する規定、被害者の権利なども提案された。

また欧州委は、サイバー犯罪に対する効果的な捜査・起訴を可能とするため、2018年前半に国境を越えた電子的な証拠へのアクセスを促進するための法案を提出する予定だ。このほか、加盟国の公的研究機関などからなるサイバーセキュリティー拠点のネットワーク構築の提案や、サイバー防衛の体制強化、大規模なインシデントが発生した際に加盟国の支援を行う「サイバーセキュリティー緊急対応基金」の将来的な創設検討にも言及した。

（村岡有）