ITセキュリティー法2.0施行、5G機器など重要部品の審査厳格化

ドイツのITセキュリティー法改正法（ITセキュリティー法2.0）が5月7日に連邦参議院（上院）で承認され、5月28日に施行された。

改正法は、第5世代移動通信システム（5G）の本格普及に向けたセキュリティー対策の必要性の高まりをきっかけとして、重要インフラのITセキュリティーを高度化するためだ。欧州委員会は2020年1月、5Gネットワークのサイバーセキュリティーリスクを評価し、これに基づいて必要な対策を同年4月末までに整備するよう呼び掛けていたが、これから大きく遅れての船出となった。

主な改正事項は、セキュリティーの監視・監督を担う連邦情報セキュリティー庁（BSI）の機能強化と5Gネットワークを含む重要インフラにおける重要部品使用に際しての事前届け出制の導入、特に公益性の高い企業へのITセキュリティー宣言の導入などが挙げられる（2020年12月25日記事参照）。

連邦議会の審議を経て、政府原案には幾つかの議会修正が加えられた。例えば、BSIの機能強化については、新たに付与されたマルウェアの検知権限によりBSIが検知した脆弱（ぜいじゃく）性は、無条件に情報システム責任者または必要に応じてシステムプロバイダーにも通知することとした。また、とりわけ重要なのは、重要インフラにおける重要部品の使用届け出について、連邦内務・建設・地域省がドイツ国内の公序や公共の安全を損なう恐れがある場合に使用を禁ずる判断の基準が加えられた点だ。具体的には、（1）部品製造者が第三国政府に直接または間接的に支配されていること、（2）部品製造者がドイツならびにEU、欧州自由貿易連合（EFTA）、北大西洋条約の他の加盟国またはそれらの機関の公序や公共の安全に悪影響を及ぼす活動にかつて関与し、または現に関与している場合、（3）重要部品の使用がドイツ、EUまたは北大西洋条約の安全保障政策の目的に合致しないことなどだ。

このような規制の強化に対し、ドイツIT・通信・ニューメディア産業連合会（Bitkom）のアヒム・ベルク会長は「ITセキュリティー法2.0は、技術的な認証機構と政治的・規制的な裁量を折衷したものであり、ITセキュリティーに対する（実質的な）貢献は疑わしい。法律、計画、投資の不確実性は、特に5Gネットワークの拡大に損害をもたらす。これでは、この分野の将来の発展を損なうことになる」との懸念を示している。

（田中将吾）