2022年5月に公布された「経済安全保障推進法」(以下、本法)の4本柱の1つ「基幹インフラの安全性・信頼性の確保」について取り上げ、分かりやすく解説する本連載。第1回では、法整備の背景から、本法施行により審査対象となる基幹インフラ分野・事業者とその重要設備、事前審査の内容など、現在検討されている内容について整理した。
第2回では、基幹インフラ分野の安全性・信頼性の確保を進めるに当たり、本法制に関する有識者会議においても取り上げられた米国とドイツの取り組みについて紹介し、本法との相違点を検証していく。
1.米国(ICTSのサプライチェーンの安全保障に関する大統領令[EO13873])
米国では、敵対する諸外国から国内の情報通信技術・サービス(ICTS)へ影響を受けることを排除する政策を進めている。
2019年5月、「国家緊急経済権限法」(IEEPA)に基づき、連邦政府調達による中国企業製通信機器などの禁止が規定され、これが個人・民間企業へも展開される形で2021年3月、「ICTSのサプライチェーンの安全保障に関する大統領令」が施行された。
この大統領令では、“外国の敵対者”が所有、支配、またはその管轄・指示に従属する企業が開発・製造するICTやサービスに関する取引(調達、輸入、移転、導入、利用など)において、以下3点に該当するものについて、関係省庁がリスク審査する制度が導入された。
- 米国のICT/サービスの設計、製造、運用などに対し 妨害・破壊行為の不当なリスクを及ぼすもの
- 米国の重要インフラのセキュリティなどに壊滅的な影響を与える不当なリスクを及ぼすもの
- 米国の安全保障や米国民の安全に受容できないリスクを及ぼすもの
特徴的なのは、“外国の敵対者”として、米国と対立関係にある中国、キューバ、イラン、北朝鮮、ロシア、ベネズエラの6カ国政府と政府の管轄にある企業を特定している点、大統領令の対象に企業だけでなく、“個人”を含めている点にある。
ICTSのサプライチェーンの安全保障に関する大統領令の概略
(出所:「経済安全保障法制に関する有識者会議」資料などを参考にクニエで作成)
2.ドイツ(ITセキュリティ法 2.0)
ドイツでは、米中対立による経済安全保障環境の変化や、新型コロナウイルス感染症のまん延による国際的なサプライチェーンの混乱などを背景に、経済安全保障政策を欧州委員会(EC)の政策に準ずる形で強化する動きが見られている。
基幹インフラの分野では、2021年5月に「情報技術システムのセキュリティを高めるための第2の法律(ITセキュリティ法2.0)」が施行され、関連する「情報技術安全庁法」(BSI法)や「電気通信法」「エネルギー産業法」などが改正された。この改正により、「重要インフラ事業者が用いる重要IT機器などについて政府が事前に審査を行う制度」が新たに導入された。
これは、IT機器ベンダーがドイツ以外の第三国政府の傘下にある場合や、ドイツや欧州連合(EU)・北太平洋条約機構(NATO)加盟国などの公共の秩序や安全などに悪影響を及ぼす活動に関与していないか考慮しながら審査を行い、自国の公共の秩序や安全が損なわれる恐れがある場合には、利用禁止を含めた命令を発出できるものである。
ITセキュリティ法2.0における重要インフラに関する機器の審査スキーム
(出所:「経済安全保障法制に関する有識者会議」資料などを参考にクニエで作成)
また、それ以外にセキュリティの監視・監督を担う連邦情報技術安全庁(BSI)の機能が強化されている。重要インフラ事業者がサイバー攻撃などを受けた場合にBSIへの通報を義務付けるとともに、BSIに対して下記に示す権限が付与された。
- 政府ネットワーク保護のためのマルウェア検出権限
- 通信サービス事業者からの情報取得権限の強化
- ハッカーによる攻撃状況や各重要インフラの脆弱性についてのパトロール権限
- 問題を発見した場合の通信サービス事業者への改善命令権限
この改正により、重要インフラ事業者に対するドイツ政府とBSIの監視・監督がより強化された点が特徴である。