現在、特に欧米においてセキュリティ関連法令の厳格化が進んでおり、日本企業もグローバル市場でビジネスを展開している場合には対応が求められます。海外の動向が日本の製造業におよぼす影響とは何か、セキュリティ人材が不足する中で必要なセキュリティガバナンスをどう確保すればよいかを解説していきます。
違反に対する罰金や時間制限のプレッシャーが高まる
サプライチェーンを狙ったサイバー攻撃の激化やAI活用におけるリスクへの懸念などを背景に、各国ではセキュリティ関連法令や指令を強化する動きが見られます。グローバル市場に進出している日本の製造業企業が着目しておくべき動向を、主要な進出先である米国と欧州連合(EU)を中心に紹介していきましょう。
まず世界的なトレンドとして、問題が発生した場合の報告時限を短く、一方で、罰金罰則の上限はかなり厳しく規定するようになっています。また米国や、厳しい規制を設けているEUおよびそれを参照している英国では従来、重要インフラや金融業関連を対象としていた規制を現在ではより広範なセクターへ対象を拡大中です。
個別に見ていくと、EUのサイバーセキュリティに関する法令である「Network and Information Systems Directive 」(NIS指令)では、可能な限り速やかに報告するよう求め、罰金は数十万~数百万ユーロでした。それが改正版として2023年1月16日に発行された「NIS 2」では、報告を24時間以内、罰金を全世界年間売上の2%または1000万ユーロと強化されます。
また、AI関連の法令には「AI Act」があり、罰金は全世界年間売上の6%と非常に高額です。さらにAIシステムが個人データを処理する際に対象となる「一般データ保護規制」(GDPR)では、インシデント発生から72時間以内の報告が求められ、さらに違反した場合は、全世界年間売上の4%または2000万ユーロの罰金を科されます。GDPRは個人データやプライバシーの保護に関する対象の広い規則であり、製品と併せて金融やITのサービスなどを提供する企業は対象になり得ます。
米国は、インシデントの認識から72時間以内にサイバーセキュリティインフラ保全庁(CISA)への報告を求め、さらに数百万ドルの罰金や行政措置も規定した重要インフラ向け「サイバーインシデント報告法」(CIRCIA)が今後施行予定です。また、米国でAI関連のビジネスを展開するには、「NIST AIリスクマネジメントフレームワーク」への準拠が必須要件になる場合があります。
このほかにも中国やインドなど地域ごとに特有のレギュレーションがあり、場合によってはそれらにも準拠しなくてはなりません。
