総務省トップ > 政策 > 白書 > 30年版 > サイバーセキュリティに関する国際動向
第1部 特集 人口減少時代のICTによる持続的成長
第2節 日本と世界のデータ関連制度

(4)サイバーセキュリティに関する国際動向

ア 諸外国のサイバーセキュリティ政策枠組

2017年9月に明らかになった米国Equifax社の個人情報漏えい(1億4,000万人分超)や、同11月の米国Uber社(5,000万人超)をはじめとした、サイバー攻撃による大規模なデータ流出が相次ぐ中、諸外国においてサイバーセキュリティ対策の構築が急がれている。

EUでは、2004年に欧州ネットワーク・情報セキュリティ庁(ENISA)を設立し、EU全体のセキュリティ体制強化を図ってきたが、2016年7月には新たなネットワーク・情報セキュリティ指令を採択している。同指令では、加盟国にコンピューター・セキュリティ・インシデント対応チーム(CSIRT)及びセキュリティ監督機関の設置を求め、各国CSIRT間での情報共有等の協力体制を構築する他、重要サービス(エネルギー、運輸、金融、医療等)やデジタルサービス(オンラインマーケットプレイス、検索エンジン、クラウドコンピューティングサービス)提供者に対して適切なセキュリティ施策を求めると共に、セキュリティ上の脅威があった場合の当局への報告を求めている。同指令は2018年5月が国内法対応期限とされており、指令の適用対象となるサービス提供者には、EU域内に本社を置かない企業も含まれるため、日本企業としても各国法に基づく対応を要する可能性がある。

イ 個人情報漏えい通知義務

サイバー攻撃等発生時の被害を最小限にとどめるため、個人情報漏えいが生じた場合の当局への報告や本人への通知義務を課す国が増加しつつある。EUのGDPR第33-34条では、個人情報漏えいが生じた場合、データ管理者はその判明後72時間以内にデータ保護当局に報告を行う義務が導入されており、当該漏えいによって生じうるリスクが高いと見込まれる場合には、個人情報の本人に対しても通知を行わなければならない。72時間以内の報告を確実に行うためには、経営陣を含めた危機管理体制の整備を行う必要があると共に、日本企業にとっては、漏えいデータにEU市民の個人情報が含まれるか否かの確認を行った上で、必要があればEUの当局に報告を行う必要が生じる可能性がある。

また米国では、個人情報漏えい通知に関しては、金融や医療等分野ごとの連邦法の他、州法ごとの規律がなされており、少なくとも48の州が法規制を有している23。またEquifax社の大規模な個人情報漏えい等を受け、2018年に入ってからは、包括的な個人情報漏えい通知義務を定めた、新たな連邦法の制定に向けた作業が進められている24

ウ Facebook社の個人情報漏えい

そのような中、2018年3月、SNS世界最大手のFacebook社から、選挙コンサルティング会社である英ケンブリッジ・アナリティカ社が大量の個人情報を不正に取得していたことが明らかになった。ケンブリッジ大学の研究者が学術目的調査を装ってFacebook上で提供していた性格診断アプリから取得したデータが、利用規約に反してケンブリッジ・アナリティカ社に渡されていたものであり、不正に取得された個人情報は8,700万人分以上にも及ぶ。ケンブリッジ・アナリティカ社は、それら膨大な個人情報を分析し、同社が支援する選挙運動に利用しており、2016年のアメリカ大統領選挙や、同年の英国EU離脱国民投票にも多大な影響を与えたとされる。

この事件は、米国・EUをはじめとする世界各国に大きな衝撃を与え、2018年4月には最高経営責任者のマーク・ザッカーバーグ氏が米国議会で証言を行ない、経緯の詳細な説明を行った他、第三者が提供するアプリケーションからの情報アクセス管理強化をはじめとしたプライバシー保護措置を実施することを約束している。プラットフォームから収集される個人情報の不正な利用が民主主義のあり方にも影響を与えた事態を受け、これまでオンラインの個人情報保護や巨大プラットフォーム企業の活動に関して産業界の自主的な規制を重視する姿勢を採ってきた米国においても、議会やマスメディア等において本格的な規制強化の議論が拡大してきている。



23 米国各州の法整備状況につき、以下を参照。Foley and Lardner LLP “State Data Breach Notification Laws” (2018年1月)
https://www.foley.com/state-data-breach-notification-laws/別ウィンドウで開きます

24 “Data breach notification: Congress urged to pass law” Clarion Ledger,(2018年2月)
https://www.clarionledger.com/story/news/2018/02/18/retailers-ask-congress-data-breach-notification-law/347259002/別ウィンドウで開きます

テキスト形式のファイルはこちら

ページトップへ戻る