米国におけるサイバーセキュリティ法制と訴訟リスクの検討(上)
米国におけるサイバーセキュリティ法制と訴訟リスクの検討(上)
カリフォルニア大学バークレー校公共政策大学院。2012年総務省入省。通信の秘密.インターネット上の違法・有害情報対策 .サイバーセキュリティに関する政策の立案に携わる。 馬場厚史
八雲法律事務所 .弁護士。カリフォルニア大学バークレー校情報大学院。2010年弁護士登録。情報セキュリティスペシャリスト。情報法を専門とし,内閣サイバーセキュリテイセンターサイバーセキュリティ関係法令の調査・検討等を目的としたタスクフォース構成員を務める。 山岡裕明
情報通信技術の進展に伴い企業活動におけるサイバーセキュリティの重要性が高まっている。米国では.企業活動におけるサイバーセキュリティに関して.連邦レベルおよび州レベルにおいてそれぞれ関連規制を制定しているほか.業界ことの自主基準の策定や民事訴訟を含む判例法理の形成など複層的な規制体系が構築されているところである。
本稿では,米国での企業活動に際して留意すべきサイバーセキュリティの規制・基準訴訟類型について2回にわたり概括的に紹介する。第Iに連邦レベルでのサイバーセキュリティ規制を取り上ける。第2に州レベルでのサイバーセキュリティ規制を取り上ける。第3に企業のサイバーセキュリティに大きな影響を及ほす自主基準を紹介する。最後に企業活動に最後に際して直面し得る訴訟類型を取り上げる。
I 連邦レベルでのサイバーセキュリティ関連規制
米国においては,連邦法レベルでの全般的 網羅的なサイバーセキュリティに関する法律は存在せず,各政府機関がそれぞれの所掌に基つ いて規制を実施している。 本章では,サイバーセキュリティにおける代表的な監督機関と言える連邦取引委員会によるデータ保護規制,証券取引委員会による上場企業の情報公開に係る規制,外資規制の文脈から対米外国投資委員会の審査の概要を説明するとともに,個別分野における規制についても触れる。
1連邦取引委員会による「不公正又は欺瞞的な行為又は慣行」の取締り
米国において企業のサイバーセキュリティに大きな影響を持っているのが,消費者保護を担う連邦取引委員会(FTC : Federal Trade Commission) である。FTC法5条は,企業による「不公正又は欺瞞的な行為又は慣行」を禁じている[1]ところ, FTC は2002年ごろから同条に基づいて企業における個人情報漏えい事案に対する執行を積極的に行うようになった たとえば,企業がそのプライバシーポリシーに「ユーザー情報の管理にあたっては最高レベルのセキュリティを実施」と表現しているにもかかわらず,実際にはセキュリティ対策が不十分のためサイバー攻撃による情報漏えいを招いた場合について,消費者に対する「『欺瞞的』な行為又は慣行」があったとされる。同様に 理的なセキュリティ対策をとっていないことにより情報漏えいを招いた場合には「『不公正』な行為又は慣行」があったとされる。実際に,同条に基づいて多数の企業が責任を追及されており,執行事例の数は70件を超える。 なお,同条の抽象的な文言のもとでは,企業に要求されるセキュリティ基準が明確でないという批判を背景に, FTCは2015年[2]および2017年[3]に指針を公表している。
2証券取引委員会による情報開示規制
証券取引委員会(SEC : Securities and Exchange Commission)は,証券取引を監督・監視する連邦政府の機関である。SECが定める証券取引委員会規則S-Kは,年次報告書(Form10-K)や四半期報告書(Form10-Q),適時のタイミングで状況変化を通知する適時開示書(Form 8-K)等の各種書類の提出を上場企業に対して求めている。 近年, SECは企業活動におけるリスクとしてサイバーセキュリティを重視する姿勢をみせている。証券取引諸法および証券取引委員会規則 S-Kは,その文日上,サイバーセキュリティについての記載を要求していないものの, SECは 2011年[4]および2018年[5] にガイドラインを公表し, 当該ガイドラインにおいて企業に対してサイバーセキュリティに関するリスク情報の開示を強く促している。 また,データ漏えいは企業の株価に大きな影響を与えることから,公表前のインシデント情報に基づく株取引はインサイダー取引に該当し得る。SECは前述の2018年ガイドラインにおいて,インシデント発生時の内部調査プロセスにおけるインサイダー取引の制限に関するポリシーを策定することを企業に求めているところである。 日本においては,サイバーセキュリティに特化した情報開示に関する法的な根拠や具体的な 指針は存在しないものの,企業のサイバーセキュリティに関する情報開小の意義をふまえ,情報開示の手段および開示のあり方をまとめた「サイバーセキュリティ対策情報開示の手引き」[6] が総務省から公表されている。
3対米外国投資委員会による外資出資の審査
外国資本による米国企業の買収は,すべて対米外国投資委員会(CFIUS : Committee on Foreign Investment in the United States)の審査を受けることとなる。CFIUSは連邦政府における省庁横断的な機関であり,海外資本による国家安全保障上の懸念点を審査する。同審査は,日本における外為法上の外資規制に相当する。 近年では,主に中国の影響を念頭に置いたサイバーセキュリティに関連する審査が増えている。特に注目を集めたのはソフトバンクによる通信会社スプリントの買収であり,スプリントのネットワークにファーウェイ製の通信機器が組み込まれることへの危機感から,議会の調査委員会がCFIUSに対してファーウェイおよび ZTEが関わるあらゆる買収案件を認めないよう 求めるなど緊張が高まっていた。最終的にソフトバンクおよびスプリントは米国政府との間で国家安全保障に関する合意を交わし, CFIUSから投資許可を得ている。 2018年には,外国投資リスク審査現代化法 (FIRRMA・Foreign Investment Risk Review Modernization Act)が成立し,「サイバーセキュリティ上の脆弱性への影響」が審査における考慮事項として明文化されている
4特定分野におけるサイバーセキュリティ規制
(1)全融業界における顧客情報のセキュリティ
1999年に成立した連邦法であるグラム・リーチ・プライリー法(GLBA : Gramm-Leach-Bliley Act)セクションは,金融機関がその利用者の情報について安全性および機密性を保護する義務があることを明記しつつ,規制当局に対し,金融機関のための管理上,技術上,物理上のセーフガードに関する適切な基準の構築を求めている[7]。 米国では金融サービスの所管機関が複数に分かれているため,各規制機関においてGLBAをふまえた規制を実施している。たとえば,銀行業については連邦準備理事会(FRB)等が「Interagency Guidelines[8]」を策定し,投資信託・投資顧問業等についてはSECが「Regulation S-P[9]」を策定している。
(2)医療業界のセキュリティ
医療情報のセキュリティについては,連邦法である「医療保険の相互運用性と説明責任に関する法律(HIPAA : Health Insurance Portability and Accountability Act)を受けて,保健福祉省 (HHS : Department of Health and Human Services)が,「HIPAA Security Rule[10]」を制定している。同Ruleは,保護医療情報(Protected Health Information)を作成,受領,管理,送信する一定の事業者に対して,当該情報の機密性, 完全性および可用性を確保させ,同情報の安全性や完全性に対する合理的に想定できる脅威から保護すること等を義務づけている。 また,政府機関においてサイバーセキュリティに係る指針を示すことがあり,たとえば, HHS配下で医療品規制等を担当する食品医療局 (FDA : Food and Drug Administration)は,医療機器の設計および維持に関する各種ガイダンスを作成しているほか,医療機器の脆弱性情報を公表する「safety Communication」を発出し, 者,医療機関,および製造事業者のそれぞれの主体において必要となる対応について情報提供を行っているところである[11]
(3)その他
電力業界等の重要インフラ分野においては, サイバー攻撃発生時の国民生活への影響の大きさから,独自のサイバーセキュリティ基準を制定している例がある。 たとえば,送電事業者に関して,規制機関である連邦エネルギー規制委員会(FERC : Federal Energy Regulatory Commission)が非営利団体である北米電力信頼性評議会(NERC : North American Electric Reliability Corporationの策定した信頼性基準を採択するという形でサイバーセキュリティに関する基準を制定している。この規制は, GLBAやHIPAAと異なり,個人情報の保護ではなく電力供給の安定性確保に重点が置かれている点が特徴である。 また,サイバー攻撃による影響が極めて重大となる原子力発電所についても,連邦原子力規制委員会(NRC : Nuclear Regulatory Commission) が一定の基準を示すとともに,各企業におけるサイバーセキュリティ計画の検査を実施している。
Ⅱ州政府レベルでのサイバ-セキュリティ関連規制
米国では各州が独自に立法権限を有していることから,サイバーセキュリティの分野においても,それぞれ法律を制定している例が多い。 本章では,州レベルの規制のうち,代表的なものとして直接的なデータ保護規制,漏えい発生時の報告規制を紹介するほか,個別分野における規制の例を取り上げる
1データ保護の規制
企業に対して,その保有するデータに係るセキュリティを要求する法律が多くの州で制定されており,少なくとも20の州が一定の規制を設けている。 たとえば,カリフォルニア州法[12]は,企業に対して合理的なセキュリティを実施して,個人情報を不正アクセス,破壊,使用,改ざん,または漏んいさせないことを要求している。他の多くの州も同趣旨を規定しており,この「合理的なセキュリティ」の具体性および内容が州によって異なる。各州法のなかでも特に具体的かつ詳細な内容を持つオレゴン州法[13]においては, 企業において求められる「合理的なセーフガード」の具体的な内容として以下の事項を列挙している。
【管理上のセーフカード】
- セキュリテイプログラムの責任者の任命
- 合理的に予見可能な内的リスクおよび外的リスクの特定
- 既存のデータセキュリティ措置の評価 従業員に対するデータセキュリテイトレーングの提供
- 外部ペンダーにおけるデ-タセキュリティこ関する取組みの監督
【技術上のセーフカード】
- ソフトウェアおよびネットワークに係るリスクの評価
- 情報の処理.送信保管に係るリスクの評価・攻撃またはシステムの不具合に関する検知.防止および対処
- 情報セキュリティのテストおよび監視
【物理的なセーフカード】
- 物理的に保管されたデータの保管および処分に係るリスク評価 侵入検知.防止および対応
- 物理的に保管されたデータへの承認のないアクセスに対する保護
- 不要となった個人情報の処分
2データ漏えいに係る通知の義務づけ
全50州およびDC特別区において,データ漏えいの通知に関する法律が制定されており,これは情報漏えいが生じた企業に対して,消費者(場合によっては消費者に加えて州および個人信用調査機関)へ通知することを要求するものである。 たとえば,カリフォルニア州法[14]においては, 個人情報の漏えいが発生した場合には,不合 な遅滞なく,文書,メールまたは一定の代替手段によって,消費者に対して漏えいの事実,漏えいした情報の種類,現在とっている対策, 費者側でとり得る対策等を通知しなければならない,としている。 適切な報告を怠った場合には,罰金が課せられるほか,同法を根拠に集団訴訟を受けるリスクがある。企業においては,データ漏えい時の混乱した状況下において,情報公開の法的義務の履行と情報の正確性確保のバランスを適切にとることが求められる。
3IT機器のサイバーセキュリティに関する法律(カリフォルニア州)
2018年9月,カリフォルニア州においていわゆる10Tセキュリティ法が成立し, 2020年1月に施行された。同法では,カリフォルニア州内で発売される10T機器について,合理的なセキュリティ機能の具備を義務づけている[15]。たとえば, 10T機器のパスワードについては,初期設定として機器ごとにユニークなものにする, もしくはユーザーに個別に設定させることが求められる。 連邦レベルにおいても10Tセキュリティ法案が2019年3月に上院に提出され,同6月には委員会の審議を経ているところであるが,今後の見通しは立っていない。
4金融サービス業におけるサイバーセキュリティ規制(ニューヨーク州)
ニューヨークナ日において金融サービス業を営む場合には,ニューヨーク州金融サービス局 NYDFS : New York Department of FinancialServices)の策定するサイバーセキュリティ規制[16]を遵守する必要がある。州法ではあるが,対象はニューヨーク少日に本社を置く企業に限られないことから,実質的に全国的に事業を展開するすべての金融サービス事業者に適用されることとなる。最高情報セキュリティ責任者(CISO)の設置を企業に義務づけているほか,二段階認証やペネトレーションテストといった具体的なセキュリティ措置に言及しており,制度としては比較的具体的な内容となっている。
5保険業界におけるサイバーセキュリティ規制(サウスカロライナ州等)
2018年,サウスカロライナ州は他の州に先駆けて保険業界のサイバーセキュリティ規制である「SCIDSA : South Carolina Insurance Data Security Act」を制定し,サウスカロライナ保険業法の対象となる事業者に対し,事業のリスク評価に基づく包括的な情報セキュリテイプログラムの策定を義務づけた。 同法は2017年に全米保険監督官協会(NAIC・The National Association of Insurance Commissioners)が採択した「保険データセキュリティモデル法案」をベースとするもので、2019年12月時点ではサウスカロライナ州のほかオハイオ州,ミシガン州,ミシシッピ州,アラバマ州,ニューハンプシャー州およびデラウェア州がそれぞれ法律を制定している。連邦財務省も本モデル法の採択を各州に促すとともに, 2022年を目処に採択が広がっていない場合には連邦レベルでの規制も視野に入るとの見解を示している[17]
スキャン画像
脚注
- ↑ 15U.S.C§45
- ↑ FTC「Start with Security: A Guide fo「Business」(2015年6月)
- ↑ FTC「Stick with Security: A Business Blog seies」( 2017年10月)
- ↑ SEC「CF Disclosure Guidance: Topic No. 2 Cybersecurity」(2011年10月)
- ↑ SEC「Commission Statement and Guidance on public Company cybersecurity Disclosures」(2018年2月)
- ↑ 総務省「サイバーセキュリティ対策情報開示の手引き」( 2019年6月)
- ↑ 15U.S.C§6801
- ↑ 1 2 CFR Appendix F to Part 225
- ↑ 17C.F.R. 248.30
- ↑ 45 C. F.R,§164.306,
- ↑ https//www.fda.gov/medical-devices/digital-health/cybersecurity
- ↑ CAL. CIV ℃ ODE§1798.8L5 ("A business that owns, licenses, or maintains personal jnformation about a Californiaresident Shall implement and maintainreasonable security or ocedures and oractices procedures and practices to the nature Of the information. to protect the personal information from unauthorized access. destruction. use. modification. or disclosure. )
- ↑ OR Rev Stat§646A
- ↑ CAL. CIV. CODE§1798.82
- ↑ CAL. CIV.CODE§1798.91.04
- ↑ 23 NYCRR 500
- ↑ 連邦財務省「A Financial System That Creates Economic 0pprortunities-Asset Management and Insurance」