オバマ大統領の官民サイバーセキュリティ情報共有とプライバシー強化法案および関連立法化動向(その2完)

Last Updated ：November 22,2016

(4)消費者のオンラインに対する信頼を改善することで革新を推進

・消費者の権利章典立法措置

オンラインの相互作用は明確な原則ーすなわちデータの収集の前後関係、ユーザーの期待を誤用していないことなどにより統治されねばならない。これらは「2012年の政府消費者保護憲章」の主要テーマであった。今日、商務省はこれらの諸権利を保証するため権利章典を制定法化(完成)するため改正案につき広く意見を公募する旨発表した。

　政府は今後45日以内に修正法案を発表する予定であり、また政府は議会に対しこの重要な問題につき積極的な検討を要請した。 

(5)これら一連の行動は大統領は次のような消費者のプライバシーおよびなりすまし被害阻止を支援するため、すでに取った措置のもとで行うことを意味する。

①先進的なマーケットづくりに取り組む連邦の支払い決済システムをより安全なものとする

　2014年10月17日、オバマ大統領は、「BuySecure Initiative」 (筆者注11)の先行的活動の一部として大統領令「Executive Order --Improving the Security of Consumer Financial Transactions」に署名、公布した。

  

　同令の内容は、連邦機関が使用する既存のおよび新たに発行するクレジットカードや”Direct Express”といったデビットカードにつき「CHIPand PIN」技術 (筆者注12)を導入すること、また連邦機関に設置するカード・ターミナルにつき「chip and PIN」対応端末に更新することで連邦の支払いシステムの安全性強化を図ることにある。これらの措置は”Home Depot”　　”Target”　　”Walgreens”や”Walmart”等が全国的な店舗にCHIP&PINの相互利用可能な端末設置を展開と並行して行われる。

 ②なりすまし被害を回避するための新たな措置

　また、大統領は連邦取引委員会による「Identity Theft.gov」いう1つのサイトのアクセスで一連の手続きが可能となる専用サイトの構築により、被害者支援、顧客が直接影響を受ける企業に対し、個人情報の窃盗被害情報やその他の情報を定期的な形で報告できる能力を連邦機関に保証できるよう「情報の共有化範囲」を広げることとした。 

Ⅳ．2015年1月13日　オバマ大統領のサイバーセキュリティ法案の骨子、国民参加のサミット会議、historically black colleges（歴史的に、アフリカ系アメリカ人への教育を第一としている大学）のサイバー教育への補助金交付の公表

　サイバーセキュリティ法案の提示が中心となる公表内容である。なお、ホワイトハウスのリリース文は決して丁寧な文章ではない。特にⅥ.で詳しく述べる2月13日に公布した「官民部門のサイバー情報の共有化推進にかかる大統領令(13691号)(Promoting Private Sector Cybersecurity Information Sharing)」の事前告知といえる内容である(この大統領令は2月13日カリフォルニア州スタンフォード大学で開催する主要テーマ「サイバーセキュリティと消費者保護」である「ホワイトハウス・サミット(ホワイトハウスや関連する連邦機関の上級リーダー官吏、金融サービス界、技術・通信業界、コンピュータセキュリティ業界、小売業界、法執行機関、消費者保護団体、技術専門家および学生等等主要な利害関係者が一同に集まる)」にあわせて公布するものである)。

　2014年12月18日に成立したサイバーセキュリティ関連５法案との関連性、サイバーセキュリティにおける包括法案といえるか、官民の個人情報の共有等については関係団体や専門家等からの多くの異論があり、さらなる解析が必要であることはいうまでもない。ここでは、あくまで大統領のリリース文に基づき説明する。 

１．サイバーセキュリテリィ法案の提起

(1)サイバーセキュリティに関する政府・民間の情報共有化を可能

　オバマ政権が、今回内容をアップデートした法案提出は政府と民間事業者の間の自発的ではあるが、サイバーセキュリティをより良いかたちで共有化を推し進めるものであり、また民間部門内での協働や情報の共有化を向上させるものである。特に、本法案は民間部門におけるDHSのNCCICとの間でサイバーの脅威につき適宜の共有を強調し、さらにその情報につき連邦関係機関と実務的な方法で出来うる限りリアルタイムで共有し、これらの企業体とともに企業のために目標を定めた賠償保護責任(liability protection)を提供することであらたに情報共有分析機関（ISAOs; Information Sharing and Analysis Organizations）を設置、運用することとした。 (筆者注13)　

　同立法はまた民間部門主導型のISAOsの組織化を促す。オバマ政権の立法案は賠償保護責任の適格性を得るために共有すべき不要な個人情報の削除や個人情報の保護のための手段を講じることなどにより特定のプライバシー制限を課すなどの法遵守を民間企業に求めるものである。

　さらに、同法案はDHSおよび司法長官に対し、大統領府・プライバシー・市民の自由権監視委員会(Privacy and Civil Liberties Oversight Board) (筆者注14)等に諮問のうえ連邦政府のための個人情報の受け取り、保持、使用および開示に関するガイドラインの策定を求める。最後に、オバマ政権は本法案の提出に当たり、政府と民間企業間において補完関係と既存の効果的関係に置くことを意図する。これらの法執行機関とその他の連邦機関との既存の関係はサイバーセキュリティの任務上重要なものである。 

(2)サイバー犯罪と戦うため法執行機関の権限にかかる法律の近代化

　法執行は、サイバー犯罪の捜査、阻止や起訴において適切な手段である。オバマ政権の提案法は、①ボット・ネット(botnets)の販売行為を起訴を認める、②米国内で盗んだクレジットカードや銀行口座番号等銀行を海外に販売することを犯罪とする、③個人なりすましのためのストーカー行為や犯罪を犯すためのスパイウェアを販売する行為の阻止させる権限を連邦法執行機関に拡大する、④裁判所にDOS攻撃やその他の犯罪行為の配布にかかるボット・ネットを停止させる権限を付与するといった内容を含む。

　さらに、1970年「組織の不正収益・贈収賄取締法(Racketeer Influenced and Corrupt Organizations Act：RICO法)」 (筆者注15)につき2011年5月12日に政府が提案したサイバーセキュリティ関連法案 (筆者注16)の主要要素の1つである組織犯罪の取締り強化であるが、サイバー犯罪にも適用され、刑罰内容の明確化とその他の類似する非サイバー犯罪との同一線上におくことを再確認されている。

　最後に、提案内容では重要でない犯罪は制定法の適用外とすることでコンピュータ詐欺や濫用罪の定義を近代化し、一方で自身の使用目的でアクセスできる権能を濫用するインサイダーに対しても起訴すべきことを明確にする。 

(3)全米規模での情報漏洩事故報告法の内容の改正

　今回の政府提案は、既存の46州(ワシントンD.C.およびその他の準州を加える)パッチワーク法である報告義務法を単純化・標準化することで民間事業者や消費者の立場を支援するとともに、セキュリティ侵害事故時に従業員や消費者に通知すべき点を明確化する通知要求の単一化、時宜性を改めて設定する。 

２．サイバーセキュリティと消費者保護に関するホワイトハウス・サミット

　前記Ⅳ項の冒頭で詳しく述べた。 

３．サイバーセキュリティ教育のため”Historically Black Colledges and Unversities”における優秀性、革新と持続可能性面からの資金援助

　オバマ大統領は2010年2月26日に標記大統領令（Promoting Execellance, Innovation,and Sustinability at Historically Black Colledges and Universities：HBCUs）を公布した。

　これらの単科大学や総合大学は150年以上の間、民間企業、政府、アカデミックや軍隊などで多くの米国全体におけるリーダーを輩出し、また米国民の男女を問わず希望や教育機会の均等を提供してきた。バイデン副大統領はこれまでのHBCUsの貢献を踏まえ、今後のサイバーセキュリティ教育コンソーシアムを支援すべく、13つのHBCUsおよび2つの研究機構に対し、今後5年間で2,500万ドル(約29億7,500万円)の補助金を提供することを発表した。　

Ⅴ．2015年1月15日　オバマ大統領が行った米国連邦内での統一的な個人情報漏洩通知義務化法案とこれまでの関連上程法案との比較

　これまで本ブログで言及してきた内容を集大成した法案であり、また2014年議会上院で上程された議員立法等(筆者注17)を踏まえたホワイトハウス法案「The Personal Data Notification & Protection Act」といえるものであるが、他方で基本的な点と個人情報の範囲は他の法案より広いということ等相違する点もあげられる。また、通知義務の例外として、危害の差し迫った漏洩の場合や中小企業は大量の個人情報を扱わないため義務の例外とする規定内容等を含む。

　ここでは、Covington & Burling LLPの解説ブログ内容等も引用して、法案の特徴的内容を概観する。

　なお、本年2月初旬に米国のBlue Cross & Blue Shield （ BC&BS ） という米国大手の医療保険グループの傘下保険会社「Anthem,Inc」の情報システムがハッキング被害にあった事件が報じられた。同社は被害者数を公表していないが、ウェブサイトで見ても顧客数等から見て全米第2位であることから、6,900万人以上が被害にあっているという指摘もある。（このハッキング事件に関し、サイバー犯罪専門サイト「Krebs on Security」が2月4日付ブログで詳しく解説している。）

　また、1月29日同保険団体グループのPremera Blue CrossのCEOであるジェフ・ロウ(Jeff Roe)自身が同社およびPremera Blue Cross Shield Cross of Alaska 、子会社ブランドのVivacity や Connexion Insurance solutions,Inc がハッカー被害に遭い、このための顧客保護対策として「Experianによる信用状調査書の毎日の無料モニタリング(free  credit monitoring)」および「ExrendCARETMによる個人識別保護サービス(identity protection services)」の提供を始めた旨リリースしている。同社の説明では、漏洩個人情報は、「顧客の姓名」「生年月日」「Eメールアドレス」「住所」「電話番号」「社会保障番号」「顧客ID番号」「銀行アカウント情報」「請求情報」「医療情報」が含まれているとある（このリリース内容の詳細をはじめ、サイバー犯罪としての解析は別途行う予定）

　さらに3月17日のKrebs on Securityブログ もPremera Blue Cross顧客情報のハッカー事件につき、専門的解析を行っている。 

１．通知義務の対象となる個人情報(Covered information)

 「機微個人識別情報(sensitive personally identifiable information)」とは、次の電子的、デジタル形式のすべての情報またはその編集された情報をいう。

①次の3つのデータ要素のうち2つの組み合わせによる個人の姓名または先頭の頭文字と名

(ⅰ)自宅の住所または電話番号

(ⅱ)母親の結婚前の旧姓(mother’s maiden name)

(ⅲ)生年月日(full birth date) 

(2)省略されていない社会保障番号(non-truncated social security number)、運転免許証番号、パスポート番号または外国人登録証番号(alien registration number)または政府発行の固有の識別番号(government-issued unique identification number) 

(3)指紋、声紋(voice print)、網膜(retina)または虹彩イメージ(iris image)または他の固有の身体的な特徴等の生体認証情報 

(4)金融取引口座番号、クレジット・デビットカード番号、電子識別番号(electronic identification number) (筆者注18)、ユーザ名、またはルーテイン使用するコード 

(5)オンライン・アカウントへのアクセス時に要するパスワードやセキュリティに関する質問・答えと組み合わされたユーザー名やEメールアドレス 

(6)次の3つのデータのあらゆる組み合わせ

(ⅰ)個人の姓名または先頭の頭文字と名

(ⅱ)金融取引口座番号、クレジット・デビットカード番号、電子識別番号、ユーザ名、またはルーテイン使用するコード

(ⅲ)それらのコードまたはパスワードで作り出すセキュリティ・コード、アクセスコード、パスワード、ソースコード 

　さらにホワイトハウス法案は、連邦取引委員会(FTC)に情報の特別な組み合わせが機微情報である、または情報そのものの一部が機微情報であると決定したときはこれらの機微情報の定義の改正権を認める。　

２．差し迫った危険リスクの定義(Risk of Harm)

　ホワイトハウス法案は、リスクアセスメントの結果、機微個人識別情報が安全性の侵害により当該個人に危害を及ぼすまたは及ぼす可能性があると合理的に見たりすくが存しないと結論づけた場合は事業者に通知義務を免除する。

また、当該データにつき使用不可、読めないまたは判読不可場合は、合理的に見て危険が存しないという推定が働く。もし、事業者がこの決定を行った場合は決定後30日以内にFTCに対し、決定結果を書面にて通知しなくてはならない。 

３．企業規模等による通知義務の適用除外(Exceptions from coverage)

　同法案では、12ヵ月間に10,000人以上の機微個人情報を使用、アクセス、移送、保管、廃棄(dispose)する州際ビジネスを行っている事業者のみ通知義務を課す。この規定は他の議員法案に比してユニークなもので、一定の範囲で中小企業に対する通知義務を免除することになろう。 

４．個人への漏洩通知の様式(Form of individual notice)

　ホワイトハウス法案は、個人への通知とメデイアへの通知の双方について義務付ける。

　個人向けの通知は、郵送や電話でもよく、またEメールによる通知は、もし当該個人がメールによる通知の同意しかつその通知が「The Electronic Signatures in Global and National　Commerce Act (E-Sign Act)」 (筆者注19)に合致していることである。

　メデイアへの通知は１州の対象個人数が5000人以上の機微情報の漏洩事故である場合に義務付けられる。メデイアへの通知内容は「州または裁判管轄における主要メデイアに対し合理的に計算された範囲」でということであり、代替的通知のみで可とする既存の州法による通知義務からの離脱を意味する。 

５．個人への通知期限(Deadline for individual notice)

　ホワイトハウス法案は、事業者はセキュリティの漏洩の事実の発見後30日以内に個人宛に通知を行わねばならないと定める。ただし、事業者はもしその期限の延期が漏洩の範囲の特定のため合理的と考えられる場合、更なる情報の開示の回避、リスクアセスメントの行動を取るため、データの完全性のほじまたは連邦政府への通知のためを理由とする場合はFTCに追加を求めることが可となる。 

６．連邦政府への通知(Notice for Government)

　ホワイトハウス法案は、事業者に対し以下の場合、連邦の法執行機関および国家安全保障当局への通知義務を定める。

(1)5,000人以上の個人の機微情報がアクセスされたまたは不法に入手されたとき 

(2)当該漏洩が全米ベースで50万人以上の機微個人情報を含む情報システムの規模であるとき 

(3)その漏洩が連邦政府が所有するデータベースを含むとき 

(4)その漏洩が主に連邦機関の従業員および国家安全保障や法執行の契約先の従業員の個人機微情報に関係するとき 

７．個人信用情報機関への通知義務(Notice to credit reporting agencies)

　もしその漏洩が5,000人以上の個人に関係する場合、事業者はFTCからの期間延長通知を受け取らない限り、30日以内にタイミングと配布の時間を考慮のうえ各信用情報機関に通知しなくてはならない。 

8．法の執行時期(Enforcement)

　本法案のもとで、FTCは連邦司法長官と協議の上同法の遵守に関する調査のイニシアティブを取りうる。また州の司法長官は住民に代わり、民事訴訟を起こしたり、漏洩行為が故意的や意図的である場合、1違反行為あたり最高100万ドルをもって「差止め救済(injunctive relief)」や1個人あたり1日最高1,000ドルの「民事罰」を求めることができる。

　本法用のもとでの民事訴訟を起こす前に、州司法長官はFTCと連邦司法長官に通知することを求められる。 

9．連邦法の州法の専占(Pre-emption)規定

  従来の連邦法案の大多数と同様、この法案も連邦法の専占権(専占とは、一般的には連邦法に矛盾する州法を無効にすること)を定める。しかし、同法案は州が被害者保護目的で行う通知を求める点については認める。 

10.州における個人情報漏洩事故通知義務法の立法状況

　米国の全米州議会議員連盟(NCSL)がまとめた各州の義務化法(Security Breach Notification Laws)の制定状況を見ておく。全州の法引用サイトへのリンクが可。

　47州、ワシントンD.C.、グアム、プエルトリコ、ヴァージンアイランドのすべてが民間事業および州政府機関に対する個人識別情報を含む個人情報の漏洩時の通知義務法をすでに制定している。

　ここでニューヨーク州の通知義務法に関する関係サイトの内容につき簡単に触れておく。

(1)民間企業情報局の個人情報漏洩通知専門サイト(従来の担当部署はサイバーセキュリティ局であったが、2013.2014年ニューヨーク州執行予算に通過により機能、権限および義務が移管)

根拠法：一般ビジネス法(General Business Law)第899-aa条：ニューヨーク州でビジネスを行う企業または個人は州司法長官府が定める個人情報を含むコンピュータ化されたデータのすべての漏洩につき開示義務を定める。

　ニューヨーク州技術法(State Technology Law)第208条：同様の内容につき、州司法長官、州消費者保護局および情報技術サービス局・企業情報セキュリティ部に通知義務を負う旨定める。

(2)FAXやEメールでの届出様式　

Ⅵ．2015年2月13日　大統領令「官民間部門のサイバーセキュリティ情報の共有化強化(Executive Order :Promoting Private Sector Cybersecurity Information Sharing)」

　2月13日のホワイトハウス・サミットの概要はⅣ．で述べた。また、同日大統領が署名した大統領令の詳しい内容については、これまで本ブログで述べて来た内容で網羅されていると思えるのでFact Sheet　の項目のみ挙げるにとどめる。

 なお、米国のサイバーセキュリティ戦略の推移を見て分かるように常にオバマ政権は新たな取り組み課題と法制化のあり方を模索していると感じる。今後も引き続き、比較法的な観点から立法論も含め論じて行きたい。

(1)民間部門のサイバーセキュリティ情報の協働を踏まえた共有化

①情報の共有および分析機関たるISAOs機能強化

②より安全、迅速、平易等を踏まえた情報の共有化のための自発的標準の開発 

(2)官民の情報共有化の一層の改良

①情報共有の中心となる機関ISAOsや連邦機関間の合意締結に向けDHSの監督権限の明確化

②民間事業会社等の機密性のアルサイバーセキュリティへの脅威にかかる情報へのアクセスの効率化 

(3)ISAOsを中核とした強力なプライバシーと市民的自由の保護の実現 

Ⅶ．スタンフォード大学の”Cyber initiative”の概要

　前書きで述べたとおり、最後に米国の主要大学の中で筆者において従来から友人が多いスタンフォード大学のプロジェクト「サイバー・イニチアティブ」の具体的な取組み例を簡単に紹介する。なお、同プロジェクトのメンバーの顔ぶれを見たとおり、学際的、分野横断的であることはいうまでもない。(顔ぶれは2015年3月現在) 

(1)構成メンバー

○部長：George Triantis(ロースクール教授、副学部長Associate Dean for Strategic Planning, Associate Dean of Research for Stanford University) 

○上級副部長：Allison Berke  

○常設委員会

・Jeremy Bailenson(助教授：通信) 

・Stephen　R.Barley(教授：経営科学・エンジニアリング) 

・Dan Boneh(コンピュータ科学・電子エンジニアリング) 

・John Mitchell(コンピュータ科学・エンジニアリング) 

・Ian Morris(古典学・歴史) 

・Barbara van Schewick(法学) 

・Amy Zegart(フーバー研究所上級研究員、国際安全保障協力センター(CISAC)副部長) 

○学外のPartners大学

・Massachusetts Institute Technology(MIT) 

・University of California, Berkley 

(2)スタンフォード・イニシアティブの設立目的は、サイバー技術問題からもたされる機会と挑戦を目指して研究分野横断的な研究機関および7つの関連する学部等のハブをめざすことにある。最終的には、本イニチアティブは政策の枠組み造りと既存および未来に向けた解決策を持続することにある。

(3)

(4)本イニシアティブ3つの作業分野に区分する。(1)国際安全保障、(2)商業おおよび個人の安全保障(3)社会的影響(societal effects)である。

2014年11月に立ち上げ、強固な資金面の基礎などを築くとともに、スタンフォード大学の既存のサーバー問題の研究、研究賞や教育・カリキュラムの開発に向けたグローバルなサイバー技術の専門家集団のための研究会やフォーラムを行う。

*******************************************************************************:

(筆者注11)2014年10月17日の大統領令および関係決済企業の対応等については、ホワイトハウスのブログがより詳しく解説している。

一般メデイアの解説例としては、次のものがある。

「 On Friday, President Obama signed an executive order to speed the adoption of EMV-standard cards in the US. The transition to EMV—an acronym eponymous of Europay, MasterCard, and Visa, the companies that developed the standard—has been slow to gain traction in the US. The EMV standard will require credit card companies to stop relying on the magnetic stripe cards that are common today and move toward cards with embedded chips that will offer more secure credit card transactions.」

 (筆者注12) 「Chip-and- Pin」について筆者は2006.2.5 星野英二ブログ「英国内務省の同国関係分野別の「なりすまし詐欺」にかかる被害総額の推定情報は正確か」において,英国におけるchip & pin導入の効果を紹介した。すなわち「カード業界の2004年中のなりすまし詐欺被害額は3,690万ポンドで、「カードのICカード化（いわゆるchip and pin）」などにより2005年前半の被害額は約16%減少している」と述べている。 

(筆者注13) 「情報共有分析機関（ISAOs; Information Sharing and Analysis Organizations）」は、2015年2月13日の大統領令で決定・各分野や地域毎に、「ISAOｓ（情報共有分析機関）」という団体を組織して、政府と民間の情報共有の接点の役目を担わせる。

ISAOsは民間主導で、NPO、企業メンバー、又は民間の1企業など様々な形態が考えられる。

（注：類似の既存組織として、「情報共有分析センター」（ISACs; Information sharing and analysis center）。これは重要インフラ分野に対する物理・サイバー攻撃に対する脅威・脆弱性に関する情報共有を行うセンターであり、金融、エネルギー等セクター毎におかれ、一部はDHS（国土安全保障省）が運営。ISAOsとISACsは、相互補完的なものになると思われる）・ISAOsはDHS（国土安全保障省）傘下の国家サイバーセキュリティ通信統合センター（NCCIC；National　Cybersecurity and Communications Integration Center）と連携しながら活動を行う。

(独立行政法人情報処理推進機構「サイバーセキュリティリスクと企業経営に関する研究会　第3回研究会（2015年3月17日）資料２「米国等のサイバーセキュリティに関する動向」から一部抜粋)

　なお、DHSのサイトでは、「大統領令13691号」に関する解説サイトやISAOsについてのFAQを設けている。特に、後者においては2013年2月13日大統領令第13636号を補完する大統領政策指令第21号(Presidential Policy Directive 21)を引用しつつ、ISACsとISAOsの比較を説明している。すなわち、ISAOsはISACsと異なり、直接重要インフラに結びついていないが、その代わり、例えば中小企業の部門横断的な、法務、経理、コンサル業務を担う会社が自主的に情報を共有するといったフレキシブルな取り組みを認める等につき解説する。 

(筆者注14) 「2004年情報活動改革テロリズム予防法（Intelligence Reform and Terrorism Prevention Act of 2004, Pub. L. No. 108-458)」3/27(41)第1061条(プライバシーと市民的自由)は次のとおり定める。

・ 大統領府内に、プライバシー・市民的自由監視会議（Privacy and Civil Liberties Oversight Board）を設置する。

・ プライバシー・市民的自由監視会議は、テロ対策の一環として実施される各政府機関の政策を分析・評価する。また同会議は、各政府機関の政策の立案・実施においてプライバシーと市民的自由が適切に考慮に入れられることを保障するため、大統領及び各省庁の長に助言を提供する。

・ プライバシー・市民的自由監視会議は、連邦議会上院の助言と同意に基づき大統領が任命する 5 名で構成される。 

(筆者注15)1970年「組織の不正収益・贈収賄取締法」(Racketeer Influenced and Corrupt Organization Act、通称RICO法、Title 18 USC Sec 1961-1968)のわが国の解説例を見ておく。 

＊上記と同様、組織犯罪管理法の一環として制定された法律で、通称RICO法と呼ばれている。組織犯罪の収益源となる違法賭博行為や違法ブック・メーキング等の犯罪を根絶するための目的で制定されたもので、違反の場合には、刑法上（禁固年から終身刑）、民事上の罰則が課される。組織犯罪が州際間の財務取引に巧妙に入り込んできたことに対する対応で、組織犯罪と戦うための攻撃的なツールを提供した。この法は、合法的な組織に不正な資金が入ることを防ぐ三つの防御を定義する。即ち、1）不正な活動から得た資金や非合法な負債から得た資金を投資することの禁止、2）不正資金を取得する行動を担う企業を所有し、保持することの禁止、3）かかる手段を用いて取引をすることの禁止である。(大阪商業大学　IR*ゲーミング学会「新たなカジノ法制：IR推進法案の上程～何が起こるか」)

 ＊犯罪組織が正当な経済活動に影響を与えることを防止するために制定された。法律に規定された一定の連邦犯罪・州犯罪（＝前提犯罪）を団体の活動として行うこと等を禁止し、違反に対して刑罰（20年以下の自由刑、罰金、没収）と民事的救済手段（団体からの被告人の排除、将来の違反行為の禁止、私人による3倍額賠償（＋弁護士費用）訴訟など）を規定している。

適用範囲が組織犯罪に限定されておらず、前提犯罪に「詐欺」（mail and wire fraud:18U.S.C. §1341,1343）が含まれていること、私人が訴えを提起できる（有罪判決は民事的救済の要件ではない）ことから、組織犯罪と関係のない経済取引にも適用されてきた。(消費者庁「集団的消費者被害救済制度研究会」2010年1月29日( 東京大学教授 佐伯仁志) 

(筆者注16) 2011年5月12日のホワイトハウスの基幹施設に対するサイバー面の脅威に対する安全強化立法上の施策(法改正)のポイントについて、Fact Sheet の内容を概観する。

(1)米国民の保護

①全国ベースでの個人情報漏洩事故の報告義務システム

②RICO法等との整合性をとったコンピュータ犯罪者への取締り強化 

(2)国家規模での米国の基幹インフラの保護

①産業界、州、地方政府への連邦政府の自発的支援

②産業界、州、地方政府間の自発的情報の共有

③基幹インフラのサイバーセキュリティ計画 

(3)連邦政府のコンピュータおよびネットワークの保護

①FISMA等の改正による管理強化

②専門家の要請

③コンピュータシステムへの侵入阻止自働システムの開発

④連邦が認めたクラウドコンピュータシステム下において、州におけるデータセンターを州内に設置するのを要求しないよう手当てする。 

(4)個人のプライバシーと市民的自由の保護の新たな枠組み

①DHSにプライバシーと市民的自由の手続きに即してサーバーセキュリティ・プログラムを実行するよう求める。

②本法案のもとで個人情報を得るすべての連邦機関はプライバシーと市民的自由手続きの策定に際し、再度プライバシー・市民的自由の専門家および司法長官との事前諮問を行う。

③すべての個人情報のモニタリング、収集、使用、保持や共有は、サイバーセキュリティの脅威に対する保護目的のみに限る。

④民間事業者、州、地方政府はDHSと個人情報の共有を希望する時は、サイバーセキュリティの脅威と無関係な識別情報を除外する等合理的な努力をまず行わねばならない。

⑤この法提案は、レイヤー別監視プログラムおよび連邦議会への報告義務を負う。

⑥民間部門、州や地方政府の適用免除は提案が定める遵守条件により条件づけられる。 

(筆者注17) 代表的な個人情報漏洩時の通知義務にかかる上院法案5本の内容を概観する。

2014.2.24 Covington Burling LLPの解説ブログ Inside Privacy 「Comparison of Five Data-Breach Bills Currently Pending in the Senate」の主要部を引用する。リンクは筆者の責任で行った。

① 「Data Security and Breach Notification Act」(S.1193)：Pat Toomey(共和党、ペンシルバニア州)

② 「Personal Data Privacy and Security Act」(S.1897) ：Patrick Leahy(民主党、バーモント州)

③ 「Data Security Act」(S.1927)： Tom Carper(民主党、デラウェア州)：およびRoy Blunt(共和党、ミズリー州)

④ 「Data Security and Breach Ntifibcation Act」(S.1976)： John D. Rockfeller(民主党、ウェストヴァージニア州)

⑤ 「Personal Data Protection and Breach Accountability Act」(S.1995) ：Richard Blumenthal(民主党、コネチカット州) 

 Covington事務所の法案比較の詳細はブログそのものを読んでいただきたいが、5法案につき次の６項目で比較している。

①法がカバーする情報の範囲(Covered Information)

②漏洩リスクの閾値(しきいち)(Risk of Harm Threshold)

③消費者および規制機関への通知基準(Notice to Consumers and Regulators)

④法執行機関と罰則内容(Enforcement and Penalties)

⑤連邦法および州法の占専(Federal and State Preemption)

⑥立法でカバーされる事業体およびセーフハーバーとの関係 

(筆者注18) 電子識別番号(electronic identification number)とは、一般的には

Unique Patient Identification Numbers, Electronic Heath Records (EHR), Electronic Medical Records (EMR)等をさす。 

(筆者注19) わが国の「The Electronic Signatures in Global and National　Commerce Act (E-Sign Act)」等に関する比較的詳細な解説例を見ておく。

①MBR Consulting　マナブーズ・ルーム・コンサルティング「消費者保護の観点から見た米国電子署名法　2000年6月25日」はわが国の電子署名法との比較を踏まえた解説である。

②法務省の「電子署名法の概要と認定制度について」 

 ***************************************************************:::***********
Copyright © 2006-2016 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

オバマ大統領の官民サイバーセキュリティ情報共有とプライバシー強化法案および関連立法化動向(その１)

　　2014年12月18日、オバマ大統領は「2002年電子政府法(E-Government Act of 2002)」の成立以来12年ぶりの重要なサイバー立法となる長年の課題である5つの関連法案に署名した(なお、John MaCain上院議員等連邦議会有力議員の中からは、なお包括的かつ体系的なサイバー立法を押す意見があることも事実であり、本ブログの読者も理解できるであろう更なる米国の立法課題といえよう)。

 　また、同大統領は2015年1月から2月にかけ標記に関する新たな法案の策定等に向けた立法化の動きを精力的に行っている。すなわち、①サイバーセキュリティ法案、②消費者のプライバシー権利章典に関する法案、③連邦ベースの個人情報漏洩時の通知義務強化法案を策定すべく一連の公式の場で所見を述べている。 

　例えば、1月12日、オバマ大統領は連邦取引委員会(FTC)での所見スピーチで米国における標記２つの大きな立法課題をあげた。また、2月13日にはカリフォルニア州のスタンフォード大学でのホワイトハウス主催サミット(筆者注1)において主要企業や学内研究者や連邦機関に向けたスピーチで米国内のSONY等企業や政府機関に対するサイバー攻撃が相次いだことを受け、官民の情報共有を強化する政府の方針を述べるとともに、そのスピーチ直後、大統領令「Executive Order - Improving Critical Infrastructure Cybersecurity」に署名した。 (筆者注2) 

サミットでのオバマ大統領のスピーチ

 　本ブログでは、オバマ政権が取り組んできた法整備・立法措置の中核的な問題についてこれまでの経過を概観するとともに、現在取り組んでいる立法課題を整理し、これと平行してアカデミックな立場からサイバー対策につき先行研究している筆者も参加しているスタンフォード大学の”Cyber initiative”の概要などにも言及しつつ、今後、米国が取り組むであろう課題等を取り上げることとした。 

　なお、本ブログを丁寧に読んだ読者は気がつくと思うがオバマ政権はほぼ2年おきにサイバー関連立法の見直しを行うとともに、包括法案への取り組みと議会の議員立法法案との調整を進めている(2011年5月12日ホワイトハウスのFactSheet の前文参照)。ただし、毎回のプロポーザルを丁寧に読むと微妙な変更点に気がつくと思う。 

　さらに2015年4月1日、オバマ政権は合衆国憲法、および法律（国際緊急事態経済権限法（International Emergency Economic Powers Act：IEEPA、50 USC 35 §1701〜1707） (筆者注3) 、 「国家非常事態法(National Emergencies Act：NEA)および「移民および国籍法(Immigration and Nationality Act)」に基づき付与された権限に基づき2015年4月1日、大統領令「重大な影響を持った形で国外からの米国サイバー空間の無効化活動を行う人・団体等の資産を封鎖(Executive Order -- "Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities"))」を公布した。その意図、目的、その効果等なお疑問があるが、別途まとめたいと考える。

　これらの問題は大統領府、連邦機関の権限強化、見直しとともに、連邦議会の共和党や関係業界との調整等多くの課題を伴う問題であるが、わが国における詳しい解説は極めて少ないといえる。その中でジェトロ・ニューヨーク事務所報告「JETRO ニューヨークだより　2013年4月・5月の和田恭「米国におけるサイバーセキュリティ政策の最近の動向（前編）」および「同(後編)」 がその時点のものではあるが、正確かつ専門的な解説を行っている。

 　今回は、2回に分けて掲載する。 

Ⅰ．2015年1月までのオバマ政権におけるサイバー対策立法のこれまでの経緯の概観

　2015年1月13日付けのホワイトハウスのリリース「SECURING CYBERSPACE-President Obama Announces New Cybersecurity Legislative and Other Cybersecurity Efforts」等に基づき概観しておく(ホワイトハウスのリリース文につき筆者の責任で補足説明や関係資料へのリンクを行った)。

 　オバマ政権はサイバー立法等対策強化に関し、その始まりから節目に当たる経緯をたどると、まず2009年5月29日に「2009年サイバー・ポリシー・レビュー(2009 CYBERSPACE POLICY REVIEW:  Assuring a Trusted and Resilient Information and Communications Infrastructure 」 (全76頁)」においてサイバーセキュリティに関する第一弾的作業として行政機関の全領域を対象とする合計112のドキュメント・レビューを行った。その結果を踏まえ、2011年5月12日に民間部門および政府部門に国内外でのサイバー脅威に対する戦いを行うための各種手段を与えるべく連邦議会に対し迅速な行動を取るよう呼びかけるため「サイバーセキュリティに関する立法面の提案(Cybersecurity Legislative Proposal)」を公布した。

 　また、同年5月12日には、諸外国に対し外交政策上サイバーセキュリティは優先度が高い問題であることを明確化するため「サイバー空間に関する国際戦略：ネットワーク世界における繁栄、セキュリティおよび開示性( INTERNATIONAL STRATEGY FOR CYBERSPACE :Prosperity, Security, and Openness in a Networked World」(全30頁)を公表した。

 　その後、連邦議会がサーバーセキュリティに関する包括的な立法の通過ができなかった時に政府として産業界と協働してベースラインとなるサーバーセキュリティ標準化を確立して基幹インフラを保護するため、2013年2月12日に大統領令(第13636号)「Executive Order on Improving Critical Infrastructure Cybersecurity」を公布した。 (筆者注4)

　今日は公的および民間ベースのネットワークは組織犯や非国家組織者(国際テロリスト)と同様に前代未聞の凶暴なハッカーの脅威に直面していることから、大統領は次のステップとして国家システムを防衛するため後記Ⅲ.で具体的に述べるステップを明らかにした。その中には、新たな法案の提案、連邦議会の重要な任務の構築、サイバー攻撃を無能化すべく情報の共有化で解決する等が含まれると指摘している。 

Ⅱ．2014年12月18日に成立したサイバーセキュリティ関連５法案の概要

　その概要を米国ローファーム「ZwillGen　PLLC の解説記事」や「Bank Info Security記事」等をもとに解説する。 

(1) 「2014年連邦機関の情報セキュリティ現代化法(Federal Information Security Modernization Act)(S.2521)」

 同法は、大統領府・行政管理予算局(OMB)に、連邦機関におけるITセキュリティポリシーの策定につき既存の行政実務内容を成文化する権限を付与するものである。また、加えてDHSに民間機関のセキュリティ・ポリシーについても運用面で実行する権限を与える。さらに同法は国土安全保障省に「2002年FISMA(Federal Information Security Management Act)」の改正を受け連邦機関のネットワークのモニタリングにつき「チェクリスト方式(checklist-method)」 から「リアルタイム方式(real-time monitaring)」に変更する権限を与える。

　この問題の立法論の背景につき筆者なりに「FEDERAL NEWS RADIO 1500AM：OMBニュース(2014.6.24)記事」等を参照して以下のとおり補足する。 

＊連邦機関においてサイバーセキュリティ保護のためのダイナミックな取組みの障害となっていたのは、12年前の成立法である「FISMA」ではなく、むしろOMBが2000年11月28日に発出したオンライン部内通達「A-130 OMB Transmittal Memorandum for Heads of Executive departments and Agencies No. 4 (November 28, 2000)」 (筆者注5)の見直しが十分でなかったことである。とりわけ、DHS監査総監部(OIG)やその他の監視機関はそれによりセキュリティ対策業務は渋滞していた。 

(2) 「国家サイバー・セキュリティ保護法(National Cybersecurity Protection Act)(S.2519)」

　DHS内に基幹重要インフラ保護、サイバーセキュリティ、関連プログラムの監視を行うため正式に「国家サイバーセキュリティおよびコミュニケーション統合化センター(National Cybersecurity and Communications ntergration Center：NCCIC)」 (筆者注6)を稼動することを定める。法案では政府と情報共有を選択する民間企業の責任に関し論議や審議を行った。さらに、DHS長官に官民の情報共有の手続きの開発および情報共有契約の適用方法等につき議会に勧奨することを命ずる。 

(3) 「サイバーセキュリティ担当従業員の専門性育成評価法(Cybersecurity Workforce Assessment Act)(S.2952)」

　精鋭のサイバーセキュリティ専門家を採用する目的で、DHSの長官に同省内にサイバーセキュリティの準備、能力、訓練、採用、サイバーセキュリティの専門従業員の保持等を行うため、包括的な戦略の開発、維持および更新を行うよう命ずる。 (筆者注7) 

(4) 「国土安全保障省の従業員評価法(Homeland Security Workforce Assessment Act)(H.R.2952)」

 前記(3)の「Cybersecurity Workforce Assessment Act」と同様に「国境パトロール機関の支払い改革法(Border Patrol Agent Pay Reform Act of 2014：S.1691)第4条の付帯法条項となるものである。DHSにサイバーセキュリティ専門要員のポストを新たに作り、定期的な従業員採用とは別に追加報酬、やる気手当等を適用することを認める。

 (5) 「2014年サイバーセキュリティ強化法(Cybersecurity Enhancement Act)(S.1353)」

　商務省に対し、同省傘下の国立標準技術研究所(National Institute of Standards and Technology：NIST)の所長を通じて基幹インフラに対するサイバーリスクを減じるため任意の標準の開発権限を与える。また、同時にホワイトハウスの科学・技術政策局(Office of Science and Technology　Policy)に連邦機関のサイバーに関する調査および戦略計画の開発を命ずる。 

Ⅲ．2015年1月12日　ホワイトハウスオバマ大統領がFTC会議で一般教書も踏まえた新たなサイバー立法の提案その他のサイバー対策強化案を公表

　具体的なホワイトハウスのリリース(概況報告「米国の消費者と家族の保護施策」)内容は次のとおりである。なお、リリース文では海外および専門外の人には必ずしもわかりやすい内容ではないため筆者の責任で適宜補足やリンクを行った。 

(1)個人のなりすまし被害(Identity Theft)を追跡法の制定(Personal Data Notification & Protection Act)やなりすまし犯罪の特定やその阻止策

①個人情報の漏洩時の保有企業の顧客への統一的な通知義務法の制定

　大統領は、大規模な個人情報や金融取引情報等の漏洩・流失事件による心理面の被害をうける米国民に対し、心の平和を取り戻すため新たな立法手当てを推し進めた。この法案は、消費者につきその個人情報が漏洩したとき、その発見から30日以内に顧客への通知する義務を保有・管理する企業に課すことで責任の強化と明確化を図るものである。その一方で企業に対しては単一かつ全米ベースで標準化した通知規則を新たに策定する。 

②なりすまし犯罪の特定やその被害阻止策

　なりすまし被害時に、消費者に個人信用情報レベルの低下を回避させることも含め、最善のかたちで早期サインの1つのアクセスさせるため、大手銀行JPモルガン・チェイス(JMMorgan Chase)やバンク・オブ・アメリカ(Bank of America)や信用情報のスコアリング企業である「フェアー・アイザック・コーポレーション(Fair Isaac Corporation：FICO)」 (筆者注8)とともに、これらのクレジットカード顧客が無料で利用できる信用スコアを形成する企業数の増加をもたらすことになろう。さらに、USAA (筆者注9)やState Employees’Credit Union なども会員に無料の信用情報の提供を可能とし、またAlly Financial　(筆者注10)も自社の自動車ローンの顧客がクレジットスコアが無料で照会可能とする提携企業数を広げる予定である。これらの企業努力などを通じ、成人の米国民の半数以上は、銀行、カード発行者や貸し手を通じてなりすましに適確に気がつき対応を取るためのアクセス手段を持つことになろう。 

(2)教室やその他での学生の個人情報の安全措置対策

①「学生のデジタル・プライバシー法」案の提案

　大統領は、教師や両親のために教育目的のみで教育の課程で収集される学生の情報を保証するための最善の技術を伴う教育や学習を強化を必要とするための信頼を得るため新たな立法措置を提案する。この連邦法案は画期的な法律といえるカリフォルニア州の法律「Student Online Personal Information Protection Act」等をモデルにしたもので、2014年5月1日のホワイトハウス向け報告「ビッグデータとプラバシー(技術面から見た視点)：Report to President ：Big Data and privacy：A Technological Perspective)」 等およびホワイトハウスの大統領のBig Data問題レビュー「Learn more about the big data review」等の勧告に基づくもので、各企業における教育面の使途に無関係の目的で第三者に学生の個人情報を販売したり学校内で収集した情報に基づき「ターゲット広告」を行うことを認めないという内容である。一方で、生徒の学習成果の改善といった調査目的をもつ構想や企業による学習技術の効率性の継続的な改善努力という点ではなお認められるものである。 

　　なお、以下で米国プライバシー擁護団体であるEPICブログ「Student Privacy Project」が簡潔に同法のポイントを引用しているので、ここで併せて仮訳しておく。

「カリフォルニア州議会は包括的な学生のプライバシー保護法である「学生のオンライン個人情報保護法(Student Online Personal Information Protection Act　(Senate Bill No. 1177 CHAPTER 839)」を通過させ、このほど成立した。 この新しい法律の中で特記すべき条項は次のとおりである。

 (1) 幼小中高(k-12：幼稚園（K）からはじまり、小学校（1-6学年）、中学高校（7-12学年）までの計13学年をさす)のモバイルやオンライン・サービスのオペレーター(事業者)が学生へ広告目的で当該学生の個人情報を使用することを禁止する、 (2) オンラインサービス・プロバイダー(ISP)に対し、商業目的で幼小中高学生のプロファイルを作成することを禁止するとともに、(3)学生の個人情報を他の企業に販売することを禁止する。 また、同法は、幼小中高のモバイルやオンラインのサービス・オペレータに対し、安全対策を確立し、学校または地区の関係機関の依頼にもとづき学生情報を削除することを義務付ける。 同時に、カリフォルニア州は学校が契約上でプライバシーを含め指導記録を社外調達する場合の生徒や両親の同意等規制法案(Assembly Bill 1584)を成立させた。

　その他、学校内におけるソーシャルメディア監視プログラムを統治する法案(Snate Bill 1349 )を可決した。 同州の学生オンライン個人情報保護法は、EPICがStudent Privacy権利章典(Student Privacy Bill of Rights)で概説・提言した多くの提案を取り入れた。」 (筆者注11)

 ②学生のためのプライバシー強化支援のための民間部門の新たな責務

　本日、75社は子供たちの個人情報の誤用から子供達、両親や教師に対し重要な意味をもって保護するという誓約書に署名したことから新たな責務が生じた。この誓約活動は、シンクタンク「Future of Privacy forum」と「米国ソフトウエア＆情報産業協会(SIIA: Software & Information Industry Association)」がリードし、本日、大統領はその他の企業に対し、このリードに追随するよう働きかけた。 

③連邦教育省は米国中の教育者の権限強化と学生の保護のための新たな手段を用意する

　連邦教育省と同省の「Privacy Technical Assistance  Center」は米国の子供たちのプライバシー保護にとって重要な役割を演じる。今日、我々は教育に関するデータが適宜かつ教育の任務目的に即して保証されるようわらわれの能力の強化を図るべく教師の教育訓練の支援と同様に来るべきモデルサービス条件を公表している。 

(3)新たに出現するプライバシー問題につき官民部門を召集

・スマートグリッドにかかる顧客の個人情報保護についての任意の行動規範(Voluntary Code of Conduct)を策定

　　本日、連邦エネルギー省の連邦スマートグリッド対策本部(Federal Smart Grid Task Force)はエネルギーの使用情報を含む電気部門の顧客データの保護を目的とした公共施設や第三者のための取るべき任意の行動規範を公表した。

　同規範は1年にわたる産業界の関係者、プライバシー問題専門家ならびに広く大衆等やパブリックコメントを繁栄したものである。企業よる署名により、VCCは消費者の問題理解、選択や同意、アクセスのコントロール等の寄与することになろう。  

 *************************************************************************************

(筆者注1) ホワイトハウス主催のサミット(於：スタンフォード大学)には実は筆者も同大学の友人から招かれて参加した。全内容につきホワイトハウス・サイトで、動画での確認が可能である。

(筆者注2)オバマ大統領のスピーチに中身として、さらに言及すべき点は2014年10月17日の「大統領令(Executive Order-Improving the Security of Consumer Financial Transactions)」である。オバマ大統領は金融取引や個人取引情報の安全性、個人ID情報のなりすまし被害救済の改善、さらに連邦機関間で流通する個人情報の安全性強化に関する大統領令に署名した。とりわけ、安全性強化手段として連邦政府機関が発行するクレジットカードにつき可能な限り早急にデビットカードと同様に”Chip-and -PIN”技術を導入するよう命じた。さらに、大統領府・国家安全保障会議(NSC)、同・科学技術政策局(Office of Science and Technology Policy：OSTP)および同・行政管理予算局(OMB)に一定期間内に管理する個人情報管理の厳格化措置を命じた。

　 同大統領令の内容につき、Covington & Burling LLPの解説(President Obama Signs Executive Order Aimed at Protecting the Security of Consumer financial Transactions)、およびCozen O’Connorの解説を中心において概観しておく。

 (1)政府支払いカードのセキュリティ強化措置

　　クレジット、デビットその他政府公金の支払カード端末を有するすべての連邦法執行機関、部門において”Chip-and -PIN”技術導入により市民の個人情報のセキュリティ強化を図る。

　すなわち、財務長官は2015年1月1日までに新たに購入する端末につきセキュリティ特性を保証せねばならず、またこれらの安全特性を持たない旧端末を管理する連邦機関につきセキュリティ特性を保証するソフトウェアのインストール計画をたてねばならない。連邦共通役務庁長官(GSA)も同様に2015年1月1日までにGSA契約を介して交付されるクレジット、デビットカードやその他支払いカードのセキュリティ特性を確保するとともに、安全性特性を有しないすべての既存カードについては交換しなければならない。最後に、これらカードを扱うすべての連邦機関は2015年1月1日までにOMBに対し、これらカードにつきセキュリティ特性を有する保証計画を提出しなくてはならない。

 (2)個人なりすまし(Identity Theft)被害者救済の改善措置　

　個人なりすましの消費者たる被害者に対し、負担の軽減や遅延を減じるための措置を命じる。義務である。本命令に基づき、司法長官は国土安全保障省（DHS)長官と相俟って2015年2月15日までに実施内容を取りまとめることとなる。

　10月17日、”Chip-and-PIN”技術は欧州において広く用いられているものでクレジットカード番号の盗取を一層困難化するものである。さらに、同令は2015年1月1日までに連邦機関に設置する小口支払い用カード端末において”Chip-and-PIN”技術を導入するよう命じた。 

(筆者注3) 国際緊急事態経済権限法（IEEPA＝International Emergency Economic Powers Act、50 USC 35 §1701〜1707）は、非常かつ尋常ではない国際的脅威に国家がさらされた場合に政府が「国家非常事態」を宣言し、経済に関する種々の権限を大統領が一時的に握ることを認める法律。同法の詳細は以下URLを参照。
http://www.law.cornell.edu/uscode/html/uscode50/usc_sup_01_50_10_35.html (JETRO「基本的な米国の輸出入制度」から一部抜粋。

(筆者注4)大統領令第13636号について、ローラ・ミカ「サイバーセキュリティに関する大統領令」(国立国会図書館「外国の立法」2013.5)が概要を解説している。

(筆者注5)オンライン配信通達(Circular)とは、行政官庁がその所掌事務について、所管の機関や職員にオンライン文書で通知すること。また、その文書そのものをいう。 

(筆者注6)前文で述べた「米国におけるサイバーセキュリティ政策の最近の動向（後編）」においてNCCICにつき詳しく解説しているので、筆者なりに補足説明やリンクを追加して引用する。 

”NCCIC”は2009年10月30日に実際に運用するかたちですでに稼動している。

「DHSの国家重要インフラおよびITシステム保護総局(National Protection and Program Directrate：NPPD)の傘下の「サイバーセキュリティ・通信局(Office of Cybersecurity & Communication:CS&C：2009年発足)のうち、特に重要インフラを中心としたサイバー情報の集約機関として重要な役割を果たすのがNCCICである。NCCICは、国家サイバー事故対応計画（NCIRP）に基づき、それまでのNational Cyber Security Center（NCSC）を置き換える形で発足した機関であり、United States Computer Emergency Readiness Team （US-CERT）：米国内のサイバー脅威情報の集約や警戒情報や注意喚起情報の発信を行う実働部隊）や、Industrial Control Systems Cyber Emergency Response Team：ICS-CERT：制御システムに関するサイバーセキュリティを担う部隊）などを統括している。NCCICには、US-CERTやICS-CERTのほか、NO&I(NCCICの各部門および活動全体の同期解析、情報の共有と事故対応につき計画、調整と統合能力に担当する)、DHS所管の重要インフラ中、IT分野の政府側調整機関であるNational Coordinating Center for Telecommunications（NCC）の４部門が存在する。365日24時間体制でサイバー監視を行っている」 

  (NCCICのサイトの組織図)

(筆者注7)サイバーセキュリティ専門家要員の育成は、主要国の喫緊かつ共通的課題である。例えば、英国でみると3月25日、内閣府担当大臣であるフランシス・モード(Francis Maude)は、英国のサイバーセキュリティ技術の基礎部強化を目的とした第一次計画(Cyber First)を公表した。そのプログラム(scheme)の特徴を英国・政府通信司令部・通信電子セキュリティグループ(CESG)サイト等を参照のうえ記しておく。

”Cyber First”は優秀な学生を対象に関連する科学、技術、エンジニアリングや数学の勉強を行うための財政的支援を行うもので、同時に卒業時に仕事に就く際は国家安全保障にかかる政府、民間企業企業への就職を斡旋するものである。急速に成長する産業界のニーズに応えるべくサイバーセキュリティに関する最先端技術の開発、人材の育成が主目的であり、その経済効果は60億ポンド(約1兆500億円)以上、雇用効果は40,000人以上と見込まれている。その名誉ある計画の応募適格者は、2015年秋に大学の第一学年または第二学年の学生で、サイバーに関する全英におけるコンペの成功者である。

またスポンサー支援計画の中身は、学業中に関しては年間4,000ポンド(約70万円)が支給される。 

その他、英国におけるサイバーセキュリティ強化に関する主要な国家計画の項目は次のとおりである。詳細な説明は略す。また、2015年3月24日、モード大臣は英国のサイバーセキュリティ技術の強化に関する第一次計画を発表した。この点も英国政府のリリースを参照されたい。

①Academic Centres of Excellence in Cyber Security Research (ACE-CSRs)計画は、英国における「デジタル世界における英国の保護と推進(英国の新サイバーセキュリティ戦略が研究成果)2011.11.25 公布」として、いくつかのイニシアテイブの第一号である。 

②National cyber security programme and UK  Cyber Security strategy

2011年11月25日に公布した。2014年12月11日、本戦略に関する成果、更なる計画などを織り込んだ第三次進捗年次報告を公表した。

 (筆者注8)”FICO Score”について、同社サイトの解説は次のとおりである。。

The FICO® Score, available at the three major consumer reporting agencies, helps lenders make accurate, reliable and fast credit risk decisions across the customer lifecycle. The FICO® Score rank-orders consumers by how likely they are to pay their credit obligations as agreed. The most widely used broad-based risk score; the FICO® Score plays a critical role in billions of decisions each year. The latest US version, FICO® Score 9 is the most current and predictive FICO® Score.

　また、消費者金融サービス研究学会年報　芦田勝「米国等の消費者信用情報機関等におけるビジネス倫理の実践的取組みの現状とわが国のCSR強化に向けた課題」において概要が解説されている。

(筆者注9)”USAA”は、中堅銀行として現役軍人と退役軍人その家族を対象に、銀行サービス(free checking(当座預金口座で利息がつかない)ほか)、クレジットカード、生命保険／損害保険や自動車ローン、 投資相談等のサービスを行っている。 

(筆者注10)米ゼネラル・モーターズ（GM）の金融子会社だったアライ・フィナンシャルは2009年、政府が172億ドルの公的資金を注入して救済した。同社はそれ以降、サービスの幅を広げて業績を立て直してきた。2014年4月に実施した新規株式公開（IPO）では23億ドルを調達した。(2014.10.30　WSJ日本語版記事より一部抜粋)。 

(筆者注11)カリフォルニア州におけるプライバシー強化立法に関し、2012年にカリフォルニア州議会が通過させたプライバシー法(Assemmbly Bill 1844)は、同州の雇用主に雇用志願者や従業員のソーシャルメデイアのログ内容の開示を要求することを禁止する。また、同法は州の労働法第２部(Division Two)が適用され、また従業員がそのことにより解雇されたり脅迫されることから保護される旨定める。

　本ブログで引用した立法も含めカリフォルニア州の学童のプライバシー保護立法を概観するには2014.10.14 Josie Ahlquist「Carfornia Protecting Student Digital Privacy:Legal Updates in Education」を参照されたい。 

 *********************************************************************************
Copyright © 2006-2016 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.