「EUのネットワークと情報システムの安全性にかかるEU指令(NIS指令)の採択と今後の課題」(その１)

Last Updated:May 2,2019

　　2016年5月7日、欧州連合理事会は「ネットワークと情報システムの安全の一般の原則に関する指令(NIS指令：Directive on Security of Network and Information Systems)案」を採択し、また7月6日、欧州議会は、本会議でその第二読会で取りまとめたEU全体でのNIS指令案を採択した。同指令については、加盟国は21 か月(2018年5月9日)以内に国内法化し、27 か月(2018年9月9日)以内にOperator of Essential Service (OES)等を指定する義務が定められた。(筆者注0)

　同指令の主要な要素は、(1)加盟国ごとのサイバー・セキュリティ能力の確立、(2)加盟国間の具体的協調強化、(3)重要なサービスとデジタル・サービスプロバイダーの明確化とこれらのオペレーターのために特別な義務を課す、等である。 

　また、重要な点であるがEU加盟国の国内法化の追跡サイトがある。ぜひ、参照されたい。

　この問題への取り組みは、2013年2月7日に欧州委員会がプレスリリース「オープンなインターネットとオンラインの自由と機会を保護するEUのサイバー・セキュリティー計画」を公表したことに始まる。すなわち、欧州委員会は、外交問題とセキュリティ・ポリシーに関する上級代表とともに、ネットワークとインフォメーション・セキュリティ（Commission proposed directive on network and information security (NIS).）に関し委員会として提案する指令案ととともに、「サイバー・セキュリティー戦略(cybersecurity strategy)」を公表したのである。 (筆者注1) 

　この一連のサイバー対策強化は、EUや米国(筆者注2)だけでない世界的な潮流であることはいうまでもない。 

　一方、わが国の取り組み状況を見るとは、本文で述べるとおり「日本コンピュータセキュリティインシデント対応チーム協議会(Nippon CSIRT Association)」への参加企業数で見るとおり、近年急速に増加していることは間違いない。しかし、EU加盟国のように国際的な協力体制までできているかといえば、なお課題が多いというのが現実であろう。

 　今回は、これからのわが国の取り組み課題を検討する上での参考として、EUの事例を取り上げるものである。なお、本文で引用したようにNATOの共同サイバー防御専門機関「Cooperative Cyber Defence Centre of Excellence：CCDCEOE)」サイトのNIS指令の解説は他の解説に比べ具体的であり、わが国での検討に資すると考え、極力、仮訳に努めた。

 　今回は、2回に分けて掲載する。 

１．2013年2月7日の欧州委員会「オープンなインターネットとオンラインの自由と機会を保護するEUのサイバー・セキュリティー計画」の概要

 　EUの欧州委員会の公式サイトの解説を仮訳する。 

「オープンなインターネットとオンラインの自由な機会を保護するEUのサイバー・セキュリティー計画」 

　欧州委員会は、このほど外交問題とセキュリティ・ポリシーに関する上級代表とともに、ネットワークとインフォメーション・セキュリティ（Commission proposed directive on network and information security (NIS)）に関し、委員会として提案する指令案とともに、以下の「サイバー・セキュリティー戦略(cybersecurity strategy)」を公表した。

 (1)サイバー・セキュリティー戦略

　「オープンで安全でかつ堅固なサイバー空間」は、最もサイバーによる混乱と攻撃を阻止し、それに対処するための具体程方法に関しEU全体の包括的展望につき述べる。これは、自由と民主主義のヨーロッパの価値を高め、かつデジタル経済が問題なく成長することができることを確実とすることである。その特別な行動とは、情報システムのサイバー事件の反発力を強化し、サイバー犯罪を減らし、さらにEUの国際的なサイバー・セキュリティ・ポリシーとサイバー防御を強化することを目的とする。 

　本戦略は、5つの優先課題に関してサイバー・セキュリティーにかかるEUの展望を明瞭に表現する。 

 ①サイバー被害からの回復力を成し遂げること。

 ②サイバー犯罪を大幅に減らすこと 。

 ③EUの「共通安全保障と防衛政策（Common Security and Defence Policy：CSDP）」 (筆者注3)に関連したサイバー防衛政策と能力の開発すること。

 ④サイバー・セキュリティーのために産業界および技術的資源を開発すること。

 ⑤EUのために首尾一貫した国際的な「サイバースペース方針」を確立し、さらにコアとなるEUの価値を高めること。 

　EUの「国際的サイバースペース方針」は、EUのコア価値への関心を増し、責任ある行動の達成目標を定め、またサイバースペース内での既存の国際法の適用を擁護する。その一方で、サイバー・セキュリティ能力開発はEU域外で国々を助けると同時にサイバー問題における国際協力を促進する。 

　EUは、よりよく鍵となる前進を市民をオンライン犯罪から保護すべく、1)2013.1.9「ヨーロッパ・サイバー犯罪センター(European Cybercrime Centre：EC3)」の開設（IP/13/13）、2)201.9.30「情報システムへのサイバー攻撃の阻止にかかる立法措置の提案（IP/10/1239）」、また、3) 「オンラインの子供の性的虐待と戦うための国際同盟の立ち上げ（IP/12/1308）」 (筆者注4)においてオンライン犯罪から市民を保護する前向きな施策を行ってきた。 

　また、同戦略はサイバー対策につき加盟国の訓練や能力向上を支援する国家機関としてのNational Cybercrime Centers of Excellence (筆者注5)への資金供給を目指すものである。 

２． EUデジタル単一市場サイト「ネットワークと情報システムの安全性にかかるEU指令(NIS指令)」 

(1) 欧州委員会の2016年7月28日のプレスリリース「ネットワークと情報システム（NIS指令）の安全性にかかるEU指令」を仮訳する。 

　欧州委員会は、このほどEUの外交問題や情報セキュリティ政策に関する上級代表とともに、ネットワークとインフォメーション・セキュリティ（Commission proposed directive on network and information security (NIS)）に関し委員会として提案する指令案ととともに、「サイバー・セキュリティー戦略(cybersecurity strategy)」を以下のとおり公表した。 

　ここ数年、欧州委員会は、サイバー事件を撃退すべくEU全体の準備レベルを引き上げるための一連の措置を導入した。今回のNIS指令は、サイバー・セキュリティーの上のEUに広がる立法の最初の部分である。 

　セキュリティ・ネットワークと情報システムのセキュリティ対策指令であるNIS指令は、2016年7月6日に欧州議会によって採択された。欧州委員会の副委員長アンドラス・アンシプ(Andrus Ansip（デジタル単一市場(DSM)に対して責任があるエストニア代表(写真上)と委員であるギュンター・ヘルマン・エッティンガー(Günther H. Oettinger)(ドイツ代表)(写真下)は、この出来事に関し声明を出した。

 

 

  

　同指令は、2016年8月に施行される。加盟国は、彼らの国内法令に同指令を移すべく21ヵ月と重要なサービスの運用機関を特定するさらに6ヵ月の準備期間がある。

　翻るに、2013年、欧州委員会は、EU全体でネットワークとインフォメーション・セキュリティの高い共通レベルを確実にするための措置に関して、指令案を提唱した。NIS指令は、以下の内容を確実にすることによってEUのサイバー・セキュリティの全体的なレベルを押し上げるための法的措置を提供することを決定した。 

①例えば、加盟国に「コンピュータ・セキュリティ事件対応チーム（Computer Security Incident Response Team ：CSIRT）」 (筆者注6)の設置や権限を持った国家レベルのNIS実施機関の設置等を準備することを要求すること。 

②加盟国間の戦略的な協力と情報の交換を支援かつ容易にするために協力グループ(Cooperation Group)を設立する等すべての加盟国の間の協力の確保する。また、加盟国は特定のサイバー・セキュリティー事件と危険に関する共有情報で迅速かつ効果的運用面の協力を促進するために、自国内でCSIRTネットワークを立ち上げる必要がある。

 

 

 2016.7.8 ENISA資料「Implementing The NIS Directive」等から一部抜粋 

③我々の経済と社会のために不可欠で、さらに重要度の高い情報通信技術(ICTs)（例えばエネルギー、輸送、水、銀行業務、金融市場の基盤、医療やデジタル基盤）に依存する分野横断的な文化を確立する。加盟国によって重要なサービスのオペレーターとして特定されるこれらの分野の企業は、適切なセキュリティ対策をとらなければならず、また関連した国家当局に大事件につき通知しなければならない。また、重要なデジタル・サービスプロバイダー（検索エンジン、クラウド・コンピューティング・サービス、オンライン市場(筆者注7)は、新しいEU指令の下でセキュリティとその通知要件を満たさなければならない。

 ④ヨーロッパのサイバー回復力(cyber resilience)を強化すること 。

　2016年7月5日の欧州委員会はその公式通達(communication) (筆者注8)において、加盟国に対しNIS調整メカニズムを最大限に活用させた。それらに基づいて、委員会は大規模なサイバー事件が生じた場合に国境を越えて協力を強化する具体的方法を提案した。サイバー・セキュリティーの状況が進化する速度にあわせ、委員会は「欧州連合ネットワーク情報セキュリティ庁(ENISA)」の評価を押し進める。そして、それはおそらく新しい義務を導き出すことになろう。 

************************************************************** 

(筆者注0) ネットワーク・情報システムの安全に関する指令（NIS 指令）についての詳しい解説は、国立国会図書館調査及び立法考査局　海外立法情報課島村智子氏の報告がある。

(筆者注1) 2013.2.15 情報通信総合研究所 グローバル研究グループ 佐藤　仁「欧州：サイバーセキュリティをめぐる同盟の重要性」は、欧州委員会のNIS指令案につき簡単に解説している。

 (筆者注2) 米国のオバマ政権のサイバー対策強化の最近時の動きを、White House情報でフォローしておく。

(1)2016.2.9 White Houseリリース「FACT SHEET: Cybersecurity National Action Plan」

(2)2016.7.26 White House リリース「FACT SHEET: Presidential Policy Directive on United States Cyber Incident Coordination」 

(筆者注3) EUの「共通安全保障と防衛政策（CSDP）」については、駐日欧州連合代表部の「共通安全保障・防衛政策（Common Security and Defence Policy=CSDP）」解説サイト、About CSDP - Overview　、EUのCSDPの動画解説サイト等が参考になる。 

(筆者注4) 2012年12月4日現在で同盟国数は、わが国ほかEU域外の21カ国を含む48カ国であった。

 (筆者注5) ”National Cybersecurity Center of Excellence”とは、官民連携R＆Dセンターでサイバーセキュリティ人材育成の観点から各国で取り組みが行われている。 

(筆者注6) ”CSIRT”の意義について、簡単に引用しておく。

＊CSIRTとは、企業や行政機関などに設置される組織の一種で、コンピュータシステムやネットワークに保安上の問題に繋がる事象が発生した際に対応する組織。

社内の情報システムや通信ネットワークでウイルス感染や不正アクセス、サービス拒否攻撃（DoS攻撃）などセキュリティ上の脅威となる現象や行為が発生した際に、組織内の対応窓口となって被害の拡大防止や関連情報の収集・告知、再発防止策の策定などの活動を行う。また、外部のCSIRTと連携して事件・事故の被害情報やシステムの脆弱性についての情報を共有したり、一般利用者へ情報セキュリティに関する教育や啓発、広報などの活動を行うこともある。(「IT用語辞典」から一部抜粋) 

＊シーサート (CSIRT: Computer Security Incident Response Team)とは、コンピュータセキュリティにかかるインシデントに対処するための組織の総称です。インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集、分析し、対応方針や手順の策定などの活動をします。 

　わが国では、「日本コンピュータセキュリティインシデント対応チーム協議会(Nippon CSIRT Association)」が2007年3月28 日発足しており、同団体のサイトから一部引用した。 

(筆者注7)「オンライン市場（またはオンライン電子商取引市場）」は、製品やサービス情報が複数の第三者によって提供される一種の電子商取引サイトを指す。一般の業務が市場のオペレーターによって処理されるのに対して、オンライン市場は多重チャンネルである「e-commerce」の主要なタイプで、製造工程を合理化する意味で「単純でかつ入口に近い」と言われる。

オンライン市場では、消費者業務は市場オペレーターによって処理されて、それから加えられて、参加している小売業者または卸売業者によって成し遂げられる。他の能力としては競売にかけることを含むともいえる。既存の市場地域は、長い時間と確立したウェブサイト（例えばamazon.comと新しい市場ウェブサイト（例えばinstamal.com）のもの）を含みむ。これらの種類のサイトでは、ユーザーが登録して、「販売後に手数料料金が決まるシステム("post-selling" fee.)」という多数のアイテム希望に対し一つのアイテムを販売するのを許す。(Wikipedia のOnline Marketplaceの解説から一部仮訳して引用 )

(筆者注8) 欧州委員会が発する「Communication」とは、「委員会通達」あるいは「委員会からの通知」と解されている。 

**********************************************************************:

Copyright © 2006-2019 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.