ドイツ連邦内務省等がEUのNIS指令等に準拠するサイバーセキュリティ法案の新バージョン草稿を公開

　筆者の手元に米国大手ローファームのCovington & Burling LLPや英国の”Out-Law.com”のニュースが届いた。
　

連邦内務省(BMI)の担当大臣：トーマス・デメゼア(Thomas de Maizière)が8月19日に公表したドイツのデジタル・アジェンダ社会計画に基づく法整備の一環として2013年に政府で決定を見た「ITセキュリティ法(IT-Sicherheitsgesetz)」の修正法案につき、今後3～4ヵ月に関係省庁やIT事業者等公開討論等を踏まえ閣議決定に持ち込みたいという内容である。

　2013年の同法案についてわが国ではほとんど紹介されていないし、また今回の修正内容についても今のところ解説文は現れそうもない。また、2011年2月連邦政府決定の「Cyber Security Strategy for Germany」、2013年2月7日EU公表の(1)「Joint Communication to the European Parliament,The Council,The European Economic and Social Committee and The Committee of the Regions：Cybersecurity Strategy of the European Union:An Open, Safe and Secure Cyberspace」、(2)「Proposal for a Directive of the European Parliament and the Council concerning measures to ensure a high common level of network and information security across the Union(NIS)」や2014年3月13日のEU議会における修正可決に関する解説も現状はきわめて少ない。 (注1)


　そこで、本ブログではBMI等の公式資料、ドイツのメデイア、前記ローファームの解説文、EU公式資料等に則して解説を試みる。

1.ドイツの「デジタル・アジェンダ2014-2017」閣議決定とその概要
　8月20日、ドイツ連邦内閣は連邦政府提案による最初となる「デジタル・アジェンダ2014-2017(Digitale Agenda 2014–2017)」を閣議決定した旨公表した。




リリースの内容を簡単に紹介する。

左：アレキサンダー・ドブリント(運輸・デジタル・インフラストラクチャー大臣：Alexander Dobrindt)
中：トーマス・デメゼア(内務大臣)(Thomas de Maizière)
右：ジグマー・ガブリエル（経済・エネルギー大臣）

○連邦内閣は、2014年8月20日の閣議でドイツのデジタル・インフラ整備のための経済·エネルギー大臣、内務大臣、運輸およびデジタル・インフラストラクチャ（Digital Agenda 2014-2017）大臣から提示された「デジタル・アジェンダ2014年-2017年」を決定した。

　本デジタル・アジェンダ2014-2017は、次の3つのコア目的に焦点を当てている。

①成長と雇用確保のためのわが国の強さを高める技術革新の可能性。
②国民のアクセスと参加性を向上させるために、総合的な高速ネットワークの開発およびすべての世代のためのデジタル・メディア·リテラシーの促進を支援する。
③安全性とITシステムとサービスの保護を改善することは、ネットワーク社会と経済に対する強い信頼性とセキュリティを確保する。

「デジタル・アジェンダ2014-2017」は、次の7つの分野における具体的行動実施措置を含む。

①デジタル・インフラ ストラクチャー
②デジタル経済とデジタル関連の仕事
③革新的な国家
④社会の中でデジタル・ライフスタイルを作る
⑤教育、研究、科学、文化とメディア
⑥社会·経済に対する安全性、セキュリティ、信頼
⑦デジタル・アジェンダのヨーロッパおよび国際的な側面

　デジタル・アジェンダの実装は、すべてのステークホルダーとの対話で行わる。実装において重要な役割は、全国のITサミットはデジタル・アジェンダの中核分野に再度焦点を当てる。
　連邦政府は、ドイツ連邦議会、連邦州や地方自治体、市民社会、民間事業者、学術分野だけでなく、社会的パートナー、個人情報保護・情報自由化コミッショナーならびにデジタル・アジェンダの実施と開発における密接に関連するネットワーク・コミュニティの代表者が含まれる。本日の閣議決定はその前奏曲である。

　デジタル・アジェンダとITサミットの継続のための新しいコンセプトの実装の初めての結果は、2014年10月21日ハンブルクで開催される次のITサミットで発表される予定である。

２．内務省等連邦政府によるITセキュリティ法案の検討経緯
(1)以下の解説は、2013年3月22日のCovington & Burlingの解説「ドイツ政府はサイバーセキュリティ法を提案」から抜粋、引用し、仮訳した。

　2013年3月5日、当時の内務大臣ハンス・ピーター・フリードリヒ(Hans-Peter Friedrich)はIT セキュリティ法草稿を提示した。
　同草稿は社会共同体に機能面で重要性が高く、その障害や機能損傷が公共の安全性に対する長期の供給不足や重要な損傷につながる設備、工場またはそれらの一部をなす部品等の重要インフラと定義する。すなわち以下のセクターのインフラは同草稿でカバーされるとされた(ただし、行政が管理するITや通信手段は対象範囲外とされた)。
・エネルギー
・IT
・電気通信
・輸送や運輸
・保健・健康
・水
・食料
・金融
・保険

　これら同法の厳密な適用範囲については、供給レベル、人口比率、迅速性、機能損傷や市場独占レベル等から見た基準にもとづき、連邦議会の法案審議の第二立法過程において決定されることになろう。

　特に、これらのセクターの重要インフラの運営事業者は次の義務が課される。
①法律成立後2年以内に重要なインフラの機能に関し、本質的となるITシステム、その構成部品や手順につき最先端の技術水準に準拠して組織的、技術的な安全装置その他の手段を実装すべきこと。
②この点に関しては、各分野ごとに産業界や協会団体が最低の遵守基準(規制監督機関が形式的に承認する(rubber-stamped))を策定するという自己規制の余地があろう。
③定期的(少なくとも2年ごと)にセキュリティ監査を実施するとともに、その監査を通じて明らかとなったすべての欠陥につき概要報告を提供する。
④不適切な遅滞なく重要インフラに適切な機能に影響を与えるITシステム、その部品および手順についての重大な障害につき連邦情報セキュリティ庁(Bundesamt für Sicherheit in der Informationstechnik：BSI)  (注2) (注3)に報告する。
　BSIは、中央機関として他の監督機関と協働してすべての関連する情報と接触、収集や解析を行うとともに、基幹インフラの運営事業者や国民等に対する助言や支援情報を提供する。
　また、電気通信事業者や情報社会サービス・プロバイダー(information society service providers) (注4)はサイバーセキュリティに関し、重要な役割を果たすと考えられており、追加義務が課されることになろう。この目的を達成するため、電気通信の保護と無権限アクセスから情報保護処理システムを保護するため最新技術に則して技術的手段を実装すべきことをこれらプロバイダーに義務付ける新たな義務は既存の業種特定法の中に取り込むことになろう。 (注5)

　さらに、通信事業者はユーザーのサービスの有用性を妨げたりやデータ処理に対する無権限アクセスを許す電気通信やネットワークやサービスにかかわらず、いかなる損傷について遅滞なく部門ごとの規制監督機関たる連邦ネットワーク庁(Bundesnetzagentur：BNetzA)に報告しなければならない。BNetzAはそれについて順次報告する。
　さらに、電気通信プロバイダーはユーザーのデータ処理システムから生じるいかなる損傷についても影響を受けるユーザーに知らせるとともにその損傷の除去のために適当、かつ有効かつアクセスしやすい技術・手段に関する情報提供が義務化されている。

(2)2014年8月19日、政府が再提出した草稿の内容と今後の立法プロセス予定
　2014年8月29日のCovington & Burling LLPの解説を元に、2013年の草稿につき詳しく解説されているが、基本的な内容は前述した2013年草稿の内容と重複するので略す。
　今後の政府としての立法化に向けた諸準備の内容は、内閣の関係する法務大臣を含む関係大臣との協議が進行中であり、これには今後3～4ヵ月程度が見込まれ、また内務大臣は草稿の内容に関し、徹底的な利害関係事業者との意見調整を行う旨意思表示している。

*****************************************************************************************************************************
(注1) 2014年3月13日のEU議会におけるNIS指令の修正可決の詳細内容は欧州委員会リリース「Great news for cyber security in the EU:
The EP successfully votes through the Network & Information Security (NIS) directive」が詳しい。また、メデイア記事ではeader記事「MEPs approve the Network Information Security Directive」、Inside Privacyのblog がポイントをよく整理している。

(注2) 2010.10.8の筆者ブログ「ドイツの国家情報セキュリティ機関(BSI)の概要」を参照されたい。

(注3) BSIのＨＰには英語ver.がある。

(注4) 「情報社会サービス・プロバイダー(information society service providers)」とは、同LLPの説明では「通常、報酬に基づき遠隔地間において電子的手段を用いて受け手の要求にもとづき行うサービスをいい、例えばオンラインバンキングやオンラインショッピング等のサービスを指す」

(注5) 「デジタル・アジェンダ」につき参考となる解説記事や政府やIT業界の専門サイト等のみ挙げておく。
①2014.8.20　Deutsche Welle記事「German cabinet adopts 'Digital Agenda' for expanded broadband Internet )
②ドイツ連邦政府の「ドイツDigitale Agenda 」専門サイト
③2014.8.21 EurActiveのドイツ語文の英訳記事　
④BITKOMが独自にまとめたもの： 「IT strategy -Digital Agenda for Germany ：Germany to Digital Developing country growth」(全58頁)


*************************************************************************************************
Copyright © 2006-2014 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only.
You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.