矢野 薫(やの・かおる)
プライスウォーターハウスクーパース マネージャー。サイバーセキュリティにおけるマネジメント戦略の策定を専門とし、従来型の情報保護を主体とするセキュリティからサイバー脅威への対応態勢の強化を目的とする「サイバーセキュリティ」への変革やグローバルセキュリティ戦略の立案を、経営側から支援

 2014年11月の「サイバーセキュリティ基本法」の成立以降、各省庁によるサイバーセキュリティ関連のアナウンスメントが続いている。総務省による「サイバーセキュリティ政策推進に関する提言」(2015年5月22日)や金融庁の「金融分野におけるサイバーセキュリティ強化に向けた取組方針」(2015年7月2日)に続き、2015年12月28日には経済産業省より「サイバーセキュリティ経営ガイドライン」が発表された。

 この経済産業省のガイドラインに「経営」の名が冠されたように、日本において経営陣によるサイバーセキュリティの取り組みが大きく発展していることは確かである。そしてグローバルにビジネスを展開する企業の場合、このような日本国内のサイバーセキュリティのガイドラインのみならず海外のサイバーセキュリティに関する動向についても日頃から情報収集をしている経営者が多いだろう。そこで今回は、欧米でのサイバーセキュリティ関連の法規制の主要なものについて、日本企業の経営者が考慮すべき点を整理してみたいと思う。

アメリカで制定されている
サイバーセキュリティ関連法規制

 アメリカでは、2002年に連邦情報セキュリティマネジメント法(Federal Information Security Management Act : FISMA)が成立して以来、この連邦法が国家レベルでのセキュリティ方針の拠り所となっていた。その後、増大するサイバー脅威に対応するためサイバーセキュリティの包括的な法案がたびたび連邦議会でも議論されたが、政府および民間企業が同じ目標を設定できず、なかなか成立には至らなかった。

 アメリカでの大きな変革は2013年2月に発表された「大統領令 第13636号」だろう。連邦議会でサイバーセキュリティ法案の成立が困難だったため大統領による行政・執行命令としてアナウンスされた。これによりNIST(アメリカ国立標準技術研究所)によるサイバーセキュリティのガイドラインの策定が規定された。それを受けて発表されたのが「重要インフラのサイバーセキュリティを強化するフレームワーク」である。