株式会社ジンテック

Jライブラリー

インシデント報告の「義務化」と「迅速化」への備え(第6回)

名和利男 コラム

1. はじめに

日本政府が、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させるべく、新たな取組みの実現のために必要となる法制度の整備等について検討を行なっている「サイバー安全保障分野での対応能力の向上に向けた有識者会議」において、2024年8月7日、これまでの議論の整理[1]とその概要[2]が公開された。

この中で、「政府の情報提供・対処支援を支える制度」として、インシデント報告の「義務化」と「迅速化」の議論がされていることが明らかになった。報道等によると、報告義務を課す重要インフラを電力や鉄道など15業務とする方向である。

このような重要インフラ事業者から政府機関(国家当局)に対する報告義務の流れは、欧米では2016年から2018年頃に大きな変化があった。前回のコラム「日本のサイバー安全保障戦略の変化と企業への影響[3]」で解説した「米国と英国のACD戦略の歩み」と連動して、次のような法令等が制定された。

  • 欧州: 2016年 NIS指令(Network and Information Systems Directive)
     重要インフラ事業者やデジタルサービスプロバイダーにサイバーインシデントの報告を義務付け、国ごとに異なる迅速な報告を要求。
  • 米国: 2018年 CISA(Cybersecurity and Infrastructure Security Agency)のガイドライン
     重要インフラ事業者にサイバーインシデントの報告を義務付け、迅速な報告を推奨。

また、前回のコラムで、「日本企業がとるべき対応」における、法的要件への準備として「インシデント報告プロセスの確立」を示したが、この報告義務が課せられる重要インフラ事業者は、それが実行可能な状態にしておかなければならない。個人情報の漏洩等報告とは大きく異なることに留意する必要がある。

[1] https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo/giron_seiri/giron_seiri.pdf

[2] https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo/giron_seiri/giron_seiri_gaiyou.pdf

[3]     https://www.jintec.com/library/library-4519/

2. 政府機関への「インシデント報告」と「個人情報の漏洩等報告」の違い

我が国の個人情報の漏洩等報告は、個人情報保護法(2022年改正)に基づいており、その概要は次のとおり。

  • 報告義務の発生条件
    ◦ 要配慮個人情報、不正利用の恐れがある個人データ、不正目的で行われた漏洩、1,000人以上の個人データ漏洩が対象
  • 報告のタイムライン
     ◦ 初期報告: 漏洩発覚から3日以内に速報
     ◦ 確定報告: 発覚日から30日以内に確報
         (不正な目的で行われた恐れがある場合は 、発覚日から60日以内)

現時点において、重要インフラ事業者から政府機関に対するインシデント報告のあり方は、有識者会議で議論中であるが、前述の議論のまとめによると、「影響の大きさに応じ、インシデント報告を義務化」及び「インシデント報告先の一元化や報告様式の統一化、速報の簡素化(迅速化)」の二つの要素が際立っている。

また、有識者会議の議論及びその後の法制度の整備の狙いが、「サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる」としているため、前述の欧州と米国の法令に見られるインシデント報告の義務化と迅速化を踏まえると、それらが今後整備される法令に組み込まれていくと思われる。

そこで、筆者のサイバー攻撃によるセキュリティインシデントを発生した日本企業に対するデジタル・フォレンジック(デジタルデバイスから証拠を収集、分析、保存するプロセス)調査に関する経験や知見に基づいて、重要インフラ事業者が「(政府機関への)インシデント報告」の備えを考えると、次のような留意すべき事項がある。

2.1. デジタル・フォレンジック調査に要する時間

「インシデント報告」に関連する調査の方が時間がかかる場合が多い。インシデント報告では、サイバー攻撃やシステム障害の全体像を把握するため、複数のデバイスやネットワーク全体にわたる詳細な調査が求められるからである。

一方、「個人情報の漏洩等報告」は、特定のデータ流出や漏洩経路に焦点を絞った調査であるため、比較的迅速に完了することが多い。

2.2. 影響評価の難易度及び必要な技術・知識

「インシデント報告に関連する調査」は、広範なシステム全体の分析が必要であり、ネットワークセキュリティ、マルウェア分析、ログ解析など、高度な専門知識が求められる。攻撃者の行動追跡やシステムの脆弱性特定が必要なため、調査の難易度は非常に高い。

一方、「個人情報の漏洩等報告」は、特定のデータ流出や漏洩経路に焦点を当てるため、データ管理や法的知識が必要となるが、インシデント全体の把握ほどの広範な技術知識は必要とされない。そのため、専門性の要求は「インシデント報告」に比べてやや低いが、法的対応や個人情報保護に関する専門知識が重要となる。

2.3. 事業継続計画の必要性

「インシデント報告」では、サイバー攻撃やシステム障害が事業全体に与える影響を評価し、業務の迅速な復旧が求められる。これには、業務停止の回避やシステム再構築が必要であり、事業継続計画(BCP)の適用が重要となる

一方、「個人情報の漏洩等報告」は、漏洩による顧客信頼の喪失や法的リスクが焦点となり、対応の遅れが事業継続に深刻な影響を与える可能性がある。データ保護と早急な顧客対応が、事業の信頼性を維持するための鍵となる。

3. おわりに

サイバー攻撃に起因するセキュリティインシデントを期待通りに調査できるデジタル・フォレンジック専門会社は、それほど多くない。日本における以前の重要インフラ事業者は、独自性の高い閉鎖的なシステムで運用されていたため、長らく高度なサイバー攻撃が発生しづらい状況であった。一方、システム障害や内部犯行などによるシステム破壊などは一定の頻度で発生していたため、データ復旧を主な業務とする専門会社は多く存在する。データ復旧は専門知識が求められるが、比較的標準化された手続きであり、サイバー攻撃対処はさらに高度な専門技術と多様な経験が必要とされる。そして、サイバー攻撃は手法が多様であり、個別対応が求められるため、対応の難易度が高く、専門的なスキルを持つ専門会社は限られている状況である。

このように、重要インフラ事業者に対するインシデント報告の義務化や迅速化の実現を阻害する潜在的な要因は、思いの外多く存在する。また、重要インフラ事業者は、委託先や調達先にその事業の大半を依存しているため、必然的にインシデント報告しなければならない範囲は、想定より広くなる可能性がある。

※本内容の引用・転載を禁止します。

Cookie の使用について
当ウェブサイトでは、お客様の利便性向上や、サイト改善のためにCookieを使用しています。
詳細についてはCookieポリシーをご覧ください。

pagetop