ホーム
サイバーセキュリティ
第1章:法体系の全体像と基礎構造

第1章:法体系の全体像と基礎構造

1-1. アメリカ法制度の基本構造と特徴

アメリカのサイバーセキュリティ法を理解する上で、まず押さえるべきはその根底にある法制度の基本構造です。日本の法体系とは異なる3つの主要な特徴(「連邦法と州法の二重構造」「包括的連邦法の不在とパッチワーク型規制」「アメリカ法の域外適用」)が存在し、それぞれがグローバル企業のコンプライアンス戦略に大きな影響を与えます。

連邦法と州法の二重構造(プリエンプションの概念)

アメリカは、合衆国憲法に基づき、連邦政府と各州政府がそれぞれ独立した主権を持つ連邦制国家です。このため、法律も連邦法(Federal Law)州法(State Law)の二重構造になっています。

連邦法は、憲法によって連邦政府に与えられた権限(州際通商の規制、国家安全保障、特許・著作権など)に基づいて制定され、全米50州に等しく適用されます。サイバーセキュリティ分野では、後述するCFAA(コンピュータ詐欺・不正利用法)やHIPAA(医療保険の相互運用性と説明責任に関する法律)などがこれにあたります。

一方、州法は、各州がその州民の健康、安全、福祉のために制定する法律です。サイバーセキュリティ分野では、データ侵害通知法や、カリフォルニア州消費者プライバシー法(CCPA)に代表される包括的なプライバシー法が典型例です。

この二重構造において重要なのがプリエンプション(Preemption)という概念です。これは「先取り」を意味し、連邦議会が特定の分野について包括的な規制を定めた場合、それと矛盾する州法は効力を失うという原則です。しかし、サイバーセキュリティやデータプライバシーの分野では、連邦議会が包括的な規制を定めていないため、プリエンプションが働く場面は限定的です。その結果、企業は連邦法だけでなく、事業を展開するすべての州の法律にも準拠する必要があり、これがコンプライアンスを複雑化させる大きな要因となっています。例えば、全米50州すべてにデータ侵害通知法が存在しますが、その要件(通知対象となる個人情報の定義、通知期限、通知先など)は州ごとに微妙に異なり、インシデント発生時には極めて煩雑な対応を迫られます。

包括的連邦法の不在とパッチワーク型(セクター別・州別)規制

EUの一般データ保護規則(GDPR)のような、個人情報保護全般を包括的に規律する単一の連邦法がアメリカには存在しません。その代わりに、特定産業分野(セクター)や特定の種類の情報を対象とする連邦法と、各州が独自に制定する法律が組み合わさり、全体として「パッチワーク」のような規制体系を形成しています。

セクター別連邦規制の例:

  • 金融分野: グラム・リーチ・ブライリー法(GLBA)
  • 医療分野: 医療保険の相互運用性と説明責任に関する法律(HIPAA)
  • 児童のオンライン情報: 児童オンラインプライバシー保護法(COPPA)

これらの法律は、それぞれのセクターで取り扱われる機微な情報を保護するために、特定の事業者に対して詳細なデータセキュリティ義務を課しています。しかし、これらの規制対象外の事業者は、直接的にはこれらの法律に縛られません。

この連邦レベルでの規制の隙間を埋めるように、近年、各州が積極的に独自の規制を導入しています。特にカリフォルニア州は、CCPAやその後継であるCPRA(カリフォルニア州プライバシー権法)を制定し、アメリカにおけるプライバシー保護とデータセキュリティの議論をリードしてきました。これらの州法は、特定のセクターに限定されず、州民の個人情報を取り扱う多くの事業者に広範な義務を課します。

このパッチワーク型規制は、日本企業にとって大きな課題となります。自社の事業がどの連邦法・州法の対象となるのかを正確に特定し、それぞれ異なる要求水準に対応するコンプライアンス体制を構築する必要があるのです。

アメリカ法の「域外適用」とグローバルビジネスへの影響

多くのアメリカの法律、特にサイバーセキュリティやプライバシーに関連する州法は、域外適用(Extraterritorial Application)の考え方に基づいています。

これは、事業者の物理的な所在地ではなく、誰のデータを扱っているかを基準に法律の適用範囲を判断するアプローチです。例えば、カリフォルニア州のCCPA/CPRAは、カリフォルニア州の住民(消費者)の個人情報を取り扱う事業者であれば、たとえその事業者が日本にしか拠点がなくても適用対象となり得ます(一定の売上高等の要件を満たす場合)。

つまり、日本の企業がアメリカの顧客向けにECサイトを運営したり、アメリカのユーザー向けにアプリを提供したりする場合、その顧客やユーザーが居住する州の法律を遵守する義務が生じる可能性が高いのです。インシデントが発生した場合、「知らなかった」では済まされず、州司法長官による執行措置や、消費者からの集団訴訟のリスクに直面することになります。したがって、アメリカ市場でビジネスを行う以上、自社が取り扱うデータがどの州の住民のものであるかを把握し、関連する州法を遵守する体制を整えることが極めて重要です。

1-2. 法規制の歴史的変遷と政策動向

初期のコンピュータ犯罪対策(CFAA:コンピュータ詐欺・不正利用法)

アメリカにおけるサイバーセキュリティ関連法の原点は、1986年に制定されたコンピュータ詐欺・不正利用法(Computer Fraud and Abuse Act, CFAA)に遡ります。当時、インターネットが普及し始め、金融機関や政府機関へのハッキングが新たな脅威として認識され始めたことが制定の背景にあります。

CFAAは、特定の種類の情報を保護するのではなく、「権限なくコンピュータにアクセスする行為」そのものを犯罪と定義しました。これは、物理的な世界における「不法侵入(Trespass)」の概念をサイバー空間に適用したものであり、その後のアンチハッキング法の基礎となりました。当初は政府や金融機関のコンピュータのみを対象としていましたが、その後の改正で対象は「州際通商または外国との通商に用いられる保護されたコンピュータ」へと拡大され、事実上、インターネットに接続されたほぼすべてのコンピュータが対象となりました。

CFAAは、その曖昧な文言、特に「権限を超えたアクセス(exceeds authorized access)」の解釈をめぐり、長年にわたり論争の的となってきました。しかし、サイバー犯罪に対する連邦レベルでの主要な刑事罰法規としての地位は揺らいでおらず、今日でも司法省による訴追の根幹をなしています。

政府情報システムの保護(FISMA)と重要インフラ保護の潮流

2000年代に入ると、サイバー攻撃の脅威は個別の犯罪行為というレベルを超え、政府機能や社会基盤そのものを脅かす国家的な課題として認識されるようになります。この流れを象徴するのが、2002年に制定された連邦情報セキュリティマネジメント法(Federal Information Security Management Act, FISMA)です。

FISMAは、すべての連邦政府機関に対し、リスクベースの情報セキュリティプログラムを策定・導入・維持することを義務付けました。この法律の重要な点は、単に機関内のセキュリティを強化するだけでなく、政府機関から業務を請け負う民間事業者(コントラクター)にも、政府機関と同等のセキュリティ水準を求める点にあります。これにより、政府のサプライチェーン全体にわたるセキュリティ強化が図られ、多くの民間企業が間接的に連邦政府のセキュリティ基準の影響を受けることになりました。

また、FISMAは、セキュリティ基準の具体的な策定を国立標準技術研究所(NIST)に委ねました。これにより、NISTが発行する各種ガイドライン(SP 800シリーズなど)が、政府調達におけるデファクトスタンダードとしての地位を確立するきっかけとなりました。

同時期に、電力網、通信、金融システムといった重要インフラ(Critical Infrastructure)の保護が政策の最優先事項として浮上しました。2001年の同時多発テロ以降、物理的な攻撃だけでなくサイバー攻撃による社会基盤の麻痺が現実的な脅威として認識され、官民連携による情報共有と防御体制の構築が急務とされたのです。この潮流は、後のCISA(サイバーセキュリティ・インフラストラクチャ安全保障庁)の設立や、重要インフラ事業者に対する報告義務の法制化へと繋がっていきます。

近年の動向:国家安全保障と経済安全保障の重視

2010年代以降、サイバーセキュリティ政策は、国家間の競争という文脈で語られることが多くなりました。特に、国家を背景に持つ攻撃者グループによる大規模な情報窃取や、選挙への介入といった事案が発生し、サイバー空間は国家安全保障の最前線と位置づけられるようになります。

この動向を反映し、近年の政策は国家安全保障経済安全保障の2つの側面を強く意識しています。

国家安全保障の側面では、国防総省(DoD)が主導するCMMC(サイバーセキュリティ成熟度モデル認証)のように、防衛産業サプライチェーン全体に厳格なセキュリティ基準を課す動きが活発化しています。これは、兵器システムの機密情報などを保護するため、政府機関だけでなく、関連するすべての民間企業に高いレベルのセキュリティ体制を求めるものです。

経済安全保障の側面では、先端技術や知的財産の窃取を防ぐことが大きなテーマとなっています。経済スパイ法(EEA)や営業秘密防衛法(DTSA)に基づく訴追が強化されるとともに、ソフトウェアのサプライチェーン・セキュリティが重視されるようになりました。2021年のバイデン政権による大統領令(EO 14028)は、政府にソフトウェアを納入する企業に対し、ソフトウェア部品表(SBOM)の提出を求めるなど、開発プロセスの透明性と安全性を確保するための具体的な要件を打ち出しました。

このように、アメリカのサイバーセキュリティ法制は、個別の犯罪対策から、政府システムの保護、そして国家・経済安全保障の確保へと、重点事項が移り変わってきました。

1-3. 主要な規制・執行当局と標準化機関

アメリカのパッチワーク型規制を理解する上では、各機関がどのような役割と権限を持っているのかを把握することが必要になります。ここでは、サイバーセキュリティ分野で中心的な役割を担う5つの主要機関と、州レベルでの執行を担う州司法長官について解説します。

CISA(サイバーセキュリティ・インフラストラクチャ安全保障庁)

2018年に設立されたCISA(Cybersecurity and Infrastructure Security Agency)は、国土安全保障省(DHS)傘下の機関であり、アメリカの民間(非軍事)分野におけるサイバーセキュリティと重要インフラ防衛の中核を担っています。CISAの役割は、法執行や規制そのものよりも、官民連携のハブとしての機能に重点が置かれています。

主な役割:

  • 脅威情報の共有と分析: 国内外のサイバー脅威に関する情報を収集・分析し、政府機関や民間企業に警告やガイダンスを提供します。
  • インシデント対応支援: 重大なサイバーインシデントが発生した際に、被害組織に対して技術的な支援や調整を行います。
  • 重要インフラのリスク管理: 電力・金融・通信など16分野の重要インフラ事業者と連携し、リスク評価や防御計画の策定を支援します。
  • CIRCIAの運用: 2022年に成立した重要インフラサイバーインシデント報告法(CIRCIA)に基づき、重要インフラ事業者からのインシデント報告を受け付ける窓口としての役割を担います。

CISAは、規制による強制力よりも、情報共有やベストプラクティスの提供を通じて、国全体のサイバーレジリエンス(強靭性)を高めることを目指しています。

NIST(国立標準技術研究所)

NIST(National Institute of Standards and Technology)は、商務省傘下の研究機関であり、科学技術分野における標準化を担っています。NIST自体は規制や法執行の権限を持ちませんが、その発行するガイドラインは、アメリカのサイバーセキュリティ実務におけるデファクトスタンダードとして絶大な影響力を持っています。

主な役割と成果物:

  • サイバーセキュリティフレームワーク(CSF): 組織がサイバーセキュリティリスクを管理するための、ベストプラクティスを体系化したフレームワーク。法的義務ではないものの、多くの企業が自主的に採用しており、FTCの執行や訴訟において「合理的なセキュリティ対策」の基準として参照されることが増えています。
  • SP800シリーズ: 連邦政府機関の情報セキュリティに関する詳細な技術的・管理的ガイドライン群。特にSP800-53(セキュリティ管理策カタログ)やSP800-171(管理された非機密情報の保護)は、政府調達に参加する民間企業にも遵守が求められる重要な文書です。
  • 新たな技術分野の標準化: AIのリスク管理(AI RMF)やIoTセキュリティなど、新興技術分野における標準化も積極的に進めています。

NISTの策定する標準は、特定の製品や技術に依存しない柔軟なアプローチを特徴としており、多くの企業にとって自社のセキュリティ体制を構築・評価する上での羅針盤となっています。

FTC(連邦取引委員会)

FTC(Federal Trade Commission)は、公正な競争を促進し、消費者を保護するための独立した連邦政府機関です。前述の通り、アメリカにはサイバーセキュリティに関する包括的な連邦法が存在しないため、FTCがその権限の根拠とするFTC法5条「不公正または欺瞞的な行為または慣行の禁止」が、事実上、民間企業のデータセキュリティに対する規制として機能しています。

主な役割と執行アプローチ:

  • 「欺瞞的(Deceptive)」行為の執行: 企業がプライバシーポリシーなどで「万全のセキュリティ対策を講じています」と公言しながら、実際にはそれを怠っていた場合、その約束違反を「欺瞞的」行為として執行します。
  • 「不公正(Unfair)」行為の執行: 企業のデータセキュリティ対策が著しく不十分で、それによって消費者に実質的な損害(金銭的被害や個人情報悪用のリスクなど)が生じた、または生じる可能性が高い場合、その不作為を「不公正」な商慣行として執行します。
  • 執行事例を通じた基準形成: FTCは、具体的な執行事例(エンフォースメント・アクション)や、それに基づく和解命令(コンセント・オーダー)を通じて、企業に求められる「合理的(Reasonable)」なセキュリティ対策の基準を事実上形成しています。

FTCは、特定の技術や管理策を義務付けるのではなく、各企業の規模や取り扱うデータの性質に応じたリスク管理を重視しています。

DOJ(司法省)・FBI(連邦捜査局)

DOJ(Department of Justice)と、その主要な捜査機関であるFBI(Federal Bureau of Investigation)は、サイバー犯罪の捜査と訴追を担う中核機関です。彼らの活動は、個々のハッカーから国家が支援する攻撃者グループまで、広範な脅威を対象としています。

主な役割:

  • 刑事訴追: CFAA(コンピュータ詐欺・不正利用法)や経済スパイ法などの連邦法に基づき、サイバー犯罪者を捜査し、訴追します。
  • 国際連携: 多くのサイバー攻撃が国境を越えて行われるため、外国の法執行機関と連携して国際的な捜査を展開します。
  • インシデント対応: 重大なサイバーインシデント、特にランサムウェア攻撃や重要インフラへの攻撃が発生した際には、被害組織と連携して捜査を行い、攻撃者の特定やインフラの無力化を目指します。
  • 民事制裁: 近年、DOJは虚偽請求取締法(FCA)を活用し、政府との契約においてセキュリティ要件を満たしていると偽った事業者に対して、民事制裁金を科す取り組みを強化しています。

DOJとFBIは、サイバー空間における法の支配を維持し、犯罪行為に対する抑止力として機能する上で不可欠な存在です。

その他の当局(SEC、HHSなど)と州司法長官(AG)

上記の機関に加え、特定のセクターを管轄する連邦機関も重要な役割を果たしています。

  • SEC(証券取引委員会): 上場企業に対し、重大なサイバーインシデントの適時開示や、サイバーセキュリティに関するリスク管理・ガバナンス体制の開示を義務付けています。
  • HHS(保健福祉省): HIPAAに基づき、医療機関やそのビジネスパートナーに対して、患者の健康情報の保護に関する厳格なセキュリティ・プライバシー基準の遵守を求めています。

さらに、州レベルでは州司法長官(State Attorney General, AG)が、それぞれの州法(データ侵害通知法や消費者保護法など)の主要な執行機関となります。州司法長官は、州民に影響を与えるデータ侵害が発生した際に、事業者に対して調査を行い、必要に応じて罰金や差止命令を求める権限を持っています。複数の州の住民に影響が及ぶ大規模な侵害事案では、各州の州司法長官が連携して調査・執行にあたることもあります。