ホーム
サイバーセキュリティ
第4章:セクター別連邦規制と重要インフラ保護

第4章:セクター別連邦規制と重要インフラ保護

第1章から第3章で見てきたように、アメリカのサイバーセキュリティ法制は、FTC法のような広範な法律、NIST標準のようなデファクトスタンダード、政府調達の要件という、複数のレイヤーで構成されています。しかし、アメリカの「パッチワーク型」規制のもう1つの重要な側面は、特定の産業分野(セクター)を対象とした、より専門的で厳格な連邦規制の存在です。

なぜ特定のセクターだけが、特別な規制を必要とするのでしょうか。その理由は、それらのセクターが扱う情報の機微性と、社会機能における重要性にあります。金融機関が扱う顧客の資産情報や、医療機関が保有する個人の健康情報は、ひとたび漏洩・改ざんされれば、個人に回復不能な損害を与えかねません。また、電力網・通信・交通といった重要インフラは、その機能がサイバー攻撃によって停止すれば、国民生活や国家安全保障に壊滅的な影響を及ぼす可能性があります。

このような背景から、連邦議会と規制当局は、これらのセクターに対して、一般的な「合理的なセキュリティ」という基準を超えた、より具体的かつ強制力のあるサイバーセキュリティ義務を課してきました。

4-1. 金融分野の規制

金融セクターは、アメリカで最も早くから厳格なサイバーセキュリティ規制が導入された分野の1つです。顧客の資産と信用情報を直接扱うその性質上、データセキュリティは事業の根幹をなすものと見なされています。ここでは、金融機関全般に適用されるGLBAと、資本市場の公正性を担うSECの規制という、2つの重要な枠組みを見ていきます。

GLBA(グラム・リーチ・ブライリー法):セーフガードルールの要件

1999年に制定されたグラム・リーチ・ブライリー法(Gramm-Leach-Bliley Act, GLBA)は、金融機関における顧客情報の保護に関する包括的な連邦法です。GLBAはプライバシー規則とセーフガード規則の二部構成ですが、サイバーセキュリティの観点から特に重要なのがセーフガードルール(Safeguards Rule)です。

セーフガードルールは、GLBAの対象となる「金融機関」に対し、顧客の非公開個人情報(Nonpublic Personal Information, NPI)を保護するための包括的な書面による情報セキュリティプログラムを策定、実施、維持することを義務付けています。

対象となる「金融機関」の広範な定義:
GLBAにおける「金融機関」の定義は、銀行や証券会社といった伝統的な金融機関に留まりません。モーゲージブローカー、ペイデイローン業者、税務申告代行業者なども対象に含まれる可能性があります。このため、自社が「金融機関」に該当しないと思い込んでいる事業者も、意図せずGLBAの適用対象となっている可能性があるため、注意が必要です。

セーフガードルールの主要な要件:
FTCが2021年に大幅な改正を行ったセーフガードルールは、金融機関に対して非常に具体的な要求を課しています。

  • 情報セキュリティプログラムの責任者の指名:プログラムの実施と監督に責任を持つ「有資格者(Qualified Individual)」を1人以上指名すること
  • リスクアセスメントの実施:定期的にリスクアセスメントを実施し、顧客情報に対する内外の脅威と脆弱性を特定・評価し、その結果を文書化すること
  • 具体的なセーフガードの実装:リスクアセスメントに基づき、アクセス制御、データのインベントリ、伝送中および保存中のデータ暗号化、セキュア開発、多要素認証(MFA)、安全なデータ廃棄、変更管理、継続的な監視といった管理策を設計・実装すること
  • 定期的なテスト:継続的な脆弱性スキャンや、侵入テスト(ペネトレーションテスト)を実施し、セキュリティ対策の有効性を検証すること
  • 従業員トレーニング:すべての従業員に対して、セキュリティ意識向上トレーニングを定期的に提供すること
  • サービスプロバイダーの監督:顧客情報を扱うサービスプロバイダー(ベンダー)が適切なセキュリティ対策を講じていることを確認し、契約によってそれを義務付けること
  • インシデント対応計画の策定:セキュリティイベントに迅速に対応し、被害を最小化するための書面によるインシデント対応計画を策定すること
  • 取締役会への報告:情報セキュリティプログラムの責任者は、少なくとも年に一度、取締役会またはそれに準ずる組織に対し、プログラムの状況とリスクについて報告すること

SEC(証券取引委員会)による開示規則(2023年)

証券取引委員会(SEC)は、投資家保護と公正な資本市場の維持を任務としており、その一環として上場企業の情報開示を監督しています。サイバー攻撃が企業の財務状況や事業継続に重大な影響を与えるようになった現代において、SECは、サイバーセキュリティを投資家が判断を下すための重要な(Material)情報と位置づけ、開示規則を大幅に強化しました。

2023年7月に採択された新たなSEC規則は、上場企業(外国企業を含む)に対し、サイバーセキュリティに関するインシデントの適時開示ガバナンス体制の定期的開示という、2つの大きな義務を課しました。

1. 重大なインシデントの適時開示(Form 8-K)
企業は、サイバーセキュリティインシデントが「重大(Material)」であると判断してから4営業日以内に、臨時報告書であるForm 8-Kを提出して、そのインシデントの性質・範囲・時期及び事業・財務状況・業績に与える重大な影響を開示しなければなりません。何が「重大」にあたるかは、金銭的損失だけでなく、風評被害・訴訟リスク・事業停止等も含めて、合理的な投資家の投資判断に影響を与える可能性が高いかどうかを基準とします。

2. ガバナンス開示(Form 10-K)
企業は、年次報告書であるForm 10-Kにおいて、サイバーセキュリティに関する以下の情報を毎年開示しなければなりません。

  • リスク管理プロセス:サイバーセキュリティ上の脅威から生じる重大なリスクを評価、特定、管理するためのプロセス
  • 経営陣の役割:サイバーセキュリティ上の脅威を評価・管理する上での経営陣の役割
  • 取締役会の監督:サイバーセキュリティ上の脅威に対する取締役会の監督体制

4-2. 医療・健康情報分野の規制

医療・健康情報は、個人のプライバシーの中でも最も機微な領域に属します。そのため、連邦レベルで強力な保護規制が設けられています。その中核をなすのがHIPAAです。

HIPAA(医療保険の相互運用性と説明責任に関する法律)

1996年に制定されたHIPAAは、患者の健康情報のプライバシーとセキュリティを保護するための包括的な連邦基準です。HIPAAの規制対象は、「Covered Entity」(医療保険プラン、医療クリアリングハウス、医療提供者など)とその業務を支援する「Business Associate」(ITベンダー、法律事務所など)です。

HIPAAセキュリティ・ルールと保護対象保健情報(PHI)

HIPAAの中でも、サイバーセキュリティに直接関連するのがセキュリティ・ルール(Security Rule)です。このルールは、電子形式の保護対象保健情報(Protected Health Information, PHI)機密性・完全性・可用性を確保するための、適切な管理的・物理的・技術的セーフガードを導入することを義務付けています。

セキュリティ・ルールの3つのセーフガード:

  1. 管理的セーフガード(Administrative Safeguards):セキュリティ管理に関するポリシー・手順・行動を対象とします。これには、リスク分析(必須)・セキュリティ責任者の任命・従業員トレーニング・インシデント対応計画・コンティンジェンシープランなどが含まれます。
  2. 物理的セーフガード(Physical Safeguards):PHIを保管する電子情報システムや施設への物理的なアクセスを保護します。施設へのアクセス制御・ワークステーションのセキュリティ・PHIを含むデバイスやメディアの管理などが要求されます。
  3. 技術的セーフガード(Technical Safeguards):PHIへのアクセスを制御し、保護するための技術を対象とします。アクセス制御(一意のユーザーID、暗号化など)・監査制御・データの完全性保護・認証・伝送セキュリティの実装が求められます。

HIPAAセキュリティ・ルールは、各組織がリスク分析に基づいて、自らの規模や複雑さに応じた「合理的かつ適切な」対策を講じることを求める、柔軟なアプローチを採用しています。

4-3. 重要インフラ(CI)保護の枠組み

重要インフラ(Critical Infrastructure, CI)とは、「その機能不全や破壊が、米国の安全保障・国家経済・国民の健康や安全に壊滅的な影響を与えるほど、米国にとって不可欠なシステム及び資産」と定義されています。

16の重要インフラ分野とCISAの役割

アメリカ政府は、以下の16分野を重要インフラとして指定しています。

これらの分野の多くは民間企業によって所有・運営されているため、政府と民間事業者の緊密な連携が不可欠です。この官民連携のハブとして中心的な役割を担うのが、CISA(サイバーセキュリティ・インフラストラクチャ安全保障庁)です。CISAは、脅威情報の共有、リスク評価、インシデント対応支援などを通じて、重要インフラ全体のレジリエンス向上を図っています。

CIRCIA(重要インフラ向けサイバーインシデント報告法)の成立

Colonial Pipeline社へのランサムウェア攻撃(2021年)などを契機に、政府がインシデントを迅速に把握し、対応する必要性が強く認識されるようになりました。この課題に対応するため、2022年3月に成立したのがCIRCIA(Cyber Incident Reporting for Critical Infrastructure Act of 2022)です。CIRCIAは、対象となる重要インフラ事業者に対し、特定のサイバーインシデントとランサムウェアの支払いをCISAに報告することを法的に義務付けた画期的な法律です。

報告対象インシデントとランサムウェア支払いの報告義務(72時間/24時間ルール)

CIRCIAは、CISAに対して詳細な規則を策定する権限を与えています。規則案によれば、報告義務の核心は以下の2点です。

  • 重大なサイバーインシデントの72時間以内報告義務:対象事業者は、「重大なサイバーインシデント」(事業運営への相当な損失や中断など)が発生したと合理的に判断した時点から72時間以内に、CISAに報告しなければなりません。
  • ランサムウェア支払いの24時間以内報告義務:対象事業者がランサムウェア攻撃に関連して身代金の支払いを行った場合、支払いを行ってから24時間以内にCISAに報告しなければなりません。

この法律の施行により、重要インフラ分野で事業を行う企業は、インシデント検知能力と、定められた期限内に正確な報告を行うための社内プロセスを確立することが急務となっています。