英国の電気通信セキュリティ法案が公表されいるので、すこし確認してみます。

プレスリリースは、こちらです。

これによると要点は、

英国のネットワーク全体のセキュリティを向上させるため、通信会社に新たな法的義務が課せられる
政府がHuaweiなどのハイリスクベンダーを排除するための新たな権限を付与
通信事業者のセキュリティを監視するためのOfcomの新たな責任
基準を満たしていない場合は、売上高の10％または1日10万ポンドまでの罰金

となります。

法案等についてのページは、こちらです。英国お約束のインパクトアセスメント付きです。

基本的には、2003年通信法の改正という形なります。条文のpdf(説明付き)は、こちら。

公共電子通信ネットワーク及びサービスの提供者の義務

• 1条 セキュリティ対策の義務
•  2条 セキュリティ侵害への対応義務
•  3条 セキュリティ対策等に関する実践規範

セキュリティ上の問題を他の人に知らせる

• 4条 セキュリティ侵害を他の人に知らせる

セキュリティ業務のコンプライアンスの確保

•  5条 セキュリティ義務の遵守を確保するためのOFCOMの一般的な義務
•  6条 セキュリティ義務の遵守状況を評価するOFCOMの権限
•  7条 セキュリティ義務の遵守を強制するOFCOMの権限
•  8条 保安義務違反の民事責任
•  9条 警備業務とその他一定の業務との関係等
•  10条 保全義務の遵守の確保に関する方針の表明

セキュリティなどの報告

• 11 条 セキュリティに関する事項の報告
• 12条  セキュリティに関する情報を要求し、共有する権限
• 13 条 OFCOM の安全保障上の決定に対する不服申し立て
• 14 条 第1節から第13節までのレビュー

指定されたベンダー指示(Disignated vendor direction )

• 15 条 指定業者の指示
• 16条  指定通知
• 17条 国会に提出

監視と執行

• 18条 指定業者の指示の監視
• 19条 モニタリングの指示：点検通知
• 20条 指定された業者の遵守を強制する国務長官の権限
• 21条  緊急の施行指示

指定業者の指示：更なる規定

• 22条  開示しないことの要件
• 23条  国務長官が情報等を要求する権限

さらなる改正

• 24 条 罰則に関する更なる改正
• 25条  さらなる派生的な修正

最終

• 26条  最終規定
• 27条  延長
• 28条  開始
• 29条  略称

という構成になっています。

詳細な検討は、研究予算等が決定したらということになるかと思いますが、侵害についての対応義務、そのための特定の手段をとるべき義務、実務規範の設定も興味深いです。セキュリティ侵害のリスクについての通知の規定も面白いです(4条)。

また、Ofcomがまさにセキュリティ義務についての具体的な監督権限を有する作りは注目です。

さらに、指定ベンダーについては、注目すべきことはいうまでもありません。

ということで、政令レベルがでそろったら、それらも含めて、きちんと分析してみたいですね。