EUにおけるサイバーセキュリティの政策と規則の動向について検討していきます。この分野は、わが国において、誰も、フォローしていない論点になるかと思っています。
ボットネット対応は、EU法においては、EUにおける情報社会に関する対応という大きなプログラムの中の一部として位置づけられています。
大きなプログラムのなかの法について、考えると、EU法については、条約や法的規範の体系があることになります。そしてこの法的規範というのには、具体的に規則や指令が含まれることになります。
電気通信に関して、EU法が対応している従来の分野は、1)データ保護/電気通信フレームワーク2)サイバー犯罪 3)ネットワークおよび情報セキュリティ があるとされます。この3つの分野については、以下の図であらわすことができます(下記の2001年コミュニケ 3頁)。
データ保護/電気通信フレームワークについては、「データ保護指令」「eプライバシ指令(2002/58/E.C)」や電気通信枠組があります。
電気通信枠組は、2002年の「枠組指令(2002/21/EC)」、「認証指令(2002/20/EC)」、「アクセス指令(2002/19/EC)」、「ユニバーサル・サービス指令(2002/22/EC)」、BEREC規則、ローミング規則などで論じられることになります。これらについては、電気通信の規制枠組みにまとめられています。
サイバー犯罪の問題については、ヨーロッパ内部においては、1999年の欧州協議会のタンペレ・サミットにおけるハイレベルのアジェンダにおいて、ハイテク犯罪について共通の定義、犯罪化、制裁について努力がなされるべきであるとされたのが一つの契機となります。(より、広範囲においては、サイバー犯罪条約の活動があり、それも重要ですが、ここでは、割愛します)
2000年には、欧州協議会と委員会のeヨーロッパ2002アクションプランにおいて、サイバー犯罪に対して対抗する努力が求められました。
2001年においては、欧州委員会は、情報インフラのセキュリティを改良して、「コンピュータ関連犯罪と戦うことによってより安全な情報社会を創造する」というコミュニケを公表しています( Communication from the Commission to the Council, the European Parliament, the Economic and Social Committee and the Committee of the Regions – Creating a Safer Information Society by Improving the Security of Information Infrastructures and Combating Computer-related Crime. COM(2000)890.)。このコミュニケにおいては、ハッキングとサービス妨害攻撃に対する対応が重要であるとされています。
これと並行するように、情報社会に対する対応の一つとして「ネットワークと情報社会:ヨーロッパの政策アプローチ」という2001年コミュニケ(Communication from the Commission to the Council, the European Parliament, the European Economic and Social Committee and the Committee of the Regions – Network and Information Security: Proposal for A European Policy Approach. COM(2001))があり、そこでは、情報セキュリティに関して、上記の3つの異なった分野について、情報社会のためにセキュリティでなすべき事項があるとしています。
このコミュニケに導かれたネットワークおよび情報セキュリティポリシが、これらの分野を橋渡しになるだろうとされており、このポリシにおいては、意識向上、ヨーロッパ警告情報システム、技術支援、市場思考の標準化および認証の支援、法的枠組、政府におけるセキュリティ、国際協調が手法として提案されています。
2002年には、サイバー犯罪対応の文脈において、情報システムに対する議会枠組決定の提案がなされていて、2005年には、この枠組決定がなされています。この枠組決定において、違法アクセス(2条)、違法システム妨害(3条)、違法データ妨害(4条)が定められ、構成国は、これらの規定を国内法化することになりました。(もっとも、サイバー犯罪条約でも、同様の規定はあります)
2006年には、スパム通信やマルウエアについてのコミュニケが明らかにされています(Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions on fighting spam, spyware and malicious software. COM(2006)688)。
2007年5月には、さらにサイバー犯罪にたいしての一般ポリシについてのコミュニケ(Communication from the Commission to the European Parliament, the Council and the Committee of the Regions – Towards a General policy on the fight against cyber crime. COM(2007)267)が明らかにされています 。このコミュニケにおいては、サイバー攻撃は、インフラに対して向けられていて、社会全体に対して、災害を引き起こしかねないとしています。また、国家間におけるハーモナイゼーションをもうたっています。
前記の枠組決定につながるものとして欧州委員会は、欧州議会に対して評価報告を提出しています(2008年7月)。この報告は、ボットネットの悪用から生じる脅威を効果的に対応することから始まっています。
この当時は、並行して、当時、EUにおけるネットワークおよび情報セキュリティに関する政策は、重要インフラ防衛に向かっていました。2009年には、CIIPについての最初の規制がなされた。「大規模サイバー攻撃/破壊から欧州を防衛する」というコミュニケが明らかにされています。
さらに、2010年の9月には、欧州委員会は、いわゆる「ボットネット指令」についての提案を行っています。この指令の目的は、犯罪者を起訴し、有罪を認定し、国際協力とともに、欧州から/に対する大規模な攻撃を抑止/または、減少させることにあります。このボットネット指令は、2013年に指令として成立しています 。この指令は、従来の規定に加えて違法傍受の規定とハッキングツールの処罰規定を定めるように求めるものです。
ヨーロッパの情報セキュリティに関する法と政策の経緯をまとめてみました。いままで、このような形でまとめたものが、見当たらないので、簡単ではありますが、何かの役にはたつのではないかという気もします。