「インフラの海外IT活用に規制　政府、法に安保基準 中国念頭に14業種対象」という記事がでています。

記事としては、

14業種の重要インフラに関し、安全保障上のリスクを避ける共通の規制を設ける。IT（情報技術）機器の調達やクラウド利用などで「安保上の懸念に配慮する」と法律に明記する。米国のパイプラインへのサイバー攻撃のようにシステムの脆弱性は国の安保を脅かす。インフラをITで制御するようになり経済的損害も大きくなるとみて対応を急ぐ。

としています。

このブログでも、「経済安保2.0？-経済安保の担当役員設置、政府が主要企業に要請へ」として経済安保についてふれておきました。そこでは、重要インフラの定義についてもふれています。この記事は、重要インフラの情報ガバナンスの側面に(意識的にか、無意識的にか)フォーカスしているという特徴があります。

ここで、安保上の懸念に対処を求める事項として

• 海外製のIT機器の調達・利用
• 海外に置くデータ・サーバの活用
• クラウドなど海外サービスの利用
• 情報管理業務などの海外企業への委託

があがっています。理屈としては、重要インフラといった場合には、情報インフラであることとは、直接に関係しないわけですし、また、「経済安保」といった場合にも、

海外との貿易・投資等に大きな困難が生ずる場合

に脅威が、限定されているのみなので、別に情報ガバナンス等に限ってのことではありません。

しかしながら、上の対処を求める事項がすべて、「情報ガバナンス」に関連する事項ということから、いわば、経済安保2.0とでもいうべきものと考えるべきでしょうというのは、上のエントリでもふれたところです。

2022年中に業種ごとの基本的な事業要件を定めた業法を一括改正し、安保上の懸念への対応を新たな条件に加える。企業に対策の強化を義務づけ安全性を考慮したインフラ運営を促す。

ということです。具体的に念頭においている事項は、

外国製の情報通信機器を通じたサイバー攻撃や情報の抜き取りを防ぐ。原子力関連施設が遠隔地から監視・制御され、故意に誤作動や機能停止を起こすといった事態の回避につなげる。

ということです。

このあたりの議論をどのように整理するか、ということになります。

参考としての欧州の動向

参考として、欧州の動きをみてみましょう。欧州連合では、重要インフラ防護(CIIP)、国家情報インフラ(NII)、情報重要インフラ(CII)について、それぞれの防護が発展してきているところです。詳細な経緯については、別の機会とします。概念の関係を示す図は、こんな感じです。

この流れのなかで、NIS指令とそれに基づく各国の法制の整備をみていきましょう。

「ネットワーク・情報セキュリティ（Network and Information Security：NIS）指令案」が提示され、2016 年 7 月、欧州議会においてネットワークと情報システムのセキュリティに関する指令（NIS指令） の最終的に採択が行われ、2016 年 8月に施行され、加盟国は 21 か月以内に国内法を整備することとされた。同指令は、国内市場の機能を改善するために、連合内のネットワークおよび情報システムの高い共通レベルのセキュリティを達成するための措置を講じるようにするものである。

指令の概要は
①加盟各国には NIS 戦略の採択を義務付け、NIS 関連のリスクやインシデントに対応する機関を設立する。
②NIS 関連のリスクとインシデントに関する情報共有及び協力を促進するため、加盟各国と委員会等で構成されるグループを設立する。
③基幹インフラ事業者（金融、運輸、電力、保険・衛生）、デジタル・サービス提供者（オンライン市場、クラウド・コンピューティング、検索エンジン）には、適切なセキュリティ対策を講じるとともに、重大インシデントに関する報告を義務付ける。

となります。具体的には、

• すべての加盟国がネットワークおよび情報システムの安全保障に関する国家戦略を採択する義務を課す。
• 加盟国間の戦略的協力と情報交換を支援し、促進し、その中で信頼と自信を深めるための協力グループを創設する。
• 加盟国間の信頼と信頼の発展に貢献し、迅速かつ効果的な業務協力を促進するために、コンピュータセキュリティインシデント対応チームネットワーク（「CSIRTネットワーク」）を創設する。
• 必須サービスの運営者およびデジタルサービスプロバイダのためのセキュリティおよび通知要件を設定する。
• 加盟国が、ネットワークおよび情報システムのセキュリティに関連する任務を有する国家管轄当局、単一窓口、CSIRTを指定する義務を課す。

となります。さらに、2020年12月16日には、NIS指令の見直し案（いわゆるNIS2）が公表されています 。

これは、NIS指令のもとでの実際の運用をもとに影響評価をなしたところ、(1) 欧州共同体における企業のレジリエンスの低さ(2) 加盟国／セクター間におけるレジリエンスの一貫性のなさ (3) 共同での状況認識の低さ、共同での危機対応の欠如が指摘されたことから、それらを踏まえて提案されているものになります。

NIS2指令案は、主題と範囲（第1－2条）、国家サイバーセキュリティ枠組（第5－11条）、協同（第12-16条）、サイバーセキュリティリスクマネジメントおよび報告義務（第17－23条）、管轄および登録（第24-25条）、情報共有(第26条-27条)、監督および執行(第28条-)などの規定によって構成されています。

• 注目すべき内容として は、
  (1)能力向上( 監督執行体制が強化されていること(第28-34条))
  (2)協力体制の強化( 欧州危機対応リエゾン(EU- CyCLONe)が、大規模サイバーセキュリティインデント・危機にたいする対応を支援すること(第14条)、 協力グループの役割が強化され、加盟国当局間の情報共有と協力を強化すること(第12条)、 EU全体で新たに発見された脆弱性のための調整された脆弱性の開示が確立されること(第6条))
  (3)サイバーセキュリティのリスク管理( インシデント対応と危機管理、脆弱性の取り扱いと開示、サイバーセキュリティテスト、暗号化の効果的な使用など、重点的な対策を挙げたセキュリティ要件を強化(国家セキュリティ戦略の各項目、第5条)、主要な情報通信技術のサプライチェーンのサイバーセキュリティを強化する(第19条)、 サイバーセキュリティのリスク管理措置の遵守に関する企業経営陣の説明責任(第17条)、報告プロセス、内容、タイムラインに関するより正確な規定により、インシデント報告義務を合理化する(第20条)。

などになります。

経済安保と「ネットワーク情報セキュリティ保護(NIS)」との交錯

比較してみていくと、ここで議論されている「経済安保」という内容とは、すこし視点が異なってきているように思います。もっとも、

主要な情報通信技術のサプライチェーンのサイバーセキュリティを強化する(第19条)、 サイバーセキュリティのリスク管理措置の遵守に関する企業経営陣の説明責任(第17条)、報告プロセス、内容、タイムラインに関するより正確な規定により、インシデント報告義務を合理化する(第20条)。

あたりについては、我が国でも非常に参考になるような気がします。

どこで交錯するのかということを考えると、サイバーセキュリティの3D の分析の図をみてみましょう

この図は、通常の重要インフラの活動は、国対国という関係とは、別個の次元 (国内法次元)で行われていることをベースにしています。しかしながら、それらの活動が、電気通信インフラというものに支えられており、かつ、その電気通信インフラが、国対国の種々の活動にとっては、格好の標的としやすい(国際法次元とも関わる)ために、結果として、重要インフラの通信サービスが、安全保障の観点から、重要な役割を果たしていることを示しています。

このように考えていくと、経済安保といった場合については、「攻撃者」という観点と保護されるべき国家の主権(それを支える二つの要素)という観点、がポイントになるように思えます。(これは、現段階での印象です)

「攻撃者」という観点

これは、まさに「敵(adversary)」が存在し、敵が、我が国の主権を脅かす意図をもって、種々の攻撃をなしうる脅威となりうるということを意味します。経済安保をこのような国家関与の敵の関与を前提とするかというのは、議論の余地がありますが、このような敵が、種々の攻撃をなしているというのが、現実であるというのは、重要な認識でしょう。

保護されるべき国家の主権

国家主権とは、

「国家主権とは、国家間における独立を意味するものである。地球の部分における、それらを行使して、他国やその機能を排除する権能を意味する」（パルマス島事件 1928）

とされています 。

国家主権という表現は、その内部にいろいろいな詳細な概念を含んでいるということができます。このような概念は、ときに、いわゆるアンブレラ的表現といわれることがあります。この国家主権は、対内主権（Internal Sovereignty）、対外主権（External Sovereignty）などにわけて論じられます。
対内主権は、権能のコンピテンス、法的政治的独立なども意味しています。また、国際法によって限定されるものでもありません。その一方で、国際法の基礎をなすものであるということもいえます。地理的・人的・物的な「法的・事実的な」ほとんど絶対的な排他的な権限ということがいえます。

国連憲章2条1項は、

「この機構は、そのすべての加盟国の主権平等の原則に基礎をおいている。」

と定めていますが、これは、国際機関（国連）が、主権平等の原則に基づいていることを明らかにしています。この議論の結果として、国家は、他の国家の国内事象に対して介入することができない、という結論が導かれることになります（なお、国連憲章2条7項）。

対外主権（External Sovereignty）とは、国家がその対外関係において相互に独立であり、自らの意思によって合意したこと以外には、拘束されないということをいいます。

そして、主権が侵害される場合としてはどのようなものがあるのか、ということになります。

ここでは、二つの場合が重要なのでしょう。具体的には、

(a)国民の生命・身体・国家の重要な機能の安定した遂行の保護

の観点から実質的な機能不全をもたらす行為、いまひとつは、

(b)国民の活動に関する本来的な政府の機能

を脅かすようなデータ・情報を取得し、もしくは、改ざんをなす行為

について、具体的に主権を侵害する((a)の場合)、もしくは、そのおそれが高い((b)の場合)と考えることができるのではないか、ということかと思います。

(a)の場合については、

原子力関連施設が遠隔地から監視・制御され、故意に誤作動や機能停止を起こすといった事態

が発生してしまえば、具体的に主権を侵害されたということができるでしょう。

(b)の場合については、

国民の公的データ

のの体系的取得・改ざん等が、主権侵害に対するおそれのある行為といえるのではないでしょうか。

データ主権と外国諜報法の体系

おりしも、フランスでは、「クラウドに関する国家戦略」を発表しています。これについては、別途、検討したいと思います。

通常のサイバーセキュリティの場合であれば、リスクは、その発生の確率とイベントの重大性で対応すべきレベルが決まってくるのですが、敵の意図的な行為を前提とした場合に、その具体的なリスク対応の措置レベルをどのようにするのか、という問題が残ってくるということです。「経済安保」が、データのローカライゼーションに陥ってしまって、返って、サービス価格の高騰・レベルの低下をもたらしたのでは、逆効果になってしまうでしょう。その意味で、どのようにして、適切なバランスを見つけるべきか、という観点が必要になるように思えます。これらも比較・検討しながら、具体的な経済安保のあるべき姿というのを考えていくのがいいのかもしれません。

その時にわすれていけないことは、外国(A国)において、その外国(A国)からみた「外国(B国)」の通信については、そのA国の治安のために、バルクデータを取得したり、リアルタイムで傍受したりするという権限を情報機関に認める国が多数であるということです。そうなってくると、日本からみて、そのA国内において通信がアクセス可能になるということはどのような意味をもっているのか、ということを考えて、リスクを判断しないといけなくなるものと考えます。