ドイツのサイバーセキュリティ法2.0と「通信の秘密」への示唆

ドイツのサイバーセキュリティ法制を調べていて、サイバーセキュリティ法2.0を詳しくみてみたところ、いろいろと興味深い改正が行われているので、備忘録としてメモしたいと思います。

1 サイバーセキュリティ法2.0とは?

2021年5月18日、ドイツで「ITセキュリティ法2.0」と略される「情報技術システムのセキュリティを高めるための第2法」(Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme”; IT-Sicherheitsgesetz 2.0 )が発効しました。このITセキュリティ法2.0は、さまざまな既存の法律を改正するオムニバス法になります。

具体的な改正の事項は、

  • 第1条は、BSI(連邦サイバーセキュリティ庁-Bundesamt für Sicherheit in der Informationstechnik)法の改正
  • 第2条は、電気通信法の改正
  • 第3条は、エネルギー産業法の改正
  • 第4条は、外国貿易支払い令の改正
  • 第5条は、社会法典第10巻の改正
  • 第6条は、法律の有効性の評価
  • 第7条は、法律の発効

になります。

日本語のによる資料ですと

となります。もっとも、上でみたように種々の法律の改正を含んでいて、重要インフラ防衛やIoTなどの製品の審査スキーム改正のみではありません。ということで、広範な改正の趣旨をみていこうと思います。

2 第1条の構成

BSI法の改正を定める1条ですが、これは、さらにBSI法において具体的な定めを追加する様な改正がなされています。ちなみにBSI法の改正後の条文はこちらです

改正の主たる趣旨として(1)検知と防御(2)モバイルネットワークにおけるサイバーセキュリティ (3)消費者保護 (4)国家サイバーセキュリティ認証機関があげられます。これらを具体的な条文との関係をみながら概観すると以下のようになります。なお、特に、通信の秘密との関係については、別個に取り上げて、個々の条文を見ていくことにします。

図示するとこんな感じです。

2.1検知と防御

BSIのセキュリティの脆弱性の検出とサイバー攻撃に対する防御に関する権限が強化されました。この趣旨の規定としては(条文は、改正後のBSI法の条文)

  • 4a条 連邦通信技術の管理、アクセスの権利
  • 4b条 情報セキュリティに関する総合報告窓口
  • 5a条 内部機関のロギング・データの処理
  • 5b条  例外的な場合における情報技術システムの安全性又は機能の回復
  • 5c条 インベントリデータ情報
  • 7b条 ネットワークおよびITセキュリティに対するセキュリティリスクおよび攻撃手法の検出。
  • 7c条 サービスプロバイダに対する連邦庁の命令
  • 7d条  テレメディアサービスのプロバイダーに対する連邦庁の命令

があります。

情報セキュリティに関するドイツの主要なコンピテンスセンターとして、BSIは安全なデジタル化を推進し、特に連邦当局に対して拘束力のある最低基準を設定し、それをより効果的に監視することができます。

2.2 モバイルネットワークにおけるサイバーセキュリティ

この法律には、ドイツの公序良俗や治安を守るために重要なコンポーネントの使用を禁止する規定が含まれています。

  • 9b条 重要部品の使用禁止

また、ネットワーク事業者は、特定のハイレベルなセキュリティ要件を満たす必要があり、重要なコンポーネントは認証を受ける必要があります。とりわけ、この法律は、5Gモバイルネットワークにおける情報セキュリティを保証するものです。

2.3 消費者/重要インフラ保護

BSIは、連邦レベルにおいて、ITセキュリティ問題に関する消費者のための独立・中立の諮問機関となる予定です。これは、消費者保護がBSIの機能であることを意味ししています。

この点の注目すべき規定は、市民向けの統一的なITセキュリティマークの導入です。

  • 9c条 自主的なITセキュリティラベル

将来的にITセキュリティの透明性を高め、どの製品がすでに特定のITセキュリティ基準に準拠しているかを明確にすることを目的としています。

また、企業向けのセキュリティ 重要インフラが拡大され、自治体の廃棄物管理部門も含まれるようになりました。また、特別な公益性を有するその他の企業(例えば、武器製造業者や経済的重要性が特に高い企業)も、将来的に特定のITセキュリティ対策を実施する必要があり、BSIとの機密情報の交換に含まれることになる予定です。
 

2.4 国家サイバーセキュリティ認証機関

改正後のBSI法第9a条(1)によると、BSIは、サイバーセキュリティ法(CSA)としても知られる規則(EU)2019/881の第58条(1)の意味における国家サイバーセキュリティ認証機関(NCCA)です。NCCAは特に、サイバーセキュリティ認証のための欧州のスキームの一部として、ルールを監督し執行する責任を負っています。監督と認証の活動は厳密に分離され、独立して実施されることになっています。

3 通信の秘密との関係

BSI法11条(基本的権利の制限-Einschränkung von Grundrechten)は、

 電気通信の秘密(基本法第10条)は、§4a、5から5c、7bおよび7cにより制限される。

となっています(ITセキュリティ法2.0 1条22項による改正)。こんな感じでしょうか。

これで、議論されている上の条文を個々に見ていきます。

3.1 §4a連邦通信技術の管理、アクセスの権利。

この条文は、

4a条 連邦通信技術の管理、アクセスの権利
(1) 連邦庁は、連邦政府の通信技術及びその構成要素(連邦政府の通信技術の運用に必要な技術的インフラストラクチャを含む)のセキュリティを管理する権限を有するものとする。この目的のために、連邦事務局は、第3条第1項第2文第1号及び第14号に基づく任務の遂行に必要な情報、特に、技術的詳細、連邦の通信技術に関する戦略、計画及び規則(構造的及び手続き的組織を含む)の提供を要求できるほか、連邦の各通信技術の運営者又は運営サービスの提供を委託された第三者の文書及びデータキャリアを検査し、これらの文書及び記録の写しを電子形式でも無料で引き渡すことを要求できるが、これが第2文における運営者の機密保持利益又は優先的安全利益に反する場合はこの限りではない。
(2) 連邦庁は、第1項に基づく目的を達成するために必要な限りにおいて、当該施設がそれぞれの事業上又は業務上の使用のために通常利用できる時間帯に、データ処理システム及び連邦通信技術に用いられる機器を含む施設及び事業所へのアクセスを許可されるものとする。
(3) 連邦政府の通信技術とのインタフェースが存在する第三者に属する機器の場合、連邦府は、第三者の同意を得て、当該機器のインタフェース側においてのみ、当該インタフェースのセキュリティを確認することができる。このため、第三者の同意を得て、その任務の遂行に必要な情報、特に技術的詳細、戦略、計画及び規則並びに事業者の文書及びデータキャリアを検査し、電子形式を含め、無償でコピーを作成することができる。
(4) 連邦事務局は、第1項から第3項までの規定による検査の結果を、検査を受けたそれぞれの事業者、および連邦公共団体の場合は管轄の法律監督および技術監督に通知するものとする。この通知には、情報セキュリティの改善、特に特定された欠陥の解消のための提案を添付するものとする。
(5) 第1項から第3項までの権限から除外されるのは、専ら外国に所在し、又は外国若しくは外国の利用者のために運営されている限りにおいて、外務法第9条第2項にいう外国の情報通信技術の管理である。ドイツにおける連盟の通信技術のインターフェースに関する規定は、影響を受けないままとする。文1の詳細は、連邦内務省、建築・内務省および連邦外務省の間の行政協定により規定されるものとする。
(6) 第1項から第3項までの権限は、連邦国防省のポートフォリオにおいて、軍隊がその目的のために使用する情報通信技術又は軍事防諜庁が使用する情報通信技術の管理には適用されないものとする。第三者の情報通信技術、特に、IT サービス事業者の情報通信技術は、軍隊の目的のために排他的に運用され る場合を除き、除外されないものとする。連邦の通信技術のインターフェースに関する規定は、第1文及び第2文の影響を受けないままであるものとする。さらなる詳細は、連邦内務省建設内務局と連邦国防省との間の行政協定によって規定されるものとする。

となります。BSIが、連邦政府の機関のセキュリティの管理権現を有しているという規定ということになります。

3.2 5条(マルウェアや連邦通信技術への脅威からの防御)から5c条(インベントリーデータに関する情報)まで

それぞれの定めを見ていきます。

5条マルウェアや連邦通信技術への脅威からの防御

(1) 連邦庁は、連邦の通信技術に対する脅威を回避するため、以下のことができる。

1.連邦通信技術の運用中に発生するプロトコルデータを、連邦通信技術の故障やエラー、または連邦情報技術への攻撃を検出、制限、排除するために必要な範囲で、収集し、自動的に分析すること、
2.マルウェアの検出及び防御に必要な限りにおいて、連邦政府の通信技術のインターフェースに蓄積されるデータを自動的に評価すること。
次の各号でそれ以上の使用が許可されていない限り、このデータの自動評価は遅滞なく実施されなければならず、比較が実施された後は直ちに、痕跡なく削除されなければなりません。使用に関する制限は、プロトコルデータが個人データおよび通信の秘密の対象となるデータを含まない限り、適用されない。連邦当局は,第1項に基づく措置において連邦庁を支援し,その際,第1項第1号に基づく内部プロトコルデータ及び第1項第2号に基づくインターフェースデータへの連邦庁のアクセスを確保する義務を負うものとする。連邦裁判所のプロトコル・データは、その同意がある場合にのみ収集することができる。

(2) 第1項第1文第1号に基づくプロトコルデータは、第3項第2文に基づく疑いが確認された場合に、発見された悪意のあるプログラムから発せられる脅威の防止又は他の悪意のあるプログラムの検出及び防止のために当該データが必要となる可能性があるという実際の兆候がある限りにおいて、第1項第1文第1号に基づく自動評価に必要な期間を超えて、最長18か月間保存することができる。本項に従って保存されたデータの評価が自動的に行われること、及び3ヶ月を超えて保存されたデータへのアクセスが、連合が悪意のあるプログラムの影響を受けているという実際の知識がある場合にのみ行われることは、組織的及び技術的措置によって保証されるものとします。データは、自動化された手段で可能な限り、仮名化されるものとする。自動化されていない処理は、以下の項に従ってのみ許容される。この目的のために仮名化されたプロトコルデータの復元が必要である限り、これは連邦庁の長官または在職中の代理人によって命令されなければならない。その決定は、文書化されるものとする。

(2a) プロトコルデータは、エラーのない自動評価を保証するために、第2項に従って仮名化され保存される前に、手動で処理することができる。重大なエラーによりエラーのない自動評価が妨げられることが示唆される場合、個々のケースにおいて必要であれば、エラーのない自動評価を保証するために、プロトコルデータの個人参照は復元することができる。第 2 項の第 3 文から第 6 文が適用されるものとする。

(3) 第1項および第2項を超える個人データの利用は、以下の疑いがある場合のみ許されるものとする。

1.悪意のあるプログラムが含まれていること。
2.悪意のあるプログラムによって送信されたものであること。
3.悪意のあるプログラムであることを示唆する可能性があること。

また、その疑いの確認または反論のためにデータ処理が必要である限りにおいて、個人データの処理は許可されます。確認の場合、個人データのさらなる処理は、以下の範囲内で許可されます。

1.悪意のあるプログラムを防止するために
2.発見された悪意のあるプログラムから発せられる危険を回避するため、または
3.他の悪意のあるプログラムの検出と防御のために必要であるため。

悪意のあるプログラムは、排除され、又は機能しないようにすることができる。第1文及び第2文によるデータの非自動的な使用は、司法職の資格を有する連邦庁の職員によってのみ命令することができる。

(4) 通信過程の関係者は、悪意のあるプログラム又は悪意のあるプログラムから発せられる脅威の検出及び防止後、それらが既知であるか又は不釣り合いな追加調査なしにその特定が可能であり、保護に値する第三者の優先的利益がこれと対立しない場合には、遅くとも通知を受けるものとする。その者が重大な影響を受けたに過ぎず、かつ、その者が通知されることに関心を持たないことが想定される場合には、通知を省略することができる。連邦庁は、通知を控える事例を、連邦庁の公式データ保護責任者及び司法職の資格を有する連邦庁の他の職員に提出し、審査を受けるものとする。公式データ保護責任者が連邦庁の決定に異議を唱えた場合、通知を補うものとする。通知しない旨の決定は、文書化されるものとする。文書は、データ保護管理の目的でのみ使用することができる。12ヶ月後に削除されるものとする。第5項及び第6項の場合、通知は、これらの当局に適用される規定を適用して、そこに記載された当局によって行われるものとする。これらに届出義務に関する規定がない場合には、刑事訴訟法の規定が適宜適用されるものとする。

(5) 連邦庁は、刑法第202a条、第202b条、第303a条または第303b条に基づき、悪意のあるソフトウェアプログラムによって行われた犯罪の訴追のために、第3項に従って使用された個人データを法執行当局に送信できる。また、これらのデータを送信することもできる。

1.悪意のあるプログラムに直接起因する公共の安全に対する危険を回避するために、連邦およびレンダーの警察部隊に提供する、
2.安全保障を脅かす活動や外国のための秘密工作活動を明らかにする事実を、連邦国防省の責任範囲内の人物、事務所、施設に向けられた場合、連邦憲法保護局及び軍防諜局に通知すること、
3.ドイツ連邦共和国に関する相当重要な事件において、ITシステムの機密性、完全性または可用性に対して、マルウェアまたは同等の有害な情報技術手段による国際犯罪、テロリストまたは国家の攻撃を明らかにする事実に関する情報を、連邦情報局に提供する。

(6) その他の目的のために、連邦庁は、以下のデータを送信することができる。

1.個々の事件においても重要な意味を持つ犯罪、特に刑事訴訟法第100a条(2)に言及される犯罪の訴追のために、刑事訴追当局に提出する、
2.国家の存立もしくは安全、または人の生命、身体もしくは自由、または重要な価値を有する財産に対する危険を回避するために、連邦およびレーンダーの警察組織に、その保全が公共の利益のために必要とされる場合に使用される、
3.ドイツ連邦共和国において、憲法の保護に関する連邦法第3条第1項又はMAD法第1条第1項に規定する保護対象に対して、暴力の行使又はこの目的に向けた準備行為によって向けられる取り組みの実際の兆候がある場合には、連邦及びレーン州の憲法保護当局並びに軍事防諜庁に通報する、
4.第10条法の第3条第1項第8号に基づき、誰かが犯罪を計画し、犯し、または犯した疑いがある事実があり、それがドイツ連邦共和国にとって外交・安全保障政策上重要である場合、連邦情報局に送信されます。

文1項1号及び2号による送信は、事前の司法承認を必要とします。家庭問題および任意管轄事項の手続に関する法律の規定は、第1文番号1および2に基づく手続に準用されるものとする。管轄裁判所は、連邦庁の所在地を管轄する地方裁判所とする。第1項第3号および第4号に基づく伝達は、連邦内務省、建設省および内務省の承認後に行われるものとし、第10条法の第9条から第16条が適宜適用されるものとする。
(7) 上記以外の目的でコンテンツを評価すること、および個人情報を第三者に開示することは、認められないものとします。可能な限り、私生活の中核的領域に関するデータが収集されないことが技術的に確保されなければならない。第1項から第3項までの措置の結果として、私生活の中核的領域に関する知識又は規則(EU)2016/679の第9条(1)の意味におけるデータが得られた場合、それを利用することはできない。私生活の中核的な領域からの情報は、直ちに削除されるものとする。疑義がある場合にも適用されるものとする。取得および削除の事実は、文書化されなければならない。その文書は、データ保護管理の目的にのみ使用することができる。これらの目的のために必要でなくなった場合、遅くとも文書化した年の翌年の暦年の末に削除されるものとする。第4項又は第5項の枠内で、刑事訴訟法第53条第1項前段にいう者の通信の内容又は状況が送信され、これに対して証言拒否権が及ぶ場合、これらのデータの刑事手続における証拠としての利用は、当該刑事手続の主題が、少なくとも5年の懲役刑が科される刑事犯罪である限りにおいてのみ許されるものとする。
(8) 連邦庁は、データの収集および使用を開始する前に、データの収集および使用の概念を作成し、データ保護および情報の自由に関する連邦委員会の閲覧に供するものとする。コンセプトは、政府通信の保護のための特別な必要性を考慮するものとする。自動評価に使用される基準は、文書化されるものとする。データ保護及び情報の自由に関する連邦委員は、連邦データ保護法第16条に基づき、そのチェックの結果を連邦政府のIT委員会にも通知するものとする。
(9) 連邦庁は、暦年ベースで、報告年の翌年の6月30日までに、データ保護および情報の自由に関する連邦委員会に、以下の事項を報告するものとする。
1.第5項第1文、第5項第2文第1号または第6項第1号に従ってデータが送信された取引の件数を、個々の送信権限ごとに区分したもの、
2.第3項第1文に基づく個人評価のうち、当該疑義に反論した件数を記載する、
3.連邦庁が第4項第2文又は第3文に従って関係者に通知することを控えた場合の数。
(10) 連邦庁は、暦年ごとに、この規定の適用について、審査対象年の翌年の6月30日までにドイツ連邦議会の内務委員会に報告しなければならない。

連邦庁の通信データについて、自動的に分析できるという規定になります。

§5a 内部機関のプロトコル・データの処理。

連邦庁は、連邦通信技術における欠陥、エラーもしくはセキュリティインシデントまたは連邦情報技術に対する攻撃を検出、制限または排除するために必要であり、かつ、関係機関の機密保持上の利益または優先するセキュリティ上の利益に反しない限りにおいて、連邦通信技術およびそのコンポーネント(連邦通信技術の運用に必要な技術インフラを含む)への脅威を回避するために連邦通信技術の運用により発生するプロトコルデータを処理できる。連邦当局は、連邦庁が第1文に従った措置をとることを支援し、その際、第1文に従った連邦庁の内部機関ログデータへのアクセスを確保する義務を負うものとする。この目的のために、彼らは、対応するプロトコルデータを連邦庁に送信することができる。§第5条(1)第5文、(2)~(4)、(8)および(9)は、適宜適用されるものとする。§第4a条(6)は、第2文に基づく義務に準用されるものとする。

連邦庁が、連邦通信技術の運用により発生するプロトコルデータ(Protokollierungsdaten ) を処理できるという規定です。ここで、プロトコルデータというのは、

情報技術システム内の技術的事象または状態の記録

をいいます(2条(8a))。

§ 5b  例外的な場合における情報技術システムの安全性又は機能の回復

(1) 連邦政府機関、重要インフラストラクチャの運営者、または特別公益企業の情報技術システムのセキュリティまたは機能が例外的に損なわれた場合、連邦庁は、当該機関または運営者の要請により、当該情報技術システムのセキュリティまたは機能を回復するために必要な措置をとることができる。連邦事務局が被害を限定し、現場での緊急運用を確保するための初期措置をとる限りにおいて、連邦事務局の活動に対する手数料または費用は発生しないものとする。これは、適格な第三者の関与のための費用には影響しないものとする。
(2) 第1項に基づく例外的なケースは、特に、攻撃が特別な技術的品質を有する場合、または影響を受ける情報技術システムのセキュリティもしくは機能の迅速な回復が特別な公共の利益をもたらす場合に存在するとみなされるものとする。
(3) 連邦庁は、第1項に基づく措置の過程において、当該情報技術システムのセキュリティまたは機能を回復するために必要かつ適切な範囲で、個人データまたは電気通信の秘密の対象となるデータを収集し処理することができる。当該データは、情報技術システムのセキュリティまたは機能の回復のために必要でなくなった時点で、遅滞なく削除されるものとする。第4項に基づく場合において、データがその法定任務を遂行するために他の当局に引き渡された場合、連邦庁は、第2文にかかわらず、これらの当局の支援が終了するまで、データの処理を継続することができる。他の目的での使用は許可されない。§第5条(7)が適宜適用される。
(4) 連邦庁は、請求当事者の同意がある場合に限り、この規定に基づいて知り得た情報を渡すことができる。ただし、その情報によって請求当事者の身元について結論を出すことができない場合、または第5条(5)および第6項に従って情報を渡すことができる場合はこの限りではない。第1項に基づく手続において保管されるファイルへのアクセスは、第三者に許可されないものとする。
(5) 連邦庁は、請求当事者の同意を得て、第1項に基づく措置において、当該情報技術システムのセキュリティまたは機能を適時または完全に回復するために必要な場合には、適格な第三者の援助を利用することができる。これによって生じる費用は、要請当事者が負担するものとする。連邦庁は、要請者に適格な第三者を紹介することもできる。連邦庁および第1文に従って要請当事者または連邦庁から委託を受けた第三者は、要請当事者の同意を得て、第1項に基づく措置のためにデータを相互に送信することができる。第3項が適宜適用されるものとする。
(6) 情報技術システムのセキュリティまたは機能を回復するために必要な限りにおいて、連邦庁は、情報技術システムの製造者に対して、セキュリティまたは機能の回復に協力するよう求めることができる。
(7) 正当な個別事案において、連邦庁は、要請があり、かつ、第2項にいう例外的事案である場合には、第1項にいう機関以外の機関に介入することもできる。原則として、国土の機関が影響を受ける場合には、正当な個別事例が存在する。
(8) 原子力法に基づく許可を必要とする施設または活動の場合、(1)、(4)、(5)および(7)項に規定するケースにおいて、庁が行動を起こす前に連邦およびレンダーの管轄原子力監督当局に相談するものとする。原子力法に基づく免許を必要とする施設または活動の場合、原子力法に基づく要件は、第5b条に従って連邦庁がとる措置の場合に優先するものとする。

連邦政府機関、重要インフラストラクチャの運営者、または特別公益企業の情報技術システムのセキュリティまたは機能が例外的に損なわれた場合、この場合は、(2)によって、攻撃が特別な技術的品質を有する場合、または影響を受ける情報技術システムのセキュリティもしくは機能の迅速な回復が特別な公共の利益をもたらす場合をいいますが、BSIが、

  • 情報技術システムのセキュリティまたは機能を回復するために必要な措置をとることができる(1項)
  • そのために個人データまたは電気通信の秘密の対象となるデータを収集し処理することができる(3項)
  • 情報技術システムの製造者に対してセキュリティまたは機能の回復に協力するよう求めることができる(6項)

という権限が明記されています。

§5c インベントリデータ情報(Bestandsdatenauskunft)

(1) 連邦局は、第3条第1項第1文、第1番、第2番、第14番、第17番又は第18番に基づく法定義務を履行するために、電気通信法第3条6号に基づき収集したインベントリデータおよび、電気通信法172条(同法174(1)一文)に関する情報を、電気通信サービスを事業ベースで提供又はこれに参加する者に要求することができる。第1文に基づく情報は、第2条第10項第1文第1号の領域における住民の供給の保護または公安の保護のために、

  • 1.重要なインフラストラクチャーまたは
  • 2. 特別な公益性を有する企業

の情報技術システムの安全性または機能性の低下を防止するために、情報技術システムの安全性または操作性の障害を防止するためにのみ要求することができる。
これは、もし事実が、少なくともその性質が具体的で時間的に予見可能な事象であって、特定のインフラストラクチャ又は企業の情報技術システムを標的とする事象の結論を可能にし、情報に含まれるデータが、この障害の第4項に従って関係者に警告するため、関係者に知らせるため又はその排除について助言若しくは支援するために個々の事例において必要である場合をいう。
(2) 第1項に基づく情報は、特定の時点で割り当てられたインターネットプロトコルアドレスに基づいて要求することもできる(電気通信法第113条第1文3項、第113c条第1項第3号)。情報要求の法的根拠および事実的根拠は、ファイルに記録されるものとする。
(3) 情報提供の要求に基づいて情報を提供する義務を負う当事者は、情報の提供に必要なデータを直ちにかつ完全に送信するものとします。
(4) 情報が提供された後、連邦局は、当該重要インフラの運営者または特別な公益に関わる企業に対し、差し迫った障害について通知するものとする。可能な場合、連邦局は、関係する重要インフラの運営者または特別な公益に関わる企業に対し、関係する重要インフラの運営者または特別な公益に関わる企業が特定された障害を自ら解消することができる技術的手段を通知するものとする。
(5) 連邦局は、第5条(5)および(6)に従って、この規定に基づいて処理する個人データを送信することができる。
(6) 第2項の場合、関係者に情報を通知するものとする。第5条第5項に基づく情報の開示の場合、又は第5条第5項に基づく開示の前提条件が存在すると仮定することを正当化する事実がある場合、保護に値する第三者の優先的利益が反対である限り、データ主体はその通知を受けないものとします。第2項に従って通知を延期する場合、又は通知を行わない場合、その理由はファイルに記録されるものとする。

インベントリーデータ(Bestandsdaten“ Daten )というのは、電気通信法第3条6号に基づき収集されるデータです。定義は、

「インベントリデータ」とは、エンドユーザーのデータであって、電気通信サービスに関する契約関係の成立、内容に関連する構造化、変更または終了に必要なものをいいます;

なお、刑事訴訟法典(StPO) 100j条はBestandsdatenauskunftについての規定です。そこでは、被疑者がどこにいるのかというのを決定するために捜査に必要な限りにおいて、インベントリーデータを請求しうるとされています。

法定義務は、第3条第1項第1文

  • 第1番(連邦庁の情報技術のセキュリティに対する脅威を回避)
  • 第2番(セキュリティリスク及びセキュリティ予防策に関する情報を収集し、評価し、得られた知識を、(略)利用できるようにする)
  • 第14番(特にセキュリティ上の予防措置の欠落又は不備がもたらす可能性のある結果を考慮して、連邦、州、製造業者、販売業者及び使用者の各機関に助言、通知及び警告を行う)
  • 第17番(§8aから8c及び8fに基づく任務)
  • 第18番(5a条に従い、例外的に情報技術システムのセキュリティまたは機能性を回復するための支援)

となります。

3.3 7b(ネットワークおよびITセキュリティに対するセキュリティリスクおよび攻撃手法の検出)および7c(サービスプロバイダに対する連邦庁の命令)

 

(1) 連邦政府機関、重要インフラストラクチャの運営者、または特別公益企業の情報技術システムのセキュリティまたは機能が例外的に損なわれた場合、連邦庁は、当該機関または運営者の要請により、当該情報技術システムのセキュリティまたは機能を回復するために必要な措置をとることができる。連邦事務局が被害を限定し、現場での緊急運用を確保するための初期措置をとる限りにおいて、連邦事務局の活動に対する手数料または費用は発生しないものとする。これは、適格な第三者の関与のための費用には影響しないものとする。

(2) 第1項に基づく例外的なケースは、特に、攻撃が特別な技術的品質を有する場合、または影響を受ける情報技術システムのセキュリティもしくは機能の迅速な回復が特別な公共の利益をもたらす場合に存在するとみなされるものとする。

(3) 連邦庁は、第1項に基づく措置の過程において、当該情報技術システムのセキュリティまたは機能を回復するために必要かつ適切な範囲で、個人データまたは電気通信の秘密の対象となるデータを収集し処理することができる。当該データは、情報技術システムのセキュリティまたは機能の回復のために必要でなくなった時点で、遅滞なく削除されるものとする。第4項に基づく場合において、データがその法定任務を遂行するために他の当局に引き渡された場合、連邦庁は、第2文にかかわらず、これらの当局の支援が終了するまで、データの処理を継続することができる。他の目的での使用は許可されない。§第5条(7)が適宜適用される。

(4) 連邦庁は、請求当事者の同意がある場合に限り、この規定に基づいて知り得た情報を渡すことができる。ただし、その情報によって請求当事者の身元について結論を出すことができない場合、または第5条(5)および第6項に従って情報を渡すことができる場合はこの限りではない。第1項に基づく手続において保管されるファイルへのアクセスは、第三者に許可されないものとする。

(5) 連邦庁は、請求当事者の同意を得て、第1項に基づく措置において、当該情報技術システムのセキュリティまたは機能を適時または完全に回復するために必要な場合には、適格な第三者の援助を利用することができる。これによって生じる費用は、要請当事者が負担するものとする。連邦庁は、要請者に適格な第三者を紹介することもできる。連邦庁および第1文に従って要請当事者または連邦庁から委託を受けた第三者は、要請当事者の同意を得て、第1項に基づく措置のためにデータを相互に送信することができる。第3項が適宜適用されるものとする。

(6) 情報技術システムのセキュリティまたは機能を回復するために必要な限りにおいて、連邦庁は、情報技術システムの製造者に対して、セキュリティまたは機能の回復に協力するよう求めることができる。

(7) 正当な個別事案において、連邦庁は、要請があり、かつ、第2項にいう例外的事案である場合には、第1項にいう機関以外の機関に介入することもできる。原則として、国土の機関が影響を受ける場合には、正当な個別事例が存在する。

(8) 原子力法に基づく許可を必要とする施設または活動の場合、(1)、(4)、(5)および(7)項に規定するケースにおいて、庁が行動を起こす前に連邦およびレンダーの管轄原子力監督当局に相談するものとする。原子力法に基づく免許を必要とする施設または活動の場合、原子力法に基づく要件は、第5b条に従って連邦庁がとる措置の場合に優先するものとする

§ 7c サービスプロバイダに対する連邦庁の命令

(1) 連邦庁は、第2項に規定する保護目的に対する特定の重大な脅威を回避するために、10万人以上の顧客を有する電気通信法にいう電気通信サービスの提供者(サービス提供者)に対し、サービス提供者が技術的に可能であり、かつ経済的に合理的である限度で、以下の事項を命ずることができるものとする。

1.電気通信法第169条(6)または(7)に定める措置を講じること。
2.特に指定された悪意のあるプログラムからクリーンアップする目的で、影響を受ける情報技術システムに技術コマンドを配布すること。

連邦庁が第1文番号1または2に基づく措置を命じる前に、連邦ネットワーク庁との間で合意に達するものとする。データ保護および情報の自由に関する連邦委員会も、連邦庁による第1項第2号に基づく措置の命令に先立ち、協議を行うものとする。第1項第2号に基づく措置によってアクセスされるデータは、命令において指定されるものとする。

§第5条(7)第2文から第8文までを準用する。第1文に基づく命令に対する異議申立および取消訴訟は、効力を停止しないものとする。

(2) 第1項第1文に基づく保護目的は、以下のものの可用性、完全性又は機密性である。

1. 連邦の通信技術、重要インフラの運営者、特別な公益企業、またはデジタルサービスのプロバイダーのものであること。
2.情報または通信サービスの提供または
3. 情報の可用性、完全性または機密性が、相当数の利用者の電気通信または情報技術システムへの不正アクセスによって制限される場合。

(3) 連邦府は、第(1)文1番号1に基づく措置を命じる場合、サービスプロバイダに対し、データトラフィックを連邦府が指定する接続識別子に迂回させることも命ずることができるものとします。
(4) 連邦府は、情報技術システムにおけるマルウェアまたはその他のセキュリティリスクに関する情報を得るために、第1項第1文番号1および第3項に従ってサービスプロバイダによって転用されたデータを処理できる。送信されたデータは、第1文に記載された目的を達成するために必要な期間、ただし3ヶ月を超えない範囲で連邦庁によって保存されることがあります。§第5条(7)第2文から第8文が適宜適用されるものとする。連邦庁は、翌年の6月30日までに、データ保護および情報の自由に関する連邦委員会に、命令されたデータ流用の総件数を通知するものとする。

 

個人的には、このプロバイダーに対する連邦庁の命令というのは、興味深いところです。わが国の能動的サイバー防禦についても、可能とすべきひとつの柱として、プロバイダーの取扱中の通信について、政府との情報共有が、あげられていますが、それについて命令を定めているという点で、きわめて参考になる条文だと考えています。

電気通信法第169条(6)または(7)に定める措置とは何かですが、

(6) 電気通信役務提供者は、電気通信役務提供者、第4項にいう利用者又は他の利用者の電気通信及び情報処理システムに対する障害を除去又は防止するために必要な場合において、利用者が自ら直ちにその障害を除去せず、又は利用者が自ら直ちにその障害を除去しないことが予測されるときは、故障がなくなるまで電気通信サービスの使用を制限、転用又は防止できる。

(7 ) 電気通信事業者は、利用者の電気通信システム及びデータ処理システムへの干渉を防止するために必要な範囲で、干渉源から及び干渉源へのデータトラフィックを制限、経路変更又は防止することができる。

とトラフィックの制限についての法的な規制が定められており、きわめて興味深いということがいえます。わが国だと「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン」(第6版) なのだろうと思いますが、運営者の通信の財産の保護という見地から、正当行為というほうこうから考えるのと、コンピュータセキュリティをひとつの重要な法益として認識して、命令によって、その正当性を担保するのとでは、いざというときの使いでが、はるかに違うであろうと想像されます。

電信・電話で構築されてきた「通信の秘密」の解釈の肥大化をインターネット時代にも、さらに押し進めるというセンスのなさが、いざというときにわが国の安全保障の足かせになるのが目に見えるようで、もし対応するのであれば、できるだけ早いほうかいいんだけどなあ、という感じを思っています。

関連記事

  1. 松原実穂子著「サイバーセキュリティ」組織を脅威から守る戦略・人材…
  2. サイバーセキュリティ戦略と「法」
  3. Cycon 2019 travel memo day2 (3)
  4. 「基礎の修復:サイバー脅威情報共有が期待に応える方法とNATOへ…
  5. CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能…
  6. サイバー規範についてのディナール宣言
  7. 日経コンピュータ9月28日号に「安全保障の新戦略 能動的サイバー…
  8. 米ロ電話会談におけるサイバーセキュリティの話題(主権、相当な注意…
PAGE TOP