グローバルにおけるサイバー規制対応:現状の整理と未来への備え
グローバルにおけるサイバー規制対応:現状の整理と未来への備え
【本記事のサマリ】
- サイバーセキュリティが国家安全保障に関わる重要課題であるとの認識が政策立案の間で広まりつつある。
- 個人データ保護から始まったサイバーセキュリティへの国家の介入、統制は重要インフラストラクチャーの領域に拡大中。
- 事業を展開する国におけるサイバー関連法整備の動向を注視するとともに、どのような重要データを、どこで、どのようなシステムで、処理しているかを把握することが企業にとって急務。
個人情報の紛失、知的財産の盗難、その他サイバー攻撃がビジネスに及ぼすリスクは劇的に増加しており、英国に拠点を置く企業の推定39%が、2021年にサイバーセキュリティ侵害または攻撃を受けたと推定されています。企業の重要事業や業務におけるデジタル技術やオンラインシステムへの依存度が高まるにつれ、サイバーインシデントのリスクも高まっており、これは企業自体だけでなく、これらの事業が行われる国にとっても大きな問題となっています。
このような状況を受けて、企業は世界中でコンプライアンスと規制の圧力の高まりに直面しています。データ、サイバー、テクノロジーを対象とする規制が各国で乱立するにつれ、グローバル企業は増え続ける要求を遵守するという困難に直面しています。このため、サイバーセキュリティの領域で効果的なコンプライアンス遵守と保護を継続的に確保するため、法律顧問などのグループがより深く関与することが必要になっています。
このような変化は、企業にどのような課題をもたらすのでしょうか。そして、この複雑化する環境の中で、一歩先を行き、成功するためには、何を意識する必要があるのでしょうか。
GDPRから始まった規制の波
欧州連合(EU)の一般データ保護規則(GDPR)は、数年来にわたりデータ保護法制の最も強力な原動力となってきました。EUはまた、新興技術、人工知能、データガバナンス、サイバーセキュリティやレジリエンスなど、デジタル市場を跨いだ広義のデジタル/テクノロジー領域、特に重要国家インフラにおいて、議題を共有しようとする傾向をますます強めつつあります。
日本でも、2022年4月に個人情報保護法が改正され違反に対する罰金の上限が大幅に引き上げられたほか、同年6月には内閣サイバーセキュリティセンター(NISC)から重要インフラのサイバーセキュリティに関する行動計画が発表されるなど、世界的な規制強化の潮流に沿った動きが見られたことは記憶に新しいのではないでしょうか。
データ規制とテクノロジー・エコシステム
データの収集、保存、利用は、企業にとって重要な資産であるとともに、地政学的なパワーゲームの中心になりつつあります。今や国家は、この複雑な環境下でで競争力を維持し、落伍しないための戦略とポジショニングを求められるようになっています。
結果として、特に重要インフラ保護の領域において、今まで以上に国家安全保障という国益が規制を牽引するようになってきました。これらの規制が施行されるにつれ、企業が依存する国際的ビジネスの自由な流れや多国籍性といった性質に、根本的に逆行する新たなデジタル境界線が引かれる可能性があります。
このような国家安全保障の枠組みにおけるデータの重要性は、企業が収集し保有するデータを、もはや自分たちだけのものと見なせなくなりつつあることを意味します。
企業が直面していること
多国籍企業は、事業を展開するすべての地域において、多くの複雑なコンプライアンス要件に直面しており、これらの規制には共通点があるものの、多くの差異も見られます。個人データ漏えい事故において報告が求められる閾値から、個人データが侵害された場合の具体的な要件まで、大きく異なる場合があることはその一例でしょう。
国家安全保障とデータローカライズの要件によって、テクノロジーの進化により消滅しつつあると思われていた国境が再出現するかもしれません。
企業はデータを保護・管理するためのコントロールとプロセスを導入する必要があるだけでなく、確固としたガバナンスとコンプライアンス機能を確立し、変化を続けるコンプライアンス要件に技術的、組織的なコントロールが適合し続けられるよう努める必要があります。
企業がこれから取り組むべきこと
個人データ保護から始まったデータ規制は、地政学的緊張の高まりと国家主導のサイバー活動により、重要インフラに焦点を移しつつあります。国家安全保障がより重視されるようになった今、これら重要インフラを含む国家安全保障に関わるサイバー法整備が加速していく可能性があります。
このような規制の多様化が世界的に進むにつれて、企業が直面する不確実性はより大きくなり、難しい舵取りを迫られるようになるでしょう。
クラウドサービスプロバイダーは、コンプライアンス要件を満たすために、適切な条件でデータを国内に保存するソリューションの開発を進めつつあります。これらサービスを活用することで、企業はコンプライアンス要件の一部を満たすことができるでしょうが、これはパズルの1ピースに過ぎません。
企業にとって重要なのは、「どのようなデータを保有し、どこの、どのようなシステムでそれを処理しているか」です。組織内におけるデータの流れを理解したうえで、適切なコントロールを実装し、データ、資産、システムに影響を及ぼすインシデントを管理、対応するための体制を整えることで、企業は複雑化する法規制の流れに柔軟に対応できるようになるでしょう。
コントロール・リスクスでは、日本を含め世界中のサイバーセキュリティの専門家が、日々進化するサイバーセキュリティ関連の脅威・リスクを把握・分析し、それぞれのお客様が直面する脅威に応じたアドバイスを提供しています。本レポートで解説したサイバー規制対応をはじめ、サイバーセキュリティ・デジタル関連のご相談などございましたら、下記お問い合わせフォームよりご連絡ください。
※サイバーセキュリティ・デジタル関連サービスの詳細はこちら