(イメージ:写真AC)

情報セキュリティーやサイバーセキュリティーに関する諸法令がどれくらいあるか、ご存じでしょうか。日本においては、「サイバーセキュリティーに関して民間の企業等に対する権利・義務等を通則的に適用する法令が存在しているものではない」(「サイバーセキュリティ関係法令 Q&Aハンドブック Ver1.0」内閣官房内閣サイバーセキュリティセンター・令和2年3月2日)状況にあります。それが故に、同ハンドブックには関連する法令やガイドラインが約100も列記されています。大量の諸規制が繁茂する自然林にポツンと立っているかのような錯覚を覚えます。一体どういう歩き方をすれば完全に順法なのかも容易には分かりませんし、全ての法令に従ったところで、果たしてサイバーセキュリティー対策に有効なのか、不安になります。

また、日本の諸法令だけならまだ土地勘が働きますが、国際企業としては多数国の関連諸法令の制約を受けるだけでなく、例えば欧州連合(EU)のGDPR(一般データ規則)の施行以来、域外適応という強力な法律も意識しなくてはなりません。さらにまた、国際的なビジネス競争を勝ち抜くには、コンプライアンス的アプローチに留まらず、自社に迫る脅威とビジネスリスクを勘案したリスクベースの目線でセキュリティー対策を設計しなければなりません。セキュリティー対策もある意味では、自社役職員に対する規制と言えるので、法令(順守)だけでなく、規範(Norm)力や市場の力、そして特にアーキテクチャを設計することが必要です(参考:Lessig, L. 2007, “Code v2.0”. http://codev2.cc/)。

そうした国際企業のセキュリティー実務家が希求する総合的なアプローチは、世の中にないわけではなく、民間非営利団体(NPO)であるISFが長年構成メンバーに提供している「Standard of Good Practice for Information Security」は総合参考書の一つとしてぜひ推奨したいところです。しかし、こうした資料が手元にない場合であっても、国際企業としてグローバルビジネスを支えるセキュリティーをデザインしなければなりません。

今回は、素材として、ISFのアナリストやコンサルタントが公表している2つの資料を使います。さまざまな背景や経緯を経てうっそうと茂る関連諸規制の幹や枝ぶりを全体として捉えて、庭全体をデザインする「造園家」の目線で「規制のたたずまい」を見極める補助線の引き方を、ご一緒に考えたいと思います。

さて、早速1つ目の資料を見ていきたいと思います。まずは上述のGDPRの最近の動きへの対応を英国企業の視点から整理したコメントを読んでみます。GDPRは2018年5月25日に施行され、まだ始まったばかりと思っていましたが、特に欧米間での市場競争や英国のEU離脱などの政治的アジェンダなどを背景として、すでに改定が予定されており、企業も対応を検討せざるを得ないところに来ています。

筆者であるDr. Emma BickerstaffeはISFのSenior Analystで、120ページに及ぶメンバー向け報告書である「Legal and Regulatory Implication for Information Security」の著者であり、弁護士で情報セキュリティーの専門家でもあります。