イメージ

年末にあたり、少し明るい方角を眺めてみたくなるのは人情でしょうか。 前々回の第39回ブログでは、EUサイバーリジリエンス法に、市場原理確立のための「交換の正義」という考え方を読み解きました。そのEUでは、2020年EUサイバーセキュリティ戦略の下、経済・社会のサイバーセキュリティを高度化するために、2017年まで前例のない集中的投資(による予防、抑止、対処能力の構築)を続ける一方、規制(を通じたレジリエンス、技術的主権、リーダーシップの確立)や政策手段(グローバルで開かれたインターネットの推進)で、域内外の調整が図られています。

今回取り上げるEUの改正ネットワーク・情報システム指令(通称NIS2)は、主要なサイバーセキュリティ関連規制の一つとして、EUレベルでは発効済みであり、各加盟国で法令を施行する期限を2024年10月までと定めています。この改正は、旧指令発効後わずか6年という速さで施行されています。

改正指令の基本原理は何か

そもそも本規制は、経済・社会のデジタルリスク抑制に寄与すべき事業主体に対して、その行動準則を規定しており、短時間に高度な報告の義務を課す一方、違反に対しては多額の罰金の可能性を明示するなど、いわゆる「調整の正義」の構えに見えます(罪には、罰を与える、というロジックです)。

実際、経済産業省*からも、欧州で活動する日本の中規模企業(従業員50人以上)にも影響がでるとして本邦企業に対して注意喚起が出されています。かつてEUのGDPR(EU一般データ保護規則)が巨額の制裁金を規定して世界中の企業を震撼させたこともあり、我々は、どうしても厳しいルールに目が行きがちです。

*改正の要点を、①⼤幅な対象拡⼤、②サイバーセキュリティ・リスクマネジメントの強化、③インシデント報告内容・時限の明確化、④厳しい罰則⾦、の4点に整理しています。

しかし、この法令の構えからは、何かと何かの釣り合いを取る「正義」が基本原理にあるようには見えません。むしろ筆者としては、本法には、したたかな市場成長戦略性が仕組まれていると考えており、規制の効果は、EU市民の社会生活や域内経済のみでなく、企業にとっても得になる仕掛けがあると見ています。

結論を先に言えば、EUのデジタル社会を規定する本規制の基本原理は、「正義」という概念から離れ、域内市場の機能向上という「功利性」にアンカーを打っている『攻めの倫理』(『ふだんづかいの倫理学』平尾昌宏p.340参照)ということになると考えています。

改正で起点をずらしたことで、攻めの構えが整った

新旧二つの指令の違いは縷々(るる)ありますが、起点が大きく異なります。2016年版では、「信頼と信用の創出を通じた域内市場の機能向上」(指令前文31項)を目的としたのに対し、2022年改正版では、「本指令は、域内市場の機能向上を視野に入れ、EUにおいてサイバーセキュリティの高い共通レベルを達成することを目的とした措置を定める」(同第1条)として、加盟各国に委ねていたセキュリティ戦略やポリシー制定の権限を制限し、域内で共通化することにしています。元のやり方では、27カ国の法令による規則が不統一となり、上手く行かなかった(新指令前文第3項)のです。

これは大きな軌道修正と言えるでしょう。両指令では、社会改良のための規則を定めるという宣言は一貫しています。結果を重視する功利主義的な考え方です。その上で、現指令が各国が最善を尽くせば結果が出て来るという構え(「行為」功利主義)であったのを修正して、新指令はEUで規則を作ってしまうというのです。「規則」功利主義(前掲書p.302)とも呼ばれる考え方ですが、規則をまず決めてしまって、長い目で成果を確実にしていこう、ということです。目的の手前に統一的な措置を定めることで、起点をずらしています。法令もさまざまな基本原理を駆使して社会に迫るデザインを工夫しているとも言えます。

企業に求められる新たな行動様式

少し抽象的な議論から入りましたので、とっつきにくいと思われた方もおられることでしょう。新指令から我々は何を学べるのか、を問うていく前に、まずは企業に対して求める行動準則はどういうものなのかを具体的に見ておきたいと思います。ちょうど先月、セキュリティ専門誌に寄稿されたISF CEOのブログにまとまったものがありましたので、これを読み下して、全体をさっと見渡すことにします。

(次ページから引用)