※この記事は米国で5月9日に公表された記事を元に適宜加筆修正しています。

5月25日、ついにGDPR（一般データ保護規則）が施行されました。同月、NIS指令（ネットワーク・情報システムのセキュリティに関する指令全体）をうけた国内法制化も動き始めました。変化はこれに留まらず、EUには更なるサイバーセキュリティ関連法制定の波が押し寄せています。Cybersecurity Act（サイバーセキュリティ法案） [1] とその中で提案されているEUサイバーセキュリティ認証フレームワークは、現在欧州議会を通過しようとしていますし、EUの通信業界を対象とするセキュリティ要件を含み、同業界の規制を更新するElectronic Communications Code(欧州電子通信指令案)も、ブリュッセルでの最終交渉段階に近づいています[2]。

5月を今後起こる変化の始まりと考えてください。私たちはテクノロジーを毎日使い、デジタル世界は私たちの生活のあらゆる部分に関っています。 GDPR、NIS指令、その他法令における改正は、デジタル世界への移行に伴うサイバーセキュリティの責任について、各組織が本腰を据えて取り組むよう求めているのです。つまりこれは良いことといえますよね。

ところが内心はかなり複雑です。私は毎日のように幾つもの団体からGDPR遵守のためどのような準備をしているのかを伺っていますが、取り組みが遅れ、どのような遵守事項があるかについての理解も進んでいないケースや、日和見的に「GDPR施行後に同規則に違反した他の企業にどのような制裁が課されるかを実際に見届けたうえで、本腰をいれてGDPR遵守の取り組みを進めよう」とするケースが見受けられるからです。

こうしたなか、今後、具体的にはどのようなことが起こると予測されるでしょうか。

GDPR非準拠の組織が悪しき前例をつくる

私は弁護士ではないため法的強制力の細かい点についてまで議論することはできませんが、違反時のペナルティを多額の過料とすることで、経営幹部がより真剣に向き合うようにする新しい規制はよりいっそう増えてきています。あくまでこれらのペナルティは最終手段にとどめるべきでしょうが、こうした最悪の事態の前例をつくるのは、同規則の要求事項を軽視した企業になることでしょう。

GDPR施行の影響が実際に生じるのはおそらく数ヶ月先

ただし、違反によりペナルティが課せられる事例は、施行後直ちには生じないでしょう。というのは、細部を調査し、違反の程度がどれほど深刻かを明らかにするには時間がかかるからです。最悪の事例では(たとえば文書、指標、旧来の証拠類がほとんどない場合は)、この評価だけに数カ月かかる可能性もあります。弁護士が最終的な結果について交渉し、同規制の定義をめぐる前例調査を開始するのは、ようやくこの後の段階です。このような事情から、GDPRの実質的な影響が判明するのは、2018年のかなり後半になると考えられます。

NIS指令: 経営層は各国の法令についてより深い理解が必要

NIS指令は、GDPR施行日よりも少し早い5月10日に発効しました。その理解しにくさから誤解されやすいですが、NIS指令は法令そのものではありません。同指令の目標を達成するため、EU加盟各国それぞれに対し国内法を制定するよう指示するものです。加盟国は、5月10日までにNIS指令に準拠した国内法制を整備することが求められていました。加盟国各国の状況はその法令成熟度に応じてまちまちで、既存の法令を若干更新するだけですむ国もあれば、さらなる適応を必要とする国、既存の法令で対応できず全く新しい枠組みとして法令の制定が必要な国もあります。

したがって、皆さんは自組織がNIS指令の対象となる重要インフラサービスまたはデジタルサービスを提供する事業者にあたるかどうかを確認し、どこでそのサービスを提供するかによって、加盟国各国の同指令の実装状況を調査し、何をすべきか対応策を練る必要があります。

関連部門は以下のことを説明できなければなりません。

• NIS指令に基づく現地法（国内法）は、いつ発効されるか[3] 。
• 現地法を適用し、施行する責任を負うのは、どの国家機関または団体か。英国を例にとると、NCSCは中央管轄機関ですが、各分野の重要国家インフラ（CNI）部門の既存権限のある監督当局は、引き続き主導的な取り組みを担うことになります[4] 。
• NIS指令準拠に必要なコントロールを定義・評価するために使うフレームワークは何か。NIS指令に侵害防止の要求が含まれていることに注目すると、初期見解では、ISO、NIST、またはその他の十分確立した方法論によるフレームワークを採用する組織が多いことが示唆されます。

この5月はひとつの節目です。また、EUのみならず、すべての地域と国において、高度にデジタル化する社会のサイバーセキュリティの限界を引き上げていく継続的な旅の出発点でもあります。ビッグバンのようにある瞬間突然何かが劇的に変化することはないでしょうが、今後半年から1年かけ、GDPRの定義と範囲は実証されていくことでしょう。また、NIS指令は、引き続きその指令を各国法に移行しつづけ、それと同時にEUは、サイバーセキュリティ法や他の提案によって、デジタル社会の信頼を確保するための新しい要件の策定をよりいっそう強化していくことでしょう。

「GDPRの旅」にすでに出発した皆さん、おめでとうございます、すばらしい取り組みですね。まだこれからという皆さん、まずは最初の一歩を踏み出しましょう。GDPRは現実の法令で、現実の法令には現実の結果が伴うのですから。最後に、GDPRほど注目されていないからといって、NIS指令を軽視してはいけません。これも現実的な結果を伴うという点ではGDPRにも引けを取りませんし、同指令が設定しているサイバーセキュリティの基準が、重要インフラのようなEU市民の生活に不可欠なサービスに着目していることを鑑みれば、GDPRよりもさらに準拠必要性が高いといえるのです。

[1] https://ec.europa.eu/info/law/better-regulation/initiative/111956/attachment/090166e5b507c22c_en

[2] http://www.consilium.europa.eu/en/policies/electronic-communications-code/

[3] UK example of translating the NIS directive to national law – Network & Information systems regulation http://www.legislation.gov.uk/uksi/2018/506/regulation/1/made

[4] UK guidelines for competent authorities on NIS https://www.gov.uk/government/publications/nis-regulations-guidance-for-competent-authorities