2021年2022年バックナンバー
雑記帳
重要インフラ、企業にサイバー防衛義務付け・令和4年度から
政府は、情報通信や電力など14分野の重要インフラ事業者にサイバー攻撃への備えを義務付けます。
経営陣主導の体制整備や対処計画づくりを求めます。
サプライチェーンで使用する機器の安全確保も要請します。
今年度(平成3年度)年度中にも改定する「重要インフラ行動計画」に明記します。
サイバー攻撃の増加を踏まえ、官民で防御体制を強化します。
行動計画は平成29年以来5年ぶりの抜本改定となり、経済安全保障を重視する方針を盛込みます。
令和4年度から適用します。
アメリカやヨーロッパなどではサイバー防衛に失敗して金融システムや生活の基盤が甚大な被害を受ける事態への懸念が広がっています。
令和3年5月に米最大の石油パイプラインが攻撃を受け、一時的に業務停止になったことがありました。
政府の令和2年度末の資料によると、政府が重要インフラとみなしサイバー防衛に関する情報を提供している金融機関は延べ1700社ほどあるそうです。
情報通信が1300社ほど、鉄道は22社ほど、電力は29の事業者が該当します。
これまでの「重要インフラ行動計画」行動計画は政府の指針で法的根拠がありませんでした。
今回の改定でサイバーセキュリティ基本法に基づく措置と明確に位置づけ、実効性を高めます。
罰則は設けませんが、所管省庁や内閣サイバーセキュリティセンター(NISC)が定期点検し、対策が不十分であれば改善を迫ることになります。
会社法に基づき内部監査を求めることも念頭に置きます。
企業が作成する対処計画には、責任の所在、常に攻撃に対処できる体制、緊急対応の組織作りの明記を想定しています。
専門部署任せにせずトップを含む経営陣が責任をもって取り組むようすすめます。
通信機器やクラウドを通じて情報が漏れるなど「サプライチェーンリスク」への対応も重視します。
関連会社や取引先を含めたリスク管理を徹底させます。
通信機器大手のファーウェイ製などの中国製品が念頭にあります。
政府は、令和4年の通常国会に提出予定の経済安保推進法案で、事業者の機器導入前に国が審査するしくみの導入を検討しています。
法整備に先んじて使用機器を自ら点検するなど企業の対応を急がせます。
日本の情報通信研究機構(NICT)の調査によりますと、サイバー攻撃は平成27年から令和2年までの5年間で8.5倍に増えたそうです。