NIS指令
掲載:2020年04月08日
用語集
近年、サイバー攻撃の急増から個人情報が多数流出し、セキュリティ対策が各国の重要課題となっています。情報セキュリティ関連の法律では、EUにおける一般データ保護規制(GDPR)が日本でも有名ですが、サイバーセキュリティに関する法律にはNIS指令があります。NIS指令は、そもそもGDPRに比べて遵守対象者の範囲が限定的なため(EU域内で事業展開する特定産業の日本企業)、日本のメディア露出も少なく、ご存じない方も多いかもしれません。現在は特定の企業(対象事業者は後述)のみが対象とはいえ、将来的にはNIS指令の遵守対象者が拡大する可能性があり、まずはこのような指令があるという認識を持つ必要があるでしょう。
NIS指令とは
NIS指令とは、ネットワークおよび情報システム指令(Network and Information Systems Directive)の略で2016年7月6日に成立、同年7月19日に公布され、公布日から20日後の8月8日に施行されました。加盟国には、2018年5月9日までに指令を国内法制化することを義務付けています。背景には、欧州域内ではネットワーク・情報システムが相互に接続されているにも関わらず、リスク対策やインシデントの対処能力については各国の差が大きいという問題があったからです。そこで、EUのネットワーク・情報システムの安全水準向上を掲げて、NIS指令は発行されました。
NIS指令には大きく下記3つの目的があります。(※1)
- 各国にCSIRT(Computer Security Incident Response Team)を設置し、国家戦略および国内協力計画を策定することで全ての加盟国が最低限の対処能力を整備
- 情報共有やインシデントの発見・対応に関する各国の管轄官庁間の協力ネットワークの構築
- リスク管理手続きおよび重大インシデントの届出義務を既存の法令でカバーされない重要インフラ事業者にも適用すること
法律の構成は下記の通りです。
| 章 | タイトル | 条文 |
|---|---|---|
| 第1章 | 総則 | 第1条~第6条 |
| 第2章 | ネットワーク・情報システムの安全に関する国家枠組み | 第7条~第10条 |
| 第3章 | 協力 | 第11条~第13条 |
| 第4章 | 基幹サービス運営者のネットワーク・情報システムの安全 | 第14条~第15条 |
| 第5章 | デジタルサービス提供者のネットワーク・情報システムの安全 | 第16条~第18条 |
| 第6章 | 標準化及び任意の届出 | 第19条~第20条 |
| 第7章 | 最終規定 | 第21条~第27条 |
(出典:※1を基にニュートン・コンサルティングが作成)
目的の3.で掲げた重要インフラ事業者としてNIS指令が規定しているのが、基幹サービス運営者(OES:Operator of Essential Services)とデジタルサービス提供者(DSP:Digital Service Provider)です。基幹サービス運営者に対するセキュリティ対策要求はこれまでも他法律でありましたが、クラウドのようなデジタルサービス提供者にもセキュリティ対策を要求していることがNIS指令のポイントとなります。その具体的な対象者は表2の通りです。(※2)
| 詳細 | |
|---|---|
| 基幹サービス運営者 (OES) |
●下記対象事業分野のセクターに属し、ネットワーク・情報システムを利用する公的および民間主体
●上記の事業分野の中でも特定基準
|
| デジタルサービス提供者 (DSP) |
●下記デジタルサービスを提供する法人
(零細・小規模企業は、NIS指令の適用対象外) |
要求事項
次に、基幹サービス運営者(OES)およびデジタルサービス運営者(DSP)には、具体的に何が求められるのか、要求事項を下記整理しました。
留意点として、NIS指令は最低限すべきことを記載した「Directive:指令」止まりということです。NIS指令の目標・目的を達成するために、各国はセキュリティに関する法令を制定するよう求められ、実際の法令制定および運用や強制力は各国の当局に委ねられています。もしデータを漏洩した企業は、下記のような十分なサイバーセキュリティ対策をしていなかった場合、GDPR程高額ではないものの、最高で1700万ポンド(約26億円)の罰金が科されます。(※3)
要求事項は、主に最新の安全管理措置を実施する義務及びEU内で提供されているサービスへの重要な影響を与えるインシデントの通知義務が課されています。GDPRに比べてNIS指令は、個人データ関係の違反行為に加えてセキュリティやサービスの提供に影響があるインシデントに関する要求事項に含まれます。(※4)特に真新しい内容ではありませんが、ここでのポイントも今まで遵守対象に含まれていなかったデジタルサービス提供者が対象になっていることがポイントです。
| 要求事項 | 基幹サービス 運営者 (OES) |
デジタルサービス 提供者 (DSP) |
|
|---|---|---|---|
| セ キ ュ リ テ ィ |
●ネットワーク・情報システムのセキュリティを脅かすリスクを管理する適正かつ相当の技術的・組織的対策を実施する | 〇 | 〇 (一部) |
| ●セキュリティポリシーなど、ネットワーク・情報システムのセキュリティを評価するために必要な情報を提供する | 〇 | 〇 | |
| ●セキュリティ監査結果等、セキュリティポリシーの有効な導入の証跡を提供する | 〇 | × | |
| ●業務を救済するためにNCA(National Competent Authority:所轄官庁)から受け取った指示命令を実行する | 〇 | × | |
| ●NIS指令で設定された要求事項を満たすためにいかなる失敗も救済する | × | 〇 | |
| ●EU内に常備設備を持たずEU域内でサービスを提供する場合、代表者を指名する | × | 〇 | |
| イ ン シ デ ント 通 知 |
●サービスの継続に深刻な影響がある、いかなるインシデントを、不適切な遅滞なくNCAまたはCSIRTに通知する | 〇 | 〇 |
| ●第3者のDSPに依存している場合、インシデントの影響を通知する | × | 〇 | |
| ●OESが第三者のDSPに依存している場合、インシデントの影響(影響を受ける利用者数、インシデントの持続時間、インシデントによって悪影響を与える地理的な広がり、経済活動及び社会活動に及ぼす影響の範囲等)(※5)を通知する | 〇 | × | |
| ●通知を受けた所管官庁またはCSIRTに要求された場合、個々のインシデントに関する情報を公表する | × | 〇 | |
今後のNIS指令
NIS指令について紹介してきましたが、自組織がそもそもNIS指令の遵守対象なのか、どこでそのサービスを提供しているのか、加盟国各国における同指令に基づく法律の制定状況を調査し、何をすべきか対応策を練る必要があります。もし、制定されていない場合でも、NIS指令に基づいて国内法がいつ変わり、発行されるのか注視し続けることが必要です。例えばGDPR施行の際、事前準備していた組織がある一方、施行後に着手して対応が後れた事例も往々にしてありました。 NIS指令に限ったことではありませんが、基幹サービス運営者だけでなく、データサービス提供者もセキュリティを高めることが重要です。具体的には、サイバー攻撃者よりも「最新」の情報を入手し、ベストプラクティスを参考にルールの改善や策定を進め、文書化されたプロセスを本当に現場で実施しているのかを確認することが必要でしょう。
※2)笹原英司(2018)「欧州NIS指令が医療規制対応にもたらすインパクト」 (2020/03/16アクセス)
※3) Dan Mosca(2018)「セキュリティ対策を怠ると罰金──実はGDPR級に重要なEUの「NIS指令」」 (2020/03/16アクセス)
※4)夏井高人(2019)「NIS指令(EU)2016/1148の構造と機能」『法律論叢』第91巻第6号(2019.2)
【参考文献】
- 島村智子(2018)「ネットワーク・情報システムの安全に関する指令(NIS 指令)―EU のサイバーセキュリティ対策立法―」『外国の立法 : 立法情報・翻訳・解説』no.277,2018-09,国立国会図書館
- 笹原英司(2018)「欧州NIS指令が医療規制対応にもたらすインパクト」(2020/03/16アクセス)
- Dan Mosca(2018)「セキュリティ対策を怠ると罰金──実はGDPR級に重要なEUの「NIS指令」」 (2020/03/16アクセス)
- 夏井高人(2019)「NIS指令(EU)2016/1148の構造と機能」『法律論叢』第91巻第6号(2019.2)
- 高橋美智留(2016)「ジョーンズ・デイ・コメンタリー:新たなEUサイバーセキュリティ指令の施行」 (2020/03/16アクセス)
