{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2024年3月29日、2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)*1に関する施行規則案(意見募集、以下「本規則案」とする)*2を発表しました。この規則案が採択されれば、化学、通信、エネルギー、金融サービス、食品と農業、ヘルスケア、情報を含む16の重要インフラ分野にわたる推定30万社を超える事業体(企業、団体など)がその影響を受けることになります。なお、最終規則は2025年中旬頃に公表される見通しです。
米国に事業を展開する日本企業もその影響を受ける可能性があるため、本規則案の動向に注意し、早急に対応を検討する必要があります。
本規則案の目的
本規則案の目的は、CISAがより効果的、かつタイムリーに脅威を特定し、サイバーインシデント被害者の支援と早期警告を通して、米国の国家安全保障、経済安全保障、公衆衛生および安全を保護することです。
報告対象事業体
CIRCIAはサイバーインシデント報告の対象となる「対象事業体」を「大統領政策指令21(PPD-21)*3で定義されている重要インフラ事業体」と定義しており、CISAの本規則案では同じ方針が踏襲されています。一方、CIRCIAは上記重要インフラ事業体の明確化をCISAに委ねております。
CISAは、航空機や自動車の製造業者、空港や鉄道駅の運営者、トラック運送会社などの輸送関連事業体は輸送サービス部門に属し、銀行、信用組合、クレジットカード会社などの事業体は金融サービス部門に属するとしています。またこれと同様に、企業は自らどの重要インフラ部門に属するか、PPD-21を確認することにより、自己認識することができるとしています。
本規則案において報告対象事業体となるのは、重要インフラ部門に属する事業体のうち、①米国中小企業庁の中小企業規模基準*4を超える事業体、あるいは②特定の施設・設備または特定の機能を果たす事業体です。後者に関しては、事業体の規模に関係なく適用されます。なお、報告対象事業体に該当する場合、「報告義務を負うのは、個々の施設や設備ではなく、その事業体」となります。
報告すべきインシデント基準
CIRCIAは、CISAに対して「対象となるサイバーインシデント」という用語を定義するよう求めており、CISAは本規則案において「対象となる事業体が経験した重大なサイバーインシデント」と定義しています。基本的に以下の4つの条件のいずれかを満たした場合、重大なサイバーインシデントに該当すると考えられ、報告の義務が生じます。
図表2:重大なサイバーインシデントの要件
| 重大なサイバーインシデント |
|
報告事項とタイミング
CIRCIAは対象事業体に対し、報告対象となるサイバーインシデントが発生したと認識してから72時間以内、ランサムウェア攻撃に対する身代金の支払いが支払われてから24時間以内にCISAに報告することを義務付けています。
図表3
| インシデント報告 |
|
| 身代金支払い報告 |
|
| 補足的報告 |
|
執行手段
CISAの本規則案は、規則の実効性を担保するために、CISAが報告義務を果たしていない事業体に対して情報要求(RFI)の発行、開示を強制する召喚状の発行、民事執行手続きに関する米国司法長官への照会、連邦政府と取引のある企業に対する取引停止および資格剥奪などのペナルティを設けています。
まとめ
CISAのサイバーインシデント報告法に関する本規則案は、厳しい法執行手段を設けており、日本企業にとっては無視できないものとなっています。特に、米国内の重要インフラと関係のある事業を展開する企業にとっては、現地法人が規則の対象に該当する可能性があります。
米国に事業を展開する企業は、自社がその報告対象事業体に属すかどうかを評価したうえで、サイバーインシデントの報告フローを整備し、迅速かつ適切な対応ができる体制を構築する必要があります。
また、報告すべきインシデントであるかどうかを迅速に判断し、報告を行うために、社内の体制整備に加え、外部の専門家との連携を強化することが求められます。
今般の意見募集を通じて集められた意見が当該規則の最終確定版に反映される可能性があるため、その動向にも注視が必要です。
*1 Cyber Incident Reporting for Critical Infrastructure Act of 2022、2024年5月1日閲覧
https://www.cisa.gov/sites/default/files/2023-01/Cyber-Incident-Reporting-ForCriticalInfrastructure-Act-o-f2022_508.pdf
*2 Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) Reporting Requirements、2024年5月1日閲覧
https://public-inspection.federalregister.gov/2024-06526.pdf
*3 Presidential Policy Directive 21、2024年5月1日閲覧
https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/presidential-policy-directive-critical-infrastructure-security-and-resil
*4 PART 121—SMALL BUSINESS SIZE REGULATIONS、2024年5月1日閲覧
https://www.ecfr.gov/current/title-13/chapter-I/part-121
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
