オーストラリアサイバーセキュリティ法 ―製造業者がこれから取るべき対策―
オーストラリアサイバーセキュリティ法では、製品セキュリティにかかるセキュリティスタンダードへの準拠義務や身代金支払い報告義務などが定められています。製造業者や販売者の義務と、対応を効率化するためのアプローチについて解説します。
はじめに
2022年に成立した英国の「製品セキュリティおよび通信インフラストラクチャ法規制」(Product Security and Telecommunication Infrastructure Bill:PSTI法)や2023年に発効した欧州のサイバーセキュリティ対策に関する法令「NIS2指令」と「サイバーレジリエンス法」(Cyber Resilience Act:CRA)のように、グローバルでサイバーセキュリティを確保するための法規の策定が進んでいます。
オーストラリアでは、2024年11月29日にサイバーセキュリティ法案2024が国王裁可を受けて成立しました。この法律には、製品セキュリティにかかるセキュリティスタンダードへの準拠義務や身代金支払い報告義務などが含まれています。関連のルールが適用開始されると、セキュリティスタンダードに準拠しない製品はオーストラリアで販売できなくなる可能性があります。オーストラリアで事業を行ううえで、本法への対応は必須です。
以下では、本法の概要と目的を紹介し、製造業者や販売者の義務について解説します。また、グローバルでサイバーセキュリティ関連の法規が導入される傾向が引き続き続くことが想定されることから、対応を効率化するためのアプローチについて提言します。
サイバーセキュリティ法の概要と目的
サイバーセキュリティにかかる環境と脅威に鑑み、オーストラリアではセキュリティを確保するための法的枠組みとして、サイバーセキュリティ法が策定されました。本法は、6パートから構成されており、製品セキュリティにかかるセキュリティスタンダード準拠義務や身代金支払い報告義務などが含まれています。主な概要とその目的は、図表1のとおりです。
図表1:オーストラリアサイバーセキュリティ法の概要と目的
対象製品
原則として、サイバーセキュリティ法の対象製品は、オーストラリア国内で流通するインターネットに接続可能な製品です。これには、直接インターネットに接続できる「インターネット接続可能製品」(Internet-connectable product)とインターネット接続可能製品を経由してインターネットに接続できる「ネットワーク接続可能製品」(Network-connectable product)が含まれます。
対象となる製品は、法律の適用開始日以降に製造または提供される製品とされており、開始日以前の製品や開始日以降の中古品は対象外です。製品セキュリティにかかるセキュリティスタンダード準拠義務の開始日は、2025年11月頃となる見通しです。
セキュリティスタンダード
今回成立したサイバーセキュリティ法の文面に明確なセキュリティ要件などは明記されていません。その具体化については担当国務大臣に委ねられた形となっており、法律を実施するために制定されるルールとして導入されます。既存の国際基準や要件への参照、関連業界などとの協議も含め、さまざまな情報源からセキュリティ要件が策定されます。
製造業者の義務
製造業者には法人に限らず個人やパートナーシップなどの形態の主体が含まれます。サイバーセキュリティ法において、製造業者は、セキュリティスタンダードに準拠した製品を生産する義務と、コンプライアンス声明を提供しそのコピーを保管する義務があります。オーストラリア国内で流通する製品または流通が見込まれる製品の製造業者が対象であるため、オーストラリア国外に所在する製造業者も対象になる場合があります。
販売者の義務
サイバーセキュリティ法おいて、セキュリティスタンダードに準拠していない製品をオーストラリア国内で流通させることが禁止されます。また、販売者も製品に付随してコンプライアンス声明の提供とコピーの保管義務を負います。
違反時の処罰
義務違反時の処罰は段階的に適用されます。対応を怠った場合、製品のリコールや企業名の公開といった処分があり、レピュテーションリスクに繋がる恐れがあります。
図表2:違反時の段階的な処罰
効率的な対応のためのアプローチ
CRAやPSTI法など、サイバーセキュリティや製品セキュリティに関連した法規が各国・地域で策定され、導入されています。グローバルで製品を展開する日本企業には、効率的な対応が求められます。
本稿で紹介したサイバーセキュリティ法に関しては、セキュリティスタンダードの詳細要件などが公開されていないため、今後明確化されていくと思われます。一方で、欧州のCRAはすでにセキュリティ要件を明示しており、包括的かつ明確に製造業者に対し技術的な対応を求めています。そのため、CRAへの対応を推進することで、本法の要件を一定程度カバーできるものと思われます。
ただし、本法独自の対応が必要となる点もあります。先述のとおり、サイバーセキュリティ法における義務違反時の処罰は段階的に適用されますが、罰金によるペナルティではなく、企業の対応を求めるという点において、欧州のCRAや英国のPSTI法と異なります。当局から接触があった際の対応について、社内におけるエスカレーションフローや意思決定プロセスを事前に策定し確認しておくことが望ましいと言えます。
まとめ
上述のとおり、サイバーセキュリティ法におけるセキュリティスタンダードに準拠しない製品は、オーストラリアで販売できなくなるため、企業としての対応が必要です。
本法に限らず、オーストラリアでは、重要インフラ事業者に対し資産の登録と報告を義務付ける「重要インフラ保安法」(Security of Critical Infrastructure Act:SOCI法)にも注視する必要があります。グローバルではサイバーセキュリティに関連する法規が今後も策定、導入されていくと想定され、グローバルベースで製品を展開する日本企業は、CRAへの対応から着手することがより効率的と言えます。
【参考資料】https://www.aph.gov.au/Parliamentary_Business/Bills_Legislation/Bills_Search_Results/Result?bId=r7250
デジタル化する工場のサイバーセキュリティ
18 results
Loading...
能動的サイバー防御有識者会議の提言解説
「能動的サイバー防御」を議論していた政府の有識者会議は、2024年11月29日に法制化に向けた提言をまとめました。提言の背景や概要について解説します。
国際文書「OTサイバーセキュリティの原則」と重要インフラへのサイバー攻撃に関する国際動向
2024年10月、オーストラリアのサイバーセキュリティセンターは、OTサイバーセキュリティに関する国際文書を発行しました。日本を含む9カ国の組織が共同署名したこの文書の概要や、国家レベルのサイバー攻撃とそれに対抗する国際動向について解説します。
経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」に基づくセキュリティ対策の進め方
「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」は、工場環境に適したセキュリティ対策の進め方や具体的なプロセスを説明し、PDCAサイクルを前提とした管理方法を提案しています。対策の検討・実装において参考となる資料の紹介と併せて解説します。
Loading...
PSIRTが認知すべき海外法規制解説
26 results
Loading...
中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
オーストラリアサイバーセキュリティ法 ―製造業者がこれから取るべき対策―
オーストラリアサイバーセキュリティ法では、製品セキュリティにかかるセキュリティスタンダードへの準拠義務や身代金支払い報告義務などが定められています。製造業者や販売者の義務と、対応を効率化するためのアプローチについて解説します。
金融サービスにおけるAIの活用とリスク管理―FS-ISAC AI Risk Working Groupのホワイトペーパーからの調査結果―
金融業界のサイバーセキュリティ情報連携のための組織であるFS-ISACでCISOを務めるJohn Denning氏が、金融サービスにおけるAIの活用とリスク管理のアプローチについて解説します。
Loading...
