国際文書「OTサイバーセキュリティの原則」と重要インフラへのサイバー攻撃に関する国際動向
2024年10月、オーストラリアのサイバーセキュリティセンターは、OTサイバーセキュリティに関する国際文書を発行しました。日本を含む9カ国の組織が共同署名したこの文書の概要や、国家レベルのサイバー攻撃とそれに対抗する国際動向について解説します。
近年、顧客の購買情報やIoT製品から収集した行動履歴などを収集・分析し、自社のビジネス戦略に利活用する企業が増えています。一方、個人情報の取り扱いやシステムに対する技術的安全管理措置が十分に行われず、人為的なミスやサイバー攻撃により個人情報が漏えいしてしまい、データ提供者(データ主体)のプライバシーが侵害されるケースが増えてきました。
このような背景を踏まえ、欧州や日本をはじめ各国では個人情報保護法が厳格化され、また当該法令では「域外適用」(他国の個人情報を取り扱うのであれば、他国の法令が適用される)という要件が課される傾向にあります。企業は自国の個人情報保護法だけではなく、自社が取り扱っている個人情報に適用される個人情報保護法の動向を把握し、グローバル規模で対応を開始する必要があります。
2018年に施行された欧州一般データ保護規則(GDPR)を機として、各国の個人情報保護法は厳格化の傾向にあります。図1に示す通り、各国で個人情報保護に関する法案が策定され、続々と施行されています。特にブラジル、インド、タイ、日本で施行予定の法令はGDPRに類似していると言われ、個人の権利が強化されています。また2020年11月現在、中国ではサイバーセキュリティ法の中に定められている個人情報保護の規制に加え、新たに独立した個人情報保護法の草案の策定が進められています。
GDPRや日本の改正個人情報保護法をはじめ、各国の個人情報保護法では、図2に示す要件が求められる傾向にあります。その一つに「法令の域外適用」があり、各国の法令が海外の企業に対しても適用されるようになります。これにより、企業は自国の法令だけではなく、データ主体の居住地を把握した上で、その国の法令へも対応する必要が出てきました。
また「データ主体の権利の強化」により、データ主体が自身の個人情報の取り扱いに関する請求を、より柔軟に行うことができるようになりました。そのため、企業はデータ主体からの請求に柔軟かつ迅速に対応できるよう、社内の体制・運用ルールの整備を行う必要があります。
PwCは、厳格化する各国の個人情報保護法への対応とグローバル規模での個人情報保護態勢の構築を支援します。
各国の個人情報保護法はGDPRをスタンダードとして制定・改正される傾向にありますが、いまだ途上段階の国・地域もあります。中国をはじめとするアジア、北南米、中東、アフリカといった地域でビジネスを展開するグローバル企業がGDPRをベースとした個人情報保護施策をワールドワイドで導入すると、一部のグループ会社は対応できない可能性があります。PwCは、クライアントがビジネスを展開する国・地域の個人情報保護法をはじめとする地域特性を考慮しながら、グループを横断した最適な個人情報保護レベルを提案・設定します。
各国の個人情報保護法では「域外適用」や「域外移転規制」といった要件が増えてきており、自国外の個人情報を取り扱う場合、または自国から自国外へ個人情報を移転する場合に、適切な安全管理措置を施す必要があります。クライアントのグループ全体での情報管理体制を設計し、各役割の設定や適正な人材像についてアドバイスを提供します。
グループ全体でグローバルに連携をしていくためには、グループ会社全体または各グループ会社での個人情報保護の社内ルールや運用プロセスの整備を行い、それをグループ会社へ展開し、本社から統制を利かせる必要があります。PwCは、クライアントの最適な社内ルールの策定と運用プロセスの整備を支援します。
2024年10月、オーストラリアのサイバーセキュリティセンターは、OTサイバーセキュリティに関する国際文書を発行しました。日本を含む9カ国の組織が共同署名したこの文書の概要や、国家レベルのサイバー攻撃とそれに対抗する国際動向について解説します。
「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」は、工場環境に適したセキュリティ対策の進め方や具体的なプロセスを説明し、PDCAサイクルを前提とした管理方法を提案しています。対策の検討・実装において参考となる資料の紹介と併せて解説します。
2022年11月から経済産業省の産業サイバーセキュリティ研究会にて「IoT適合性評価制度」の議論が始まりました。IoT製品のセキュリティ品質に投資し、認証マークによってそのセキュリティ品質の高さをユーザに訴求するIoT製品提供者の増加が期待されます。
2024年9月末に独立行政法人情報処理推進機構は、IoT機器のセキュリティレベルを評価、可視化する「セキュリティ要件適合評価及びラベリング制度」を公開しました。安心・安全な製品の普及促進のために、今後期待されるセキュアなIoT社会について解説します。