2014年12月18日、オバマ大統領は「2002年電子政府法(E-Government Act of 2002)」の成立以来12年ぶりの重要なサイバー立法となる長年の課題である5つの関連法案に署名した(なお、John MaCain上院議員等連邦議会有力議員の中からは、なお包括的かつ体系的なサイバー立法を押す意見があることも事実であり、本ブログの読者も理解できるであろう更なる米国の立法課題といえよう)。
また、同大統領は2015年1月から2月にかけ標記に関する新たな法案の策定等に向けた立法化の動きを精力的に行っている。すなわち、①サイバーセキュリティ法案、②消費者のプライバシー権利章典に関する法案、③連邦ベースの個人情報漏洩時の通知義務強化法案を策定すべく一連の公式の場で所見を述べている。
例えば、1月12日、オバマ大統領は連邦取引委員会(FTC)での所見スピーチで米国における標記2つの大きな立法課題をあげた。また、2月13日にはカリフォルニア州のスタンフォード大学でのホワイトハウス主催サミット(筆者注1)において主要企業や学内研究者や連邦機関に向けたスピーチで米国内のSONY等企業や政府機関に対するサイバー攻撃が相次いだことを受け、官民の情報共有を強化する政府の方針を述べるとともに、そのスピーチ直後、大統領令「Executive Order - Improving Critical Infrastructure Cybersecurity」に署名した。 (筆者注2)
サミットでのオバマ大統領のスピーチ
本ブログでは、オバマ政権が取り組んできた法整備・立法措置の中核的な問題についてこれまでの経過を概観するとともに、現在取り組んでいる立法課題を整理し、これと平行してアカデミックな立場からサイバー対策につき先行研究している筆者も参加しているスタンフォード大学の”Cyber initiative”の概要などにも言及しつつ、今後、米国が取り組むであろう課題等を取り上げることとした。
なお、本ブログを丁寧に読んだ読者は気がつくと思うがオバマ政権はほぼ2年おきにサイバー関連立法の見直しを行うとともに、包括法案への取り組みと議会の議員立法法案との調整を進めている(2011年5月12日ホワイトハウスのFactSheet の前文参照)。ただし、毎回のプロポーザルを丁寧に読むと微妙な変更点に気がつくと思う。
さらに2015年4月1日、オバマ政権は合衆国憲法、および法律(国際緊急事態経済権限法(International Emergency Economic Powers Act:IEEPA、50 USC 35 §1701〜1707) (筆者注3) 、 「国家非常事態法(National Emergencies Act:NEA)および「移民および国籍法(Immigration and Nationality Act)」に基づき付与された権限に基づき2015年4月1日、大統領令「重大な影響を持った形で国外からの米国サイバー空間の無効化活動を行う人・団体等の資産を封鎖(Executive Order -- "Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities"))」を公布した。その意図、目的、その効果等なお疑問があるが、別途まとめたいと考える。
これらの問題は大統領府、連邦機関の権限強化、見直しとともに、連邦議会の共和党や関係業界との調整等多くの課題を伴う問題であるが、わが国における詳しい解説は極めて少ないといえる。その中でジェトロ・ニューヨーク事務所報告「JETRO ニューヨークだより 2013年4月・5月の和田恭「米国におけるサイバーセキュリティ政策の最近の動向(前編)」および「同(後編)」 がその時点のものではあるが、正確かつ専門的な解説を行っている。
今回は、2回に分けて掲載する。
Ⅰ.2015年1月までのオバマ政権におけるサイバー対策立法のこれまでの経緯の概観
2015年1月13日付けのホワイトハウスのリリース「SECURING CYBERSPACE-President Obama Announces New Cybersecurity Legislative and Other Cybersecurity Efforts」等に基づき概観しておく(ホワイトハウスのリリース文につき筆者の責任で補足説明や関係資料へのリンクを行った)。
オバマ政権はサイバー立法等対策強化に関し、その始まりから節目に当たる経緯をたどると、まず2009年5月29日に「2009年サイバー・ポリシー・レビュー(2009 CYBERSPACE POLICY REVIEW: Assuring a Trusted and Resilient Information and Communications Infrastructure 」 (全76頁)」においてサイバーセキュリティに関する第一弾的作業として行政機関の全領域を対象とする合計112のドキュメント・レビューを行った。その結果を踏まえ、2011年5月12日に民間部門および政府部門に国内外でのサイバー脅威に対する戦いを行うための各種手段を与えるべく連邦議会に対し迅速な行動を取るよう呼びかけるため「サイバーセキュリティに関する立法面の提案(Cybersecurity Legislative Proposal)」を公布した。
また、同年5月12日には、諸外国に対し外交政策上サイバーセキュリティは優先度が高い問題であることを明確化するため「サイバー空間に関する国際戦略:ネットワーク世界における繁栄、セキュリティおよび開示性( INTERNATIONAL STRATEGY FOR CYBERSPACE :Prosperity, Security, and Openness in a Networked World」(全30頁)を公表した。
その後、連邦議会がサーバーセキュリティに関する包括的な立法の通過ができなかった時に政府として産業界と協働してベースラインとなるサーバーセキュリティ標準化を確立して基幹インフラを保護するため、2013年2月12日に大統領令(第13636号)「Executive Order on Improving Critical Infrastructure Cybersecurity」を公布した。 (筆者注4)
今日は公的および民間ベースのネットワークは組織犯や非国家組織者(国際テロリスト)と同様に前代未聞の凶暴なハッカーの脅威に直面していることから、大統領は次のステップとして国家システムを防衛するため後記Ⅲ.で具体的に述べるステップを明らかにした。その中には、新たな法案の提案、連邦議会の重要な任務の構築、サイバー攻撃を無能化すべく情報の共有化で解決する等が含まれると指摘している。
Ⅱ.2014年12月18日に成立したサイバーセキュリティ関連5法案の概要
その概要を米国ローファーム「ZwillGen PLLC の解説記事」や「Bank Info Security記事」等をもとに解説する。
(1) 「2014年連邦機関の情報セキュリティ現代化法(Federal Information Security Modernization Act)(S.2521)」
同法は、大統領府・行政管理予算局(OMB)に、連邦機関におけるITセキュリティポリシーの策定につき既存の行政実務内容を成文化する権限を付与するものである。また、加えてDHSに民間機関のセキュリティ・ポリシーについても運用面で実行する権限を与える。さらに同法は国土安全保障省に「2002年FISMA(Federal Information Security Management Act)」の改正を受け連邦機関のネットワークのモニタリングにつき「チェクリスト方式(checklist-method)」 から「リアルタイム方式(real-time monitaring)」に変更する権限を与える。
この問題の立法論の背景につき筆者なりに「FEDERAL NEWS RADIO 1500AM:OMBニュース(2014.6.24)記事」等を参照して以下のとおり補足する。
*連邦機関においてサイバーセキュリティ保護のためのダイナミックな取組みの障害となっていたのは、12年前の成立法である「FISMA」ではなく、むしろOMBが2000年11月28日に発出したオンライン部内通達「A-130 OMB Transmittal Memorandum for Heads of Executive departments and Agencies No. 4 (November 28, 2000)」 (筆者注5)の見直しが十分でなかったことである。とりわけ、DHS監査総監部(OIG)やその他の監視機関はそれによりセキュリティ対策業務は渋滞していた。
(2) 「国家サイバー・セキュリティ保護法(National Cybersecurity Protection Act)(S.2519)」
DHS内に基幹重要インフラ保護、サイバーセキュリティ、関連プログラムの監視を行うため正式に「国家サイバーセキュリティおよびコミュニケーション統合化センター(National Cybersecurity and Communications ntergration Center:NCCIC)」 (筆者注6)を稼動することを定める。法案では政府と情報共有を選択する民間企業の責任に関し論議や審議を行った。さらに、DHS長官に官民の情報共有の手続きの開発および情報共有契約の適用方法等につき議会に勧奨することを命ずる。
(3) 「サイバーセキュリティ担当従業員の専門性育成評価法(Cybersecurity Workforce Assessment Act)(S.2952)」
精鋭のサイバーセキュリティ専門家を採用する目的で、DHSの長官に同省内にサイバーセキュリティの準備、能力、訓練、採用、サイバーセキュリティの専門従業員の保持等を行うため、包括的な戦略の開発、維持および更新を行うよう命ずる。 (筆者注7)
(4) 「国土安全保障省の従業員評価法(Homeland Security Workforce Assessment Act)(H.R.2952)」
前記(3)の「Cybersecurity Workforce Assessment Act」と同様に「国境パトロール機関の支払い改革法(Border Patrol Agent Pay Reform Act of 2014:S.1691)第4条の付帯法条項となるものである。DHSにサイバーセキュリティ専門要員のポストを新たに作り、定期的な従業員採用とは別に追加報酬、やる気手当等を適用することを認める。
(5) 「2014年サイバーセキュリティ強化法(Cybersecurity Enhancement Act)(S.1353)」
商務省に対し、同省傘下の国立標準技術研究所(National Institute of Standards and Technology:NIST)の所長を通じて基幹インフラに対するサイバーリスクを減じるため任意の標準の開発権限を与える。また、同時にホワイトハウスの科学・技術政策局(Office of Science and Technology Policy)に連邦機関のサイバーに関する調査および戦略計画の開発を命ずる。
Ⅲ.2015年1月12日 ホワイトハウスオバマ大統領がFTC会議で一般教書も踏まえた新たなサイバー立法の提案その他のサイバー対策強化案を公表
具体的なホワイトハウスのリリース(概況報告「米国の消費者と家族の保護施策」)内容は次のとおりである。なお、リリース文では海外および専門外の人には必ずしもわかりやすい内容ではないため筆者の責任で適宜補足やリンクを行った。
(1)個人のなりすまし被害(Identity Theft)を追跡法の制定(Personal Data Notification & Protection Act)やなりすまし犯罪の特定やその阻止策
①個人情報の漏洩時の保有企業の顧客への統一的な通知義務法の制定
大統領は、大規模な個人情報や金融取引情報等の漏洩・流失事件による心理面の被害をうける米国民に対し、心の平和を取り戻すため新たな立法手当てを推し進めた。この法案は、消費者につきその個人情報が漏洩したとき、その発見から30日以内に顧客への通知する義務を保有・管理する企業に課すことで責任の強化と明確化を図るものである。その一方で企業に対しては単一かつ全米ベースで標準化した通知規則を新たに策定する。
②なりすまし犯罪の特定やその被害阻止策
なりすまし被害時に、消費者に個人信用情報レベルの低下を回避させることも含め、最善のかたちで早期サインの1つのアクセスさせるため、大手銀行JPモルガン・チェイス(JMMorgan Chase)やバンク・オブ・アメリカ(Bank of America)や信用情報のスコアリング企業である「フェアー・アイザック・コーポレーション(Fair Isaac Corporation:FICO)」 (筆者注8)とともに、これらのクレジットカード顧客が無料で利用できる信用スコアを形成する企業数の増加をもたらすことになろう。さらに、USAA (筆者注9)やState Employees’Credit Union なども会員に無料の信用情報の提供を可能とし、またAlly Financial (筆者注10)も自社の自動車ローンの顧客がクレジットスコアが無料で照会可能とする提携企業数を広げる予定である。これらの企業努力などを通じ、成人の米国民の半数以上は、銀行、カード発行者や貸し手を通じてなりすましに適確に気がつき対応を取るためのアクセス手段を持つことになろう。
(2)教室やその他での学生の個人情報の安全措置対策
①「学生のデジタル・プライバシー法」案の提案
大統領は、教師や両親のために教育目的のみで教育の課程で収集される学生の情報を保証するための最善の技術を伴う教育や学習を強化を必要とするための信頼を得るため新たな立法措置を提案する。この連邦法案は画期的な法律といえるカリフォルニア州の法律「Student Online Personal Information Protection Act」等をモデルにしたもので、2014年5月1日のホワイトハウス向け報告「ビッグデータとプラバシー(技術面から見た視点):Report to President :Big Data and privacy:A Technological Perspective)」 等およびホワイトハウスの大統領のBig Data問題レビュー「Learn more about the big data review」等の勧告に基づくもので、各企業における教育面の使途に無関係の目的で第三者に学生の個人情報を販売したり学校内で収集した情報に基づき「ターゲット広告」を行うことを認めないという内容である。一方で、生徒の学習成果の改善といった調査目的をもつ構想や企業による学習技術の効率性の継続的な改善努力という点ではなお認められるものである。
なお、以下で米国プライバシー擁護団体であるEPICブログ「Student Privacy Project」が簡潔に同法のポイントを引用しているので、ここで併せて仮訳しておく。
「カリフォルニア州議会は包括的な学生のプライバシー保護法である「学生のオンライン個人情報保護法(Student Online Personal Information Protection Act (Senate Bill No. 1177 CHAPTER 839)」を通過させ、このほど成立した。 この新しい法律の中で特記すべき条項は次のとおりである。
(1) 幼小中高(k-12:幼稚園(K)からはじまり、小学校(1-6学年)、中学高校(7-12学年)までの計13学年をさす)のモバイルやオンライン・サービスのオペレーター(事業者)が学生へ広告目的で当該学生の個人情報を使用することを禁止する、 (2) オンラインサービス・プロバイダー(ISP)に対し、商業目的で幼小中高学生のプロファイルを作成することを禁止するとともに、(3)学生の個人情報を他の企業に販売することを禁止する。 また、同法は、幼小中高のモバイルやオンラインのサービス・オペレータに対し、安全対策を確立し、学校または地区の関係機関の依頼にもとづき学生情報を削除することを義務付ける。 同時に、カリフォルニア州は学校が契約上でプライバシーを含め指導記録を社外調達する場合の生徒や両親の同意等規制法案(Assembly Bill 1584)を成立させた。
その他、学校内におけるソーシャルメディア監視プログラムを統治する法案(Snate Bill 1349 )を可決した。 同州の学生オンライン個人情報保護法は、EPICがStudent Privacy権利章典(Student Privacy Bill of Rights)で概説・提言した多くの提案を取り入れた。」 (筆者注11)
②学生のためのプライバシー強化支援のための民間部門の新たな責務
本日、75社は子供たちの個人情報の誤用から子供達、両親や教師に対し重要な意味をもって保護するという誓約書に署名したことから新たな責務が生じた。この誓約活動は、シンクタンク「Future of Privacy forum」と「米国ソフトウエア&情報産業協会(SIIA: Software & Information Industry Association)」がリードし、本日、大統領はその他の企業に対し、このリードに追随するよう働きかけた。
③連邦教育省は米国中の教育者の権限強化と学生の保護のための新たな手段を用意する
連邦教育省と同省の「Privacy Technical Assistance Center」は米国の子供たちのプライバシー保護にとって重要な役割を演じる。今日、我々は教育に関するデータが適宜かつ教育の任務目的に即して保証されるようわらわれの能力の強化を図るべく教師の教育訓練の支援と同様に来るべきモデルサービス条件を公表している。
(3)新たに出現するプライバシー問題につき官民部門を召集
・スマートグリッドにかかる顧客の個人情報保護についての任意の行動規範(Voluntary Code of Conduct)を策定
本日、連邦エネルギー省の連邦スマートグリッド対策本部(Federal Smart Grid Task Force)はエネルギーの使用情報を含む電気部門の顧客データの保護を目的とした公共施設や第三者のための取るべき任意の行動規範を公表した。
同規範は1年にわたる産業界の関係者、プライバシー問題専門家ならびに広く大衆等やパブリックコメントを繁栄したものである。企業よる署名により、VCCは消費者の問題理解、選択や同意、アクセスのコントロール等の寄与することになろう。
*************************************************************************************
(筆者注1) ホワイトハウス主催のサミット(於:スタンフォード大学)には実は筆者も同大学の友人から招かれて参加した。全内容につきホワイトハウス・サイトで、動画での確認が可能である。
(筆者注2)オバマ大統領のスピーチに中身として、さらに言及すべき点は2014年10月17日の「大統領令(Executive Order-Improving the Security of Consumer Financial Transactions)」である。オバマ大統領は金融取引や個人取引情報の安全性、個人ID情報のなりすまし被害救済の改善、さらに連邦機関間で流通する個人情報の安全性強化に関する大統領令に署名した。とりわけ、安全性強化手段として連邦政府機関が発行するクレジットカードにつき可能な限り早急にデビットカードと同様に”Chip-and -PIN”技術を導入するよう命じた。さらに、大統領府・国家安全保障会議(NSC)、同・科学技術政策局(Office of Science and Technology Policy:OSTP)および同・行政管理予算局(OMB)に一定期間内に管理する個人情報管理の厳格化措置を命じた。
同大統領令の内容につき、Covington & Burling LLPの解説(President Obama Signs Executive Order Aimed at Protecting the Security of Consumer financial Transactions)、およびCozen O’Connorの解説を中心において概観しておく。
(1)政府支払いカードのセキュリティ強化措置
クレジット、デビットその他政府公金の支払カード端末を有するすべての連邦法執行機関、部門において”Chip-and -PIN”技術導入により市民の個人情報のセキュリティ強化を図る。
すなわち、財務長官は2015年1月1日までに新たに購入する端末につきセキュリティ特性を保証せねばならず、またこれらの安全特性を持たない旧端末を管理する連邦機関につきセキュリティ特性を保証するソフトウェアのインストール計画をたてねばならない。連邦共通役務庁長官(GSA)も同様に2015年1月1日までにGSA契約を介して交付されるクレジット、デビットカードやその他支払いカードのセキュリティ特性を確保するとともに、安全性特性を有しないすべての既存カードについては交換しなければならない。最後に、これらカードを扱うすべての連邦機関は2015年1月1日までにOMBに対し、これらカードにつきセキュリティ特性を有する保証計画を提出しなくてはならない。
(2)個人なりすまし(Identity Theft)被害者救済の改善措置
個人なりすましの消費者たる被害者に対し、負担の軽減や遅延を減じるための措置を命じる。義務である。本命令に基づき、司法長官は国土安全保障省(DHS)長官と相俟って2015年2月15日までに実施内容を取りまとめることとなる。
10月17日、”Chip-and-PIN”技術は欧州において広く用いられているものでクレジットカード番号の盗取を一層困難化するものである。さらに、同令は2015年1月1日までに連邦機関に設置する小口支払い用カード端末において”Chip-and-PIN”技術を導入するよう命じた。
(筆者注3) 国際緊急事態経済権限法(IEEPA=International Emergency Economic Powers Act、50 USC 35 §1701〜1707)は、非常かつ尋常ではない国際的脅威に国家がさらされた場合に政府が「国家非常事態」を宣言し、経済に関する種々の権限を大統領が一時的に握ることを認める法律。同法の詳細は以下URLを参照。
http://www.law.cornell.edu/uscode/html/uscode50/usc_sup_01_50_10_35.html 
(JETRO「基本的な米国の輸出入制度」から一部抜粋。
(筆者注4)大統領令第13636号について、ローラ・ミカ「サイバーセキュリティに関する大統領令」(国立国会図書館「外国の立法」2013.5)が概要を解説している。
(筆者注5)オンライン配信通達(Circular)とは、行政官庁がその所掌事務について、所管の機関や職員にオンライン文書で通知すること。また、その文書そのものをいう。
(筆者注6)前文で述べた「米国におけるサイバーセキュリティ政策の最近の動向(後編)」においてNCCICにつき詳しく解説しているので、筆者なりに補足説明やリンクを追加して引用する。
”NCCIC”は2009年10月30日に実際に運用するかたちですでに稼動している。
「DHSの国家重要インフラおよびITシステム保護総局(National Protection and Program Directrate:NPPD)の傘下の「サイバーセキュリティ・通信局(Office of Cybersecurity & Communication:CS&C:2009年発足)のうち、特に重要インフラを中心としたサイバー情報の集約機関として重要な役割を果たすのがNCCICである。NCCICは、国家サイバー事故対応計画(NCIRP)に基づき、それまでのNational Cyber Security Center(NCSC)を置き換える形で発足した機関であり、United States Computer Emergency Readiness Team (US-CERT):米国内のサイバー脅威情報の集約や警戒情報や注意喚起情報の発信を行う実働部隊)や、Industrial Control Systems Cyber Emergency Response Team:ICS-CERT:制御システムに関するサイバーセキュリティを担う部隊)などを統括している。NCCICには、US-CERTやICS-CERTのほか、NO&I(NCCICの各部門および活動全体の同期解析、情報の共有と事故対応につき計画、調整と統合能力に担当する)、DHS所管の重要インフラ中、IT分野の政府側調整機関であるNational Coordinating Center for Telecommunications(NCC)の4部門が存在する。365日24時間体制でサイバー監視を行っている」
(NCCICのサイトの組織図)
(筆者注7)サイバーセキュリティ専門家要員の育成は、主要国の喫緊かつ共通的課題である。例えば、英国でみると3月25日、内閣府担当大臣であるフランシス・モード(Francis Maude)は、英国のサイバーセキュリティ技術の基礎部強化を目的とした第一次計画(Cyber First)を公表した。そのプログラム(scheme)の特徴を英国・政府通信司令部・通信電子セキュリティグループ(CESG)サイト等を参照のうえ記しておく。
”Cyber First”は優秀な学生を対象に関連する科学、技術、エンジニアリングや数学の勉強を行うための財政的支援を行うもので、同時に卒業時に仕事に就く際は国家安全保障にかかる政府、民間企業企業への就職を斡旋するものである。急速に成長する産業界のニーズに応えるべくサイバーセキュリティに関する最先端技術の開発、人材の育成が主目的であり、その経済効果は60億ポンド(約1兆500億円)以上、雇用効果は40,000人以上と見込まれている。その名誉ある計画の応募適格者は、2015年秋に大学の第一学年または第二学年の学生で、サイバーに関する全英におけるコンペの成功者である。
またスポンサー支援計画の中身は、学業中に関しては年間4,000ポンド(約70万円)が支給される。
その他、英国におけるサイバーセキュリティ強化に関する主要な国家計画の項目は次のとおりである。詳細な説明は略す。また、2015年3月24日、モード大臣は英国のサイバーセキュリティ技術の強化に関する第一次計画を発表した。この点も英国政府のリリースを参照されたい。
①Academic Centres of Excellence in Cyber Security Research (ACE-CSRs)計画は、英国における「デジタル世界における英国の保護と推進(英国の新サイバーセキュリティ戦略が研究成果)2011.11.25 公布」として、いくつかのイニシアテイブの第一号である。
②National cyber security programme and UK Cyber Security strategy
2011年11月25日に公布した。2014年12月11日、本戦略に関する成果、更なる計画などを織り込んだ第三次進捗年次報告を公表した。
(筆者注8)”FICO Score”について、同社サイトの解説は次のとおりである。。
The FICO® Score, available at the three major consumer reporting agencies, helps lenders make accurate, reliable and fast credit risk decisions across the customer lifecycle. The FICO® Score rank-orders consumers by how likely they are to pay their credit obligations as agreed. The most widely used broad-based risk score; the FICO® Score plays a critical role in billions of decisions each year. The latest US version, FICO® Score 9 is the most current and predictive FICO® Score.
また、消費者金融サービス研究学会年報 芦田勝「米国等の消費者信用情報機関等におけるビジネス倫理の実践的取組みの現状とわが国のCSR強化に向けた課題」において概要が解説されている。
(筆者注9)”USAA”は、中堅銀行として現役軍人と退役軍人その家族を対象に、銀行サービス(free checking(当座預金口座で利息がつかない)ほか)、クレジットカード、生命保険/損害保険や自動車ローン、 投資相談等のサービスを行っている。
(筆者注10)米ゼネラル・モーターズ(GM)の金融子会社だったアライ・フィナンシャルは2009年、政府が172億ドルの公的資金を注入して救済した。同社はそれ以降、サービスの幅を広げて業績を立て直してきた。2014年4月に実施した新規株式公開(IPO)では23億ドルを調達した。(2014.10.30 WSJ日本語版記事より一部抜粋)。
(筆者注11)カリフォルニア州におけるプライバシー強化立法に関し、2012年にカリフォルニア州議会が通過させたプライバシー法(Assemmbly Bill 1844)は、同州の雇用主に雇用志願者や従業員のソーシャルメデイアのログ内容の開示を要求することを禁止する。また、同法は州の労働法第2部(Division Two)が適用され、また従業員がそのことにより解雇されたり脅迫されることから保護される旨定める。
本ブログで引用した立法も含めカリフォルニア州の学童のプライバシー保護立法を概観するには2014.10.14 Josie Ahlquist「Carfornia Protecting Student Digital Privacy:Legal Updates in Education」を参照されたい。
*********************************************************************************
Copyright © 2006-2016 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
コメント
コメントを投稿