[本文]

国名:
米国
公開機関:
大統領府
元記事公開日:
2013/08/06
抄訳記事公開日:
2013/09/01
元記事の言語:
英語

サイバーセキュリティの枠組みに企業を取り込むためのインセンティブ

Incentives to Support Adoption of the Cybersecurity Framework

本文:

ホワイトハウスは8月、国土安全保障省(DHS)、商務省(DOC)、財務省からサイバーセキュリティ強化に向けての枠組み(Cybersecurity Framework)やそれを補助する任意プログラム(Voluntary Program)の構築に関する報告書が提出されたと発表した。報告書では、電力、水道、交通網といった重要インフラをサイバー攻撃から守ための提案をしている。本記事では、その中から枠組みに企業を巻き込むためのインセンティブについて紹介する。相互補完的な3つの報告書すべてを概観すると、サイバーセキュリティの枠組みに企業を取り込むためには、8つの分野でインセンティブを設けるべきことが明らかとなった。

• サイバーセキュリティ保険:サイバー保険市場の活性化やリスクに基づく価格設定、リスク軽減手法の導入を実現するため、基準や手続き等を開発する際には、保険業界の参加を促す。国立標準技術研究所(NIST)が主導して業界関係者との話し合いを進めている。
• 助成金:当該枠組みと任意プログラムへの参加を促進するため、助成金を設置すること。今後6か月にわたり、助成金受給の条件について検討を進める。
• 優先順位:緊急時を除き、各省庁の技術支援といった様々なサービスを受けるための条件として枠組みの採用と任意プログラムへの参加を求める。今後、民間企業と任意プログラムを構築する際、どの分野でこのアプローチが効果的かを検討する。
• 法的責任の制限:各省庁は、法的責任の制限を設けることでより多くのインフラ企業がサイバーセキュリティ枠組みを採用するかどうか検討するため、もう少し情報が必要だと指摘。特に不法行為責任の制限、損害賠償の上限、立証責任の強化、州政府による情報公開要求を制限するための連邦政府特権などの分野で検討が必要。
• 規制の簡素化:既存の法律や規制と重複する部分は削除し、追加的監査が発生しないように、コンプライアンスが容易に進められるような工夫を行う。
• 一般社会からの認知:重要インフラ企業が当該プログラムに参加していることが、社会的評価の向上につながるかどうかを調べる。国土安全保障省は任意プログラムを開発するにあたり、関連企業と話し合って、インセンティブとなりえるかどうか検討する。
• 料金規制業界における投資回収:当該枠組みや任意プログラムに参加し、必要な投資を行った際、公共料金を設定している規制当局がそのコストを回収できるかどうかを検討。
• サイバーセキュリティ研究:枠組みが完成された後、政府は一般のサービスでは解決できない課題についての研究を進め、漏れのないように努力する。

当該レポートは最終的な政策の形とは異なるものの、サイバーセキュリティの枠組みを重要なインフラとして普及させるためどのようなインセンティブが効果的かを検討する第一歩となる。枠組みとプログラムが完成された暁には、より詳しい情報が提供されるようになる。

[DW編集局]