サイバー法令は「リスクマネジメントのツール」 海外サイバー規制動向とセキュリティ実務への影響を弁護士に聞く
IT・情報セキュリティ
目次
サイバー被害が世界的に増加の一途をたどるなか、世界各国は、被害の予防や拡大防止のための措置をとることを求めて、様々な規制を打ち出しています。こうした規制は、海外に子会社や関連会社などを持つ企業はもちろん、海外企業と取引のある企業にも関係し得るものですが、セキュリティ部門やシステム部門、法務部門といった関連部門は、どのような観点に注意し、どんな対応をとるべきなのでしょうか。
本記事では、グローバルでのサイバー規制の動向や、特筆すべき具体的な法令、セキュリティ実務への影響や活用のポイントなどについて、海外のサイバー規制事情に詳しく、企業のインシデント対応もサポートしている、ベーカー&マッケンジー法律事務所(外国法共同事業)の吉田 武史弁護士、髙橋 彩弁護士に聞きました。
- サイバー被害への備えとして、まずは「データ漏洩リスクのマッピング」を行うことが重要
- 海外ではサイバーセキュリティに特化した法律が出てきており、インシデント報告や事後対応だけでなく、事前のセキュリティ措置やガバナンス構築を要求する法令もある
- EUではGDPRに加えて、NIS2指令に注目が集まっている。NIS2指令は、当局への速報を24時間以内と短期間に設定しており、経営層の個人に対する罰則も定めている
- 米国では、サイバーインシデント報告に関する重要インフラ法(CIRCIA)に基づく報告義務が2026年から開始することが見込まれている。この法律では、攻撃者への身代金の支払いについても報告義務が規定されている(身代金支払いの報告はオーストラリアでも2025年から義務化)
- 法律は、リスクマネジメントの観点から規制や義務を定めた「リスクマネジメントのツール」。「海外の法令ではこのレベルの対策が基準になっている」などと社内で示すことで、セキュリティ担当者が企業の体制強化の旗振り役になり得る
サイバー被害に備え、まず行うべきはデータマッピング
まず、サイバー攻撃による被害の現状や、企業の対応状況についてお聞かせください。
髙橋弁護士:
世界的にサイバー被害が増えているのは、みなさんご承知のとおりです。特にEUでは、ロシアによるウクライナ侵攻以降、ロシア系ハッカー集団によるサイバー攻撃が増えているようです。
日本でも2025年に、サイバーインシデントによって事業停止に陥る事案が相次いで発生しました。このような状況下で、日本の企業の方にも、サイバー被害が企業の存続に直結する重大なリスクであると認識されはじめつつあると感じています。
サイバー被害の代表的な例は、情報漏えいです。あるITベンダーによる調査では、データ漏えいによって生じるコストは平均で約440万ドルとの数字が示されています 1。機微な個人情報を扱っている業種、たとえばヘルスケアや金融業などにおけるデータ漏えいでは、被害コストがさらに大きくなるおそれがあります。
吉田弁護士:
もちろんそれ以外の業種でも、営業秘密や機密情報の漏えいリスクは考えなければなりません。日本企業の場合、国内にある本社のセキュリティレベルは高くても、海外子会社では低いという傾向があります。私が過去に担当した事案でも、海外子会社でインシデントや情報漏えいが発生したケースがありました。
そのような状況も念頭に、効果的な対策を進めるにまず行うべきなのが「データ漏えいリスクのマッピング」です。マッピングとは、漏えい時にリスクの高い情報として、いかなる情報が企業グループ内または委託先のどこに所在しているのか、当該情報に対してはどのような管理措置が施されているのかなどをまとめて、それぞれのデータの漏えいリスクを評価することです。グローバルで事業を展開しているのであれば、海外子会社まで含めたマッピングを行う必要があります。
従来、個人情報にかかわるデータガバナンスや漏えいリスク分析の文脈でのマッピングが最優先で行われてきましたが、今後はそれだけでなく、企業それぞれにとって漏えい時のリスクが高い情報にあわせたマッピングとリスク評価が求められる段階にきていると思います。
報告義務に加え、事前対策を求める法令が増加
海外のサイバー規制の動向と、企業がとるべき実務対応についてお聞かせください。
髙橋弁護士:
これまでサイバーセキュリティに関わる法令といえば、個人情報保護規制をベースにしたものが多かったのですが、最近はサイバーセキュリティに特化した法律も出てきています。その内容としては、「事前対策」「インシデント発生後の当局への報告義務」「(個人情報の漏洩を含む場合の)本人通知・公表義務」の3つを定めるものが大多数です。
特に、これまでは報告義務や事後対応など、インシデント発生後にすべきことを定める規制が多かったところ、最近では、事前にセキュリティ措置をとること、たとえばリスクアセスメントの実施や、インシデントレスポンス計画・事業継続計画(BCP)の策定、サイバーセキュリティに関するガバナンス体制の構築などを義務化する法令が増えている印象です。
サイバー被害に遭わないよう事前対策をとるべきだという考え方は、従来から広く言われてきましたが、それが法令上の義務になったというのは大きな変化だと思います。当局への報告をより短時間で行うよう定める法令が増えていることを考えても、あらかじめ対応策・手順を決めておくことの重要性が増してきています。
吉田弁護士:
海外ではインシデントへの対応手順を定めたプレイブックを用意したり、演習を実施したりしている企業も多いです。日本でもごく一部では、充実したプレイブックを作成している企業があるようですが、そのほとんどは、過去にサイバー被害を経験している組織だという印象です。被害経験がある企業とない企業とのあいだでの温度差も開いているようです。
インシデント対応で重要な「当局との関係構築」
インシデントへの対応手順として、特に初動対応ではどんなことに注意すべきでしょうか。
吉田弁護士:
インシデントが発生した場合に、情報漏えいの経路や状況などを、まずすぐに自社内のCSIRTメンバーにて分析することが、初動対応として念頭にある企業も多いかと思いますが、同時に弁護士にも相談していただきたいと思っています。
データ漏えいの影響は、企業の事業活動やデータ内容の国際性に伴い、日本国内にとどまらず、海外当局の注目対象になり得る場合も多くあります。そうしたなか、米国をはじめいくつかの外国では、弁護士・依頼者間の秘匿特権が認められており、弁護士への相談内容の範囲内にある調査結果について、海外当局からの開示要求を拒むことができる場合もあります。インシデント発生時の早い段階で、被害範囲や漏洩した情報、関係者などの情報のうち、企業の利益の観点から情報を精査して、開示する必要がある情報・ない情報を事前に検討できるのも、弁護士が関与することのメリットです。
また、弁護士が相談を受けた場合、技術的な点についてはフォレンジック事業者(デジタル記録から証拠を収集・解析し、保全する技術を持つ事業者)とも協力しながら対応にあたります。弁護士・依頼者間秘匿特権において、こうしたフォレンジック業者は、弁護士がクライアントへアドバイスを提供するにあたって、弁護士を補佐する立場として整理されます。その結果、フォレンジック業者により収集・解析された情報についても、同様に、弁護士・依頼者間秘匿特権の保護対象となり得ます。
さらに、インシデント対応の当初から弁護士がコミットするメリットとして、当局との適切な連携を築くことができる場合もあります。当局との連携ができれば、当局が持つ情報を入手できる場合もあります。たとえば米国では、FBIが脅威アクター(攻撃者)に関する情報を積極的に収集しており、民間企業でサイバー被害が発生した場合にも、FBIへ被害申告を行うとともに、FBIから「この攻撃者はどんな手法をとるか」「解決した例はあるか」「ダークウェブで情報が公開されてしまっていないか」といった情報を提供してもらえる可能性があります。日本企業としても、たとえば米国内のグループ企業がサイバー被害に遭ったり、米国民に関連した情報漏洩が発生したりした際などには、FBIからの情報提供を受けることも検討対象になり得ます。
諸外国の主なサイバー規制
EU:24時間以内の報告義務や、経営層個人への罰則も
国内企業が注目すべき、海外のサイバー規制とその特徴についてお聞かせください。
髙橋弁護士:
まず、EUの法令からとりあげます。有名なのは、個人データの保護について定めるGDPR(General Data Protection Regulation/EU一般データ保護規則)ですが、最近はNIS2指令(Network and Information Systems Directive 2/改正ネットワーク・情報システム指令)にも注目が集まっています。
NIS2指令は、EU加盟国に、ネットワークと情報システムの安全性向上のための法整備を促すもので、前身のNIS指令の成立は2016年まで遡ります。ただし、NIS指令においては、対象業種が金融、ヘルスケア、デジタルインフラなどに限られていたこともあり、従来はあまり関心を向けられてきませんでした。
しかし、その後、改正がされ、2023年に発効したNIS2指令では、対象業種が食品や製造業を含むより広い範囲に拡大したこともあり、その重要性が認識されるようになりました。NIS2指令は「指令(Directive)」ですので、EU各国がこれに基づいた国内法を定めることになりますが、すでに22か国でNIS2指令にもとづく国内法が整備されており、運用が始まっている国もあります。
NIS2指令は、対象企業に対して、事前対策として、サイバーセキュリティに関するガバナンスの構築や、サプライチェーン企業のセキュリティ対策をはじめとする様々な措置の実施を義務付けています。また、大きな特徴が、当局への報告義務(速報)の期限であり、重要なインシデントに気づいてから24時間以内とされています。これは、GDPRで定められた72時間以内の報告義務と比べても極めて短いものとなっています。また、罰則も厳しく、最大1,000万ユーロまたは全世界の年間総売上額の2%の罰金が科されるとともに、悪質な場合は経営層の個人責任も問われる得る内容となっています。
吉田弁護士:
経営層の個人に対する罰則まで定めているのは、法人に対する義務の規定だけがあっても、経営層がなかなかアクションを起こさないことが理由にあると思われます。経営層がサイバーセキュリティに積極的にコミットするよう、個人の制裁にまで踏み込む内容になったということです。ただし、現時点では執行事例はなく、将来的にもあくまで悪質な場合にだけ適用されるものと予想されます。
髙橋弁護士:
EUの代表的なサイバー法令として、ほかに、サイバーレジリエンス法(CRA)もあります。NIS2指令が特定業種の企業に対する義務を定めたものであるのに対して、サイバーレジリエンス法は、EUで提供される、デジタルの要素を持つ製品を対象とした法律です。サイバーセキュリティリスクアセスメントや報告義務、セキュリティバイデフォルト(製品が、適切なレベルのセキュリティを確保できるように設計、開発および製造すること)などの義務が規定されており、罰金は最大1,500万ユーロあるいは全世界での年間総売上高の2.5%のいずれか高いほうと定められています。
米国:連邦法と州法に注意、身代金支払いの報告義務化も進む
髙橋弁護士:
続いて、米国については、まず全州で適用される「連邦法」と、州ごとに適用される「州法」があることを理解しておく必要があります。
連邦法としては、ヘルスケアや金融機関といった特定の業種向けの規制が存在します。また、法律ではありませんが、公開会社については、米国証券取引委員会 サイバーセキュリティ新規則が適用され、アセスメントの実施やインシデントの報告義務が課されています。
州法の中では、カリフォルニア州の消費者プライバシー法(CCPA)が有名ですが、2025年には、セキュリティ監査の実施について定めるCCPAの規則が承認されています。さらに、ニューヨーク州でも、銀行、保険、金融サービスといった一部業種を対象として、サイバーセキュリティ規則が定められるなど、州法レベルでの規制も出てきています。また、米国では、州ごとにデータの漏洩時の報告が要求されていることから、米国でビジネスを行う場合は、自社がどのような報告義務の対象となり得るのか、事前に確認しておくことをお勧めします。
さらに最近、話題になっているのが、連邦法であるサイバーインシデント報告に関する重要インフラ法(CIRCIA)で、2026年中に、当該法律に基づく報告義務の適用が開始されると見込まれています。この法律は、金融、インフラといった従来から重要業種とされてきた業種のほか、商業施設や食料・農業なども適用対象となる点で特徴的です。また、この法律の大きな特徴は、攻撃者への身代金の支払いに関する報告義務があることです。
こうした、身代金を支払った場合の報告については、オーストラリアでも2025年から義務化されています。
米国やオーストラリアでは、なぜ身代金を支払ったことの報告義務が定められたのだと考えられますか。
吉田弁護士:
現状、身代金を支払うのは違法だという明確な基準がない中で、支払いを迫られた側には「支払ってしまった方が企業の損害を軽減できるのではないか」といった葛藤があると思われます。この葛藤を可及的に「支払わない」方向に後押しし、たとえ「支払う」判断であっても慎重な検討を求めるために、報告義務がつくられたのではないかと考えています。
とはいえ、身代金については、「支払わない場合と支払った場合の被害はどちらが大きいのか」「支払うことで役員の善管注意義務違反はどこまで問われ得るのか」など、いまだに議論が尽きないのも実情です。
アジア諸国:個人情報保護法による報告義務が中心
そのほかサイバー関連の法令動向について、知っておくべき国や地域はありますか。
髙橋弁護士:
タイ、シンガポールをはじめとしたアジア各国においても、個人情報保護法上の報告義務が課される場合があります。特に、韓国の個人情報保護法は、他国に比べても厳しい印象があり、当局の活動も活発といわれているので、注意が必要な国といえます。
日本:サイバー攻撃による漏洩時は1名の情報でも報告必須
各国のサイバー規制との比較を踏まえた、日本の規制の動向や特徴についても教えてください。
髙橋弁護士:
日本の個人情報保護法でもデータ漏えい時の報告義務が課されていますが、サイバー攻撃のように、不正の目的をもって行われたおそれがある個人データの漏えいについては、漏えいしたのがたった1人の情報であっても報告義務が発生することが特徴的です。海外のクライアントにもよく驚かれますね。ただしこの点は、今後の改正で義務を一定程度軽減することが検討されています。
また、2025年に能動的サイバー防御法 2 が成立し、2026年中に施行されることになっています。これは基幹インフラ事業者にシステムの届出義務やインシデントの報告義務などを課すものです。そのほか、電気通信事業者やITベンダーにも影響が及び得ます。
現状、日本のサイバーセキュリティに関する法令は、海外の法制に比べて、適用業種が限られており、また、義務や罰則も海外に比べて限定的であるという印象ですね。
サイバー規制動向を企業の体制強化に「利用」してほしい
今後、世界各国によるサイバー規制は、どうなっていくとお考えですか。
髙橋弁護士:
今後もサイバー関連の法令は、世界的にも増えていくと考えています。イギリスでも、最近、EUのNIS2指令に類似した法案(Cyber Security and Resilience(Network and Information Systems)Bill)が出されていますし、香港やシンガポール、台湾などアジア諸国でも、新法や法改正の話があります。一定の重要な業種を特に規制するという方向性の法律が多い印象ですが、重要な業種の範囲が以前よりも広がっていることには注意が必要です。
吉田弁護士:
日本でも将来的に、「セキュリティインシデントに対する安全管理措置対策について、取締役の対応が悪かったのではないか」といった、善管注意義務違反を問う株主代表訴訟などが提起される可能性もあります。こうした訴訟にもとづく裁判例が蓄積していけば、経営陣や役員としてどういった対応をとれば善管注意義務違反とみなされないかという基準が形成されていくかもしれません。
今後も動向が予想されるなか、企業の担当者には定期的な情報のアップデートが求められそうです。
吉田弁護士:
各国のサイバーセキュリティー関連法令については、様々な国内の事業者が発信している動向情報が参考となるでしょう。当事務所でも以下のような情報を発信しています。
たとえば、毎年発行している「グローバル データ&サイバー ハンドブック」では、50の国と地域におけるデータ保護・サイバーセキュリティーにかかわる法規制に加え、AIに関するサイバーセキュリティの規制の動向までカバーしています。また、「CONNECT ON TECH」では、適時、各国サイバーセキュリティー法令のアップデートについて、ブログ形式で情報提供しています。これらは英語でのみの情報提供となっていますが、昨今では自動翻訳も容易になっていますので、こうした情報をもとに定期的に社内での情報共有に役立てていただけるとよいかと思います。最後に、日本語で一次的に情報を入手されたいという場合であれば、四半期ごとに掲載している「海外法Legal Update」中の、サイバーセキュリティー関連法令の情報をお読みいただけると良いかと思います。
サイバー規制の動きを踏まえて、特に企業のセキュリティ担当者に向けたアドバイスはありますか。
髙橋弁護士:
昨今のサイバー規制の潮流も踏まえ、まずはしっかりとした事前対策を行うことが肝要です。たとえば、セキュリティインシデントの発生時にはパニックになって適切に行動できなくなることもあるので、対応プロセスを平時から定めたうえで、できる限りトレーニングを行っておくべきです。なお、対応プロセスを定める際は、詳細すぎる内容だと迅速な対応が難しくなってしまうこともあるため、インシデント時でも分かりやすい粒度でまとめることが重要です。
また、サイバーセキュリティ保険に入っている場合は、どの範囲まで補償されるのか、特に海外子会社がある場合には、海外子会社に生じたサイバー攻撃であっても補償範囲に含まれるのかなどを確認しておくことも重要です。
吉田弁護士:
企業のなかで、おそらく一番セキュリティリスクへの感度が高いのがセキュリティ担当者だと思いますが、社内の他部門には、なかなかそのリスク感覚が理解されづらい状況にある印象です。
近年、各国のサイバー規制では、事前対策やガバナンスの整備を求めるものが増えてきています。「海外の法令ではこのレベルの対策が基準になっている」などと示すことができれば、経営層にも対策の必要性を理解してもらえるかもしれません。サイバー規制やその動向を、組織を動かすためにうまく「利用」することができれば、セキュリティ担当者が企業の体制強化の旗振り役になれるのではないかと思います。
法律上求められる管理体制整備義務は、権利・法益侵害および法令違反を回避するための体制整備を定めている側面もある以上、「法律=リスクマネジメントのツール」と捉え、身近なものとしてセキュリティ業務のなかでも利用してもらえたらと思います。
本記事で紹介された主なサイバー規制(登場順)
| 国・地域 | 規制 | 概要 |
|---|---|---|
| EU | GDPR(EU一般データ保護規則) |
|
| EU | NIS2指令 |
|
| EU | サイバーレジリエンス法 |
|
| 米国(連邦法) | 米国証券取引委員会 サイバーセキュリティ新規則 |
公開会社へのサイバーリスクの事前開示や、重大なサイバーインシデント発生時の事後報告(4日以内)といった義務を定める。 |
| 米国(州法) | カリフォルニア州消費者プライバシー法(CCPA) |
|
| 米国(州法) | ニューヨーク州金融サービス局(NYDFS)サイバーセキュリティ規則 |
|
| 米国(連邦法) | サイバーインシデント報告に関する重要インフラ法(CIRCIA) |
|
| 日本 | 個人情報保護法 |
海外法と比較した特徴として、サイバー攻撃のように、不正の目的をもって行われたおそれがある個人データの漏えいについては、漏えいしたのが1人の情報であっても報告義務が発生する。 |
| 日本 | 能動的サイバー防御法 |
|
| イギリス | Cyber Security and Resilience(Network and Information Systems)Bill |
EUのNIS2指令に類似する法案。記事の公開現在、同国の国会で審議中。 |
(取材・文:渡邊智則、写真:岩田伸久)
-
IBM「Cost of a Data Breach Report 2025」(2026年4月8日最終閲覧) ↩︎
-
正式な名称は、「電子計算機に対する不正な行為による被害の防止に関する法律」および「重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律」 ↩︎
