サイバーセキュリティ対策への企業間協⼒とEU競争法の留意点
GERADIN PARTNERS法律事務所
亀 岡 悦 子
2022年9⽉15⽇、欧州委員会は、EU(欧州連合)のサイバーレジリエンス法(Cyber Resilience Act)案を公表した。EUサイバーレジリエンス法は、ICT製品に対するサイバー攻撃による被害からの復元⼒強化を主要な⽬的とする。具体的には、ICT製品についてのEUレベルのサイバーセキュリティ認証制度ネットワークの創設、ICT製品製造者の製品セキュリティ改善、製造業者、輸⼊業者、販売業者への⼀定の義務の明確化、違反した場合の制裁⾦を含む制裁措置の創設である。
EUでのサイバーセキュリティ関連⽴法
EUサイバーレジリエンス法案は、EUのサイバーセキュリティについての最初のEU⽴法ではない。2019年6⽉27⽇に施⾏されたサイバーセキュリティ規則(Regulation (EU) 2019/881)は、欧州初の統合されたサイバーセキュリティ認証の枠組みで、EUのICT製品の新たなサイバーセキュリティ認証規格を制定しており、海外企業を含めEU内でネットワークに接続する製品などを輸⼊・販売する際に、セキュリティ証明書の取得を促す。規則に基づく罰則などの規定は2021年6⽉28⽇から既に適⽤されている。しかし、サイバーレジリエンス法草案の幅広い対象製品・業者と厳格な義務・制裁の観点から、採択されると「ブラッセル効果」を⽣じる⽴法の1つとなる可能性がある。
EUサイバーレジリエンス法案施⾏のタイミング
欧州議会は、現在の任期である2024年前にこの⽴法案を採択する予定で、⽴法作業は続いており、現在のところ、2023年に発効し、2025年に施⾏されることが想定されている。2年間の猶予期間中に企業は法遵守の準備を求められる。2023年前半はスウェーデンがEU議⻑国となるが、ロシア・ウクライナ危機の影響によりサイバーセキュリティは重要な議題となり、EUサイバーレジリエンス法案の採択準備が優先課題の1つとなろう。
執⾏機関
⽴法案によれば、EUの加盟国によって指定され、あるいは創設された市場監視当局(market surveillance authorities)が主要執⾏機関となり、欧州ネットワーク情報セキュリティ庁(European Union Agency for Cybersecurity)や欧州情報保護評議会(European Data Protection Board)と協⼒する。欧州ネットワーク情報セキュリティ庁は、欧州委員会の採択に向けてサイバーセキュリティ認証スキームの準備に関わる。
義務
法案は、ハードウェアとソフトウェアの双⽅を含むデジタル製品製造者にさまざまな義務を課し、リスクに基づくサイバーセキュリティ確保および脆弱性開⽰・セキュリティ更新プログラムの提供等の製品の脆弱性対策への適合性評価を求める。重要なデジタル製品かそうでないか、あるいは製造者、輸⼊業者、販売業者かなどの製品との関わり合いによって、課される義務は異なる。重要なデジタル製品については、第三者認証機関での認証取得も義務付けられる。他の義務に先駆け最初に適⽤される規定は、報告義務となる予定である。現在の法案では、サイバーインシデントや脆弱性の悪⽤などの問題が探知された場合、24時間以内に市場監視当局への報告が義務付けられている。
制裁
⽴法案は、法的義務を遵守しなかった場合に⾏政罰としての制裁⾦を課し、違反の抑⽌効果を狙う。制裁⾦は、1,500万ユーロあるいは前年度の世界での総売上⾼の2.5%のどちらか⾼額な⽅になる。
企業の対策と違法な情報交換
制裁⾦の算定などが加盟国に任されているため法的安定性に⽋け、EUレベルの統⼀した執⾏やルールの解釈が可能か疑問が残る。また、サイバー攻撃が益々深刻化している現状から、サイバーセキュリティに必要な費⽤が著しく⾼額になっている。そのような状況から、企業としては、協⼒することによって法の解釈を確認し合い、対策コストをシェアし、情報交換することに利点を⾒出すのも無理はない。サイバーセキュリティ分野は⾼度な技術についての知識を要し、ハッカーの⾝元や攻撃パターン、被害の程度などの今後の対策に有益な情報交換が役に⽴つ。それらは、企業間協⼒によって効率的に⼊⼿することが可能かもしれない。そのような協⼒を容易にする試みは、既に始まっている。たとえば、2018年に設⽴されたCharter of Trustは、⽣産チェーンにおけるサイバーセキュリティ分野の最低限の基準や研究・開発を促す。
しかし企業間、特に競業事業者間の協⼒は、EU競争法の違反とならないよう充分な注意が必要である。企業の製品の質を向上させることを⽬的とする協⼒は、通常、許容されるが、そうではない⽬的での共謀はカルテルと判断される危険がある。共同サイバーセキュリティ研究開発プロジェクトは、シネルジー効果などを考慮して競争法上問題がないと判断される余地はあるが、その際にサイバーセキュリティ向上に関係のない情報も交換された場合には、EU競争法違反と判断されうる。ケースバイケースの慎重な検討が望まれる。
以 上
(かめおか・えつこ)
慶応義塾大学法学部法律学科卒業後、同大学法学研究科修士課程終了。同博士課程在籍中、パリ・ソルボンヌ大学修士課程、ニューヨーク大学ロースクール、欧州大学院(ブルージュ)にてEU競争法を研究した後、ブラッセルにある欧州委員会競争総局で修習。EU競争法における秘匿特権の研究で、ブラッセル自由大学から法学博士号を授与。フランス系、英国系法律事務所を経て、2001年からEU競争法弁護士としてブラッセルのバンバール・アンド・ベリスに勤務後、2022年、ジェラディン・パートナーズに入所。カルテル・支配的地位濫用審査での欧州委審査対応、企業結合届出、流通販売制度の設立、R&D・アライアンスなどの契約書の作成・見直し、知財ライセンス交渉などのEU競争法の全ての分野を扱い、コンプライアンスプログラムの作成とトレーニングや、競争法違反に基づく損害賠償請求訴訟についても豊富な経験を有する。EU競争法の講演や著作も多い。ニューヨーク弁護士会会員、ブラッセル弁護士会準会員。