経産省、IoTセキュリティガイドラインを策定
岩田合同法律事務所
弁護士 唐 澤 新
経済産業省は、IoT推進コンソーシアム及び総務省との連名で、平成28年7月5日、「IoTセキュリティガイドライン」(以下、「本ガイドライン」という。)を公表した。
IoT(Internet of Things)とは、従来インターネット等のネットワークに接続していなかった「モノ」が通信機能を持ち、ネットワークに接続して動作することをいう。ネットワークに接続する「モノ」には、個人の生活レベルにおける冷蔵庫、洗濯機や自動車といったものから、ビジネスの現場における工場のラインや物流トラック等までありとあらゆる「モノ」が含まれるが、かかる技術は企業活動や製品のイノベーションを加速させる一方で、ネットワークを経由した「モノ」へのサイバー攻撃やシステム障害による情報の流出等個人や企業への脅威が増大することは明らかである。IoTのかかる特質及びセキュリティ対策の必要性を踏まえ、IoT機器の供給者及び利用者に求められる基本的な取組みをまとめたのが本ガイドラインである。
まず、IoT機器の供給者については、①IoTの性質を考慮した基本方針を定める(方針)、②IoTのリスクを認識する(分析)、③守るべきものを守る設計を考える(設計)、④ネットワーク上での対策を考える(構築・接続)、⑤安全安心な状態を維持する(運用・保守)の5つの指針が定められ、更に各指針に関連して具体的な対策の要点が提示されている。
今後のIoT機器の開発・製造にあたっては、差し当たり②分析、及び③設計が重要になると思われる。すなわち、IoT機器においては、その本質であるインターネットへの接続機能が、外部からの攻撃の入口になったり、誤動作の影響を外部に波及させたりする可能性があり、かかるリスクは従来の同種の製品には存在しなかったリスクであることから、新たなリスクを一から洗い出し、分析することが求められる(本ガイドライン18頁、22頁)。新たなリスクを軽視し、十分に対策をとらなかったがために情報流出等の事故を発生させた場合には、経営者がリスク管理体制の不備による法的責任・善管注意義務違反を問われる可能性は否定できない(経産省「IoTセキュリティガイドラインver1.0 概要」4頁)。
また、IoT機器の供給者には、機器設計時において、リスクを踏まえた安全性の検証が求められるが(本ガイドライン36頁)、家電を例にとれば明らかなように、IoTにかかる安全対策に要する費用は従来製品の開発の際にはかからなかった費用であると思われ、供給者は新たな負担を強いられることになる。本ガイドラインが桎梏となりイノベーションが阻害されるとすればIoT推進の一助となることを目指したと思われる本ガイドラインの趣旨からして本末転倒であって(経産省「『IoTセキュリティガイドライン』(案)に対する意見募集の結果について」34番のQにもその趣旨の意見が示されている)、供給者に過度の負担にならないよう、費用と効果のバランスのとれた施策を定めることが今後の検討課題となろう。
次に、利用者との関係では、①問合せ窓口やサポートがない機器やサービスの購入・利用を控える、②初期設定に気をつける、③使用しなくなった機器については電源を切る、④機器を手放す時はデータを消す、の4つのルールが定められている(本ガイドライン55頁)。IoTにおいては、メーカー、サービス提供者、利用者が複雑な関係になっていることが多く、当事者間の法的責任関係については今後出現するIoTサービスの形態や、IoTが利用される分野における法律などに応じて検討していく課題とされているが(本ガイドライン57頁)、上記のような本ガイドラインの内容を前提とすれば、IoT機器の利用者には同種の従来製品に比べ、機器の取扱いについてより高度の注意義務が課され、注意を怠ったことにより第三者に損害を与えた場合、何らかの法的責任を負う可能性があるとも考えられる。
なお、本ガイドラインにおいては、リスク分析に基づく分野別の対策や、関係者間の法的責任関係といった事項については今後の検討課題とされており(本ガイドライン第4章)その動向には注視する必要がある。IoTは、わが国経済における成長期待分野の一つであるが、新たな分野であるだけに、特有の法的問題も発生し得ることに留意しておきたい。
以 上