総務省、「IoTセキュリティ総合対策」を公表
岩田合同法律事務所
弁護士 唐 澤 新
総務省は、平成29年10月5日、IoTに関するセキュリティ対策の総合的な推進に向けて取り組むべき課題を整理した「IoTセキュリティ総合対策」(以下、「本ガイドライン」という。)を公表した。
IoT(Internet of Things)とは、「モノのインターネット」ともいい、従来インターネット等のネットワークに接続していなかった「モノ」が通信機能を持ち、ネットワークに接続して動作することをいう。IoTシステムは、様々な領域のデータ連携を実現し、社会課題の解決をもたらす社会基盤として機能していくことが期待される一方で、かかる社会基盤としてのIoT化が進展すると、セキュリティ対策が十分でない場合、その影響が広範囲に連鎖的に及ぶ可能性がある。そのため、IoT システムのセキュリティ対策は、個別領域ごとにではなく、システム全体を念頭においた総合的な対策を講じていく必要がある。
本ガイドラインは、かかる問題意識のもと、IoT システムのセキュリティ対策の総合的な推進に向けて取り組むべき課題及び当該課題に対する具体的な施策について整理されたものである。具体的な施策については、(1)脆弱性対策に係る体制の整備、(2)研究開発の推進、(3)民間企業等におけるセキュリティ対策の促進、(4)人材育成の強化、(5)国際連携の推進の5つの項目に分けて整理されている。これらのうち、読者の関心が最も高いと思われる「(3)民間企業等におけるセキュリティ対策の促進」としては、更に以下の5つの小項目があげられている。
- • 民間企業のセキュリティ投資等の促進
- • セキュリティ対策に係る情報開示の促進
- • 事業者間での情報共有を促進するための仕組みの構築
- • 情報共有時の匿名化処理に関する検討
- • 公衆無線 LAN のサイバーセキュリティ確保に関する検討
本ガイドラインにおいては、例えば、上記①については、サイバーセキュリティ対策に必要なシステムの構築やサービスの利用に対して税制優遇措置を講ずることを検討する、上記②については、企業のセキュリティ対策に係る情報開示に関するガイドラインの策定を検討するとされるなど、いずれの小項目についても、現時点において民間企業等が対策を講じるべき事項が明示的に特定されているわけではない。
もっとも、上記①との関連では、セキュリティ対策に対する投資が不十分で、十分なセキュリティを確保できなかった結果、個人情報や取引先等から預かった機密情報を流出させた場合、役員の善管注意義務違反が問題となったり、第三者に対して損害賠償責任を負ったりする可能性がある。この点、我が国においては、積極的にセキュリティ対策を推進する経営幹部が諸外国より大幅に少なく、また、諸外国では、大半の企業が、サイバー攻撃への対応について取締役レベルで議論すべきと考えているのに対し、我が国においては、意識の高まりは見られるものの諸外国と比較するとまだ低い傾向にあるなど、多くの企業において十分な対策が取られているとは言い難い状況にあるとされる(経済産業省「サイバーセキュリティ経営ガイドライン Ver1.1」1頁)。セキュリティリスクの管理も、会社法において取締役会の決議事項となる「内部統制システム構築の基本方針」の中に含まれると考えられていることからすれば(内閣府「企業経営のためのサイバーセキュリティの考え方」1頁)、IoTに関するセキュリティ対策の議論を、現時点から取締役会においてはじめることも検討する価値はあろう。
(経済産業省「サイバーセキュリティ経営ガイドライン Ver1.1」2頁)
上記のとおりセキュリティ対策は、民間企業にとって「責任」であるといえるが、より積極的にとらえれば、セキュリティ対策により自社の価値を高めることも可能である。すなわち、上記②にあげられるとおり、今後、民間企業等は、セキュリティ対策に関する情報を開示するよう求められることとなる可能性があるが、情報セキュリティ報告書、CSR 報告書、サステナビリティレポート、有価証券報告書やコーポレートガバナンス報告書等において、自社の取組に係る姿勢や方針についてより積極的に情報発信していくことで、関係者の理解が深まり、自社に対する社会的評価を高めることができる可能性がある。
本ガイドラインにおいても述べられるとおり、IoTに関するセキュリティ対策については、今後さらに詳細な検討が予定されていることから、その動向には引き続き注視する必要がある。
以上