EUデジタル政策における5つの主要な成果:企業リーダー向け実践ガイド

By 清水 孝郎 - JUNE 6, 2024
Topics: コンプライアンス

SHARE:

本文の内容は、2024年6月6日に RAYNA STAMBOLIYSKA が投稿したブログ(https://sysdig.com/blog/five-key-achievements-in-eu-digital-policy-an-actionable-overview-for-corporate-leaders)を元に日本語に翻訳・再構成した内容となっております。

デジタル コンプライアンスは、ヨーロッパでデジタル製品やサービスを提供または利用するあらゆる組織にとって重要な焦点となっています。デジタル テクノロジーが継続的に進化する中、企業は法律を遵守し、柔軟に事業を運営するための苦労が重なるばかりです。そのため、戦略的なナビゲーションが重要になります。

デジタル変革に対するEUの揺るぎない取り組みは、EUの最優先事項の1つです。EUは、新しいデジタル技術における欧州の能力を強化し、企業と消費者に新たな機会を開き、2050年までに気候中立を目指すEUのグリーン移行を支援し、デジタルスキルと労働力のトレーニングを強化し、基本的な権利と価値観を尊重しながら公共サービスをデジタル化するための政策を積極的に策定しています。この確固たる取り組みは、企業リーダーにEUの政策の方向性について安心感を与えるはずです。

しかし、欧州全体のデジタル規制の状況は依然として多様であり、一部の問題は依然として現地での実施に委ねられています。Brexit によってさらに複雑化が進み、デジタル規制の相違がさらに深まります。

欧州委員会のデジタル10年政策プログラムは、デジタルスキル、安全で持続可能なデジタルインフラ、ビジネスのデジタル変革、公共サービスのデジタル化などの分野で2030年までの具体的な目標を設定しています。2021年5月、欧州議会は欧州委員会に対し、デジタル移行の課題に対処し、デジタル単一市場の可能性を活用し、AIの使用を改善し、デジタルイノベーションとスキルを支援するよう要請しました。

この概要では、2019~2024 年の任期における 5 つの主要な立法動向 ( NIS2 指令AI 法、サイバーレジリエンス法、欧州クラウド セキュリティ認証制度 (EUCS)、欧州サイバーセキュリティコンピテンス センター (ECCC)) について説明します。これらはそれぞれ、デジタル環境における特定の課題に対処するために設計されています。これらの立法目標を理解し、戦略的に対応することで、これらの規制を活用してデジタル市場での競争力を高めることができます。

厳しい要件:NIS2指令

デジタルと物理がますます絡み合うにつれて、新たな危険が生じます。そこで登場するのが NIS2 指令です。この指令は、サイバーセキュリティ対策のギャップを解消することで、重要なインフラと産業のセキュリティを強化することを目的としています。

2016 年の NIS1 指令の後継となる NIS2 指令は、EU 全体のサイバーセキュリティに関する最初の法律であり、ゲームチェンジャーとなります。この指令は、EU 内で重要なサービスを提供したり、特定の活動を行ったりする組織に適用されます。NIS2 は、より厳しい要件を設定し、規制監督を強化することで、セクター全体のレジリエンス強化を目指しています。

戦略的意味合い:

  • EU 加盟国は国家サイバーセキュリティ戦略を策定する必要があります。NIS2 では対象企業とセクターの数が大幅に増加するため (EU 全体で 160,000 社以上)、これはおそらく困難な課題となるでしょう。
  • 組織は、NIS2 の要件を満たすために、サイバーセキュリティプロトコルを定期的に評価し、強化する必要があります。組織のリーダーも、指令の要件を満たさなかった場合に責任を問われる可能性があります。
  • 組織は、統一された防御メカニズムを確保するために、サプライヤーやパートナーと強力なサイバーセキュリティパートナーシップを確立する必要があります。
  • NIS2 により、欧州全域でのインシデントの報告と施行に関する具体的なルールが盛り込まれた、サイバー インシデントを処理するための EU 体制が統一されることが期待されています。

あなたにできること:

弊社では、コンプライアンスの専門性を実行可能な目標に変換するための実用的なガイドを作成しました。これにより、すべてのチームがサイバーレジリエンスを強化し、リスクを軽減しながら顧客に高品質の製品を提供するという自らの役割を理解できるようになります。

*下記は英語のガイドになりますが、欧州連合の NIS 2 指令や DORA 規制など、世界的に規制が強化されている中、単にコンプライアンスを遵守するだけでは十分ではありません。ガイドにある分析では、クラウド アーキテクチャのセキュリティ、信頼性、法的コンプライアンスを強化するための戦略的なガイダンスを提供しています。

ガイドを読む

先見の明: AI 法

AIは、重要なサービスを改善し、個別の支援を提供する可能性を秘めています。また、生産プロセスを最適化し、ヨーロッパの企業に競争力をもたらすこともできます。ヨーロッパがAIの潜在能力を最大限に活用するために、EUは人間中心のAI立法の必要性を強調し、倫理基準を実施できる信頼できる枠組みを確立し、雇用を支援し、競争力のある「ヨーロッパ製AI」を構築し、世界基準に影響を与えることを目指しています。

AI規制の画期的なものとしてAI法は、AIに関する初の拘束力のある枠組みであり、この技術をより広く規制する上でのマイルストーンです。AI法は、AIの開発および展開を規制し、その倫理的、安全かつ透明な利用を保証します。この法の適用範囲は、場所に関わらずEUで使用されるAIシステムの提供者およびユーザーにまで及びます。この適用範囲は、AI法がAIの未来を形作る上での重要性を強調しており、企業リーダーが新しい規制に適応する必要性を感じるべきことを示しています。

戦略的意味合い:

  • AI システムはリスク レベルに基づいて分類されるため、カスタマイズされたコンプライアンス対策が必要になります。AI 法は、AI システム プロバイダー、輸入業者、販売業者、導入業者など、多くの組織を対象としています。
  • AI 法の遵守は、特にサイバーセキュリティチームにとって、単なるコンプライアンス以上の意味を持ちます。基本的な権利と自由の尊重を優先するフレームワークにおいて、透明性、責任、継続的なリスク評価の文化を受け入れることなのです。

あなたにできること:

以下は「While each novel technology brings new considerations and risks to evaluate, the security profession must proactively address a handful of constants. In this context, Sysdig’s CTO provides valuable insights into the implications of the AI Act and how to navigate its requirements.」の日本語訳です。

新しい技術がもたらす新たな考慮事項やリスクを評価する一方で、セキュリティの専門家は一握りの不変の問題に積極的に対処しなければなりません。この文脈で、SysdigのCTOはAI法の影響とその要件をどのようにナビゲートするかについて貴重なインサイトを提供しています。

ブログを読む

二面性:サイバーレジリエンス法

サイバー世界の増大するリスクから消費者や企業を守ることは、EUのデジタルアジェンダにおけるもう一つの課題です。ベビーモニターやスマートウォッチなど、接続されたデバイスの数が増えるにつれ、それらが安全であり、サイバー攻撃の潜在的なゲートウェイとならないことが重要です。

ここで、サイバー レジリエンス法 (CRA) が役立ちます。CRA の主な目的は、メーカーや小売業者にサイバー セキュリティの必須要件を導入し、デジタル要素を含む製品が最初から安全に設計、開発、保守されるようにすることです。これらの要件は製品のライフサイクル全体をカバーし、リスク評価、適合性テスト、継続的なサイバー セキュリティ監視などの側面が含まれます。

CRA はサイバーセキュリティの成熟度と製品市場へのアクセスに重大な影響を与える可能性が高いため、私たちは CRA を「二面性がある」と呼んでいます。一方では、新しい基準に準拠する製品には CE マークが付けられる必要があり、消費者や企業はより情報に基づいた決定を下すことができます。他方では、新しい基準と義務はメーカーや小売業者にとって大きな課題となり、製品を市場に投入する能力に影響を及ぼす可能性があります。

したがって、要件の 1 つは、対象となる製品やサービスが既知の脆弱性を抱えたまま EU 市場に投入されてはならないということです。もう 1 つの義務は、脆弱性とセキュリティインシデントに関する厳格な通知手順です。デュー デリジェンスの義務は、対象となる製品やサービスの輸入業者や販売業者にも適用され、これらの業者は、これらが必須のサイバー セキュリティ要件に準拠し、CE マークを付けていることを確認する必要があります。

戦略的意味合い:

  • CRA は、製品またはサービスの開発に関わるすべての人が、開始時からライフサイクル全体にわたってセキュリティを確保することを義務付けています。また、サポート終了後少なくとも 5 年間は更新を提供する必要があります。
  • 詳細な復旧およびインシデント対応計画と構造化された脆弱性管理アプローチを義務付けると、ビジネス ラインとサイバー セキュリティ チームの間に摩擦が生じます。

あなたにできること:

弊社では、コンプライアンスの専門性を実行可能な目標に変換するための実用的なガイドを作成しました。これにより、すべてのチームがサイバーレジリエンスを強化し、リスクを軽減しながら顧客に高品質の製品を提供するという自らの役割を理解できるようになります。

ガイドを読む

ファシリテーター: ECCC

欧州サイバーセキュリティ能力センター (ECCC) は、ヨーロッパのデジタル スキル環境を強化する原動力として浮上しました。ヨーロッパのサイバーセキュリティ能力と競争力を強化するために設立された ECCC は、国家調整センター ネットワークと緊密に連携して、強力なサイバーセキュリティ コミュニティを構築しています。

ECCC は、サイバーセキュリティに関する研究、イノベーション、教育を促進することで、デジタル スキルのギャップを解消する上で重要な役割を果たしています。この取り組みは、アフリカ大陸全体でデジタル スキルを向上させるための官民パートナーシップと国境を越えたコラボレーションの重要性を強調し、最終的には人々と企業が技術の進歩を十分に活用できるようにします。

戦略的意味合い:

  • ECCC は、EU 全体のサイバーセキュリティを強化するためにリソースと専門知識を結集する役割を担っています。デジタル経済の需要を満たすために、労働力のスキルアップに重点を置いています。
  • 中央政府は、その任務全体を通じて、NIS2指令やサイバーレジリエンス法などの特定の政策の実施を支援することができます。
  • ECCC は、戦略アジェンダを通じて、サイバーセキュリティに対する EU の投資のビジョンを定義しています。全体的な目標は、中小企業と新興企業に重点を置いて、EU のサイバーセキュリティ業界の国際競争力を高めることです。

あなたにできること: 

従業員が新たなサイバー脅威に対処できるよう、継続的なサイバーセキュリティ トレーニングとスキル開発プログラムに投資してください。また、ECCC の資金調達の機会にも注目してください。

政治:EUCS

5 つ目の成果は、技術的な問題であるクラウド セキュリティ認証スキームが、主権をめぐる非常に政治的な議論に発展したという特別な事例です。この事例を取り上げたのは、教訓となるからです。このスキームは 3 年間の行き詰まりの犠牲者であり、サイバー セキュリティ要件自体、スキームの実装、EU 全体での標準の調和に関する質問への回答を妨げています。これらはすべて、地域のサイバー セキュリティと回復力に付随的な影響を及ぼす可能性があります。

EUの2020年のクラウドに関する共同宣言では、当初、ヨーロッパのCSPの能力と範囲を強化するというヨーロッパの目標と意図が述べられていました。2020年12月、EUサイバーセキュリティ機関(ENISA)は、EUCSとして最もよく知られているものの草案を発表しました。EUクラウドセキュリティ認証スキーム(EUCS)は、デジタル製品とサービスの信頼性とセキュリティを強化するために、EU全体で統一されたサイバーセキュリティ認証フレームワークを作成することを目指しています。

スキームの交渉がEUの「デジタル主権」というトピックに達したとき、事態は大きくエスカレートしました。ENISAのEUCSへの強いコミットメントは、米国企業がEUのデータを外国政府に提供することに対する永続的なEUの懸念に起因しています。したがって、EUのCSPを引き上げ、米国の競争相手への依存を排除するという願望が過去3年間にわたり中心的な課題となってきました。EUCSの「デジタル主権」目標には、厳格なCSP本社および運営要件が含まれており、これらの義務が維持される場合、非欧州のCSPは欧州のCSPと同じ高水準の保証認証を取得することが事実上不可能となります。

EU各国はEUCSにおける「デジタル主権」条項を巡って激しい戦いを繰り広げてきました。フランス、イタリア、スペインは引き続きその主要な支持国であり、オランダ、デンマーク、エストニア、ギリシャ、アイルランド、リトアニア、ポーランド、スウェーデンはこれらの要件に反対する共同の非公式文書を発表したと報じられています。この行き詰まりを打破するため、EUのベルギー議長国は2024年初めに妥協案を発表しましたが、その妥協案は新しい欧州議会が任期を開始するまで待つ必要があります。

戦略的意味合い:

  • EU 加盟国全体で統一された認証プロセスを確立することは、EU の世界的なサイバーセキュリティの成熟度を強化する上で理にかなっています。統一された標準は、認証されたセキュリティ対策を通じて消費者と利害関係者の信頼を築くのに役立ちます。
  • ENISA は、企業がプライバシーとセキュリティ対策の健全性を実証するために活用できる「任意の」サイバーセキュリティ認証スキームとして EUCS を設計しました。ただし、実際には、消費者が入札要件として EUCS を含める可能性があり、認証が必須となります。さらに、NIS2 により、EU 政府と欧州委員会は、クラウド顧客が EUCS によって認証されたクラウド サービスのみを利用することを要求できます。

あなたにできること:

認証機関と積極的に連携して、製品とサービスが EUCS 要件を満たしていることを確認し、市場の信頼性を高めます。また、そうすることで、コーヒーの安定した供給を確保できます。