英国政府は2018年1月28日付けのプレスリリース1によって、重要インフラを担う企業や組織は、有効なサイバー・セキュリティ対策を行わない場合、最大1700万ポンド(日本円で約25億円)の罰金を課すことを発表しました。対象になるのは電技・ガス・水道などのエネルギー, 鉄道などの運輸, 上下水道および病院などの健康関連の組織です。これにあたり、産業別の所轄官庁が選定されます。組織は、セキュリティ対策を行うことに加え、インシデントが起きた場合には、提供される簡潔なインターフェースを通じて報告することも求められます。なお、罰金は最後の砦であり、まっとうな対策を講じている企業や組織には課されません。
また、同日付で、National Cyber Security Centre が産業向けの新しいガイダンス2を公開しました。
まっとうなセキュリティ対策を行わないということは外部性のある典型的公害なので、課税や罰金を通じて内部化するのは正攻法だと思います。
たぶん私は2011年くらいから言い続けていることなので感慨深いです。
そういえば、ダウニング街10番地3に行ったのは2013年の10月。たしかその時も外部性の話をしたような気がします。
本当は保険を使うほうが市場を通すので良い気もするし、ようやくISOでもサイバー保険の規格作成4が始まったけれども、保険数理的データがまだ足りないし、当面は罰金が現実的でしょうね。そういう意味では、今回導入された報告義務は、保険数理的データを作っていくのにも役に立つと思います。
脚注
- Government acts to protect essential services from cyber attack — https://www.gov.uk/government/news/government-acts-to-protect-essential-services-from-cyber-attack
- The NIS Guidance Collection — https://www.ncsc.gov.uk/guidance/nis-guidance-collection
- 英国の首相官邸
- ISO/IEC 27102 Information technology — Security techniques — Information security management guidelines for cyber insurance https://www.iso.org/standard/72436.html