政府は、民間の重要インフラ事業者がサイバー攻撃を受けて被害があった場合、政府に対する報告を義務化する方向で検討に入った。サイバー攻撃の兆候を捉えて事前に対処する「能動的サイバー防御」の導入に向けたもので、情報共有を迅速化して他企業への被害拡大を防ぐ狙いがある。複数の政府関係者が4日、明らかにした。
被害を受けた事業者は、株価下落など企業価値の低下を懸念し、被害報告に消極的な場合が予想されるため、法的義務を明確にする。
政府は8月上旬にサイバー防御導入に向けた課題を議論する有識者会議を開き、中間整理をまとめる方針で、報告義務化の在り方を盛り込む方向だ。
政府は2022年の「重要インフラのサイバーセキュリティにかかる行動計画」で、事業者の被害報告について、企業側の努力義務と位置付け、法的拘束力は持たせなかった。しかし、経済同友会は政府有識者会議で報告の義務化を唱えていた。
報告義務の対象となる重要インフラ事業者は、サイバー攻撃を受けた場合の、国民生活や経済活動への影響の大きさを考慮して決める方針だ。通常国会で改正された経済安全保障推進法は「基幹インフラ」として、電気通信や金融、空港・港湾など15業種を列挙。政府のサイバーセキュリティ戦略本部は「重要インフラ」として政府・行政サービス、医療など15業種を指定している。
時事通信