{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
はじめに
2022年に成立した英国の「製品セキュリティおよび通信インフラストラクチャ法規制」(Product Security and Telecommunication Infrastructure Bill:PSTI法)や2023年に発効した欧州のサイバーセキュリティ対策に関する法令「NIS2指令」と「サイバーレジリエンス法」(Cyber Resilience Act:CRA)のように、グローバルでサイバーセキュリティを確保するための法規の策定が進んでいます。
オーストラリアでは、2024年11月29日にサイバーセキュリティ法案2024が国王裁可を受けて成立しました。この法律には、製品セキュリティにかかるセキュリティスタンダードへの準拠義務や身代金支払い報告義務などが含まれています。関連のルールが適用開始されると、セキュリティスタンダードに準拠しない製品はオーストラリアで販売できなくなる可能性があります。オーストラリアで事業を行ううえで、本法への対応は必須です。
以下では、本法の概要と目的を紹介し、製造業者や販売者の義務について解説します。また、グローバルでサイバーセキュリティ関連の法規が導入される傾向が引き続き続くことが想定されることから、対応を効率化するためのアプローチについて提言します。
サイバーセキュリティ法の概要と目的
サイバーセキュリティにかかる環境と脅威に鑑み、オーストラリアではセキュリティを確保するための法的枠組みとして、サイバーセキュリティ法が策定されました。本法は、6パートから構成されており、製品セキュリティにかかるセキュリティスタンダード準拠義務や身代金支払い報告義務などが含まれています。主な概要とその目的は、図表1のとおりです。
図表1:オーストラリアサイバーセキュリティ法の概要と目的
対象製品
原則として、サイバーセキュリティ法の対象製品は、オーストラリア国内で流通するインターネットに接続可能な製品です。これには、直接インターネットに接続できる「インターネット接続可能製品」(Internet-connectable product)とインターネット接続可能製品を経由してインターネットに接続できる「ネットワーク接続可能製品」(Network-connectable product)が含まれます。
対象となる製品は、法律の適用開始日以降に製造または提供される製品とされており、開始日以前の製品や開始日以降の中古品は対象外です。製品セキュリティにかかるセキュリティスタンダード準拠義務の開始日は、2025年11月頃となる見通しです。
セキュリティスタンダード
今回成立したサイバーセキュリティ法の文面に明確なセキュリティ要件などは明記されていません。その具体化については担当国務大臣に委ねられた形となっており、法律を実施するために制定されるルールとして導入されます。既存の国際基準や要件への参照、関連業界などとの協議も含め、さまざまな情報源からセキュリティ要件が策定されます。
製造業者の義務
製造業者には法人に限らず個人やパートナーシップなどの形態の主体が含まれます。サイバーセキュリティ法において、製造業者は、セキュリティスタンダードに準拠した製品を生産する義務と、コンプライアンス声明を提供しそのコピーを保管する義務があります。オーストラリア国内で流通する製品または流通が見込まれる製品の製造業者が対象であるため、オーストラリア国外に所在する製造業者も対象になる場合があります。
販売者の義務
サイバーセキュリティ法おいて、セキュリティスタンダードに準拠していない製品をオーストラリア国内で流通させることが禁止されます。また、販売者も製品に付随してコンプライアンス声明の提供とコピーの保管義務を負います。
違反時の処罰
義務違反時の処罰は段階的に適用されます。対応を怠った場合、製品のリコールや企業名の公開といった処分があり、レピュテーションリスクに繋がる恐れがあります。
図表2:違反時の段階的な処罰
効率的な対応のためのアプローチ
CRAやPSTI法など、サイバーセキュリティや製品セキュリティに関連した法規が各国・地域で策定され、導入されています。グローバルで製品を展開する日本企業には、効率的な対応が求められます。
本稿で紹介したサイバーセキュリティ法に関しては、セキュリティスタンダードの詳細要件などが公開されていないため、今後明確化されていくと思われます。一方で、欧州のCRAはすでにセキュリティ要件を明示しており、包括的かつ明確に製造業者に対し技術的な対応を求めています。そのため、CRAへの対応を推進することで、本法の要件を一定程度カバーできるものと思われます。
ただし、本法独自の対応が必要となる点もあります。先述のとおり、サイバーセキュリティ法における義務違反時の処罰は段階的に適用されますが、罰金によるペナルティではなく、企業の対応を求めるという点において、欧州のCRAや英国のPSTI法と異なります。当局から接触があった際の対応について、社内におけるエスカレーションフローや意思決定プロセスを事前に策定し確認しておくことが望ましいと言えます。
まとめ
上述のとおり、サイバーセキュリティ法におけるセキュリティスタンダードに準拠しない製品は、オーストラリアで販売できなくなるため、企業としての対応が必要です。
本法に限らず、オーストラリアでは、重要インフラ事業者に対し資産の登録と報告を義務付ける「重要インフラ保安法」(Security of Critical Infrastructure Act:SOCI法)にも注視する必要があります。グローバルではサイバーセキュリティに関連する法規が今後も策定、導入されていくと想定され、グローバルベースで製品を展開する日本企業は、CRAへの対応から着手することがより効率的と言えます。
【参考資料】https://www.aph.gov.au/Parliamentary_Business/Bills_Legislation/Bills_Search_Results/Result?bId=r7250
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
