世界のサイバー規制の概要

サイバー攻撃やその他の事象がサービスや事業の継続に与える影響を最小限に抑えつつ、迅速に復旧する能力をオペレーショナルレジリエンスと言います。現在の規制動向において極めて重要なテーマとなっています。下記に主要な動きをまとめました。

• 英国の金融サービス（FS）セクターのオペレーショナルレジリエンスに関する標準が、2022年3月に施行されました。これらの標準では、企業は、重要な活動を定義し、影響の許容範囲を設定し、テストを実施し、オペレーショナルレジリエンスの機能に対するガバナンスを確立することが求められています。

• EUでは、デジタル・オペレーショナル・レジリエンス法（DORA）と呼ばれる金融サービスセクターのオペレーショナルレジリエンスに関する非常に広範な規制があり、デジタルリスク管理、レジリエンステスト、サードパーティリスク管理、および情報共有をカバーしています。

• 中東にはさまざまなフレームワークがあり、サウジアラビアの2017年事業継続マネジメントフレームワークでは、ガバナンスに取り組み、災害復旧の訓練を毎年行うことを義務付けています。
  

世界各国・地域の法域では、消費者に自身のデータに対する高度な管理権限を付与する動きが広がっています。情報漏えいやサイバー攻撃によって、個人データが危険にさらされる可能性を低減するためです。以下に、主な動向を示します。

• 北米には、金融サービスセクターのデータプライバシーとセキュリティに関するさまざまな法規制があります。米国の場合、これらにはグラム・リーチ・ブライリー法（GLBA）、公正信用報告法（FCRA）、およびカリフォルニア州消費者プライバシー法（CCPA）などが該当します。カナダでは、個人情報保護および電子文書法（PIPEDA）で、個人情報の公正な取り扱いに関する原則が定められています。
• EUの一般データ保護規則（GDPR）は、消費者に対して、自身のデータへのアクセス、修正、削除、処理の制限、他サービスへのデータ移行（ポータビリティ）、および特定の処理活動への異議申し立ての権利を認めています。また、データの管理者および処理者にも、サイバーセキュリティやインシデント報告の要件などの義務を課しています。
• 英国のデータ保護法では、EUのGDPRと同様の要件が含まれています。
• アジア太平洋諸国は、データ保護に関してさまざまなアプローチや取り組みを行っています。中国では、データセキュリティと国境を越えたデータ転送に関して厳しい規則があり、データの処理と共有に影響を及ぼしています。シンガポール、香港、インドでは、GDPRとほぼ同様の要件があります。

世界中の規制当局（場合によって単一の法域に複数の規制当局がある）は、さまざまなインシデント報告の基準や時間枠を求めています。

• 北米では、さまざまな規制当局が金融サービス企業に対し、サイバーインシデントの発生時には当局および顧客への迅速な報告・開示を義務付けています。例えば、米国証券取引委員会（SEC）は、重大なインシデントであると判断された時点から4日以内の報告を求めている他、ニューヨーク州金融サービス局（NYDFS）は、ランサムウェアへの支払いを行った場合、24時間以内の通知を義務付けています。
• EUのデジタルオペレーショナルレジリエンス法（DORA）では、金融サービス企業に対し、業務、サービス、顧客、または金融システムに重大な影響を及ぼすインシデントが発生した場合、最初の通知の提出から72時間以内に、関係当局および欧州監督当局に中間報告を提出することを義務付けています。
  
• 中東にはサイバーインシデントの報告に関する統一的な規制はありませんが、サウジアラビアやアラブ首長国連邦（UAE）など一部の国では、サイバーおよびデータ保護のフレームワークを発行しており、金融サービス企業に対してサイバーインシデントをサウジアラビア通貨庁（SAMA）や電気通信規制局（TRA）などの関係当局に報告することを義務付けています。報告の要件は、国、セクター、およびインシデントの種類によって異なります。
• アジア太平洋地域の各国では、サイバーインシデントの報告に関するアプローチや重点領域が異なります。例えば中国では、「ネットワークセキュリティインシデント」が発生した場合、企業は中国国家インターネット情報弁公室（CAC）および影響を受けた個人に対して報告する義務があり、重大度に応じて72時間以内の報告期限が定められています。シンガポールでは、重大な損害をもたらすインシデントや、500人以上の個人に影響を及ぼすインシデントについて、企業は個人情報保護委員会（PDPC）に対し、遅くとも3営業日以内に報告する必要があります。

攻撃が増加し続ける中、規制当局も不正行為に対処するための対策を講じていますが、銀行や消費者が、損失に対してどの範囲まで責任を負うべきかについては意見が割れています。

• 北米では、企業が処理する不正な支払いに対して、米国の規制当局が責任を問うケースが増えており、パラダイムシフトが進行しています。
• EUの決済サービス指令（PSD2）には、決済のセキュリティと認証に関する厳格な規則が含まれています。また、特定の種類の詐欺や不正行為の被害を受けた顧客に対して、企業の返金対応が義務付けられています。
• 中東では、金融サービス企業や顧客に対する不正行為の試みの増加が見られます。サウジアラビアは、不正対策フレームワークを発行し、金融サービス企業に対して、不正対策の導入、毎年の不正リスク評価、および不正行為の特定方法と回避方法を顧客に教育することを義務付けています。

規制当局は、ベンダーへの依存度が高いことによる集中リスクや、ベンダー関連のセキュリティ侵害の増加について懸念を表明しており、サードパーティリスク管理（TPRM）は引き続き重要な焦点領域となっています。

• 北米では、米国内のさまざまな機関が、サードパーティリスク管理（TPRM）に関する期待事項をリリースしており、例えば、2023年にリリースされた機関間ガイダンスなどが挙げられます。カナダでは、金融機関監督局（OSFI）が同様のガイドラインを発行しています。
• 英国では、健全性規制機構（PRA）が、アウトソーシングおよびサードパーティリスク管理（TPRM）に関する期待事項に重点を置いた監督声明を発表しました。
• EUでは、デジタル・オペレーショナル・レジリエンス法（DORA）でサードパーティリスク管理をカバーしており、金融機関に対してICTリスクの管理、脅威インテリジェンスに基づく倫理的なペネトレーションテストの実施、ベンダー契約への標準的なサイバーセキュリティ条項の挿入を求めています。
• 中東では、サウジアラビア通貨庁（SAMA）がサードパーティリスク管理フレームワークを策定中です。
• アジア太平洋の観点から、シンガポール通貨金融庁（MAS）は、アウトソーシングされたサービスに関連するリスクを管理するための要件を更新しました。日本の規制当局は、オンボーディング前から契約終了後まで、ベンダーのデューデリジェンスを強化するよう求めています。

最後に、世界中でAIの導入が急速に進む中、政府や規制当局は、金融サービス機関全体に対してAIの安全な利用に関する期待事項を定めています。

• 北米のAI規制は現在、多くの既存の標準や期待事項の範囲に含まれていますが、政策立案者は別の管轄が必要かどうか検討しています。カナダでは、安全で責任ある倫理的なAIの利用を促進するための指針を定める「人工知能およびデータ法案」が提案されています。
• 英国には、倫理的かつ責任あるAIの開発と使用を促進するための取り組みやガイドラインがいくつかあります。これらには、英国AIセクターディール、データ倫理・イノベーションセンター（CDEI）、AIオフィス、アラン・チューリング研究所、およびAIカウンシルなどが含まれます。
  
• EUでは、2024年5月に承認された人工知能法により、AIの使用に関する規制および法的枠組みが策定されています。
• アジア太平洋諸国は、AI規制に関してさまざまなアプローチや取り組みを行っています。中国では、データセキュリティと国境を越えたデータ転送に関して厳しい規則があり、AIアプリケーションに影響を及ぼしています。シンガポールと日本は、倫理的で信頼できるAIに関するガイドラインと原則を発行しました。