新型コロナウイルス・パンデミックが発生し現在に至るまで、米国ではサイバー攻撃が著しく増加してきました。2022年3月にバイデン大統領は、「重要インフラストラクチャー向けサイバーインシデント報告法(CIRCIA: Cyber Incident Reporting for Critical Infrastructure Act)」(以下「本法」といいます)の法案に署名し、重要インフラ事業に携わる公営企業と民間企業の双方にサイバーインシデントについて連邦政府に報告することを義務づけました。
「重要インフラ」に指定された事業者は、本法に基づき、サイバーインシデントが生じた際には72時間以内に、およびランサムウェア攻撃に対して(身代金の)支払いを行った場合は、24時間以内に、米国国土安全保障省のサイバーセキュリティおよびインフラセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)に報告することが義務づけられます。本法は、本来サイバー攻撃の被害企業を支援し、サイバー攻撃を防ぐために制定されましたが、限られた時間の中でそのような攻撃に対処しなければならない企業にとっては、多額の出費を強いられる可能性もあります。
同法が適用される範囲は広く、化学、商業施設、通信、重要製造業、ダム、防衛産業基盤、緊急対応機関、エネルギー、金融、食糧・農業、政府施設、ヘルスケア・公衆衛生、情報技術、原子炉・核物質・核廃棄物、輸送システム、水・排水システムなど、重要インフラと考えられる様々なセクターを網羅しています。
正確な報告を促し、機密情報が原因で訴訟が引き起こされるのではないかという懸念を解消するために、本法では、企業に対して一定の保護措置を定めています。たとえば、サイバーインシデントやランサム(身代金)の支払いに関する報告書が提出されても、連邦・州・地方自治体の政府機関は、報告書で企業が開示した情報に基づき、同企業の活動を規制することはできません。さらに、かかる報告書は、情報自由法(Freedom of Information Act)に基づく開示対象から除外されます。すなわち、報告書に含まれる情報は、秘匿性の高い、商業や金融に関連する情報とみなされ、その開示が免除されるため、連邦・州裁判所および規制機関などによるいかなる手続きでも同情報を証拠として用いることはできません。本法により、報告書とそれを作成するために用いられた情報が両方とも証拠として開示できなくなるため、訴訟事件が生じた場合に、どのような影響が及ぼされるのか興味深いところです。
前述のセクターのいずれかに該当する事業の経営者は、この新法による改正とそれが事業者のビジネスに今後どのような影響を及ぼすことになるのかを認識しておく必要があります。現在、CISA長官が定める必要のある本法による報告義務要件に関する最終規則はまだ確定していないものの、報告義務要件を遵守しなかった場合には、次のように厳正な処分が行われる可能性があります。
- 違反が継続する限り、1日につき相当額の罰金が科される。および/または、
- 前述の保護は認められない。
2022年9月から11月までの期間、CISAは報告書提出の手続き、および用語の定義と解釈について、一般の意見を求めました。本法は、現在施行されていますが、かかる報告義務要件はまだ確定していません。前述のセクターに該当する事業を運営している企業は、弁護士に相談し、CISAが本法による報告義務要件の最終規則を決定した際には、最新情報を取得し、同規則を遵守できるように備えておくことをお勧めします。
マクグリン弁護士は、当増田・舟井法律事務所の訴訟部門に所属しています。CIRCIAまたはサイバーセキュリティに関してご質問がございましたら、CMcGlynn@masudafunai.comまでご連絡ください。
© 2024 Masuda, Funai, Eifert & Mitchell, Ltd. All rights reserved. 本書は、特定の事実や状況に関する法務アドバイスまたは法的見解に代わるものではありません。本書に含まれる内容は、情報の提供を目的としたものです。かかる情報を利用なさる場合は、弁護士にご相談の上、アドバイスに従ってください。本書は、広告物とみなされることもあります。