メディア

40年続いた行政法の大原則が覆る セキュリティとどう関係があるのか?

企業の行動を規制する法律にあいまいな点があった場合、政府が解釈を下すことは許されるのだろうか。

» 2024年08月15日 07時00分 公開
[David JonesCybersecurity Dive]
Cybersecurity Dive

 企業に対する規制を巡る法律があいまいだった場合、政府が法律を解釈できるという判例がある。この判例はサイバー攻撃に遭った企業に対する規制の根拠になっていた。だが2024年6月28日、6対3でこの判例が覆された。

40年続いた行政法の大原則とセキュリティとの関係とは

 政府に解釈を委ねることを認めた判例は「シェブロン法理」(シェブロン原則)と呼ばれている。米国の石油大手Shevronと天然資源保護協会(NRDC)が争った裁判で、1984年に米連邦最高裁が下した。米国の行政法における最も重要な判例の一つとされている。

 現在、米連邦政府機関はサイバーインシデントの報告義務を強化し、基本的なセキュリティ基準を満たすことを目的とした要件を制定している最中だ。つまり、規制を巡る法律があいまいな場合に政府が解釈を下している。

 今回、米最高裁判所が下したシェブロン原則を覆す判決は(注1)、サイバーセキュリティ規制の在り方に大きな影響を与える可能性がある。

 独立した非営利団体Center for Cybersecurity Policy and Law(CCPL)によると(注2)、次のような影響が考えられるという。米証券取引委員会(SEC)は2023年にサイバーインシデント報告義務をはじめとしたサイバーセキュリティ関連の規制措置を次々と打ち出してきた。そのため、企業が今回の判例を基にSECの規制に抵抗する可能性がある。

 CCPLによると、最高裁の判決は(電力やガス、鉄道、空港などの)重要インフラ業界に対してサイバーインシデントの報告義務を定めた法律にも影響する可能性があるという。さらに、医療業界に対する基本要件や、環境保護庁による飲料製造企業や廃水処理事業者に対するサイバーセキュリティ規則の義務付けといった今後の取り組みにも影響を与える可能性がある。

 米国商工会議所は最高裁判決について「重要な軌道修正」だと述べ(注3)、予測可能で安定したビジネス環境の構築に役立つと評価した。

注目されるSECのサイバー規則

 2023年に可決されたSECの規則は、上場企業に対して、サイバーセキュリティインシデントの重大性を判断してから4営業日以内に、そのインシデントについて報告することを義務付けた。さらに、企業はサイバーリスクを軽減するための戦略の概要を毎年報告しなければならない。

 2023年10月、SECはソフトウェア企業SolarWindsと同社のCISO(最高情報セキュリティ責任者)を提訴した(注4)。サプライチェーン攻撃が起きてから2020年までの間、同社とCISOがサイバーセキュリティリスクを正しく開示せず、投資家を欺いたとSECは主張した。

 商工会議所とBusiness Roundtableは(注5)、SolarWindsの訴訟において、SECが議会の本来の意図をはるかに超えて権限を拡大したと主張する準備書面を提出した。

 法律とサイバーセキュリティの専門家たちは、シェブロン原則に基づいていない今回の判決が、今後の規制にどのような影響を与えるかについて評価中だ。

 政策研究組織R Street Instituteのブランドン・ピュー氏(サイバーセキュリティと新たな脅威を担当するディレクター)は次のように述べた。

 「今回の判決によって連邦政府当局は、重要インフラや業界のパートナーにとって過度な負担となる内容にならないように、今後のサイバー規制への取り組み方を再考せざるを得なくなるだろう。この判決は各省庁に法的正当性があるのかどうかを再考することにつながるだろう。法的正当性が曖昧な場合には議会に権限を求めることになるはずだ」

 SECと国家サイバー局の関係者は、この件に対するコメントを拒否した。

 今回の最高裁の判決は「Loper Bright EnterprisesとRaimondoが争った事件」と「RelentlessとDepartment of Commerceが争った事件」に関連したものだ。だが、米国に子会社を持つなど、ビジネス面でつながりがある日本企業にも影響が現れるだろう。

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。