現代の科学技術は、社会のほぼ全域に大きな影響を与え続けている。今後しばらくの間はこうした事態は続くことだろう。中でも特に、ますます多くの営みが情報システムに、電子機器に、データネットワークに依拠するようになっている。あらゆるものが接続される「ハイパーコネクティビティ」が時代の趨勢なのである。そして同時に、われわれは新たな脅威と脆弱性が生じているのを目の当たりにする。それに伴い、セキュリティリスクの発生件数は増え、その発生頻度は高くなり、リスクがもたらす衝撃はますます増大しているのである。

科学技術は今日の社会のあらゆる場面に役立てられており、実用に当たって伴うリスクは避けようもない。この事態を目の前にして、情報をはじめとする資産をさまざまな分野で、またさまざまなレベルで守ることの必要性を無視するわけにはいかなくなっている。それは産業界、会社、個人にとどまらない。国家にとっても緊急の課題となっている。実際に幾つかの国では、客観的な道徳的基準と倫理的尺度に則って、セキュリティを強化し改善するべく、法律制定が行われているのである。

サイバーセキュリティ関連の法律の公布に当たっては、広範囲にわたる規制の枠組みを整え、機能させることの重要性が際立って大きい。それは、サイバーセキュリティの文化を発展させ確立させつつ、セキュリティを脅かすインシデントを減らし、IT犯罪を防ぐことに寄与するだろう。

このような法律制定がデータセキュリティにもたらす利点は、とてもはっきりしている。にもかかわらず、現実にはさまざまな緊張、立場の相違、対立が壁として立ちはだかっており、法律制定を行うのは容易な仕事ではない。以下では、国際的見地から見て最も重要な法令を幾つか取り上げ、国家や企業、世界中のユーザーもしくは市民が直面する、現在あるいは将来の課題について触れてみたい。

サイバーセキュリティ――国境を越えた組織化や協力体制、その普及について

昨今は、国境を越えた新しいサイバーセキュリティの法制定を目指すのが時代の趨勢となっている。その法律の目的は、公共部門と民間部門の協力に基づいて、情報交換と国家のサイバーセキュリティを担う政府機関の設立を実行に移すとともに、デジタル時代のリスクに対処するツールを開発し、サイバー犯罪に対応した法体制を整えることにある。

EU

EUは最近、情報ネットワークおよび情報システムのセキュリティ対策として「NIS（Network and Information Security）指令」を採択した。これは、EUに所属する国々に対して「コンピューターセキュリティインシデント対応チーム」（CSIRT）と、この地域所轄の当局の機関を設立することで、インシデントに対処する体制を整えるよう促す法整備を進めようとするものだ。

CSIRTネットワークの創設は、迅速で効果的な協力を促すことを意図して行われている。協力とは、具体的にはリスクに関係する情報を交換することであり、エネルギー、交通、金融、健康、デジタルインフラといった、ヨーロッパの経済と社会にとって生命線となる部門におけるセキュリティ文化を発展させることである。新たな法律は、サイバーセキュリティに関する能力に格差が生じないように発展することを支援し、経済活動、インフラ、ユーザーの信用、各国にとって急所となりかねないシステムとネットワークの運営といったものを脅かすインシデントを防ぐことを目的とする。

米国

2015年の暮れ、米国議会は「2015年サイバーセキュリティ法」として知られる法を通過させた。これは国をサイバー攻撃から迅速かつ確実に守るためのものであり、民間セクターと政府との間でコンピューターの脅威について情報を交換するための、基本的枠組みを通して行われるものである。

この法の下では、あるシステム上で見つかった脅威についての情報は、攻撃を防ぐことやほかの企業や機関、ユーザーに影響を与えかねないリスクを軽減することを目的として、おそらく共有されることになる。情報収集やセキュリティ・チェックその他の防御手段の活用を通じて、企業・組織と政府は諜報活動と防衛活動の調整をすることができるのである。

ラテンアメリカ

最近のリポートでは、ラテンアメリカとカリブ諸国のサイバーセキュリティ能力を測るためにあるモデルが適用されている。この報告は、脆弱性が同定された際、公共部門および民間部門の組織で情報を責任持って開示することの重要性を強調する。

この文書は、立法体制、捜査、電子認証の加工、サイバーセキュリティ分野における判事と検察官の訓練、といったものの重要性について強調している。ブダペスト条約（2011年）のようなサイバー犯罪に関する国際条約を支持していることと、国境を越えた協力を行う協定へ署名していることが、それとは別の決定的な要因となる。同様に、セキュリティ技術の利用に伴う最善の実践の採択が、「弾力性のあるサイバー社会」の構成要素として熟考されている。

アジア太平洋

サイバーセキュリティの洗練の度合いを測ることを試みた研究がもう一つある。それはアジア太平洋地域の国々を対象としたもので、そこでもまた法律制定はセキュリティの成熟度を示す基本的指標と見なされている。2016年において、この地域の幾つかの国が新たにセキュリティポリシーや戦略を立ち上げている。そして、新たな課題と発生している問題を扱うために現行の基準の更新も行っている。

例えば、オーストラリアは自国のサイバーセキュリティ戦略に則って、追加資金を準備し、国家のサイバーポリシーに従事するよう、民間部門に対して、より一層の関与を要請している。ニュージーランドのようなほかの国々では、国家サイバーセキュリティ戦略が打ち出されており、国としての対応力の柔軟性、国際協力体制、サイバー犯罪へ対処する能力等の改善に焦点を合わせている。

サイバーセキュリティ関連法の制定という課題とその意味

もろもろのリスクが生じているという今日の状況を振り返ると、セキュリティマネジメントのためには立法の枠組みが必要だと言わざるを得ない。セキュリティマネジメントは、ますます一般的になっている組織化という時代の趨勢に乗じたものである。同様に、法律制定というときにわれわれは、国家規模でのサイバーセキュリティを視野に入れた、広範囲にわたる基準の適用について言及しているのである。

一般的に、法律制定は規制行為に関して大きな効果をもたらす。しかし、法の効果的な適用のため克服しなくてはならない課題が幾つかある。例えば、「サイバーセキュリティに関する世界アジェンダ会議（Cyber3 Conference）のリポート」は、この地域でブダペスト条約に則った法律制定を始めた国々が直面する種々の課題を提示している。そうはいっても、これらの国々は別の国際条約もしくは地域条約を締結することが可能であり、その地域に対応したイニシアチブを担うことさえできるのである。

証拠が示すところによれば、テクノロジーの影響とそれが浸透させた習慣を鑑みるに、法律制定の実施は、企業・組織からユーザー自身にまで広範囲にわたる関係者に影響を与えることが可能なのである。そこで生じる緊張はさまざまな葛藤や課題をもたらす。以下、その点について見ていきたい。

法制定の遅れ

さまざまな要素がそれぞれの国において法律の制定を規定する。そしてその法律の公布はその種々の要素の多様性に依拠している。その要素とは例えば、政治的な問題やその地域のイニシアティブに影響するほかの問題、あるいは国境を越えた協力のために同等の水準の発展を促す国際協定への縛り、などといったものである。

しかし、法制化がしばしば遅延するのはこれらの同じ条件や性質のためである。例えば、2016年にはブダペスト条約への参加を批准した国の約半数が、ほかにも要因はあるにせよ、とりわけ自国の法律の整備の遅れのためにその批准を完遂させるのに10年以上を費やしている。しかもこの条約は、サイバーセキュリティの問題に関わる可能性のある範囲にある法的側面にまさに焦点を当てるものだというのに、である。

状況と時代についていけない法律

以上の問題に関連して言うと、テクノロジーが速いスピードで進化しているということも考慮しなければならない。そのため、法的基準の開発はテクノロジーの進化に対して大きな遅れをとってしまうのだ。企業・組織がその基準を直面するリスクと新しいテクノロジーに対応して絶え間なく更新を行っているのと同様に、法律は規制する必要があると思われる現在の、あるいは起こりつつある問題に何よりも先に対応する必要があるのだ。

おそらくこの技術のイノベーション（そしてそれがはらむリスク）と適切な法的手段の間の不均衡を調整して釣り合いをとる方法は、人間のふるまいの規制に的を絞ることである。というのは、テクノロジーの方は比較的短期間で過去のものに転じてしまうからである。だからこの人間のふるまいの規制こそが、規制を効果的にする最も信頼に足る方法ということになるだろう。しかし、このことはまた将来に問題を引き起こす可能性もあることに注意を払わなければならない。その一例として、現に黙認へと転じてしまっているような行動を規制しようとする場合が挙げられるだろう。例えば、法律の制定という裏付けを得ていない、ソーシャルネットワークの利用のようなケースである。

技術と法の不均衡

各国は国際的な条約を重視するか、その地域の慣習を重視するかという点でそれぞれ異なること、またこの違いはしばしばその国の法律の整備を進めるに当たって何がその国のイニシアチブをとるかを決定する、ということも考慮するべきである。法と技術の不均衡は、サイバーセキュリティのインシデントに対応し、捜査し、規制することを困難にし、国際的な協力を阻害する。

例えば、地域の、あるいは双務的な先導事例は「EU-USプライバシー・シールド」（2016年）の場合のように、特殊な要求に対応する形で発展する。この条約はEUの個人情報が米国の企業に転送された場合に、EU国内の人間の基本的権利を保護することを目的としてつくられた基本原則である。これはもちろん、ほかの国や地域との組み合わせにおいては適用されない。

いろいろな法律間の衝突と基本原則

一般的に、法制化は規制を行う際にその効力を十全に発揮する。そうはいっても、完璧な法律というものは存在しない。それどころかむしろその逆で、法律にはいつでも改善の余地があるものだ。とりわけインターネットがよって立つところの原則だけでなく、ある種の基本的人権すらも侵害する事態に事が進みかねないと考えられる場合には、そのことが言える。

インターネットは自由であり、物理的な境界がそこには存在しないという考えに立つと、法律が国家レベルで適用された場合、憲法上の、あるいは法律面での衝突が生じるケースが起こり得る。プライバシーと表現の自由の意味とコンセプトに関してが、顕著な例である。この場合、プライバシーとセキュリティについて交わされてきた、絶えることのない論争を繰り返すことになるだろう。

適用範囲の制限

同様に、ある問題特有の側面についての法制化あるいは合意が行われていない場合、そのために国際的な協力体制が毀損されかねない。たとえ従来と同じテリトリーの内にあってもそうである。公共部門も民間部門も、調査のために情報にアクセスする際には、セキュリティやプライバシーを守る権利、商売上の利益（とりわけハイテク企業の）に抵触しかねないという課題に直面しているのである。

一例として、われわれはFBIとAppleの間に生じた有名な事例を取り上げることができる。このときは米国司法省が、犯罪に加担したテロリストのiPhoneのロックを解除するようにAppleというハイテク関連の大企業に協力を要請したのであった。あるいは最近では、リオデジャネイロの司法当局がメッセンジャーアプリ「WhatsApp」をブラジル全土にわたって停止するよう命令し、Facebookに対して罰金を課する事件があった。このような出来事は、地方当局と国境をまたいで活動する企業が、利害の衝突を避けるために協力すべく合意を結ぶ必要があることを如実に示している。

サイバーセキュリティ文化の発展と普及へ向けた仕事

サイバーセキュリティ関連の法律の公布は、ここ数年の間に国際的なレベルで見て非常に目立ってきている。世界中で報告されるインシデントの発生件数と頻度、それがもたらす被害の大きさが知られてきたためである。この分野の法制化は国家レベルの成熟を進める基礎的な要因であると見て、さまざまな発議がなされている。そしてその目的は、さまざまな分野でのさまざまなレベルの保護を行う法的な手段を実施することにある。

この目的のために、立法者は自国のセキュリティのために必要な要素を考慮し始めている。それには、大規模のインシデントに対応する能力を自分たちが持っているかということ、根幹となる自国のインフラの防衛力、他国と協力できる自国の能力、そして、大衆に浸透させることのできるセキュリティ文化の発展具合、ということが含まれる。すでに周知のことで言うまでもないのであるが、プライバシー、個人情報の保護、サイバー犯罪といったことも当然考慮されている。

サイバーセキュリティという文脈の中で、いかに国の資産を守るかを決定する新しい法体制の整備をますます強く要請するのが時代の趨勢であり、われわれはその事態を目の当たりにしている。各国内で、また国際レベルで、現にある、あるいは生じつつある脅威と攻撃を阻止するために、公共部門と民間部門の協力・協業を促進することもまた同様である。

確かにこういった動きは利益をもたらすであろうが、その一方でこの目的を達成するために克服しなければいけない課題もある。公共部門と民間部門の双方に当てはまる特質と必要なもの、条件を理解する必要があるのだ。ユーザーでもあり市民でもある全ての関係者についても考慮しなければならない。信頼の欠如、効果のない法律、さまざまな部門間のバラバラな利害関係といったものは協力の障害物となり、協力の成果に限界をもたらすことになるだろう。

こういった喫緊の課題を考える中で、われわれは全ての関係者のための明確なルールを規定する必要を見て取ることができる。それはおそらく、真に効果的で、適用・実行できる法律を作るという目標を掲げた、全てのグループを考慮に入れた国際的な、あるいはその地域や地方の合意に基づいたものであるだろう。まだ、なすべきことが多数あることは疑いがない。それには政府や積極的な民間の活力、研究者や専門家たち、そして言うまでもないがユーザーの協力が必要とされるのである。こういったことは全て、ある大きな目的を達成することを目指している。サイバーセキュリティの文化の発展に寄与する、ということである。