【香港】政府、重要インフラ・サイバーセキュリティ法案発表。事業者に義務と刑事責任

　香港特別行政区政府は12月6日、重要インフラ事業者を対象としたサイバーセキュリティ法案を発表した。香港立法会での法案審議に入っている。

　同法案は、法案成立の12ヶ月以内に政府監督当局として「コミッショナー・オフィス」が設立され、設立後6ヶ月以内に法案が施行される予定。コミッショナー・オフィスは、重要インフラ事業者（CIO）とクリティカル・コンピュータ・システム（CCS）を指定する権限を持つ。

　重要インフラ事業者（CIO）を3つに分類し、銀行、金融機関、電気・通信サービス・プロバイダー、発電施設、鉄道システムを「カテゴリー1」、スポーツ・イベント施設、研究開発パーク等を「カテゴリー2」とし、サイバーセキュリティに関する義務を課す。また、政府機関が運営する給水、排水、緊急救援等の施設は「カテゴリー3」に分類されているが、すでに政府機関としてガイドラインが適用されており、同法上の義務は課さない。またCIOに指定された事業者の一覧は公表されない。

　クリティカル・コンピュータ・システム（CCS）は、基幹サービスまたはCIOの中核機能の提供に不可欠で、中断または損傷した場合、基幹サービスまたはCIOの正常な機能に影響を与えるコンピュータ・システムと定義されている。CCSには、ハードウェア、ソフトウェア、データ、ネットワーク、クラウドサービスが含まれ、物理的に香港外にあるものを指定することもできる。CCSの一覧も公表されない。

　CIOには、3つの義務が課される。まず、組織上の義務として、組織として香港域内に事務所を設置し、政府に設置される監督当局「コミッショナー・オフィス」に報告し、CCSのサイバーセキュリティを監督する専任のコンピュータ・システム・セキュリティ管理部門を設置しなければならない。また2年に一回以上、コミッショナーオフィスが主催するコンピュータシステムセキュリティ研修に参加しなければならない。

　予防義務では、設計、構成、セキュリティ、運用の変更など、CCSの重大な変更について、コミッショナー・オフィスに報告し、コンピュータシステムのセキュリティ管理計画も、策定し、コミッショナー・オフィスに提出しなければならない。コンピュータシステムのサイバーセキュリティ評価を1年に一回以上、独立監査を2年に一回以上実施し、その報告書もコミッショナー・オフィスに提出しなければならない。サードパーティのサービスや製品を活用している場合でも、CIOが法令遵守の責任者となる。

　事故時の対応義務では、事故発生時に緊急対応計画を策定し、コミッショナー・オフィスに提出し、重大なインシデントについては12時間以内、その他のインシデントについては48時間以内という一定の期限内にコミッショナーオフィスに通知する義務を負う。インシデントへの対応と調査において、コミッショナー・オフィスに協力し、コミッショナー・オフィスが発行する書面による指示や要請に従わなければならない。

　コミッショナー・オフィスは、CIOが法定義務を遵守しているかを監督する義務を負い、セキュリティ管理計画および緊急時対応計画の実施に関し、CIOを支援し助言を行う。また、コンピュータシステム・セキュリティ研修および監査の企画・実施を担う。サイバーセキュリティに関する事項について、香港警察や香港コンピュータ緊急対応チーム調整センター等の他の政府部門と調整する。CIOの運用指針と基準を提供するための実践規範を発行する権限も持つ。但し、金融セクターについては、香港金融管理局（HKMA）が、通信・放送セクターについては通信管理局が規制当局に指定され、各セクターのCIOの監督責任を持ちつつ、コミッショナー・オフィスはインシデント報告および対応義務の監督を担当する。

　CIOに関しては、義務の不履行にかんする刑事罰も設けられる。刑事罰は組織にのみ適用され、個人には適用されない。但し、犯罪の幇助、教唆、助言等に関与している場合には、個人にも適用される可能性がある。罰則は、犯罪の種類に応じて、10万香港ドルから500万香港ドルまでの科料。一部の犯罪については、継続的な不履行に対して日額の科料が追加される。

株式会社ニューラル サステナビリティ研究所