概要

• 英国政府におけるサイバー攻撃の増加と深刻化
• Cyber Security and Resilience（CSR）法案が中央・地方政府を対象外に
• 専門家や議員からの法案範囲拡大の要望
• 政府は自主的なサイバーアクションプランで対処と主張
• 今後の立法や改善策の必要性と課題

英国政府のサイバーセキュリティ：CSR法案の課題

• 2024年5月のLegal Aid Agencyへのサイバー攻撃や、その後のForeign Office侵害など、英国政府機関への攻撃が常態化
• NCSCによると、2020年9月～2021年8月の間に管理したサイバー攻撃の40%が公共部門を標的
• 脅威の拡大が予想される中、CSR法案は中央・地方政府を適用範囲から除外
• Sir Oliver Dowden（元デジタル担当大臣、現影の副首相）が、中央政府もCSR法案の対象とするよう議会で要請
• CSR法案は、NIS 2018規則の刷新としてSir Keir Starmer新首相下で発表
• EUのNIS2と比べて、CSR法案は公共機関を除外し範囲が狭い
• Ian Murray大臣は、CSR法案と同等の基準を課すGovernment Cyber Action Planの導入で対応すると発言
• しかし、このプランには法的義務がなく、実効性に疑問の声

法案範囲拡大への議論と課題

• Dowden氏は「法的義務がなければ、サイバーセキュリティは優先順位が下がりやすい」と指摘
• Neil Brown（decoded.legal）は「政府部門も法案に含めるべき。基準を守るなら除外する理由がない」と主張
• Matt Western議員は「CSR法案は万能薬ではなく、今後さらなる立法が必要」と発言
• 公共部門専用のサイバーセキュリティ法案の可能性や、電気通信法のように分野ごとに立法する案も議論
• 法案には将来的な修正条項も盛り込まれているが、迅速かつ効果的な修正の実現性には疑問
• 業界コンサルテーションを経た包括的な法改正は時間と労力がかかる難点

小規模・段階的立法の是非

• Brown氏は「小規模で明確な目的の法案を頻繁に制定し、状況に応じて柔軟に対応する」方針を支持
• 大規模な包括法は妥協や利害対立が多く、対象が広すぎて実効性に欠ける場合も
• Online Safety Act 2023など過去の事例を引き合いに、段階的なアプローチの利点を強調

公共部門の現状と今後の展望

• National Audit Officeによる2025年1月の報告で、政府の72の重要システムのうち58を調査
  • 多数のセキュリティ欠陥と、問題解決の遅さが露呈
• 中央政府、自治体、NHSなどが被害を受けるたびに、CSR法案の範囲外であることが野党の攻撃材料に
• 保守党政権時代の2022年コンサル結果すら未実施で、現政権の対応にも懸念
• Cyber Action Planの導入のみでは、公共部門の本格的なセキュリティ向上への本気度を疑問視する声が根強い