2025年5月、サイバー対処能力強化法(正式名称:重要電子計算機に対する不正な行為による被害の防止に関する法律)が成立し、特別社会基盤事業者に対してインシデント報告義務が課されることとなりました(2026年11月までに施行予定)。
米国では、2022年重要インフラサイバーインシデント報告法(Cyber Incident Reporting for Critical Infrastructure Act of 2022、略称CIRCIA)においてインシデント及びランサムウェアの報告義務が規定され、それを具体化する最終規則案が、2024年4月に公表されています。パブコメを経た最終規則は2025年9月末までには公表される予定です。施行時期は2026年と予想されています。
EUでは、NIS2指令、サイバーレジリエンス法(略称CRA)等においてインシデント報告義務が定められています。
EUのNIS2指令に基づくインシデント報告は既に適用開始となっており、CRAや日米の法令についても2026年には適用されることが見込まれています。
そこで、現在、法律や法案等から明らかになっている範囲で日米EUの比較表を作成してみました。ご参考になりましたら幸いです。
【インシデント報告義務の日米EU比較表】
| 日本 | 米国 | EU | EU | |
|---|---|---|---|---|
| 根拠法令 | サイバー対処能力強化法 | CIRCIA 同最終規則案 | NIS2指令 | CRA |
| 施行時期 | 2026年11月までに施行予定 | 2026年(予想) | 指令に基づく各国措置は2024年10月から適用開始 | インシデント報告に関しては2026年9月11日から適用開始 |
| 対象インシデント(※1) | 特定重要電子計算機にかかる特定侵害事象又は当該特定侵害事象の原因となりうる事象として主務省令で定めるもの | ・事業者が経験した重大な(substantial)サイバーインシデント ・ランサムウェア攻撃を受けてランサムを支払った場合 | 事業者の提供サービスに重大な影響(significant impact)を及ぼすインシデント | デジタル製品のセキュリティに影響を及ぼす重大な(severe)インシデント |
| 報告義務のある事業者(※2) | 特別社会基盤事業者 | 一定の基準を満たす、16の重要(critical)インフラ事業者(※3) | essential 事業者とimportant事業者 | デジタル製品の製造業者 |
| 当初の報告時期 | 対象インシデントの発生を認知したとき | ・インシデントが発生したと合理的に信じるに至ってから72時間以内 ・ランサムウェア攻撃については、ランサムの支払いから24時間以内 | ①インシデント認知から24時間以内に、違法行為または悪意のある行為によって引き起こされた疑いがあるか、または国境を越えた影響を及ぼす可能性があるかについて早期警戒の報告 ②インシデント認知から72時間以内に、初期評価等の報告(トラストサービスプロバイダの場合は24時間以内) | ①インシデント認知から24時間以内に、違法行為または悪意のある行為によって引き起こされた疑いがあるか、当該デジタル製品が流通している国について早期警戒の報告 ②インシデント認知から72時間以内に、初期評価等の報告 |
| 報告先 | 所管大臣及び内閣総理大臣 | CISA | 各国の所定のCSIRT又は当局 | 各国で指定されたCSIRT及びENISA |
| 報告義務違反に対する罰則等 | ・報告命令 ・報告命令違反には200万円の罰金 | 情報要請(Initial Request for Information)等を経て、最終的には、裁判所侮辱(contempt of court) | ・essential事業者に対しては、最高1,000万ユーロ又は全世界年間総売上高の2%のいずれか高い方を上限とする行政罰 ・important事業者に対しては、最高700万ユーロ又は全世界年間総売上高の1.4%のいずれか高い方を上限とする行政罰 ・その他各国国内法で定める罰則 | ・最高1,500万ユーロ又は全世界年間総売上高の2.5%のいずれか高い方を上限とする行政罰(64条2項) ・一定の零細事業者は適用除外 ・その他各国国内法で定める罰則 |
| その他 | ・詳細は、今後定められる主務省令による | ・新しい事情等が明らかになった場合等は、速やかに、追加報告(supplemental report)を提出する義務あり ・インシデント関係データの保全義務(報告時から2年間)(規則案) ・提供した情報は情報公開法(FOIA)の対象外(規則案) | ・上記②の通知から1か月以内に最終(進捗状況)報告の提出義務あり | ・上記②の通知から1か月以内に最終報告の提出義務あり ・デジタル製品の製造業者には、実際に悪用されている脆弱性についての報告義務あり ・報告のための単一報告プラットフォームあり |
※1 各対象インシデントの詳細については、こちら
※2 各対象事業者の詳細については、こちら
※3 重要インフラに指定された16業種とは、化学、商業施設、通信、重要な製造業(Critical Manufacturing)、ダム、防衛産業基盤、緊急サービス、エネルギー、金融サービス、食品と農業、政府施設、医療と公衆衛生、IT、原子炉・核物質・核廃棄物、輸送システム、上下水道、である。
注意:
- 案の段階のものは今後変更がありえます。
- 本投稿で取り扱っていない個別法等による規制もあります。
- EUの指令や規則はベースラインを定めているにすぎず、各国においてさらに厳格な規制が加わっていることもありえます。
・より詳細な項目ごとの比較についてはご相談ください。