Thursday, August 05, 2021 4:32 AM

新法案、サイバー攻撃を受けた会社に政府への報告を義務化

 米連邦議会上院議員らは7月21日、会社がハックされた際に政府にそれを報告することをサイバー攻撃被害会社に義務づける法案を上院に提出した。

 CNBCによると、サイバー事件通知法(Cyber Incident Notification Act)と題された超党派による同法案は、政府機関に悪影響を及ぼしたソーラーウィンズ(SolarWinds)へのサイバー攻撃や、米東部の油送業界を混乱させたコロニアル・パイプライン(Colonial Pipeline)へのサイバー攻撃を受けたものだ。

 現在、サイバー攻撃を受けた会社にはそれを報告する義務はない。そのため、政府が知らないうちに起きた民間企業へのサイバー攻撃によって省庁機関に深刻な打撃が広がる場合もある。

 同法案は、連邦省庁機関と連邦契約業者ら(連邦政府機関と取り引きする契約会社ら)、そして、エネルギーといった非常に重要な社会基盤業界の会社らがシステムに侵入された場合、国土安全保障省にそれを報告する情報開示を義務づける。

 同法案はまた、サイバー攻撃被害を受けた会社らに限定的免除を認める。たとえば、株主がサイバー攻撃を理由に当該会社を提訴する際に、株主がその開示情報を証拠として使えないようにすることが盛り込まれている。サイバー攻撃被害の報告や情報開示に躊躇する理由を一つでも減らすという議員らの考慮だ。

 上院情報特別委員会の委員長マーク・ワーナー上議(民主、バージニア)と副委員長マルコ・ルビオ上議(共和、フロリダ)、そして上席委員のスーザン・コリンズ上議(共和、メイン)が同法案を主導した。

 同委員会の上議らは、マイクロソフトのブラッド・スミス社長が上院委員会公聴会で証言した内容を重視し、民間企業がハックされた際に省庁機関に打撃がおよぶ可能性と、当該省庁機関がそれを知ることができない現状の是正を訴えている。

https://www.cnbc.com/2021/07/21/new-bill-would-make-some-companies-report-cyber-attacks-to-government.html