サイバー対策、経営責任を明確化　政府が行動計画を改定

政府は17日、電力や通信といった重要インフラ事業者のサイバーセキュリティー対策に関する行動計画を5年ぶりに改定した。対策を専門部署任せにせず、経営陣の責任だと明確にしたのが特徴だ。事業者にサイバー攻撃からの防護体制の強化を促す。

同日に開いた政府のサイバーセキュリティ戦略本部で決定した。行動計画は官民連携で対策強化を進める指針で、サイバーセキュリティ基本法に基づく。政府が重要インフラに指定する金融、鉄道、航空、医療など14分野が対象となる。

会社法で経営陣に義務づける社内体制の整備に「適切なサイバーセキュリティを講じる義務が含まれ得る」と明記した。2017年につくった行動計画では経営陣に対策実施への期待を表明するのにとどまっていた。

セキュリティー対策の不備が原因で情報漏洩などの損害が生じれば、経営陣が「賠償責任を問われ得る」と強調した。重要インフラのサイバー防護対策について、経営陣を含めた「組織一丸の対応が求められる」と記した。

事業者が各事業の特性を把握し、適切な予防措置や被害発生時の対処を含めた体制をつくるよう求める。適切な体制を担保できるよう内部監査などを実施するよう促した。松野博一官房長官は17日の記者会見で「重要インフラ事業者の経営陣のサイバーセキュリティへの意識がより高まることを期待する」と述べた。

戦略本部ではこのほか22年度の年次計画も決めた。官民の情報共有の強化や中小企業対策、インド太平洋地域でのサイバー防衛能力強化の支援など6分野を重点項目に指定した。