インサイト

ジョーンズ・デイ・コメンタリー:新たなEUサイバーセキュリティ指令の施行

EUでの初の包括的なサイバーセキュリティに関する指令となる、「ネットワーク及び情報システム指令」(NIS指令)が2016年8月8日に施行されました。

NIS指令では、重要インフラ提供者とともに、オンライン市場、検索エンジン、クラウドサービスというデジタルサービスの提供者(DSP)にもセキュリティ上の義務、具体的には、最新の安全管理措置を実施する義務及びEU内で提供されているサービスへ重要な影響を与えるインシデントの通知義務が課されることとなりました。議論の多かったDSPの対象範囲に関しては、ストリーミング、主要なオンラインコンピュータゲーム、SNSなどについては最終的には規制範囲から除外されました。本コメンタリーは議論の多かったDSPを中心に説明します。

EU内に本社のあるDSPはNIS指令の対象とみなされます。EUに本社の無いDSPであっても、EU内でサービスの提供をしている場合にはNIS指令の対象となり得るので注意が必要です。

NIS指令と一般データ保護規則(GDPR)の関係:データコントローラーとデータプロセッサーであるDSPは、NIS指令とGDPRの規制を共に受けます。両者の大きな違いは、NIS指令が全てのデータを対象とするのに対して、GDPRでは個人データに限定される点にあります。また、NIS指令はデータ関係の違反行為だけでなく、セキュリティやサービスの提供に影響があるインシデントも対象となります。

各加盟国は2018年5月9日までにNIS指令を国内法に組み込むことが要求されており、NIS指令違反への罰則は今後各国が定めることとなります。

本件は、EU加盟国において、重要インフラサービス又はDSPに該当するサービスを提供している日本企業又はその関連会社が、NIS指令によりサイバーセキュリティ上の義務を負う可能性があり、適切な対応が必要となる等の影響があるため紹介します。

詳細は、Jones Day Commentary “The New EU Cybersecurity Directive: What Impact on Digital Service Providers?” (オリジナル(英語)版)をご参照ください。