新基準に対応しないことで生じるデメリットは図りしれない
--企業の事業活動とどう関連してくるでしょうか。
デジタル化されたCUIを扱うセキュリティ基準としてNIST SP800-171があります。これからビジネスのデジタル化やグローバル化を進めていくなら、各国のルールに従う必要があります。例えばアメリカで提訴され、ルールに従わないことが善管注意義務違反とみなされれば敗訴のリスクもあります。
ここで2つのなすべきことがあります。1つは基準準拠に向けた取り組みです。アメリカに法人や開発拠点などがあれば、国内の本社も含め、NISTに従いセキュリティ対策を施す必要があります。NIST SP800-171は自己宣言式なのですが、もしインシデントが発生して、事後調査によって準拠していないことが判明したら各省庁が定める契約要件への違反に関する明らかな過失となります。これは賠償金請求や制裁の対象となり、場合によっては国家安全保障法の枠組みで裁かれる可能性があります。
またNIST SP800-171には取引先にCUIを一部でも共有する場合に、同等のセキュリティ水準を求めるフローダウンの考え方が存在するため、準拠していないことで、すでに準拠している企業のサプライチェーンから外されていくリスクも考えられます。選択肢の1つとしてSP800-171に準拠しているAWS、Azure、GCP等のパブリッククラウドを使う方法があります(詳しくは後述)。
もう1つはサプライチェーンのデカップリングです。これまで述べてきたようにアメリカにはアメリカの標準や法律があるので、アメリカ向けの環境を用意します。一方、中国は中国でインターネット安全法などがあります。どちらも「私たちと付き合うなら私たちのルールに従ってください」という意味では同じです。受け入れる必要はありますが、同じ環境で両立はできません。そのためデジタル空間をデカップリングします。
--基準は「やらなくてはいけない」と強制的なイメージですが、やるメリットがあるとしたら?
やるメリットより、やらないことで生じるデメリットを考えたほうが分かりやすいです。アメリカとビジネスを行うのなら、後2~3年もすれば、少なくともNIST SP800-171に準拠していないとビジネスが成り立たなくなります。それなら先行して進めたほうがビジネスで有利になります。実際に日本企業で早々とNIST準拠を宣言することで売上が伸びている企業もあります。
国内企業の中にはアメリカの取引先から「NISTに準拠しているか」と突如として問い合わせがあり、「準拠している」、あるいは「準拠に向けて準備している」との誓約書を提出しなければ契約を切られる企業も出てきています。私たちは4年前からNIST準拠の必要性を訴えてきているのですが。
