検討委員会は、各事業者に策定してもらう「サイバーセキュリティ事業者行動規範」と「サイバーセキュリティ事業遂行の基本指針」の案(PDF)をまとめており、事業者が“自己宣言”する形で指針に沿って行動してもらい、社会的な信頼の向上につなげることを検討しています。唐沢氏は、この行動指針案では「倫理についても言及している」と述べます。「特に脅威インテリジェンスの調査に当たる場合、アンダーグラウンド社会の人物ともコミュニケーションを取り、情報を得なければならないこともあるため、倫理観が求められる」
また、こうした仕事に携わる技術者を守るため、サイバーセキュリティに関する事業者にどのようなリスクがあるか、技術・法律・倫理面からリスク評価を行い、管理策を策定するよう事業者に求めていくといいます。
もう1つの取り組みは「事業コンプライアンス部会」の設置です。ここを接点(Point of Contact)として関係省庁と連携する他、JNSA参加企業を中心にセキュリティ事業者への普及・啓発を進めていきます。合わせて部会を支援する体制として有識者会議を設け、万が一に備えたサポート弁護士もそろえていく方針です。
唐沢氏によると、検討委員会では、企業が自己宣言するだけでなく、さらに踏み込んだガイドラインの策定も議論の俎上に上ったそうです。しかし、そもそもサイバーセキュリティ事業の領域が広いことに加え、JNSAで把握する限り海外に類似のケースはなく、あまり厳しい枠を設けるとセキュリティ事業展開の足かせになるといった意見もあり、今回は策定を見送ったといいます。「安心してサイバーセキュリティ事業を進められるようにしたいが、海外のさまざまな企業とも競争する中、それを阻害してはならない」(唐沢氏)中、どのようにバランスを取るかも論点の1つでしょう。
何が違法で、何が違法ではないのか――技術革新が日々進む中、利用者に本当に害を及ぼす行為はしっかり検挙すべきでしょう。しかし技術的な知見が未熟だったり、法的な整理がつかないまま、安易な捜査活動ばかりが広がっては、「守る側」に立つ人々の萎縮を招きかねません。引き続きの議論に期待したいところです。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR