サイバーインシデントの報告方法を明確にしたもの

サイバーセキュリティ監視委員会（CSSC）は2023年05月09日、「サイバーセキュリティ監視委員会告示　サイバーインシデントにおける報告ガイドライン」を官報公布しました。この告示は官報公布日の翌日より施行されています。

サイバーセキュリティ法とは

この告示発出の根拠となっている「サイバーセキュリティ法」とは、2019年に制定された「個人情報保護法」と並び注目されているデジタル関連法のひとつです。この法の中で国家サイバーセキュリティ委員会（NCSC)の設置が定められ、サイバーインシデント発生の可能性を監視することを目的とし、同委員会がインターネット通信にアクセスすることを認めています。この点においては中国やベトナムのサイバーセキュリティ法と同様、政府がインターネット通信を検閲することが可能となり、タイで活動している企業に影響が大きい法律であるといえるでしょう。また、サイバーインシデントを深刻度により3段階（深刻ではない / 深刻 / 危機的）で評価しています。

サイバーセキュリティ法では下記8つの類型を、重要な社会的機能の維持に不可欠かつ互いに連携した情報・通信インフラストレーションであり、その破壊や崩壊により深刻な問題が生じる「重要情報インフラ」であると定めています。

1）国家安全保障
2）公共サービス
3）金融サービス
4）ICTおよび 情報通信
5）サプライチェーンおよび物流
6）エネルギーおよび公共施設
7）ヘルスケア
8）その他、国家サイバーセキュリティ委員会 (NCSC) が定めるもの

そして上記の「重要情報インフラ」を提供する行政機関及び民間事業者に対し、必要であると判断したシステムの設計やインフラ運営などの情報をNCSCに提供すること、サイバーインシデントが発生した際、NCSCに報告する旨を義務付けています。

今回の告示内容

今回の告示の主な内容は以下の通りです。

■「重要情報インフラ」においてサイバーインシデントが発生、もしくはその恐れがある場合、サイバーインシデントによるものか、インシデントがどのレベルのものかを確認するためにコンピュータとそのシステム情報、そして周囲環境に関する情報を調査することを定めています。そして予防措置や対応、もしくはインシデントのリスクを軽減する必要が判明した場合は、速やかにNCSC事務局まで報告することを求めています。また「重要情報インフラ」の一部でサイバーインシデントが発生している場合は管轄の管理機関宛て、指定された時間内に報告をすることを義務付けており、巻末添付 「ア1：要報告の情報フォーム」にてその報告を行うこととしています。

■発生したサイバーインシデントが行政の「重要情報インフラ」に多大な影響をもたらす場合は、この告示の巻末添付「ア2：サイバーインシデント報告フォーム」によりインシデントが判明してから24時間以内に報告することが求められます。そして管轄の管理機関宛て、指定された時間内に報告をすることも義務付けています。

■「重要インフラ」を提供する行政機関及び民間事業者に対し、年毎に発生したサイバーインシデントの総件数と「重要インフラ」の情報システム、もしくはそのデータに関する概要レポートの作成と提出を求めており、その提出期日を翌年1月31日までとしています。また、その報告は巻末添付「ア3：1年間のサイバーインシデント概要レポートフォーム」に準じ、カテゴリ別に統計を取ったものとします。

各関係事業者はこの告示にご留意ください。

参考

「サイバーセキュリティ監視委員会告示　サイバーインシデントにおける報告ガイドライン」2023年5月9日官報公布、翌日5月10より施行（2023年3月20日発出）

「仏暦2562年（西暦2019年）サイバーセキュリティ法」