「重要データは国内サーバー保管」の政府方針は本当か
NISCの重要インフラ専門調査会において「重要データは国内サーバー保管」の方針が確認されたとの報道。クラウドサービス利用者に大きな影響を与えかねないその内容について、詳細を確認してみました。
「重要データは国内サーバー保管」の衝撃
サイバーセキュリティ戦略本部令(平成26年政令第400号)第2条の規定に基づき、内閣サイバーセキュリティセンタ(NISC)内に設置された、重要インフラ専門調査会という会議体があります。
この会議の中で、「重要データは国内サーバー保管」という、このクラウド時代に逆行するような指針が示される方向性であることが、NHKによって報道されています。
▼ 重要データは国内サーバー保管 インフラ事業者への指針改定へ(NHK NEWS WEB)
サイバー攻撃への対策強化に向けて、政府は電気やガスなど重要インフラの事業者を集めた会議を開き、事業者が守るべき指針を改定し、重要なデータを国内のサーバーで保管することも含めた対応などを盛り込む方針を示しました。
そこで、「重要データ」に何が該当するのか、また「国内サーバー保管」の方針の経緯がどのようなものかを確認するため、NISCのウェブサイトにおいて1月22日に公開されたばかりの資料の内容を確認してみました。
重要データの定義はやはり曖昧
「重要インフラ事業者」と「重要システム」を定義している文書 が、平成30年4月4日サイバーセキュリティ戦略本部決定の「安全基準等策定指針(第5版)」です。
ここにリストアップされる 重要インフラ事業者のシステムを流れる情報群が、NHK報道にいう重要データに該当 するものとして、方針改定にあたり見直しの対象となるものと思われます。
現状の第5版の段階では、
- “主要な”電気通信事業者
- “主たる”定期航空運送事業者
- 医療機関(ただし、“小規模なもの”を除く)
- “大手”物流事業者
クオーテーションマークを付けたように、対象の特定を難しくさせるような定義となっており、その事業者の対象範囲ははっきりとしません。
事前配布資料には無かった国内サーバー保管方針の記述
そして、今回報道された「重要データは国内サーバー保管」すべきとする指針について確認をしてみましたが、配布資料として 1月23日現在開示されている「『安全基準等策定指針(第5版)の改定』の検討方針」には、そのような記載は見当たりません でした。
会議当日に議論する中で委員から発言があり、それが採用されたのかもしれません。
サイバー攻撃や自然災害時に従業員が機動的に現地で対応できるよう、また、外国の主権・法令の下アンコントローラブルな事態に陥らないよう、国内に置いたほうがベターという考え方は理解できます。
一方で、サーバーの設置場所を物理的に分散することで回避できるリスクもあるはずです。「重要インフラ」の定義次第ではありますが、事業者に広く影響を与えかねない指針だけに懸念を覚えます。
なお、クラウドサインは、「重要インフラ事業者」に直接該当することはなさそうではあるものの、そうしたお客様の事業運営を支える大切な契約データを保管する立場から、国内2箇所にデータを保管し、外国のサーバー事業者(一部業務委託先)との契約においても、準拠法は日本法として契約を締結しています。こうした対応には実際にはコストもかかるため、該当する事業者にとっては大きな負担を強いる方針となります。
本件につきNISCに取材したところ、「議事内容については出席者の確認がとれ次第、ウェブサイトで開示する」とのこと。確認がとれれば、情報を追ってご案内したいと思います。
画像:
chepilev / PIXTA(ピクスタ)
(橋詰)
