ガバナンスは恐怖よりも効果的 サイバーセキュリティと法務の交差点を探求

文●フォーティネットジャパン 編集●ASCII

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「サイバーセキュリティ、信頼、そして法律」を再編集したものです。

サイバーセキュリティは、社会が責任、信頼、そして基本的権利をどのように定義するかを、ますます形作っています。かつては技術専門家の領域にしっかりと位置していたものが、今では法制度、公共機関、そして政府と民間セクターとの関係に影響を与えています。

シーズン2の第3エピソードでは、Brass Tacks: Talking Cybersecurityにおいて、ミラノのボッコーニ大学の憲法学者でAI規制の専門家であるOreste Pollicino教授とともに、サイバーセキュリティと法務の交差点を探求します。この対話では、人々と機関の両方を保護するために規制がどのように進化しているか、なぜサイバーセキュリティが信頼と基本的権利に結びついた憲法上の問題になっているのか、そして規制当局と企業がどのようにして恐怖主導の準拠規格を超えて、より効果的なガバナンスに向かうことができるかを探ります。

自由と安全が今交差する

Pollicinoは、EU基本権憲章に基づいて議論を展開し、そこでは自由と安全が対立する力ではなく、補完的な権利として扱われています。

サイバースペースにおいて、彼は、この2つは切り離せないものだと主張します。安全は、もはや物理的な保護だけに関するものではありません。それは、データ、ネットワーク、アルゴリズム、そしてますます人工知能を含む、日常生活を媒介するデジタルシステムにまで及びます。

この変化は、憲法上の転換点を示しています。サイバーセキュリティは、もはや補助的な懸念事項ではありません。代わりに、それは今や現代社会が自由そのものを保護する方法の一部となっています。

憲法上の問題としてのサイバーセキュリティ

このエピソードで繰り返されるテーマは、サイバーセキュリティが技術的領域を超えて移行したということです。

Pollicinoは、それがプライバシー、言論、経済活動、そして公的信頼を横断する「水平的な」憲法上の次元を獲得していると説明しています。この新しい拡大的な環境において、これらの問題を孤立して扱うことはもはや機能しません。デジタルシステムは今や、権利が行使され、責任が執行される統合されたインフラストラクチャを形成しています。

この意味で、サイバーセキュリティは、アルゴリズムの時代における信頼の法的翻訳となります。

執行から調停へ

規制当局の役割も進化しています。Pollicinoは、インスペクションと罰則に焦点を当てた純粋な執行主導のアプローチは、ますます効果的でなくなっていると主張します。恐怖に基づく準拠規格は、組織を防御的にし、情報共有に消極的にし、当局との関わりをためらわせる可能性があります。

代わりに、彼は規制当局が信頼の調停者として行動することを提唱しています。それは、対話を促進し、リテラシーに投資し、公的機関と民間セクター間の相互学習のための空間を創出することを意味します。制裁は依然として重要ですが、それが出発点であってはなりません。目標は処罰ではありません。予防と回復力です。

ガバナンスは恐怖よりも効果的

Brass TacksのホストであるJoe Robertson氏は、今日多くの組織が不安な環境下で運営されていると指摘しています。企業は、攻撃を受けた場合、非難されたり、制裁を受けたり、公に恥をかかされたりすることを心配しています。

Pollicino氏は、このような力学は逆効果であることに同意しています。過度なプレッシャーは協力を損ない、効果的な対応を遅らせる可能性があります。ガバナンスは、事後対応的ではなく、事前対応的であるべきだと彼は主張しています。さらに、ガバナンス優先のアプローチは、リスクを軽減するだけでなく、それ以上のことを行う必要があります。責任と透明性を示すことで、組織の信頼性と評判を強化することもできます。

統一ではなく調和

この対話では、ヨーロッパにおける馴染みのある課題、すなわち分断化についても取り上げられています。NIS2を含む多くのサイバーセキュリティ規則は、個々の加盟国によって実施されています。Pollicino氏は、異なる法的伝統が必然的に各国のアプローチを形成することを認めています。このアプローチのリスクは、国境を越えて事業を展開する組織にとって不必要な複雑さを生み出す乖離です。

彼の解決策は統一ではなく、調和です。単一の法的「屋根」を課すのではなく、政策立案者は共通の「床」を目指し、一貫した最低基準を確保すべきです。

説明責任は対話を可能にすべき

イタリアのNIS2の国内法化を例に挙げて、Pollicino氏はサイバーセキュリティガバナンスにおける個人の責任の重要性を強調しています。一般的な役職ではなく、指名された個人を指定することで、組織と規制当局の間に人間的な接点が生まれます。この個人化は、抽象的な役割では実現できない方法で対話と説明責任をサポートします。

重要なことは、Pollicino氏とRobertson氏の両者が、インシデントが発生した場合、この個人を加害者として扱うべきではないと強調していることです。彼らは攻撃者ではありません。彼らは攻撃の被害者であり、協力の促進者です。この区別は信頼にとって重要です。説明責任のメカニズムは、スケープゴートを作るのではなく、コミュニケーションを可能にすべきです。

公共と民間の境界が曖昧になっている

もう1つの重要なポイントは、公共と民間の責任の関係が変化していることです。
Pollicino氏は、特にサイバーセキュリティにおいて、公共部門と民間部門の境界がますます「蒸発」していると指摘しています。政府は複雑な技術的現実を理解するために民間部門の専門知識に依存していますが、自主規制に陥ることなく責任を完全に委任することはできません。

答えは、真の官民協力にあります。規制当局と業界は同じテーブルに着き、実用的で理解可能で執行可能な規則を共同で作成する必要があります。適用または理解できない法律は、最終的にシステム自体への信頼を損ないます。

ランサムウェアと犯罪化の問題

このエピソードは、ランサムウェアの支払いとそれを犯罪化すべきかどうかについての議論で締めくくられています。Pollicino氏は、これを簡単な答えのない問題だと説明しています。刑法には役割がありますが、彼はそれを最初の対応とすることに警告しています。高度に技術的な領域では、説得的および経済的措置が刑事制裁よりも効果的であることが多いのです。

彼は、刑事罰ではなく経済的インセンティブが有意義な行動変容を促進した例として、一般データ保護規則(GDPR:General Data Protection Regulation)(GDPR)を挙げています。全体を通して、彼は比例性を強調しています。刑法は個人の自由を制限するものであり、特に被害者がすでに攻撃を受けている場合には、慎重に適用する必要があります。

基盤としての信頼

このエピソードのより広範なメッセージは明確です。サイバーセキュリティは、基本的権利と公共の信頼に結びついた基盤的なガバナンスの問題になりつつあります。最も回復力のあるシステムは、恐怖ではなく、協力、対話、そして共有責任の上に構築されます。

デジタルシステムが社会の機能を形作り続ける中、信頼は、サイバーセキュリティガバナンスが説明責任、比例性、そして人間の理解をどれだけうまくバランスさせるかにますます依存するようになるでしょう。

Brass Tacksについて:サイバーセキュリティを語る

Brass Tacks:サイバーセキュリティを語るは、今日のデジタル環境を形作る現実世界のリスクに焦点を当てたフォーティネットのポッドキャストシリーズです。シーズン2では、このシリーズはテクノロジーとビジネスを超えて視野を広げ、サイバーセキュリティを社会的課題として検証します。それは、政府、クリティカルインフラストラクチャ、公共サービス、そして日常生活に関わるものです。

各エピソードでは、政策、学術、業界の専門家との対話を特集し、組織や社会がどのように回復力を強化し、リスクを管理し、進化する脅威環境に対応できるかについての実践的な洞察を提供します。

Brass Tacksのエピソードは、Fortinet TVやYouTubeでご覧いただけるほか、お好みのポッドキャストプラットフォームでフォーティネット サイバーセキュリティ ポッドキャストチャンネルからお聴きいただけます。

■関連サイト

Fortinet トップへ