EUが検討を進めている「ネットワークと情報セキュリティ(Network and Information Security=NIS)に関する指令案」をめぐり、幅広いデジタルサービスを提供するインターネット関連企業にも規制を適用し、情報漏えいやシステム障害などの重大事案が発生した場合、当局への通報を義務付ける案が浮上している。ロイター通信が6日、EU議長国ルクセンブルクから入手した文書をもとに報じた。クラウドコンピューティングをはじめとする幅広い「デジタルサービス・プラットフォーム」を規制の対象に加えるという内容で、業界側の反発も予想される。
NIS指令案は欧州委員会が2013年2月、巧妙化するサイバー犯罪に対応するための優先課題をまとめた「サイバーセキュリティ戦略」と併せて提案したもので、EUが一体となってデジタル社会の根幹を担う通信ネットワークのセキュリティ強化を図ることを目的としている。現行ルールではハッカーによるネットワークへの不正アクセスなどの重大事案が発生した場合、通信事業者のみ当局への通報が義務付けられている。これに対し、指令案は金融サービス、エネルギー、運輸、医療など、ネットワークセキュリティが決定的な意味を持つセクターに対象を拡大するという内容。このほか、EU各国にサイバー犯罪に対処するためのネットワークセキュリティの専門機関を設置することなどが盛り込まれている。
ロイターが入手した文書によると、加盟国の間ではインターネット関連企業にも通報義務を課すべきだとの意見が多数派を占める一方、欧州議会は当初、これに強く反対していた。しかし、インターネット関連企業に関しては、金融やエネルギーなどの基幹セクターと比べて「緩やかな規制」を適用するとの譲歩案を加盟国側が提示したことで、欧州議会も態度を軟化させ、新たな提案について検討する意向という。
文書ではデジタルサービスが具体的に何を指すかは明記されておらず、緩やかな規制の内容も不明だが、ロイターによると、クラウドコンピューティングのほか検索エンジン、ソーシャルネットワーク、eコマースサイトなど幅広いサービスが想定されているもようだ。
