ドイツ政府は12月16日の閣議でITセキュリティ法(正式名称:情報技術システムの安全性向上のための第2法)案を了承した。通信網など社会・経済システムを維持するうえで重要なインフラに用いる主要部品のセキュリティ上の安全性を国が審査するルールの導入が最大の柱。名指しはしていないものの、セキュリティ上の懸念が持たれる華為技術など中国メーカーの製品を実質的に排除することが狙いだ。連邦議会(下院)の可決を経て施行される。
次世代通信規格5Gが本格普及すると、大量の機器がネットワークでつながり、莫大な情報が常に自動的にやりとりされるモノのインターネット(IoT)社会が本格的に到来する。そうした情報には高度なセキュリティが要求される公的機関や社会インフラ、自動運転車のデータも含まれることから、データを確実に保護することはこれまで以上に重要になる。また、ネット経由でインフラが破壊されると、経済・政治・社会の機能が麻痺することから、通信インフラを構成する機器や部品、ソフトウエアの信頼性も欠かせなくなる。
中国の通信設備メーカーは5G分野で先行しているものの、製品に組み込んだ部品などを通してスパイ活動を行っているとの批判を受けている。特に華為は非公開企業で事業活動に不透明な部分が多いことから中国政府・軍との関係が深いとみられており、米国政府は5G通信網から華為製品を全面的に締め出すことを友好国に要求。オーストラリアや英国、フランスなど複数の国はすでに同社製品を用いないことを決定した。
独政府内ではこの問題が2年ほど前から議論されているが、意見がまとまらない状況が続いていた。中国メーカーをあからさまに排除すると外交関係が悪化し、独企業が中国で不利な取り扱いを受ける可能性が高いためだ。ドイツ経済は中国市場に強く依存していることから、政府は難しい決定を先送りしてきた。
だが、通信各社が限定的ながら5Gサービスを開始したことから、これ以上、先延ばしすることはできず、政府は内務省の法原案をベースに関係省庁間の調整を進めてきた。この結果、通信などの重要インフラを電子的なスパイ活動や破壊工作から守るために設備・部品の認証を義務付けるだけでなく、製造元の信頼性も重視するという二重の認可手続きを採用することで方針が固まった。
部品の認証という技術面の業務は連邦情報技術セキュリティ庁(BSI)が担当する。製造元の信頼性に関する審査は情報機関のデータをもとに内務、外務、経済省が行う。審査は関与する3省が全会一致で承認することを原則とし、意見が割れた場合は閣議で決定することになる。法案作成を主導した内務省は中立的な審査メカニズムだとしているが、中国メーカーは自国の情報機関への協力を法律で義務付けられていることから、審査は大きなハードルとなる。
法案についての政府のプレスリリースには、部品審査に関する記述がまったくない。中国政府の刺激を避けたいという思惑があるもようだ。
法案には、サイバー攻撃などを受けた場合にBSIへの通報を義務付ける対象を軍需企業と大手企業にまで拡大するとともに、これら企業の義務を拡大する規定も盛り込まれた。具体的には◇BSIのサイバー攻撃追跡能力を高めるために、接続データを4年間、保持する◇サイバー攻撃の自動検知ソフトを導入する◇通信事業者はBSIの命令を受けて特定の通信を切断ないし転送する――ルールを導入する。
BSIは情報通信分野の製品・サービスを対象にITセキュリティ認証を行う。認証を受ける義務はないものの、認証を獲得した商品は販売で有利になるとみられる。
BSIはさらに、一般市民向けのITセキュリティサービスを提供する。専用のサイトを立ち上げ、製品やOSのセキュリティホール、ネット詐欺、ITセキュリティ認証を受けた製品の製造元に関する情報などを公開する。
