［米国］
米国政府のセキュリティ対策は「D」ランク――業界団体が改善要求

「包括的データ保護法」の制定を強く要請

（2007年02月06日）

　サイバーセキュリティ業界連合（CSIA）は1月31日、2006年における米国政府のセキュリティに対する取り組みを、「米政府の機密情報セキュリティ」「幹インフラストラクチャの安全性および信頼性」「連邦政府情報保証施策」の3分野で「D」ランク（A～Fの6段階）と判定した。

　CSIAの事務局長で法務顧問を務めるリズ・ガスター氏は、「各政府機関のCIOの権限を強化し、サイバーセキュリティ管理能力を頻繁に検証していくことが必要だ。包括的データ保護法の制定を再度要請する」とコメントしている。

　ガスター氏の言う「包括的データ保護法」とは、政府が一定のセキュリティ基準を設け、政府機関、民間企業、非営利団体など、機密情報を扱う組織に対し、政府基準に沿ってデータを取り扱うように義務づけるというものだ。

　実は2005年初頭、企業からの情報漏洩事件が頻発したことを受け、一部の国会議員は、情報漏洩を起こした企業に対し、消費者への通達を義務付ける複数の法案を提出した。にもかかわらず、議会や委員会間で管轄権を巡る争いが勃発し、結局、同法案は成立しなかったという経緯がある。

　しかし、その後も米国復員軍人省が保有する2,650万人分の退役軍人（およびその家族）の個人情報が漏洩する事件や、その他の政府機関で盗難にあったノートPCから個人情報が流出するなどの事件が頻発した。CSIAはこれを受け、政府機関に対して情報漏洩や外部からデータを侵害された旨を公開するよう求めてきた。

　連邦取引委員会（FTC）はこれまでも情報の取り扱いに問題のある企業を取り締まってきたが、CSIAでは、包括的データ保護法が制定されれば、FTCやその他の機関は、より強力な権限を持ってデータ漏洩事件の調査に当たれるようになると期待している。

　ガスター氏は「大規模なデータ漏洩事件が今後も発生し、消費者からの圧力が強まれば、議会も動かざるを得なくなる」とし、2007年度中に包括的データ保護法が成立すると見込んでいる。

　「消費者の我慢も限界に達しつつある」（ガスター氏）

　なお、CSIAが「D」ランクと判定した評価内容は次のとおりだ。

機密情報セキュリティ

　米国議会は欧州評議会のサイバー犯罪条約を批准し、サイバーセキュリティ犯罪捜査に際して連邦政府と他の条約批准国との連携を可能にした。しかし、機密性の高い個人情報を保護する包括的な法整備が出来ていない。

基幹情報インフラストラクチャの安全性および柔軟性

　米国国土安全保障省が、サイバーセキュリティおよび電気通信を担当する次官補を指名し、数件のサイバーセキュリティ対策を実施した点は評価に値する。しかし、中核となるサイバーセキュリティ研究開発の優先事項が確定されておらず、深刻なサイバーセキュリティ事件が発生した場合に必要となる緊急協力網が構築されていない。

連邦情報保証施策

　ホワイトハウス管理予算局が発布したサイバーセキュリティ指令や、政府機関によるスマートIDカードの発行を義務化したジョージ・ブッシュ大統領の国土安全保障に関する「大統領令12」は、一定の成功を収めたと評価できる。しかし、在宅勤務制度を補完する安全性の確保やサイバー攻撃の被害情報開示などの分野では、よりいっそうの改革が求められる。

(グラント・グロス／IDG News Service ワシントン支局)