通信庁(Ofcom)は、11月19日、電気通信(セキュリティ)法が成立し、英国の電気通信ネットワークの安全性を確保するため、Ofcomに新たな権限が導入されたことを明らかにした。電気通信(セキュリティ)法は、通信事業者に強化されたセキュリティ義務が課せられており、政府がセキュリティ要件を設定する新たな権限を持ち、Ofcomは通信事業者の遵守を確認する新たな責任を負う。すべての通信事業者は、セキュリティ侵害リスクを特定すること、軽減するための対策を講じること、将来のリスクに備えることを含む義務が課せられる。同法律では、政府はプロバイダーが満たすべき特定のセキュリティ要件を設定することもできる。これには、通信事業者が、機密データを扱うネットワーク機器を安全に設計・構築・保守すること、サプライチェーンのリスクを低減すること、ネットワークの機密部分へのアクセスを慎重に管理すること、公衆ネットワークやサービスが直面するリスクを理解するための適切なプロセスを確保することなどが含まれる。
この法律の下で、Ofcomは、通信事業者がセキュリティ義務を遵守していることを確認する新たな義務を負う。Ofcomは、通信事業者と協力してセキュリティの改善、継続的なコンプライアンスの監視、強制する権限が与えられており、通信事業者は、ネットワークのセキュリティを評価するための情報をOfcomと共有することが求められる。通信事業者が遵守しない場合、Ofcomは強制措置を取ることができる。また、強制措置の期間中、通信事業者に対して、セキュリティギャップに対処するための暫定的な措置をとるよう求めることができる。通信事業者は、新ルールに従わない場合、罰金を科せられる。事業者がセキュリティ義務を遵守していない場合、Ofcomは関連する売上高の最大10%、または継続的に違反を繰り返す場合には1日あたり10万ポンド(約1,531万円)の罰金を課すことができる。事業者が情報提供を怠った場合、あるいは実施規範に従わなかったことの説明を拒否した場合、Ofcomは最大1,000万ポンド(約15億円)、継続して怠った場合には1日あたり5万ポンド(約766万円)の罰金を課すことができる。
なお、この法律では、「ハイリスクベンダー」がもたらすリスクを管理するための新しい権限が政府に導入されている。政府は、これらの企業が提供する機器が安全・安心に悪影響を及ぼすと判断された場合、その機器が通信ネットワークで使用される範囲を管理することができる。場合によっては、政府は通信ネットワークに対して、これらの企業から調達した既存の機器を撤去するよう要求することもできる。
英国・政策に関する詳しい情報はこちらへ