2021.11
電気通信(セキュリティ)法が成立
電気通信(セキュリティ)法が、2021年11月19日に成立した。同法は、通信事業者のセキュリティ義務を強化し、政府に対しセキュリティ要件を設定する新たな権限を付与する。さらに、通信庁(Ofcom)は通信事業者の遵守を確認する新たな責任を負う。
通信事業者のセキュリティ義務には、セキュリティ侵害リスクを特定すること、軽減するための対策を講じること、将来のリスクに備えること等が含まれる。
政府のセキュリティ要件には、通信事業者が、機密データを扱うネットワーク機器を安全に設計・構築・保守すること、サプライチェーンのリスクを低減すること、ネットワークの機密部分へのアクセスを慎重に管理すること、公衆ネットワークやサービスが直面するリスクを理解するための適切なプロセスを確保すること等が含まれる。
Ofcomは、通信事業者と協力してセキュリティの改善、継続的なコンプライアンスの監視、強制する権限が与えられており、通信事業者は、ネットワークのセキュリティを評価するための情報をOfcomと共有することが求められる。通信事業者が遵守しない場合、Ofcomは強制措置を取ることができる。また、強制措置の期間中、通信事業者に対して、セキュリティギャップに対処するための暫定的な措置をとるよう求めることができる。
通信事業者は、新ルールに従わない場合、罰金を科せられる。事業者がセキュリティ義務を遵守していない場合、Ofcomは関連する売上高の最大10%、または継続的に違反を繰り返す場合には1日あたり10万ポンド(約1,531万円)の罰金を課すことができる。
事業者が情報提供を怠った場合、あるいは実施規範に従わなかったことの説明を拒否した場合、Ofcomは最大1,000万ポンド(約15億円)、継続して怠った場合には1日あたり5万ポンド(約766万円)の罰金を課すことができる。
なお、この法律では、「ハイリスクベンダー」がもたらすリスクを管理するための新しい権限が政府に導入されている。政府は、これらの企業が提供する機器が安全・安心に悪影響を及ぼすと判断された場合、その機器が通信ネットワークで使用される範囲を管理することができる。場合によっては、政府は通信ネットワークに対して、これらの企業から調達した既存の機器を撤去するよう要求することもできる。