2018年9月8日付官報にて新しい勅令法の2018年9月7日勅令法第12号インターネット及び情報システムの安全に関する勅令法が公布され、翌日から施行された。この勅令法は、全面的な視点から、国内とEUとの本分野についての協力体制を容易にし、インターネットや情報システムに影響を与えるような脅威に対する防御策を強化することができるような枠組みを定めることを目的としている。
なお、本勅令法は2016年7月6日付欧州議会及び欧州評議会指令第1148号をスペイン国内法制に置換するものである。
本勅令法の適用対象となるのは、EU域内で事業活動のためにネットワークや情報システムに依存し、かつ、重要なサービスを提供している会社である。また、本勅令法のグローバルな適用を行うために、適用範囲は指令に明白に含まれていない事業分野(特別法制があるにもかかわらず)にも及ぶ。
また、本勅令法は、オンライン・マーケット、サーチエンジン、クラウドサービスといった特定のデジタルサービス業者にも適用がされる。
欧州指令に沿って、本勅令法はネットワーク及び情報システムの保護を保証する必要がある事業分野を特定し、また、当該事業分野における重要なサービスの特定のための手続きや、重要なサービスを提供する主要なオペレーターを定めている。これらは本勅令法の適用対象となる。
重要なサービスのオペレーター及びデジタルサービスのプロバイダは、適切かつネットワーク及び情報システムの安全にとって考えうるリスクに応じた技術対策及び組織対策を採用しなければならない。当該対策を外注することは可能である。
重要サービスのオペレーターは情報安全責任者として個人、団体又は組織を任命し、管轄当局に対して届け出なければならない。情報安全責任者は管轄当局との連絡窓口や技術協力を担う。
デジタルサービスプロバイダは、少なくとも技術の発展と以下の事項を考慮に入れたセキュリティ対策を定めなければならない。
a) システム及び設備の安全
b) 事故時の対応
c) 継続的対応
d) 監督、監査及び試作
e) 国際的な規則の遵守
本勅令法は、重要サービスオペレーターとデジタルサービスプロバイダに、それらが提供するサービスのために利用されるネットワーク及び情報サービスに生じた事故で、それらサービスに重大な混乱を生じさせるようなものについて、重要サービスに影響を及ぼす可能性のある事象又は事故の届出が予見された時に、届け出ることを要求する。
届出の必要性の判断のため、事故の重要性は少なくとも以下の要素を考慮して判断される。
a) 重要なサービスの混乱により影響を受けたユーザーの数
b) 事故が生じた期間
c) 当該事故の拡大範囲又は地理的範囲
d) サービスの機能が妨害された程度
e) 経済活動及び重要な会社への影響の範囲
f) 重要サービスの提供における被害を受けたシステム又は情報の重要性
g) 風評被害
この届出義務を怠った場合は、最高で1,000,000ユーロの罰金が課せられる。
露木 美加
ヴィラ法律事務所
より詳細な情報につきましては下記までご連絡ください。
2018年10月5日