政府は17日、電力や通信と言った重要インフラ事業者のサイバーセキュリティ対策に関する行動計画を5年ぶりに改訂しました。対策を専門部署任せにせず、経営陣の責任だと明確にしたのが特徴です。事業者にサイバー攻撃からの防護体制の強化を促します。

同日に開いた政府のサイバーセキュリティ戦略本部で決定しました。行動計画は官民連携で対策強化を進める方針で、サイバーセキュリティ基本法に基づいています。政府が重要インフラに指定する金融、鉄道、航空、医療など14分野が対象となります。

会社法で経営陣に義務付ける社内体制の整備に「適切なサーバーセキュリティを講じる義務が含まれ得る」と明記しました。2017年に作った行動計画では経営陣に対策実施への期待を表明するのにとどまっていました。

セキュリティー対策の不備が原因で情報漏洩などの損害が生じれば、経営陣が「賠償責任を問われ得る」と強調しました。重要インフラのサイバー防護対策について経営陣を含めた「組織一丸の対応が求められる」と記しました。

事業者が各事業の特性を把握し、適切な予防措置や被害発生時の対処を含めた体制を作るように求めます。適切な体制を担保できるよう内部監査などを実施するよう促しました。