2017年に大手の金融機関や商社などの基幹システムに相次いでアマゾンやマイクロソフトなどの米国系クラウドが導入された。一方、2017年6月に、中国政府が施行したインターネット安全法は、日本企業を大きく動揺させた。中国国内の情報の持ち出しが制限されるだけでなく、中国政府が認証したサイバーセキュリティ技術や製品の利用が義務付けられる可能性もあり、中国市場で成長を目指す日本企業にとっては事業の前提条件を根底から覆すルールである。
一見関連のないように見えるこの2つの事象の裏には米国と中国との間のサイバーセキュリティを巡る標準争いがあるとみられる。この両大国が主導するルールの理解を誤ると日本はビジネス面でも大きな痛手をこうむる。
安全保障のため
知的財産の保護を図る
ことは2010年にさかのぼる。2010年11月、オバマ大統領は大統領令(Executive Order 13556)を発行し、CUI(Controlled Unclassified Information)と呼ばれる「取扱注意情報」を扱う米国内の官民全ての組織に対して、米商務省国立標準技術研究所(NIST)が策定したサイバーセキュリティのガイドラインに沿った管理を義務付けた。
CUIとは、機密情報そのものではないが、これらを広範囲に集めれば機密が特定される可能性がある情報である。2016年9月には連邦規則で、CUIを「処理、格納、通信」する民間企業に対して、情報システムを特定の技術体系で構築して、CUIの保護を義務付けた。
各業界の中で最初に対応を迫られたのは防衛産業だ。国防総省から、2017年12月31日までに同省と契約する企業とその全てのサプライヤーに対応を求める通達が出されたからだ。その他の業界は実施時期を検討しているが、多くの業界が2019年上期までに対応することになると、米国では予測されている。
問題は米国政府が指定するCUIが軍事外交に関する国家レベルの情報にとどまらず、幅広い産業の企業秘密も含まれていることである。例えば自動車業界であれば試験走行データ、電力業界であれば燃料の輸送ルートや設備情報、ヘルスケア業界では個人の健康診断記録までもが該当する。
