欧州連合（EU）で現地時間7日、域内全体に適用される初のサイバーセキュリティ関連法案が可決された。新たなルールは、域内で活動する重要分野の大手企業に対し、十分なサイバー攻撃対策を行うことを求めるもので、大手インターネット関連企業に対して情報流出時の報告を義務付ける項目も含まれているという。

今回可決された「Network and Information Security Directive」では、エネルギー、輸送、医療、金融などの各分野の大手企業に対し、十分なセキュリティ対策を講じることが求められている。またグーグル（Google）、アマゾン（Amazon）、イーベイ（ebay）といった大手インターネット関連企業に対し、情報漏洩など重要な問題が発生した場合の当局への報告を義務付ける項目も含まれ、違反者には何らかの制裁が課される可能性もある。ただし、小規模な企業はこの対象に含まれず、またフェイスブック（Facebook）などのソーシャルネットワークも含まれていないという。

EUは今後、加盟各国のメンバーが構成するコンピューターセキュリティ関連問題の対策チームを結成するほか、こういった問題に対し、加盟国間での情報共有やガイドラインの作成などを通して協力していく予定だという。

この話題に触れたArs Technicaは、EUのサイバーセキュリティ関連の取り組みについて、いっぽうではグーグルやアップル、フェイスブックなどが導入した高度な暗号化技術について批判したり、各社にソフトウェアへの「バックドア」追加を要求したりしながら、他方で十分なセキュリティ対策を講じるよう求めることには矛盾があるなどと指摘している。

【参照情報】
・MEPs close deal with Council on first ever EU rules on cybersecurity - EU
・New EU cyber-security law requires tech firms to report major breaches or face penalties - VentureBeat
・New EU cybersecurity rules neutered by future backdoors, weakened crypto - Ars Technica