イギリスのサイバーセキュリティ法解説
イギリスでの事業展開を検討される日本の経営者や法務ご担当者の皆様へ。デジタル化が進む現代において、サイバーセキュリティは単なる技術的課題ではなく、企業の法的リスク管理の中核をなすものとなっています。イギリスは、サイバー犯罪の処罰を定める「コンピュータ不正使用法(Computer Misuse Act 1990, CMA)」と、重要通信インフラの保護を目的とする「電気通信セキュリティ法(Telecommunications (Security) Act 2021, TSA)」という二つの柱で、強固な法制度を築いています。これらの法律は、日本の法制度と似ている部分もありますが、その根底にある思想や適用範囲には重要な違いが見られます。
本記事では、これらの法律の核心を解説し、特に日本企業が事業を進める上で見過ごしがちな法務上の留意点と実務上の対策について、深掘りしてまいります。
この記事の目次
イギリスのコンピュータ不正使用法(CMA)の基本構造
「不正アクセス」の定義とその影響
イギリスのサイバー犯罪法制の中核をなす「コンピュータ不正使用法1990年(CMA)」は、コンピュータシステムやデータへの不正アクセスを犯罪と定めています。その最も基本的な犯罪は、第1条に定められた「権限のないアクセス」であり、これは物理的アクセスやリモートアクセスを問わず、広範に処罰の対象となります。具体的には、プログラムやデータを改ざん、消去、コピー、移動する行為や、コンピュータからプログラムやデータを出力する行為が含まれます。この犯罪が成立するには、アクセスする者が、自身にアクセスする権限がないことを認識している必要があります。
このCMAの広範な定義は、日本の「不正アクセス行為の禁止等に関する法律」(不正アクセス禁止法)との間に明確な違いを生じさせます。日本の不正アクセス禁止法は、不正アクセス行為を「他人の識別符号(ID・パスワード等)の不正利用」または「セキュリティ・ホール(脆弱性)の利用」という特定の手段に限定して定義しています。このため、日本の法律では、技術的な不正侵入手段が伴わない限り、不正アクセス行為とはみなされない場合が多く存在します。一方、CMAは手段を問わず「権限のないアクセス」を犯罪としており、この違いは企業における内部管理において重大な示唆を伴います。例えば、ある従業員が、技術的にはアクセス可能な状態にあるものの、自身の職務権限外にある機密情報ファイルにアクセスした場合、これはCMA第1条の犯罪に該当する可能性があります。このような行為は、日本の法制度下では通常、就業規則違反や懲戒事由となり、直ちに刑事罰の対象とはならない場合がほとんどです。しかし、イギリスでは明確な刑事犯罪となり得るのです。この相違は、イギリスの法制度が「コンピュータ資料の保護」を、外部からの不正侵入だけでなく、内部からの権限逸脱行為にまで及ぶ広範な概念と捉えていることを示しています。したがって、日本企業がイギリスで事業を展開する際には、技術的なアクセス制限に加え、従業員に対する明確なアクセス権限ポリシーを策定し、その違反が刑事罰の対象となり得ることを周知徹底することが不可欠となります。
犯罪類型と罰則
CMAは、単純な不正アクセスに留まらず、その意図や結果に応じて複数の犯罪類型を設けています。第2条は、さらなる犯罪(例えば、詐欺や個人情報の窃盗)を犯す目的で不正アクセスを行った場合に適用され、最大10年の禁錮刑が科される可能性があります。また、第3条は、コンピュータの動作を妨害する不正行為(例えばDDoS攻撃)を処罰の対象とし、最大10年の禁錮刑が定められています。さらに、CMAには「重大な損害」を引き起こす不正行為を最重罪とする第3ZA条が追加されています。これは、電力供給や通信といった重要インフラに対するサイバー攻撃が、人命の損失や経済への深刻な損害をもたらす可能性を鑑みて設けられたもので、この犯罪の法定刑は終身刑を含む非常に重い罰則となっています。
加えて、CMAは、ハッキングツールやマルウェアなどの「不正使用目的の物品」の製造、供給、取得自体を犯罪として規定する第3A条を設けています。この規定の重要な点は、2015年の改正により、「第三者への供給意図」という要件が削除され、自己使用を目的としたツールの取得も処罰の対象となったことです。日本の不正アクセス禁止法が、不正アクセスに用いる「識別符号」の不正な取得や保管を犯罪とする一方で 、イギリスのCMAはより広範な「物品」(ツール)の取得自体を処罰の対象としています。この違いは、イギリス法が「結果」と「準備行為」をより厳格に捉え、国家レベルのサイバーレジリエンス確保を重視していることを示唆しています。特に、ハッキングツールやマルウェアの所持を犯罪とする第3A条の規定は、ペネトレーションテストやセキュリティ研究を行う企業にとって、その活動が法律に抵触しないよう細心の注意を払う必要があることを意味します。この点において、イギリスでは、合法的なサイバーセキュリティ活動を保護する「法定抗弁(Statutory defence)」の必要性が議論されており、これは法とサイバーセキュリティ実務の間の緊張関係を示しています。
イギリスの電気通信セキュリティ法(TSA)の基本構造
通信サービスプロバイダー(CSPs)に課される予防的義務
「電気通信セキュリティ法2021年(TSA)」は、従来の通信法を改正し、公共の電気通信ネットワークおよびサービスプロバイダー(CSPs)に対して、厳格なセキュリティ義務を課すための新しい枠組みを導入しました。この法律の核心は、単にインシデント発生後の対応を求めるのではなく、「セキュリティ侵害のリスクを特定し、軽減する」「セキュリティ侵害の発生に備える」といった、予防的かつ包括的な義務を課す点にあります。この枠組みの下では、「セキュリティ侵害」とは、ネットワークやサービスの可用性、性能、機能性を損なうあらゆる事象、あるいは不正なアクセスや干渉、データの損失や改ざんなどを広く含むものと定義されています。
このTSAが定める思想は、日本の電気通信事業法と比較して明確な違いがあります。日本の電気通信事業法は、「通信の秘密の保護」をその根幹に据えており 、技術基準などを通じてセキュリティ確保を求めているものの、イギリスのTSAが求めるような、事業者自らがリスクを特定・軽減し、インシデントに備えるという、より積極的な「レジリエンス確保」の思想とは一線を画します。この違いは、両国が通信ネットワークを捉える視点の違いから生じています。イギリスは、通信ネットワーク自体を重要な国家インフラとして捉え、その可用性、機能性、機密性を複合的に確保することを法律で義務付けています。これにより、CSPsは、単に法律に定められた基準を満たすだけでなく、絶えず変化するサイバー脅威に対応するための動的なセキュリティ体制を構築することが求められます。
高額な罰則とサプライチェーンへの波及効果
イギリスの通信規制機関であるOfcomは、TSAの遵守状況を厳格に監督する権限を有しており 、その強制措置権限を行使して、違反したCSPsに対して高額な罰金を科すことができます。不遵守の場合、年間収益の最大10%または1日あたり最大117,000ポンドという罰金が課される可能性があります。2025年1月時点のOfcomの報告書によれば、すでに違反が確認された場合には強制措置権限を行使していることが示されており、法律の実効性が担保されていることがうかがえます。
TSAはまた、CSPsにサプライチェーンのレジリエンス確保を強く求めています。そのため、CSPsは、自社のセキュリティ要件をサプライヤーに契約で義務付ける「フローダウン」を強化することが予想されます。このサプライチェーンへの波及効果は、CSPsに直接該当しない日本企業にとっても、TSAを無視できない重大なリスク要因となります。イギリスの通信事業者に部品やソフトウェア、サービスなどを供給している企業は、新たな契約の締結や既存契約の見直しにおいて、サプライチェーンにおけるセキュリティ対策の強化を求められる可能性が高いです。日本の法務担当者は、取引相手であるイギリスのCSPsから、従来の契約にはなかった厳格なセキュリティ監査の受け入れや、サプライヤーとしての責任範囲拡大を求められる事態を想定しておく必要があります。これは、法律そのものへの直接的な抵触リスクだけでなく、取引継続性というビジネス上のリスクに直結します。
イギリスで事業を展開する日本企業の実務ポイント
CMA関連の実務上の対応
日本企業がイギリスで事業を展開する際には、CMAの広範な適用範囲を理解し、適切な内部統制を構築することが不可欠です。日本の感覚とは異なり、イギリスでは従業員が職務権限を超えてデータにアクセスする行為自体が刑事犯罪となり得ます。したがって、社内システムへのアクセス権限を厳密に定義し、従業員に対してその範囲を明確に周知徹底するポリシーを策定・実施する必要があります。特にIT部門やセキュリティ担当者は、ペネトレーションテストや脆弱性診断に用いるツールが、CMA第3A条の「不正使用目的の物品」に該当する可能性を認識しておくべきです。合法的な業務目的であることを証明できる体制を整えることが重要となります。
TSA関連の実務上の対応
TSAへの対応は、まずイギリスの取引先がTSAの適用対象であるCSPsに該当するかを確認することから始まります。特に大規模事業者(ティア1やティア2)との取引がある場合は注意が必要です。CSPsと契約を締結する際には、サプライチェーンのレジリエンス確保を目的とした、新たなセキュリティ要件、監査権、インシデント報告義務などが盛り込まれていないかを慎重にレビューする必要があります。TSAがリスクベースの予防的アプローチを取ることを踏まえ、単なる一回的な監査対応に留まらず、自社の情報セキュリティ体制を継続的に強化し、インシデント発生時の対応体制(インシデントレスポンスプラン)を整備しておくことが、取引の安定に繋がります。
日英サイバーセキュリティ法比較表
| イギリス | 日本 | |
|---|---|---|
| 法律の名称 | コンピュータ不正使用法(CMA)、電気通信セキュリティ法(TSA) | 不正アクセス禁止法 、電気通信事業法 |
| 不正アクセスの定義 | 「権限のないアクセス」と手段を問わず広範に規定 | 「他人の識別符号の不正利用」や「脆弱性の利用」など特定の手段に限定 |
| 不正アクセスツールの規制 | マルウェアなど広範な「物品」の製造、供給、取得を処罰(第3A条) | 不正アクセスに用いる「識別符号」の不正取得・保管を処罰 |
| 最重罪の要件 | 重要インフラへの不正行為による「重大な損害」 | 不正アクセス行為自体(CMA第3ZA条に相当する規定はなし) |
| 最重罪の罰則 | 終身刑および無制限の罰金 | 3年以下の懲役または100万円以下の罰金 |
| 通信インフラの保護思想 | 事業者にレジリエンス確保という予防的な義務を課す | 「通信の秘密の保護」を根幹に据える |
| 適用対象 | コンピュータシステム利用者全般、電気通信ネットワークおよびサービスプロバイダー(CSPs) | 特定電子計算機への不正アクセス者、電気通信事業者 |
| 監督官庁 | Ofcom、国家サイバー犯罪ユニット(NCCU)など | 警察、総務省 |
まとめ
イギリスのサイバーセキュリティ法は、日本の法制度と比較して、より広範な犯罪類型を規定し、通信インフラのセキュリティに対して予防的かつ厳格なアプローチを取っていることがご理解いただけたかと思います。CMAは、不正アクセスの定義を広げ、内部の不正行為やツールの所持まで処罰対象に含めています。一方、TSAは、通信事業者に「レジリエンス確保」という積極的な義務を課し、その要件をサプライチェーン全体に波及させています。
これらの法的枠組みの理解は、イギリスでの事業を成功させるための不可欠な要素です。見慣れた日本の法制度との違いを認識し、適切な内部統制とリスク管理体制を事前に構築することが、不必要な法的リスクを回避し、円滑なビジネス運営に繋がる鍵となります。モノリス法律事務所は、こうした複雑な国際法務、特に日英両国の法制度に精通した専門家チームを擁しており、皆様のイギリス事業における法的課題解決を強力にサポートいたします。どうぞお気軽にご相談ください。
関連取扱分野:国際法務・海外事業
カテゴリー: IT・ベンチャーの企業法務
