フランスのサイバーセキュリティを規律するゴッドフラン法とSREN法・NIS2指令
フランスのサイバーセキュリティ法は、伝統的な刑法典を基盤としつつ、新たな法的枠組みやEU指令の国内法化を通じて、急速に進化を遂げています。その法体系は、単なるサイバー犯罪の事後的な処罰に留まらず、企業のガバナンスやサプライチェーン全体にわたる予防的なリスク管理を強く求める多層的な構造を形成しています。
本稿は、フランスでの事業展開を検討または実施している日本企業向けに、フランスのサイバーセキュリティ法を体系的に解説します。
この記事の目次
フランスのサイバー犯罪法制
フランスのサイバーセキュリティ法制の根幹は、1988年に制定された「ゴッドフラン法」に由来する刑法典の規定にあります。同法は、情報技術の発展に伴う新たな犯罪類型に対応するため、データ自動処理システム(STAD:Système de Traitement Automatisé de Données)への侵害行為を明確に犯罪と定めました。これらの規定は、現在、刑法典第323条から第323-7条に集約されています。
「不正アクセス」の定義と処罰
フランス刑法典第323-1条は、「不正に、データ自動処理システムの全部または一部にアクセスし、またはその状態を維持する行為」を犯罪として規定しています。この条文は、アクセス行為そのものを処罰する点で日本の不正アクセス禁止法と共通していますが、特筆すべきは「不正な維持」(maintien frauduleux) が明確に犯罪構成要件に含まれている点です。これは、正規の権限を持たない者が偶然にシステムに侵入してしまった後、意図的にその状態を継続する行為も処罰の対象となることを意味します。具体的な例として、他人のログイン情報を不正に利用する行為や、パスワードの総当たり攻撃によってシステムへの接続を試みる行為などが該当します。
単純な不正アクセス行為であっても、2年の禁錮刑と6万ユーロの罰金が科せられるなど、フランス法は比較的厳しい処罰を定めています。日本の不正アクセス禁止法が「不正アクセス行為」と「不正の目的」を要件とするのに対し、フランス刑法典第323-1条は「不正に(frauduleusement)」という主観的要件を定めています。
「不正に」を巡る法解釈は、個々の裁判例を通じて形成されてきました。例えば、パリ控訴院は、多数のセキュリティ上の欠陥があるウェブサイトに単純なブラウザでアクセスできた場合、その行為は処罰の対象とならないと判断したことがあります。これは、アクセス制御機能が十分に機能していない場合、侵入者の悪意を証明することが難しいという判断に基づくものでした。一方で、同じパリ控訴院の別の判例では、セキュリティ上の欠陥が、被告人にとって不正にデータを取得するための「口実や言い訳にはならない」と結論付けており、司法の判断が状況によって分かれることを示しています。
以下の表は、フランス刑法典と日本の不正アクセス禁止法における主要な構成要件と処罰内容の比較です。
| フランス刑法典(第323条) | 日本の不正アクセス禁止法 | |
|---|---|---|
| 対象行為 | 不正なアクセスおよび維持 | 不正アクセス行為 |
| 「不正」の定義 | 主観的要件「frauduleusement」 | 「不正の目的」という要件 |
| 処罰の範囲 | アクセス行為と「維持」の両方を明記 | 主にアクセス行為を処罰 |
| 罰則 | 2年の禁錮、6万€罰金(単純行為) | 3年以下の懲役、100万円以下の罰金 |
| 法人の責任 | 法人も罰則の対象となる | 法律上、両罰規定あり |
システム機能への妨害とデータ改ざん
フランス刑法典は、システムへの不正アクセス行為そのものに加え、より深刻な結果をもたらす行為も厳格に処罰します。
まず、刑法典第323-2条は、「データ自動処理システムの機能を妨害または偽装する行為」を処罰します。これは、DDoS攻撃やスパムメールの大量送信によるシステムの麻痺などが該当し、5年の禁錮刑と15万ユーロの罰金という重罪が科せられます。次に、第323-3条は、「不正にデータや情報をシステムに導入、抽出、保持、複製、送信、削除、または変更する行為」を犯罪と定めています。この罪も、5年の禁錮刑と15万ユーロの罰金という同様の重罪です。さらに、これらの犯罪が国家の運用するシステムや個人データ処理システムに対して行われた場合、罰則は一層重くなります。
1988年のゴッドフラン法が制定された当時、サイバー犯罪の主体は主に「ハッカー」と呼ばれる個人の犯行であり、法も個人の行為を処罰する構造となっていました。しかし、現代の脅威は、ランサムウェアや組織的なデータ盗難、知的財産権侵害へと進化しています。これに伴い、フランスの法制度は、単に犯罪者を処罰するだけでなく、企業のセキュリティ対策の不備にも目を向け始めています。
ヴェルサイユ控訴院の判例では、元従業員が会社の機密データを不正にコピーしたケースで、その行為を厳しく処罰しています。これは、従業員による不正行為に対する企業の監督責任や、不正行為によって損害を被った場合の企業のリスクを浮き彫りにします。さらに、2019年の最高裁刑事院の判例は、企業の取締役がセキュリティ対策を怠った場合に過失責任を問われる可能性を示唆しており 、この考え方は後述するNIS2指令の「経営陣の責任」という考え方と強く結びついています。これらの変化は、サイバーセキュリティがもはやIT部門だけの課題ではなく、経営戦略の中核として位置づけなければならないことを示唆しています。
フランスの最新法的動向
フランスのサイバーセキュリティ法は、伝統的な刑法典にとどまらず、新たな脅威に対応するため、急速に進化しています。特に、2024年に成立したSREN法と、EUのNIS2指令は、企業のコンプライアンスに大きな影響を与えます。
新たなデジタル空間の規制を行うSREN法
2024年5月21日に公布されたSREN法(Loi SREN、デジタル空間の安全確保・規制法)は、デジタル空間をより安全に、かつ規制することを目的とした包括的な法律です。この法律は、未成年者保護、詐欺・憎悪コンテンツ対策、ディープフェイクへの対応、クラウド市場の競争促進など、広範な規制内容を網羅しています。
主要な措置として、まず未成年者保護の観点から、ポルノサイトへのアクセスに対する厳格な年齢確認システムの導入を義務付け、違反した場合は最大2年間のサイト遮断と48時間以内の検索エンジンからの除外が命じられます。また、サイバー犯罪・ヘイトコンテンツ対策として、詐欺サイトやオンラインヘイト、サイバーハラスメントで有罪判決を受けた者に対し、裁判官が最大1年間のSNSアカウント停止処分を科すことが可能となりました。さらに、AIで作成された「ディープフェイク」には、7万5千ユーロの罰金と3年の禁錮刑が科せられます。
SREN法は、欧州のDSA(デジタルサービス法)およびDMA(デジタル市場法)をフランス国内法に適用するための枠組みを定めています。これにより、CNIL(情報処理および自由に関する国家委員会)やArcom(視聴覚・デジタル通信規制庁)といった規制当局に新たな権限が付与されました。
日本のプロバイダ責任制限法が、通信の秘密や表現の自由に配慮してコンテンツ削除を比較的慎重に行う構造であるのに対し、SREN法は、未成年者保護や公共の安全を目的とした「フィルタリング」や「サイト遮断」といった国家権限を強化している点が大きな違いです。フランスの法制度は、サイバー犯罪が社会全体に及ぼす影響が拡大しているという認識に基づき、政府がより強力な介入を許容する傾向にあります。この傾向は、Pharosというプラットフォームが、拷問や野蛮な行為の画像を24時間以内に削除、遮断、または検索エンジンから除外する権限を実験的に付与されていることにも表れています。一方で、最高法規である憲法評議会が、オンライン上での「侮辱罪」創設や、国家によるデジタルIDプラットフォーム創設といった一部の規定を「違憲立法」として削除した事実は、行き過ぎた国家権力に対して歯止めをかける、フランスの法の支配の仕組みが機能していることを示しています。
NIS2指令の国内法化と日系企業への影響
欧州全体でサイバーセキュリティ水準を向上させることを目的としたNIS2指令は、現在フランス国内法への移行作業が進められています。EUの最終期限(2024年10月17日)には間に合わなかったものの、2025年夏頃の施行が目標とされています。
NIS2指令は、エネルギー、輸送、銀行、医療といった従来の重要インフラ事業に加え、製造、デジタルサービス、郵便、食品など、18の広範な「重要」分野の企業を対象とします。これらの企業は、「必須事業者(Essential Entities)」と「重要事業者(Important Entities)」に分類され、前者はより厳格な監督(事前の監査など)を受けます。
NIS2指令は、対象企業に対し、以下を含む包括的なセキュリティ対策を義務付けます。
- 厳格なサイバーリスク管理:多要素認証(MFA)やデータの暗号化、定期的なリスク評価など、技術的・組織的措置の導入。
- 迅速なインシデント報告:重大なインシデントが発生した場合、当局(主にANSSI)への報告義務。
- サプライチェーンセキュリティ:サービス提供業者のセキュリティ対策も監督対象となるため、取引先のセキュリティも確保しなければなりません。
- 経営陣の直接責任:経営幹部がサイバーセキュリティ対策を監督する責任を負い、重大な過失が認められた場合には個人にも制裁が科される可能性があります。
このNIS2指令の対象範囲は極めて広いため、フランス国内に拠点を置く日系企業は、自身の事業が「必須」または「重要」事業者に該当するかをまず確認する必要があります。法的拘束力が極めて強く、違反した場合は最大1,000万ユーロ、または全世界年間売上高の2%の罰金という高額な制裁が科されるため、単なるレピュテーションリスクに留まらず、企業の存続に関わる重大な財務リスクを意味します。特に、経営陣の直接的な責任が問われるという点は、日本の企業文化に慣れた経営者にとって大きな意味を持ちます。
フランスのサイバーセキュリティ監督体制
フランスのサイバーセキュリティ体制は、複数の専門機関が連携・分担して統括する構造となっています。その中心には、ANSSIとCNILという二つの主要な機関が存在します。
ANSSI(国家情報システムセキュリティ庁)は、首相直属の機関であり、国家のサイバー防衛を担う中心的な存在です。そのミッションは、国家の重要システムや軍事・インフラ関連のセキュリティ確保、サイバー攻撃の監視・検知・対応、公共機関や企業への助言、そしてセキュリティ製品やサービスの認証・ラベル付けを行うことです。また、NIS2指令の国内法化においても、ANSSIは実施・管理・監督において中心的な役割を担うことになります。
一方、CNIL(情報処理および自由に関する国家委員会)は、欧州のGDPR(一般データ保護規則)の国内監督機関であり、主に個人データの保護を監督します。SREN法の施行に伴い、DSA(デジタルサービス法)に基づく個人データ関連の義務(未成年者への広告プロファイリング制限など)の監視・監督という新たな権限が付与されました。
日本のNISC(内閣サイバーセキュリティセンター)がサイバーセキュリティ戦略の司令塔として機能し、個人情報保護委員会が個人情報保護法を監督する体制と類似しており、ANSSIとCNILの役割は明確に分かれています。ANSSIは「システムの安全性」と「サイバー防衛」を、CNILは「個人情報の保護」を主要な管轄領域とします。
SREN法によって創設された「デジタルサービス規制調整のための国家ネットワーク」は、これらの当局が情報を共有し、連携を強化するための仕組みです。これにより、単一のインシデントが、技術的な側面でANSSIの監視対象となり、個人データの側面でCNILの調査対象となる可能性があります。日系企業は、サイバーインシデント発生時に、両当局への報告義務を負う可能性を認識し、適切な連絡体制を構築しておく必要があります。
まとめ
フランスのサイバーセキュリティ法は、古典的な刑法、動的な国内法(SREN法)、そしてEU指令(NIS2指令)の国内法化という多層的な構造を持っています。この法体系は、サイバー犯罪の発生後に「犯人を処罰する」という従来の考え方から、「社会全体のサイバーリスクを軽減する」という予防的なアプローチへと移行しています。
日系企業は、単に「不正アクセス」を刑法上の犯罪として捉えるだけでなく、NIS2指令に基づく「経営陣の責任」や、新たな報告義務、サプライチェーン全体のリスク管理といった広範なコンプライアンス要件を理解する必要があります。サイバーインシデント発生時には、ヴェルサイユ控訴院の判例が示すように、被害企業が「具体的な損害」を立証する責任を負うため、事前の準備と正確な被害記録が不可欠となります。
カテゴリー: IT・ベンチャーの企業法務
