米国 下院国土安全保障委員会と監視・政府改革委員会の共和党議員が、OMBに対し、重複するサイバー規制を削減するよう要請 (2025.04.08)
こんにちは、丸山満彦です。
米国の連邦下院議会の国土安全保障委員会と監視・政府改革委員会の共和党議員が、OMBに対し、重複するサイバー規制を削減するよう要請していますね...
連邦政府が民間部門に対して約50ものセキュリティに対する政府等への報告要件を課しているが、それを合理化するように要請しています。これは、確かに重用な話ですね。。。
政府機関に一定の情報を報告する必要性(目的)というのはゼロではないですが、複数の政府機関が(それぞれの目的があるのでしょうが)、それぞれの必要に応じてそれぞれ要請すると、いろいろな情報をそれぞれに提供しなければならなくなり、企業側の負担が重くなりますよね。。。そのためのリソースが、セキュリティ対策の向上に利用される方がよっぽど良いわけです。
日本でも同じようなことが起こっているのであれば、是正する必要があるでしょうし、将来的にそういうことが起こらないようにすることは(サイバーセキュリティに限らず)重要なのだろうと思います。日本では、政府への報告は様式(提供する情報だけでなく、形式も決まっている)が決まっている場合もありますからね。。。例えば、ウェブ画面等に、事業者名、関連する法令を入力、選択すれば、自動的に報告内容が表示され、入力またはファイル添付すればOKという、デジタル庁が推進している(デジタルファースト、ワンスオンリー、コネクテッドワンス)が実現されると良いですよね。。。
● Homeland Security Committee | Republican
・2025.04.08 House Homeland, Oversight Republicans Urge OMB to Cut Burdensome, Duplicative Cyber Regulations
| House Homeland, Oversight Republicans Urge OMB to Cut Burdensome, Duplicative Cyber Regulations | 下院国土安全保障委員会と監視・政府改革委員会の共和党議員は、OMBに対し、負担が大きく重複するサイバー規制を削減するよう要請した。 |
| WASHINGTON, D.C. — This week, members of the House Committee on Homeland Security and House Committee on Oversight and Government Reform sent a letter to Office of Management and Budget (OMB) Director Russell Vought, urging OMB to streamline unnecessarily duplicative and resource-intensive cybersecurity regulations, which force critical infrastructure owners and operators to devote resources to complying with burdensome compliance standards instead of defending their networks. Cosigners of the letter include House Committee on Homeland Security Chairman Mark E. Green, MD (R-TN), Committee on Oversight and Government Reform Chairman James Comer (R-KY), Subcommittee on Federal Law Enforcement Chairman Clay Higgins (R-LA), Subcommittee on Cybersecurity, Information Technology, and Government Innovation Chairwoman Nancy Mace (R-SC), and Committee on Oversight and Government Reform member Andy Biggs (R-AZ) . |
ワシントンD.C.-今週、下院国土安全保障委員会と下院監視・政府改革委員会のメンバーは、行政管理予算局(OMB)のラッセル・ヴォート局長に書簡を送り、不必要に重複し、リソースを集中させるサイバーセキュリティ規制を合理化するよう求めた。これらの規制は、重要インフラの所有者や運営者に、ネットワークの防衛ではなく、負担の大きいコンプライアンス基準の遵守にリソースを割くことを強いている。この書簡の賛同者には、マーク・E・グリーン下院国土安全保障委員長(テネシー州選出)、ジェームズ・コマー監視・政府改革委員会委員長(カンザス州選出)、クレイ・ヒギンズ連邦法執行小委員会委員長(ルイジアナ州選出)、ナンシー・メイス・サイバーセキュリティ・情報技術・政府革新小委員会委員長(サウスカロライナ州選出)、アンディ・ビッグス監視・政府改革委員会委員(アリゾナ州選出)が含まれる。 |
| In March 2024, the Cybersecurity and Infrastructure Security Agency (CISA) issued a proposed rule for the bipartisan Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA). If implemented as written, the rule would undermine congressional intent by imposing duplicative incident reporting requirements and covering more entities than necessary. This is just one example of the redundant and counterproductive cyber regulatory landscape . |
2024年3月、サイバーセキュリティ・インフラセキュリティ庁(CISA)は、超党派の「2022年重要インフラ向けサイバーインシデント報告法」(CIRCIA)の規則案を発表した。この規則がそのまま実施されれば、重複するインシデント報告要件を課し、必要以上に多くの事業体を対象とすることで、議会の意図を損なうことになる。これは、冗長で逆効果なサイバー規制の一例に過ぎない。 |
| In the letter, members ask OMB to reduce compliance burdens by reviewing existing and future cyber regulations, identifying opportunities for harmonization within and across agencies, and thoroughly examining the existing cyber regulatory landscape for redundancy in coordination with the Office of the National Cyber Director (ONCD) and CISA. The letter also requests a briefing on OMB’s plans to streamline cyber regulations by April 28, 2025. Read the full letter here . |
書簡の中で、メンバーはOMBに対し、既存および将来のサイバー規制を見直し、省庁内および省庁間の調和の機会を特定し、国家サイバー長官室(ONCD)およびCISAと連携して既存のサイバー規制の冗長性を徹底的に調査することにより、コンプライアンス負担を軽減するよう求めている。この書簡はまた、2025年4月28日までにサイバー規制を合理化するためのOMBの計画に関するブリーフィングを要求している。書簡全文はこちら。 |
| Read more in the Washington Reporter. | 詳しくはワシントン・リポーターを参照のこと。 |
| In the letter, the members wrote, “Such oppressive requirements force entities of all sizes to choose between spending precious resources on security or on compliance. This unnecessary tradeoff puts entities at risk. The U.S. cyber regulatory regime should facilitate valuable and actionable information sharing that reinforces the security measures companies undertake to defend against, and respond to, cyber incidents. As nation-state and criminal actors increasingly target U.S. networks and critical infrastructure in cyberspace, we can no longer allow compliance burdens to hinder the agility of U.S.-based companies to respond to threats in a timely manner.” | このような抑圧的な要求は、あらゆる規模の事業体に、貴重な資源をセキュリティに費やすか、コンプライアンスに費やすかの選択を迫るものである。この不必要なトレードオフは事業体をリスクにさらす。米国のサイバー規制体制は、サイバーインシデントに対する防御と対応のために企業が行っているセキュリティ対策を強化する、価値ある実用的な情報共有を促進すべきである。国民国家や犯罪アクターがサイバー空間における米国のネットワークや重要インフラをますます標的とするようになる中、コンプライアンス上の負担が、米国を拠点とする企業が脅威にタイムリーに対応する機敏性を阻害することは、もはや許されない。 |
| The members continued, “Compliance burdens imposed on companies can be reduced by streamlining cybersecurity requirements, which multiple stakeholders have testified as being unnecessarily duplicative. For example, in 2020, four federal agencies established cybersecurity requirements for states aimed at securing data. According to the U.S. Government Accountability Office (GAO), the percentage of conflicting parameters for these requirements ranged from 49 to 79 percent. Entities subject to these requirements should not bear the brunt of the federal government’s lack of coordination.” | 複数の関係者が不必要に重複していると証言しているサイバーセキュリティ要件を合理化することで、企業に課されるコンプライアンス負担を軽減することができる。例えば、2020年には、4つの連邦政府機関がデータの安全性を確保することを目的としたサイバーセキュリティ要件を州に対して制定した。米国政府アカウンタビリティ室(GAO)によると、これらの要件のパラメータが矛盾している割合は49~79%であった。これらの要件の対象となる事業体は、連邦政府の調整不足の矢面に立たされるべきではない。 |
| The members concluded, “Specifically, OMB could use existing authority granted under Executive Order (EO) 12866: Regulatory Planning and Review. This EO enables OMB’s Office of Information and Regulatory Affairs (OIRA) to periodically review existing significant regulations ‘to confirm that regulations are both compatible with each other and not duplicative or inappropriately burdensome in the aggregate’… in line with President Trump’s 10-to-1 deregulation initiative, OMB must not issue any new cyber regulations without repealing at least ten existing rules and ensuring the net total cost of new and repealed regulation are less than zero. As Congress continues its work to streamline cyber regulations, we urge OMB to take these steps to rein in the cyber regulatory landscape to dramatically improve the security and resiliency of U.S. networks and critical infrastructure. Eliminating the duplicative landscape of cyber regulations is the fastest, most cost-effective way to materially improve the nation’s cybersecurity.” | 具体的には、OMBは大統領令(EO)12866の下で与えられた既存の認可を使用することができる: このEOにより、OMBは規制の計画と見直しを行うことができる。このEOにより、OMBの情報規制局(OIRA)は、既存の重要な規制を定期的に見直し、『規制が互いに互換性があり、全体として重複していないか、不適切な負担になっていないかを確認する』ことができる。トランプ大統領の10対1の規制緩和イニシアチブに沿って、OMBは、少なくとも10の既存規則を廃止することなく、新たなサイバー規制を発行してはならず、新規制と廃止された規制の正味コストの合計がゼロ以下になるようにしなければならない。議会がサイバー規制の合理化作業を続ける中、我々はOMBに対し、米国のネットワークと重要インフラのセキュリティとレジリエンスを劇的に改善するために、サイバー規制の状況を抑制するためのこれらの措置を講じるよう強く要請する。サイバー規制の重複を改善することは、国家のサイバーセキュリティを大幅に改善する最も迅速で費用対効果の高い方法である。 |
| Background: | 背景 |
| In a hearing on cyber regulatory harmonization last month, House Homeland members examined opportunities to improve the cyber regulatory regime, including the role CISA should play in cyber regulatory harmonization moving forward. In his opening statement, Chairman Green highlighted the need to streamline, saying: “There are now at least 50 cyber incident reporting requirements in effect across the federal government… This patchwork of conflicting and complex regulations places a significant burden on reporting entities. Let’s be clear: improving our nation’s cyber regulatory regime will bolster our national security. Current cyber incident reporting regulations require too much of the private sector, drawing their attention away from securing their networks. ” |
先月行われたサイバー規制の調和に関する公聴会で、国土安全保障省の下院議員は、今後のサイバー規制の調和においてCISAが果たすべき役割など、サイバー規制体制を改善する機会を検討した。グリーン委員長は冒頭の発言で、合理化の必要性を強調し、次のように述べた: 「現在、連邦政府全体で少なくとも50のサイバーインシデント報告要件が施行されている......この矛盾した複雑な規制のパッチワークは、報告事業体に大きな負担を強いている。はっきりさせておこう。わが国のサイバー規制体制を改善することは、わが国の国家安全保障を強化することになる。現在のサイバーインシデント報告規制は、民間部門に多くのことを要求し、彼らの注意をネットワークの安全確保から遠ざけている。 |
| Last month, Homeland Republicans sent a letter to Transportation Security Administration (TSA) Acting Administrator Adam Stahl, highlighting the evolving cyber threats facing our nation’s transportation infrastructure and the urgent need for an adaptive cybersecurity posture that does not add to the already complex cybersecurity regulatory landscape . | 先月、国土安全保障省は運輸保安庁(TSA)のアダム・スタール長官代理に書簡を送り、わが国の交通インフラが直面するサイバー脅威の進化と、すでに複雑なサイバーセキュリティ規制の状況をこれ以上増やさない、適応力のあるサイバーセキュリティ態勢の緊急の必要性を強調した。 |
| In 2023, Chairman Green and Subcommittee on Cybersecurity and Infrastructure Protection Chairman Andrew Garbarino (R-NY) were joined by Congressman Zach Nunn (R-IA) on a letter to Securities and Exchange Commission (SEC) Chair Gary Gensler, which sounded off on the agency’s duplicative cyber rules that increase bureaucratic burden for public companies, risk compromising their confidentiality, and run contrary to CIRCIA. | 2023年、グリーン委員長とサイバーセキュリティ・インフラ防護小委員会のアンドリュー・ガルバリノ委員長(ニューヨーク州選出)は、ザック・ナン下院議員(アイア州選出)とともに、証券取引委員会(SEC)のゲーリー・ゲンスラー委員長に書簡を送り、上場企業の官僚的負担を増大させ、機密性を損なうリスクや、CIRCIAに反する同委員会の重複するサイバー規制について非難した。 |
OMB長官への書簡
・[PDF]
| Dear Director Vought: | 親愛なるヴォート長官: |
| We write to urge you to use the existing authorities of the Office of Management and Budget (OMB) to address the burdensome and conflicting cyber regulatory landscape. There is ample evidence that cybersecurity regulatory compliance is unnecessarily sprawling and resource-intensive. The Cybersecurity and Infrastructure Security Agency (CISA) estimates there are more than three dozen federal requirements for cyber incident reporting alone—a number that does not capture specific state, local, Tribal, territorial, or international requirements.[1] | 我々は、行政管理予算局(OMB)の既存の認可を利用して、負担が重く矛盾したサイバー規制の状況に対処するよう、強く要望する。サイバーセキュリティ規制の遵守が不必要に拡大し、リソースを集約しているという証拠は十分にある。サイバーセキュリティ・インフラセキュリティ庁 (CISA) は、サイバーインシデント報告に関する連邦政府の要件だけでも 3 ダース以上あると推定しているが、この数には州、地方、部族、地域、または国際的な特定の要件は含まれていない[1] |
| The resources required for regulated entities to comply are immense. For example, a proposed change to the Health Insurance Portability and Accountability Act of 1996 (HIPAA) Security Rule aimed to improve cybersecurity would cost regulated entities and health-plan sponsors an astounding $9 billion combined in just the first year.[2] According to testimony before the Subcommittee on Cybersecurity and Infrastructure Protection, “bank Chief Information Security Officers [CISOs] now spend 30-50 percent of their time on compliance and examiner management. The cyber teams they oversee spend as much as 70 percent of their time on those same functions.”[3] Additionally, a quarter of the requests for information banks receive are duplicative, uncoordinated agency requests.[4] Again, in testimony before the Subcommittee on Cybersecurity, Information Technology, and Government Innovation, an energy sector witness explained “managing compliance obligations with disparate regulations and across agencies may in fact harm the cybersecurity posture of organizations, particularly where limited resources are allocated to compliance activities over managing risk, maturing capabilities, and creating effective security programs.”[5] | 規制対象事業体が遵守するために必要なリソースは膨大である。例えば、サイバーセキュリティの改善を目的とした1996年医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ・ルールの変更案では、規制対象事業体と医療保険プランのスポンサーを合わせると、初年度だけで90億ドルという驚異的なコストがかかるとされている[2]。 サイバーセキュリティとインフラ保護に関する小委員会での証言によると、「銀行の最高情報セキュリティ責任者(CISO)は現在、時間の30~50%をコンプライアンスと審査官の管理に費やしている。さらに、銀行が受ける情報提供要請の4分の1は、重複し、連携していない機関からの要請である。 4]また、サイバーセキュリティ・情報技術・政府イノベーション小委員会における証言の中で、あるエネルギー部門の証人は、「異なる規制や省庁間のコンプライアンス義務を管理することは、特に、限られたリソースがリスク管理や能力の成熟、効果的なセキュリティ・プログラムの構築よりもコンプライアンス活動に割り当てられている場合、組織のサイバーセキュリティ態勢に悪影響を及ぼす可能性がある」と説明している[5][6] 。 |
| Such oppressive requirements force entities of all sizes to choose between spending precious resources on security or on compliance. This unnecessary tradeoff puts entities at risk. The U.S. cyber regulatory regime should facilitate valuable and actionable information sharing that reinforces the security measures companies undertake to defend against, and respond to, cyber incidents. As nation-state and criminal actors increasingly target U.S. networks and critical infrastructure in cyberspace, we can no longer allow compliance burdens to hinder the agility of U.S.-based companies to respond to threats in a timely manner. | このような抑圧的な要件は、あらゆる規模の事業体に、貴重なリソースをセキュリティに費やすか、コンプライアンスに費やすかの二者択一を迫る。この不必要なトレードオフは事業体をリスクにさらす。米国のサイバー規制体制は、サイバーインシデントに対する防御と対応のために企業が実施するセキュリティ対策を強化する、価値ある実用的な情報共有を促進すべきである。国家や犯罪アクターがサイバー空間における米国のネットワークや重要インフラをますます標的とするようになる中、米国に拠点を置く企業がタイムリーに脅威に対応する機敏性を、コンプライアンス上の負担が妨げることはもはや許されない。 |
| Compliance burdens imposed on companies can be reduced by streamlining cybersecurity requirements, which multiple stakeholders have testified as being unnecessarily duplicative.[6] For example, in 2020, four federal agencies established cybersecurity requirements for states aimed at securing data. According to the U.S. Government Accountability Office (GAO), the percentage of conflicting parameters for these requirements ranged from 49 to 79 percent.[7] Entities subject to these requirements should not bear the brunt of the federal government’s lack of coordination. | 企業に課されるコンプライアンス負担は、複数の関係者が不必要に重複していると証言しているサイバーセキュリティ要件を合理化することで軽減することができる[6]。例えば、2020年には、4つの連邦政府機関がデータの安全確保を目的としたサイバーセキュリティ要件を州に対して制定した。米国政府アカウンタビリティ室(GAO)によると、これらの要件のパラメータが矛盾する割合は49~79%であった[7]。 |
| For several years, Congress has recognized the importance of streamlining cybersecurity requirements and took steps to address it. In 2022, Congress passed the bipartisan Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA), which required CISA to develop a new regulation to set the standard for cyber incident reporting.[8] Additionally, the Streamlining Federal Cybersecurity Regulations Act introduced in both the Senate and House in the 118th Congress establishes an interagency committee within the Office of the National Cyber Director (ONCD) to harmonize regulatory regimes.[9] However, CISA’s proposed CIRCIA rule, if enacted as written, undermines Congressional intent by imposing another layer of duplication by increasing compliance costs and capturing more entities than envisioned by lawmakers.[10] | 数年前から、議会はサイバーセキュリティ要件の合理化の重要性を認識し、それに取り組むための措置を講じてきた。2022年、議会は超党派の「2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)」を可決し、CISAにサイバーインシデント報告の標準を定める新規制の策定を義務付けた[8]。さらに、第118議会に上下両院で提出された「連邦サイバーセキュリティ規制合理化法」は、規制体制を調和させるために国家サイバー長官室(ONCD)内に省庁間委員会を設置するものである。 [しかし、CISAの提案するCIRCIA規則は、もし文書通りに制定されれば、法令遵守コストを増加させ、議員たちが想定していたよりも多くの事業体を捕捉することによって、重複の新たなレイヤーを課すことにより、議会の意図を損なうことになる[10] |
| As the agency tasked with overseeing regulations across the federal government, we recognize the crucial role OMB can and will play in improving our nation’s cyber posture. Therefore, we urge OMB to act now by prioritizing the review of existing and future federal cyber regulations. OMB, in coordination with ONCD and CISA, must thoroughly examine the existing cyber regulatory landscape for duplication and redundancy across the federal government, and identify opportunities for reciprocity within and between agencies. | 連邦政府全体の規制を監督する任務を負う機関として、我々は、OMBが我が国のサイバー態勢の改善において重要な役割を果たすことができ、また果たすであろうことを認識している。従って、我々はOMBに対し、既存および将来の連邦サイバー規制の見直しを優先することで、今すぐ行動を起こすよう求める。OMBは、ONCDおよびCISAと連携して、連邦政府全体の重複や冗長性について既存のサイバー規制の状況を徹底的に調査し、政府機関内および政府機関間の相互主義の機会を特定しなければならない。 |
| Specifically, OMB could use existing authority granted under Executive Order (EO) 12866: Regulatory Planning and Review. This EO enables OMB’s Office of Information and Regulatory Affairs (OIRA) to periodically review existing significant regulations[11] “to confirm that regulations are both compatible with each other and not duplicative or inappropriately burdensome in the aggregate.”[12] The process set forth in EO 12866 has spanned administrations,[13] and forms the basis of two EOs issued by President Trump.[14] Additionally, in line with President Trump’s 10-to-1 deregulation initiative,[15] OMB must not issue any new cyber regulations without repealing at least ten existing rules and ensuring the net total cost of new and repealed regulation are less than zero. | 具体的には、OMBは大統領令(EO)12866の下で与えられた既存の認可を使用することができる: このEOにより、OMBの情報規制局(OIRA)は既存の重要な規制[11]を定期的に見直すことができる。このEOにより、OMBの情報規制局(OIRA)は、既存の重要な規制[11]を定期的に見直し、「規制が互いに互換性があり、全体として重複していないか、不適切な負担になっていないかを確認する」ことができる[12]。 「12] EO 12866で規定されたプロセスは政権をまたぎ[13]、トランプ大統領が出した2つのEOの基礎となっている[14]。さらに、トランプ大統領の10対1規制緩和イニシアチブ[15]に沿って、OMBは、少なくとも10個の既存規則を廃止し、新規制と廃止規制の正味総コストがゼロ以下であることを確認しない限り、新たなサイバー規制を発行してはならない。 |
| As Congress continues its work to streamline cyber regulations, we urge OMB to take these steps to rein in the cyber regulatory landscape to dramatically improve the security and resiliency of U.S. networks and critical infrastructure. Eliminating the duplicative landscape of cyber regulations is the fastest, most cost-effective way to materially improve the nation’s cybersecurity. | 議会がサイバー規制の合理化作業を続ける中、我々はOMBに対し、米国のネットワークと重要インフラのセキュリティとレジリエンスを劇的に改善するために、サイバー規制の状況を抑制するためのこれらの措置を講じるよう強く求める。サイバー規制の重複を改善することは、国家のサイバーセキュリティを大幅に改善する最も迅速で費用対効果の高い方法である。 |
| To support Congress’s continued efforts to streamline cyber regulations and the oversight responsibilities of our Committees over issues related to cybersecurity and regulatory matters, including the identification of any legal barriers that Congress must address through legislation, we request a briefing on OMB’s plans to streamline cyber regulations by April 28, 2025. | サイバー規制を合理化するための議会の継続的な努力と、議会が立法を通じて対処しなければならない法的障壁の特定を含め、サイバーセキュリティと規制事項に関する問題に対する当委員会の監督責任を支援するため、2025年4月28日までにサイバー規制を合理化するためのOMBの計画に関するブリーフィングを要請する。 |
| Per Rule X of the U.S. House of Representatives, the Committee on Homeland Security is the principal committee of jurisdiction for overall homeland security policy and has special oversight of “all Government activities relating to homeland security, including the interaction of all departments and agencies with the Department of Homeland Security.” Additionally, under House Rule X, the Committee on Oversight and Government Reform is the principal oversight committee of the U.S. House of Representatives and has broad authority to investigate “any matter” at “any time”. | 米国下院の規則Xにより、国土安全保障委員会は国土安全保障政策全般を管轄する主要委員会であり、「国土安全保障省とのすべての省庁の相互作用を含む、国土安全保障に関するすべての政府活動」を特別に監督する代表者である。さらに、下院規則Xに基づき、監視・政府改革委員会は米国下院の主要な監視委員会であり、「いつでも」「どのような問題でも」調査できる広範な権限を有している。 |
| We appreciate your prompt attention to this matter and look forward to working with you to enhance our nation’s cyber resiliency and security. | 私たちは、この件への迅速なご配慮に感謝するとともに、わが国のサイバー・レジリエンスとセキュリティを強化するために、皆様と協力できることを楽しみにしている。 |
[1] Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) Reporting
Requirements, 89 FR 23644, Apr. 4, 2024, https://www.federalregister.gov/documents/2024/04/04/2024-06526/cyber-incident-reporting-for-criticalinfrastructure-act-circia-reporting-requirements.
[2] HIPAA Security Rule To Strengthen the Cybersecurity of Electronic Protected Health Information, 90 FR 898, Jan. 6, 2025, https://www.federalregister.gov/documents/2025/01/06/2024-30983/hipaa-security-rule-to-strengthenthe-cybersecurity-of-electronic-protected-health-information.
[3] “Regulatory Harm or Harmonization? Examining the Opportunity to Improve the Cyber Regulatory Regime”, 119th Cong. (2025), Testimony of Heather Hogsett, https://bpi.com/wp-content/uploads/2025/03/Testimony-ofHeather-Hogsett-Regulatory-Harm-or-Harmonization-Examining-the-Opportunity-to-Improve-the-CyberRegulatory-Regime.pdf.
[4] Id.
[5] “Enhancing Cybersecurity by Eliminating Inconsistent Regulations”, 118th Cong. (2024), Testimony of Maggie O’Connell, https://oversight.house.gov/wp-content/uploads/2024/07/OConnell-Testimony.pdf.
[6] See “Surveying CIRCIA: Sector Perspectives on the Notice of Proposed Rulemaking”, 118th Cong. (2024). and “Regulatory Harm or Harmonization? Examining the Opportunity to Improve the Cyber Regulatory Regime”, 119th Cong. (2025).
[7] “Efforts Initiated to Harmonize Regulations, but Significant Work Remains”, U.S. Government Accountability Office, Testimony of David B. Hinchman before the U.S. Homeland Security and Government Affairs Committee of the U.S. Senate, June 5, 2024, https://www.gao.gov/assets/gao-24-107602.pdf.
[8] Text - H.R.2471 - 117th Congress (2021-2022): Consolidated Appropriations Act, 2022. (2022, March 15). https://www.congress.gov/bill/117th-congress/house-bill/2471/text.
[9] Text -S.4630 - 118th Congress (2023-2024): Streamlining Federal Cybersecurity Regulations Act. (2024, December 2). https://www.congress.gov/bill/118th-congress/senate-bill/4630/text.
[10] Congressman Andrew R. Garbarino, Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) Reporting Requirements, 89 FR 23644, Apr. 4, 2024, https://www.regulations.gov/comment/CISA-2022-0010-0464.
[11] A “significant regulatory action” is defined by EO 12866 as “any regulatory action that is likely to result in a rule that may: (1) Have an annual effect on the economy of $100 million or more or adversely affect in a material way the economy, a sector of the economy, productivity, competition, jobs, the environment, public health or safety, or State, local, or tribal governments or communities; (2) Create a serious inconsistency or otherwise interfere with an action taken or planned by another agency; (3) Materially alter the budgetary impact of entitlements, grants, user fees, or loan programs or the rights and obligations of recipients thereof; or (4) Raise novel legal or policy issues arising out of legal mandates, the President’s priorities, or the principles set forth in this Executive order.”
[12] Exec. Order No. 12866, Regulatory Planning and Review, 58 FR 51735, Sept. 30,
1993, https://www.archives.gov/files/federal-register/executive-orders/pdf/12866.pdf.
[13] Office of Management and Budget (OMB): An Overview. (2025, March 23). https://www.congress.gov/crsproduct/RS21665.
[14] See Exec. Order No. 13771, Reducing Regulation and Controlling Regulatory Costs (2017) and Exec. Order No. 14192, Unleashing Prosperity Through Deregulation (2025).
[15] “Fact Sheet: President Donald J. Trump Launches Massive 10-to-1 Deregulation Initiative”, The White House, Jan. 31, 2025, https://www.whitehouse.gov/fact-sheets/2025/01/fact-sheet-president-donald-j-trump-launches-massive-10-to-1deregulation-initiative/.
報道...
中道右派のようです...
・2025.04.09 EXCLUSIVE: Top Republicans want OMB to streamline America's cyber security - by Matthew Foldi
| EXCLUSIVE: Top Republicans want OMB to streamline America's cyber security | 概要: 共和党トップ、OMBに米国のサイバーセキュリティの合理化を求める |
| THE LOWDOWN: | THE LOWDOWN: |
| ・Top Republicans in Congress are eager to see the Trump administration’s Office of Management and Budget (OMB) roll back Biden-era regulations that leaders in the private sector have said are both duplicative and counterproductive, the Washington Reporter can reveal. | ・議会の共和党トップは、トランプ政権の行政管理予算局(OMB)が、民間セクターのリーダーたちが重複的で逆効果だと指摘しているバイデン時代の規制を撤廃することを熱望していることが、ワシントン・レポーターの取材で明らかになった。 |
| ・The Reporter exclusively obtained a letter from House Homeland Security and Oversight Committees chairmen Mark Green and James Comer calling on OMB Director Russ Vought to “address the burdensome and conflicting cyber regulatory landscape.” | ・The Reporter紙が独占的に入手した、下院の国土安全保障委員会と監視委員会のマーク・グリーン委員長とジェームズ・コマー委員長からの書簡は、OMBのラス・ヴォート長官に「負担が大きく、矛盾したサイバー規制の状況に対処する」よう求めている。 |
| ・Reps. Clay Higgins (R., La.), Nancy Mace (R., S.C.), and Andy Biggs (R., Ariz.) joined the chairmen on the letter. | ・クレイ・ヒギンズ議員 クレイ・ヒギンズ議員(共和党、ラオス)、ナンシー・メイス議員(共和党、サウスカロライナ州)、アンディ・ビッグス議員(共和党、アリゾナ州)も、この書簡に加わった。 |
| ・According to President Donald Trump’s 10-to-1 deregulation initiative, OMB “must not issue any new cyber regulations without repealing at least ten existing rules and ensuring the net total cost of new and repealed regulation are less than zero.” | ・ドナルド・トランプ大統領の「10対1規制緩和イニシアチブ」によると、OMBは「少なくとも10個の既存規則を廃止し、新規制と廃止規制の純コスト合計がゼロ以下であることを保証しない限り、いかなる新規サイバー規制も発行してはならない」となっている。 |
| Top Republicans in Congress are eager to see the Trump administration’s Office of Management and Budget (OMB) roll back Biden-era regulations that leaders in the private sector have said are both duplicative and counterproductive, the Washington Reporter can reveal. | 議会の共和党トップは、トランプ政権の行政管理予算局(OMB)が、民間セクターのリーダーたちが重複的で逆効果だと指摘するバイデン時代の規制を撤廃することを熱望していることが、ワシントン・レポーターの取材で明らかになった。 |
| In a letter exclusively obtained by the Reporter, House Homeland Security Committee Chairman Mark Green (R., Tenn.) and House Oversight Committee Chairman James Comer (R., Ky.) wrote to OMB Director Russ Vought urging his agency to “address the burdensome and conflicting cyber regulatory landscape.” Reps. Clay Higgins (R., La.), Nancy Mace (R., S.C.), and Andy Biggs (R., Ariz.) joined the chairmen on the letter. | リポーターが独占入手した書簡の中で、マーク・グリーン下院国土安全保障委員長(テネシー州選出)とジェームズ・コーマー下院監視委員長(キース州選出)は、OMBのラス・ヴォート長官に宛てて、「負担が大きく、矛盾したサイバー規制の状況に対処する」よう求めている。クレイ・ヒギンズ議員 クレイ・ヒギンズ議員(共和党、ラオス)、ナンシー・メイス議員(共和党、サウスカロライナ州)、アンディ・ビッグス議員(共和党、アリゾナ州)も議長に加わった。 |
| “As nation-state and criminal actors increasingly target U.S. networks and critical infrastructure in cyberspace, we can no longer allow compliance burdens to hinder the agility of U.S.-based companies to respond to threats in a timely manner,” they wrote, adding that the dichotomy between spending on security and compliance is an “unnecessary tradeoff.” | 「国家や犯罪アクターがサイバー空間における米国のネットワークや重要インフラをますます標的とするようになる中、米国を拠点とする企業が脅威に対してタイムリーに対応する機敏性を、コンプライアンスの負担が妨げることはもはや許されない。 |
| “The U.S. cyber regulatory regime should facilitate valuable and actionable information sharing that reinforces the security measures companies undertake to defend against, and respond to, cyber incidents,” the lawmakers wrote. | 「米国のサイバー規制体制は、企業がサイバーインシデントに対する防御と対応のために実施するセキュリティ対策を強化する、価値ある実用的な情報共有を促進すべきである。 |
| The lawmakers wrote that there “is ample evidence that cybersecurity regulatory compliance is unnecessarily sprawling and resource-intensive,” and that the “Cybersecurity and Infrastructure Security Agency (CISA) estimates there are more than three dozen federal requirements for cyber incident reporting alone — a number that does not capture specific state, local, Tribal, territorial, or international requirements.” | 議員らは、「サイバーセキュリティ規制の遵守が不必要に広範で資源集約的であることを示す十分な証拠がある」とし、「サイバーセキュリティ・インフラセキュリティ庁(CISA)は、サイバーインシデント報告に関する連邦政府の要件だけでも3ダース以上あると推定している」と記している。これには、州、地方、部族、地域、国際的な要件は含まれていない。 |
| One example the lawmakers point to is “a proposed change to the Health Insurance Portability and Accountability Act of 1996 (HIPAA) Security Rule aimed to improve cybersecurity [which] would cost regulated entities and health-plan sponsors an astounding $9 billion combined in just the first year.” | 議員たちが指摘する一例は、「サイバーセキュリティの改善を目的とした1996年医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ・ルールの変更案」である。 [これは)規制対象となる事業体と医療保険プランのスポンサーを合わせると、初年度に90億ドルという驚異的なコストがかかることになる」。 |
| While Congress has passed numerous bipartisan measures to attempt to streamline cybersecurity requirements, the lawmakers note that Vought’s OMB can play a critical role too. | 議会はサイバーセキュリティの要件を合理化しようとする数多くの超党派の法案を可決したが、議員たちは、ヴォートのOMBも重要な役割を果たすことができると指摘している。 |
| “We urge OMB to act now by prioritizing the review of existing and future federal cyber regulations,” the letter reads. “OMB, in coordination with [the Office of the National Cyber Director] and [the Cybersecurity and Infrastructure Security Agency], must thoroughly examine the existing cyber regulatory landscape for duplication and redundancy across the federal government, and identify opportunities for reciprocity within and between agencies.” | 「我々はOMBに対し、既存および将来の連邦サイバー規制の見直しを優先させることで、今すぐ行動を起こすよう求める。「OMBは、[国家サイバー長官室]および[サイバーセキュリティ・インフラセキュリティ庁]と連携して、連邦政府全体の重複や冗長性について既存のサイバー規制の状況を徹底的に調査し、政府機関内および政府機関間の相互主義の機会を特定しなければならない。 |
| According to President Donald Trump’s 10-to-1 deregulation initiative, OMB “must not issue any new cyber regulations without repealing at least ten existing rules and ensuring the net total cost of new and repealed regulation are less than zero,” they note. | ドナルド・トランプ大統領の10対1規制緩和イニシアチブによると、OMBは「少なくとも10の既存規則を廃止し、新規制と廃止規制の正味総コストがゼロ以下であることを保証することなく、いかなる新規サイバー規制も発表してはならない」と彼らは指摘している。 |
| However, OMB has the ability and authority to “periodically review existing significant regulations ‘to confirm that regulations are both compatible with each other and not duplicative or inappropriately burdensome in the aggregate,’” and the Republicans on the Green-led letter hope Vought exercises that authority. | しかし、OMBは「既存の重要な規制を定期的に見直し、『規制が互いに互換性があり、全体として重複していないか、不適切な負担になっていないかを確認する』能力と認可機関を持っており、グリーン主導の書簡の共和党議員は、ヴォートがその権限を行使することを望んでいる」と述べている。 |
| Following this letter, the lawmakers wrote to Vought that they would like to be briefing on OMB’s plans no later than April 28th. | この書簡を受け、議員たちはヴォートに対し、遅くとも4月28日までにOMBの計画について説明を受けたいと書簡を送った。 |
| “The Trump administration is rightfully working to roll back the burdensome, bureaucratic red tape across industries that ballooned under the Biden-Harris administration,” Green told the Reporter. “In line with that mission, Chairman Comer and I urge Director Vought to use OMB’s existing authorities to closely examine the cyber regulatory regime, which is now forcing the private sector to spend more time meeting duplicative compliance standards than securing their networks from growing cyber threats.” | 「トランプ政権は、バイデン-ハリス政権下で膨れ上がった、業界全体にまたがる負担の大きい官僚主義的なお役所仕事を縮小するために、当然取り組んでいる」とグリーンは記者に語った。「その使命に沿って、コマー委員長と私は、ヴォート局長に対し、OMBの既存の認可を利用して、サイバー規制体制を綿密に検討するよう強く要請する。この規制体制は現在、民間企業に、増大するサイバー脅威からネットワークを守ることよりも、重複するコンプライアンス基準を満たすことに多くの時間を費やすことを強いている。 |
| “Harmonizing and streamlining cyber requirements throughout the federal government will enable America’s cyber defenders to focus on network security,” he added. | 「連邦政府全体のサイバー要件を調和させ、合理化することで、アメリカのサイバー防衛者はネットワークセキュリティに集中できるようになる。 |
| The Trump administration has placed a priority on rolling back unnecessary regulations, which these Republicans think aligns squarely with reforming America’s cybersecurity infrastructure. Under the status quo, they note, “the resources required for regulated entities to comply are immense.” | トランプ政権は不要な規制の撤廃を優先しており、これはアメリカのサイバーセキュリティ・インフラの改革と正面から一致していると共和党員は考えている。現状では、「規制対象事業体が遵守するために必要なリソースは膨大だ」と彼らは指摘する。 |
| Testimony heard by both committees has shown the extent of the problems. | 両委員会が聴取した証言は、問題の大きさを示している。 |
| “Bank Chief Information Security Officers [CISOs] now spend 30-50 percent of their time on compliance and examiner management,” one witness told the Subcommittee on Cybersecurity and Infrastructure Protection. “The cyber teams they oversee spend as much as 70 percent of their time on those same functions.” | 「銀行の最高情報セキュリティ責任者(CISO)は現在、時間の30~50%をコンプライアンスと審査官の管理に費やしている」と、ある証人はサイバーセキュリティ・インフラ保護小委員会で語った。「彼らが監督するサイバーチームは、同じ機能に70パーセントもの時間を費やしている。 |
| Another witness told the Subcommittee on Cybersecurity, Information Technology, and Government Innovation that “managing compliance obligations with disparate regulations and across agencies may in fact harm the cybersecurity posture of organizations, particularly where limited resources are allocated to compliance activities over managing risk, maturing capabilities, and creating effective security programs.” | 別の証人は、サイバーセキュリティ・情報技術・政府イノベーション小委員会に対し、「異なる規制や省庁間のコンプライアンス義務を管理することは、実際に組織のサイバーセキュリティ態勢に悪影響を及ぼす可能性がある。特に、限られたリソースがリスク管理、能力の成熟、効果的なセキュリティプログラムの作成よりもコンプライアンス活動に割り当てられている場合だ」と述べた。 |
| Comer told the Reporter that the findings by the two GOP-led committees should lead to plenty of opportunities for collaboration with the administration. | コマー氏は、共和党が主導する2つの委員会の調査結果は、政権との協力の機会を多くもたらすはずだと記者団に語った。 |
| “Cyberattacks against our government and U.S.-based companies pose a serious threat to our national security and critical infrastructure,” he said. “We must ensure that cybersecurity regulations help prevent these attacks, not enable them.” | 「政府や米国企業に対するサイバー攻撃は、国家安全保障と重要インフラに対する深刻な脅威である。「サイバーセキュリティ規制が、こうした攻撃を可能にするのではなく、未然に防ぐことを確実にしなければならない。 |
| “We look forward to working with the Trump Administration to streamline and harmonize duplicative and bureaucratic regulations so they are effective and efficient,” Comer added. | 「重複した官僚的な規制を合理化し、調和させ、効果的かつ効率的なものにするために、トランプ政権と協力することを楽しみにしている。 |
インシデント報告の重複を減らそうというのはどこも同じですね...
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.04.17 金融安定理事会 (FSB) サイバーインシデント報告におけるより大きな収束を実現するための提言
Recent Comments