サイバーセキュリティ対策の基本的な考え方に関する共通認識が必要？

こんにちは、丸山満彦です。

政府の委員等をしていると、政策に関しても考えないといけないのですが、幅広い知見と、深い洞察が必要となるので、なかなかと苦労しています。

最近少し考えているのですが、世界各国政府が国家サイバーセキュリティ戦略というのが作られています。これは国家安全保障戦略の一部としての位置付けとなるものです。

ただ、より抽象度を上げた基本的な考え方？、原則？のようなものも必要かなと感じています。そこで、次のようなことを思いつきました。（思いついたことを忘れないようにメモしているだけなので、詳細な検討はしていません...）

 

● すべての人にもとめるサイバーセキュリティの責任と期待

ここでいう人は、自然人と法人（政府含む）の両方を含み得ますが、主に法人が中心となります。

なお、経営判断としてのサイバーセキュリティ対策は、すべての人にもとめるサイバーセキュリティの責任と期待を踏まえた、上乗せの議論と考えることになると思います。

 

まずは、２つの責任

責任１：全てのインターネット利用者は最低限のセキュリティ対策をとることが求められる。（どの程度かはその時代によりコンセンサスをとる）

責任２：社会的な影響の大きさに応じた社会的な責任を果たすことが必要。（重要インフラ業務に関わる企業はより高度なセキュリティ対策をする責任がある。）

次に、２つの期待（社会からの期待）

期待１：十分な能力（技術力、資金力、人材、情報等）をもった人は、その能力に応じた社会的な役割を果たすことが期待される。（大手クラウド事業者や政府など）

期待２：互いが能力が補完し合って、より良いインターネット空間を作ることが期待される（業界連携、官民連携、国際連携など）

 

これは、社会的な責任の議論でも出てくる話なので、サイバーセキュリティに閉じた話ではないと思っています。（もう少し調べます。。。）

 

思いつきを忘れないようにしたメモなのですが、皆さんはどう思われますかね...