台湾サイバーセキュリティ管理法とインフラ産業におけるサプライチェーンセキュリティへの影響

台湾におけるサプライチェーンセキュリティリスクの高まり

昨今、世界各地でサプライチェーンに組み込まれているセキュリティ対策の脆弱な取引先企業を狙ったサイバー攻撃が増加しており、攻撃を受けた企業からの原材料・部品の供給が停止することにより完成品を製造する企業のビジネスに影響を及ぼす事例が増えています。台湾においても、サプライチェーンを狙ったサイバー攻撃が増加しており、ランサムウェア攻撃を受けた工場のシステムを復旧するために製造ラインを一時的に停止するといったインシデントも多発しています。製造業だけでなく、インフラ産業においてもサプライチェーンの中核である電力・通信・運輸・金融等の企業へのサイバー攻撃が多発しており、社会インフラを管理するシステムの停止により社会・経済に大きな影響を与えるリスクも高まっています。このような状況下において、2019年に台湾の行政院は台湾サイバーセキュリティ管理法を制定し、施行することになりました。

【台湾におけるインフラ事業者へのサイバー攻撃】

台湾サイバーセキュリティ管理法の概要

台湾サイバーセキュリティ管理法は、安全な情報通信環境を整備することで社会の安全を確保し、公共の利益保護を目指しています。本法律は「公的機関（官公庁、地方自治体など）」と「特定の非公的機関」に対して適用されます。特定の非公的機関とは、重要な社会インフラを提供する事業者を指し、エネルギー・水資源・通信・輸送・金融・医療・サイエンスパークなどが含まれています。2023年11月時点では本法律の改正の議論が進んでいますが、本法律の適用範囲は所管省庁により指定された「経済活動や生活への重大な影響を与えるインフラ事業者」に限定されており、一般の民間企業は含まない方針となっています。インフラ事業者は、以下のような情報セキュリティ管理が求められており、違反した場合は最大500万台湾ドルの罰金が課されます。

【台湾サイバーセキュリティ管理法におけるインフラ事業者の情報セキュリティ管理】

* 参考「資通安全管理法」を基に加工・作成

重要インフラ事業者に求められる外部委託先のセキュリティ管理

台湾サイバーセキュリティ管理法の下位規則となる施行細則では、前述の情報セキュリティ管理に加えて、インフラ事業者の利用する情報通信システムの構築・保守及び運用サービスの外部委託先に対して、以下の情報セキュリティ対策を求めています。従って、インフラ事業者に指定されている電力会社・航空会社・鉄道会社・物流会社などのインフラ管理・制御システムを納入している日本企業に対して、以下のようなサイバーセキュリティ対策が今後求められる可能性があります。

【台湾サイバーセキュリティ管理法施行細則における外部委託先のセキュリティ要件】

* 参考「資通安全管理法施行細則」を基に加工・作成

また、インフラ事業者の利用する情報通信システムに対して適用されるセキュリティ要件は「資通安全責任等級分級辦法（情報セキュリティ責任に関する等級）」に定められており、所管省庁により指定された等級（高・中・低）により要件数が大きく異なります。インフラ事業者から対応を求められた場合、情報通信システムの開発・運用の委託先企業は、適用される要件を慎重に見極め対応方針を検討する必要があります。サイバーセキュリティ管理法への具体的な対応方法について社内にセキュリティの知見が不足しているケースがあり、外部の専門家に問い合わせる企業も増えています。

【等級に応じて対応すべき具体的な情報セキュリティ要件】

* 参考「資通安全責任等級分級辦法-附表十」を基に加工・作成

本稿に関連するデロイト台湾のサービスのご紹介

• サイバーセキュリティ関連規制に係るアセスメント・対応計画立案
• サイバーセキュリティ関連規制対策の構築・内部監査の支援