内閣官房情報セキュリティセンター委託調査

株式会社 NTT データ経営研究所 平成 22 年 3 月

ヨーロッパの情報セキュリティ対策における 協力・連携体制に関する調査研究

平成 21 年度

内閣官房情報セキュリティセンター委託調査

＜ 目 次 ＞

1. ヨーロッパにおける多国間組織の概況と情報セキュリティに対する取り組みの現状 ... 1

1.1. EU（E

U

）－組織及び法令 ... 1

1.1.1. 背景 ... 1

1.1.2. EU 加盟国の情報セキュリティ対策に関する主な動きの概要 ... 3

1.1.3. セキュリティに関する調査・研究開発、協力、イノベーション推進 ... 8

1.1.4. 関係機関 ... 13

1.2. EU における情報セキュリティ推進組織 ... 22

1.2.1. European Network and Information Security Agency （ENISA） ... 23

1.2.2. 欧州情報セキュリティプロモーションプログラム （EISPP） ... 34

1.2.3. European Security Research Advisory Board （ESRAB） ... 39

1.2.4. European Security Research and Innovation Forum （ ESRIF ） ... 42

1.2.5. Institute for the Protection and Security of the Citizen （IPSC） ... 46

1.3. 欧州における CERT

の協力 ... 54

1.3.1. European Government CERTs （EGC）Group ... 57

1.3.2. Task Force – Collaboration of Security Incident Response Teams (TF-CSIRT) .. 60

1.3.3. Trusted Introducer （ TI ） ... 66

1.3.4. NORDUnet ... 70

1.3.5. European Cooperation of Abuse Fighting Teams （E-CoAT） ... 74

1.4. EU における重要インフラの情報通信機能防護 ... 77

1.4.1. EU における SCADA 及び重要インフラ保護の手段、組織 ... 77

1.4.2. 関連組織 ... 78

1.4.3. 関連する戦略や法規制 ... 79

1.4.4. EU の重要情報インフラプロジェクト ... 85

1.4.5. EU における SCADA を取り巻く現状 ... 87

1.4.6. Euro-SCSIE ... 89

2. ヨーロッパ各国の情報セキュリティ関連の活動 ... 95

2.1. 情報セキュリティイニシアティブに関する情報更新 – 英国、 フランス、ドイツ ... 95

2.1.1. 英国 ... 95

2.1.2. フランス ... 104

2.1.3. ドイツ ... 117

2.2. スウェーデン、チェコ、エストニアにおける情報セキュリティ対策の概要 ... 127

2.2.1. スウェーデン王国 ... 127

2.2.2. チェコ共和国 ... 148

2.2.3. エストニア共和国 ... 162

3. 産業界の情報セキュリティ面での取り組み ... 179

3.1. ドイツの自動車業界とロシア市場における情報セキュリティ面での取り組み ... 179

3.1.1. 自動車業界における規制とガイドライン ... 179

3.1.2. 関係機関 ... 181

3.1.5. 情報セキュリティ面での取り組み ... 193

3.1.6. 情報セキュリティ面での課題 ... 195

3.2. スペイン T

社とブラジル市場における情報セキュリティ面での取り組み .. 197

3.2.1. 規則とガイドライン ... 197

3.2.2. 情報セキュリティ面での取り組み ... 200

3.2.3. 情報セキュリティでの課題 ... 206

1

1. ヨーロッパにおける多国間組織の概況と情報セキュリティに対する 取り組みの現状

1.1. EU （ European Union ）－組織及び法令

1.1.1. 背景

多くの国や地域が考えるように、 EU 及び各加盟国の多くで、インターネット及び ICT の進展、 IT 技術の進展によって、情報通信は、社会や市民生活、重要インフラにとって必 要不可欠な社会基盤の 1 つになっていると考えられている。その一方で、これらに対する 事故やテロ等の脅威が高まっており、ひとたびこれらの脅威に晒された場合の影響は甚大 であるとの認識を持っている。こうした情報セキュリティに対する認識の高まりに伴って、

EU 及び EU 加盟各国では、これらの脅威に対する法制度の整備、実際の対応等が進められ ている。

これらの動きは、情報技術の進展やインターネットの利用拡大に伴って、自然と加速さ れる部分と大規模なインシデント（例えば、テロやサイバーアタック、重要インフラの停 止）等を契機として、加速する 2 つの側面があると考えられる。

その 1 つの側面として、米国で 2001 年に発生した同時多発テロによって、国土の安全 保障対策が大幅に見直された。同様に、 EU 圏内においても、 2004 年にスペインで発生し たマドリード・列車爆破テロ、 2005 年に英国で発生したロンドン・同時爆破テロにより EU 加盟国の間でもテロ対策が喫緊の課題となった。本調査は、情報セキュリティ対策を中 心として扱うものであるが、重要インフラの情報通信機能の防護などにおいては、テロ、

自然災害等に対する安全保障政策の一環として位置づけられていることから、セキュリテ

ィ対策全般についても調査対象としている

2

また、エストニア

やグルジア

両政府が 2007 年や 2008 年に受けた情報セキュリティの インシデント事例も、 EU における議論が活発化する契機となった。このような政府機関や 社会インフラを狙った近年のテロやサイバー上の脅威の急激な増加は、国際社会において 大きな懸念事項となっている。

しかし、こういった議論はインシデントの発生のみが契機となって促進されるわけでは ない。 EU においては、エストニアやグルジアのインシデントが生じる前から、情報セキュ リティに関する戦略や法律が起案されてきた。その理由として、 EU 及び EU 以外の国との 情報ネットワークの融合、国際的な情報の流通の増加、及びコミュニケーションサービス の自由化

が浸透していたからである。これらの戦略や法律は、 EU に適用されるのみなら ず、域外の行政機関、関係機関にも影響を及ぼすために、必然的に情報セキュリティに関 する議論が、 EU 域内の各国で議論されるようになったというものである。

本報告書では、以上に挙げるような 2 つの側面から、ヨーロッパにおける情報セキュリ ティ対策の状況について、過去の取り組みに加えて、最近の潮流を踏まえ、取りまとめた ものである。本報告書は、おおよそ 3 つのパートで構成される。

1． EU の情報セキュリティ対策および制度に関する調査

2 ． 先進国の法律および関係機関の更新状況。 攻撃を受けた国、および、受ける可 能性が高い国の、体制整備状況および関係機関の概要の調査

3 ． EU の情報セキュリティ基本方針が、 EU 域外との通商上に及ぼす影響の調査

1

Finn, Peter. “Cyber Assaults on Estonia Typify a New Battle Tactic.” The Washington Post. 19 May 2007. 9 Dec 2009.

<http://www.washingtonpost.com/wp-dyn/content/article/2007/05/18/AR2007051802122.html>

2

Wentworth, Travis. “You’ve Got Malice.” Newsweek. 23 Aug 2008. 9 Dec 2009.

<http://www.newsweek.com/id/154965>

3

European Commission. Network and Information Security: Proposal for a European Policy Approach.

Jun 2001. 9 Dec 2009.

<http://ec.europa.eu/information_society/eeurope/2002/news_library/pdf_files/netsec_en.pdf> Pp. 3-4.

3

1.1.2. EU 加盟国の情報セキュリティ対策に関する主な動きの概要

情報セキュリティは、政策立案者にとって重要度の高い取り組み対象である。

なぜなら、情報セキュリティは、情報技術の進展やインターネットの利用拡大に伴い、

国家の機能や市民生活のあらゆる場面で考慮される問題であり、ひとたび問題が生じると、

例えば、電子商取引の安心・安全や国家防衛、経済等に対して、多大な影響を及ぼす可能 性があるからである

。

また、国内のインターネット基盤や、その上で成立している重要なサービス等に対して、

国外ないしは EU 圏外からと推定される攻撃が発生している事実がある。 IP アドレスの偽 装が容易であるというインターネットの仕組み上、特定の国からの攻撃であるという確証 は得にくいものの、そういった社会の混乱を招くような国外からの動きに対しては、国防 と同様に、国としての対応が求められるからである。

加えて、その攻撃が国内からのものであったとしても、警察機能が国の主要な機能の一 部であるのと同様に、サイバー空間上で発生する国民の生命・財産への脅威に対しては、

国家レベルの対応が求められるという側面があるからである。

1990 年代の初頭までは EU は指令「 Directive 95/46/EC 」を発行しており、個人情報を 処理している全ての関係者に対して、情報の安全性とセキュリティを確保するために、適 切な処置をとることを求めていた

。

同指令は、 IT 技術及びその利用の進展を踏まえて、 2002 年に更新され

、電子的なコミ ュニケーションも、対象として盛り込まれることとなったことから、電子的なサービスや ネットワーク事業者に対して、事業者が提供するサービスのセキュリティの確保の責任が 課されることになった

。

その後、 2001 年 ( 米国 ) および 2004 年 ( スペイン ) で発生したテロ事件によって、反テロ戦 略の見直しと更新が、世界的に実施されることになった。このとき、 EU では、多くの反テ

4

European Commission. Network and Information Security: Proposal for a European Policy Approach.

Jun 2001. 9 Dec 2009. - 3.1. Rationale for public policy

<http://ec.europa.eu/information_society/eeurope/2002/news_library/pdf_files/netsec_en.pdf> Pp13.

5

European Parliament and the Council of the European Union. Directive 95/46/EC. 24 Oct 1995. 9 Dec 2009. <http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:EN:HTML> Article 17.

6

European Parliament and the Council of the European Union. Directive 2002/58/EC. 12 Jul 2002. 9 Dec 2009. <http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:EN:HTML>

7

6 と同じ文献。 Article 4.

4

ロのための政策

やアクションプラン

を採用している。この中には、 2004 年のハーグプロ

グラム（ Hague Programme ）において取りまとめられたものも含まれている。関係国は、

これらの政策やアクションプランにより、セキュリティの分野において、より大規模な協 力関係の構築が求められることになった

。

同年には引き続いて、欧州委員会（ European Commission ）が数多くの追加ガイドライ ンを提案し、テロリストとの対決姿勢を打ち出した。これらの中では、「テロリストから 重要インフラを保護する」とされており、 EU における重要インフラを守るための追加策や セキュリティ面での努力すべき点などについて議論が行なわれた

。

そうした中で、 European Programme for Critical Infrastructure Protection （ EPCIP ）が 創設されたものである。

また、2005 年に欧州議会は、情報システムへの攻撃に対抗するための決定（Framework Decision 2005/222/JHA）を発行している

。これは、以前の委員会報告である"Network and Information Security: Proposal for a European Policy Approach.”

からの推奨に対する対応 策と言えるものである。

本決定では、 EU 加盟国の司法機関とも協調することによって、サイバーアタックに対し て、より包括的かつ協調的な戦略を確立することを目指しており、加盟国に対しては、情

8

EurActiv.com. Anti-Terrorism Policy. 11 Mar 2005. 9 Dec 2009.

<http://www.euractiv.com/en/security/anti-terrorism-policy/article-136674>

9

“EU finalizes anti-terrorism plans.” CNN. 16 Nov 2001. 9 Dec 2009.

<http://archives.cnn.com/2001/WORLD/europe/11/16/gen.eu.terror/index.html>

10

Official Journal. The Hague Programme: Strengthening freedom, security and justice in the European Union. 3 Mar 2005. 15 Dec 2009.

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52005XG0303(01):EN:HTML>

11

European Commission. Critical Infrastructure Protection in the Fight Against Terrorism COM/2004/702 final. 20 Oct 2004. 9 Dec 2009.

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2004:0702:FIN:EN:PDF>

12

Council of the European Union. Framework Decision on Attacks Against Information Systems (2005/222/JHA). 24 Feb 2005. 10 Dec 2009.

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32005F0222:EN:HTML>

13

European Commission. Network and Information Security: Proposal for a European Policy Approach.

Jun 2001. 15 Dec 2009.

<http://ec.europa.eu/information_society/eeurope/2002/news_library/pdf_files/netsec_en.pdf>

5

報システムへの違法なネットワークアクセスや干渉を処罰するための立法的措置を講じる ことが求められている。

その後、エストニアで 2007 年に発生したサイバーアタックと、 2008 年に地中海と中東 で起こった通信ケーブルの破壊などを踏まえ、同委員会では、重要インフラ保護に関する 委員会報告において、 “ ヨーロッパを大規模なサイバーアタックや破壊から守り、事前準備、

セキュリティ対応、および回復能力を高める ”

という報告書を公布した。

更に、 5 つの柱からなる戦略を取りまとめ、 EU の加盟国が互いに協力することによって、

優先順位や能力に関して歩調を合わせ、セキュリティへの準備を確かなものとし、過去の 戦略を補っていくこととされた。本件の詳細については、「 1.4.EU における重要インフラ の情報通信機能防護（ P.77 ）」の章で、詳しく解説する。

2006 年に EPCIP は、別の委員会報告書（ EPCIP に関する報告書

）によって詳細が定

められることになった。 EPCIP が取り扱うのは、複数の EU 加盟国における重要インフラ であり、以下の様な対象を想定している。

 エネルギー

 水道

 食料

 金融

 輸送

 核エネルギー

 情報通信 （ ICT ）等

EPCIP は、重要インフラの定義について詳細に触れており、本件については、「 1.4.EU

における重要インフラの情報通信機能防護（ P77 ）」の章で、詳しく解説する。

EPCIP に関する報告書では、重要インフラ保護（ Critical Infrastructure Protection ： CIP 、 以下必要に応じて、 CIP と略すことがある）に関して、専門家から構成されるグループの

14

European Commission. Critical Information Infrastructure Protection (COM/2009/149 final). 30 Mar 2009. 23 Dec 2009.

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2009:0149:FIN:EN:PDF>

15

Communication from the Commission on a European Programme for Critical Infrastructure Protection

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52006DC0786:EN:NOT>

6

創設も提唱

している。さらに、欧州委員会では、 2008 年 10 月下旬に公式提言

取りま

とめ、 EPCIP への助言機能を果たすネットワーク（ CIWIN ）の設立を提唱した。この専門

家グループによって、重要インフラについて加盟国間で情報交換の場を設け、重要インフ ラ に 関 す る 情 報 や 警 告 に 関 す る 情 報 を 交 換 す る た め の ネ ッ ト ワ ー ク 組 織 （ Critical Infrastructure Warning Information Network ： CIWIN

）が設置されることになった。

CIWIN では、二つの業務を担うことになっている。一つは「重要インフラ保護に関する

情報交換向けの電子的なフォーラムの維持」であり、もう一つは参加する国や委員会等に 対して、重要インフラのリスクや脅威を迅速に警告するシステムとして機能することであ る

。この件については、「 1.4.EU における重要インフラの情報通信機能防護（ P.77 ）」

の Euro-SCSIE の項にて、詳細に説明する。

また、 EPCIP は、重要インフラに関するプロジェクト

へ、財政面での支援機能も担う

ことになった。これは、 2007 年から 2013 年までを対象に、欧州議会の決定（ Decision

2007/124/EC ）によって決まったもので、セキュリティとセーフガードの自由に関する一

般プログラム（ General Programme on Security and Safeguarding Liberties ）

の一部とし て実行されている。このプログラムは、テロあるいはその他のセキュリティ上のリスクに 対する、予防、準備及び結果のマネジメントに関するものであり、欧州の自由、安全と正

16

Communication from the Commission on a European Programme for Critical Infrastructure Protection

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52006DC0786:EN:NOT> 4.3. Expert groups

17

COUNCIL DECISION on a Critical Infrastructure Warning Information Network (CIWIN) - Grounds for and objectives of the proposal Pp.2

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2008:0676:FIN:EN:PDF>

18

European Commission. The European Programme for Critical Infrastructure Protection. 12 Dec 2006. 9 Dec 2009. <http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2006:0786:FIN:EN:HTML>

19

European Commission. Proposal for a Council Decision on a Critical Infrastructure Warning Information Network. 27 Oct 2008. 10 Dec 2009.

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2008:0676:FIN:EN:PDF> Pp. 12, Article 4, Section 1.

20

European Commission. European Programme for Critical Infrastructure Protection (COM/2006/786 final). 12 Dec 2006. 21 Dec 2009.

<http://eur-lex.europa.eu/LexUriServ/site/en/com/2006/com2006_0786en01.pdf> Pp. 4.

21

European Council. Decision 2007/124/EC. 12 Feb 2007. 21 Dec 2009.

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2007:058:0001:0006:EN:PDF>

7

義を守るための戦いとして、テロから市民を守るためには必要不可欠な要素であると位置 づけ、加盟国がテロ等への対策を進めるにあたってのサポートを行うというものである

。 特に、以下のような取り組みには金銭的な支援を行っている。

 情報共有の強化、重要インフラに対する認識の向上、コンティンジェンシープラン の作成、ベストプラクティスの横展開等の施策実行上の協力や協働に関する取り組 み

 分析、モニタリング、評価や監査に関する取り組み

 トレーニングやスタッフや専門家の人材を行う取り組み

 普及、啓発に関する取り組み

この、セキュリティとセーフガードの自由に関する一般プログラムは、多くのセキュリ テ ィ に 関 す る 調 査 プ ロ ジ ェ ク ト が 実 施 さ れ て い る プ ロ グ ラ ム 「 Seventh Framework

Programme

」（いわゆる第 7 次研究フレームワーク計画）から分離されたものである。

EPCIP が推奨した行動計画は、順次実行に移されている。 2008 年には欧州議会の指令

(Directive 2008/114/EC) に よ っ て 、 EU が 定 め る 重 要 イ ン フ ラ （ European Critical

Infrastructure （ ECI ））について、加盟国は明確に定義にした上で、重要インフラの運営

事業者が安全性に関する計画を準備していることを確認しなければならないこととなった

24

。

また、 2010 年から 2012 年には、 EU 諸国の重要インフラ（ ECI ）に関する脅威とリスク について取りまとめた、最初のレポートが公表される予定となっている

。

22

Prevention, Preparedness and Consequence Management of Terrorism and other Security related risks Part2 <http://ec.europa.eu/justice_home/funding/cips/funding_cips_en.htm#part_2>

23

Seventh Framework Programme (FP7) <http://cordis.europa.eu/fp7/dc/index.cfm>

24

Council of the European Union. Council Directive 2008/114/EC. 8 Dec 2008. 10 Dec 2009.

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:345:0075:0082:EN:PDF> Article 3, 5.

25

European Commission. Justice, Freedom and Security in Europe Since 2005: An Evaluation of the Hague Programme and Action Plan. 6 Oct 2009. 10 Dec 2009.

<http://ec.europa.eu/justice_home/doc_centre/doc/sec_2009_766_en.pdf> Pp. 60.

8

1.1.3. セキュリティに関する調査・研究開発、協力、イノベーション推

進

EU では、情報技術及びインターネットの利用拡大に呼応して、 2000 年代の初頭に、 ICT に関する数多くの指令（ Directives ）を公布してきた。これら指令の多くは、 EU 加盟国間 で法制度面の協力と協調を要求している

。

こうした加盟国によるセキュリティ面での取り組みの採択、実行、維持継続を支援する ため、欧州議会が定めた規則（ Regulation （ EC ） No 460/2004

）を根拠として、 ENISA が創設された。 ENISA は、 EU 加盟国に対して、ネットワークや情報セキュリティ上の問 題に関する助言機関として機能することが目的である

。

また、 ENISA では、情報セキュリティに係る情報を収集、分析するとともに、 EU 加盟

国への助言や、協調の支援、脅威や活動内容の理解に関する促進活動も行なっており、産 業界の専門家によるコンサルティング活動も含まれている

。

ENISA の活動期間は、当初は 5 年のみとされていたが、現在は 2012 年までその活動が

延長されているが

、あくまで ENISA は助言機関であり強制力を有していない。

そこで、セキュリティ上の大問題が発生した場合には、 EU 全般を指揮するような、より 強力な組織や人物が必要なのではないかという提案が、これまで行なわれてきた

。

26

European Parliament and the Council of the European Union. Regulation (EC) No 460/2004. 10 Mar 2004. 11 Dec 2009.

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32004R0460:EN:HTML> “Whereas”

5-9.

27

26 と同じ文献。

28

Dalgaard-Nielson, Anja et al (ed). Transatlantic Homeland Security. James A. Lewis. 2006. 10 Dec 2009.

<http://books.google.com/books?id=5pGCYQOPI3wC&lpg=PA84&dq=eu%20information%20security&

pg=PP1#v=onepage&q=eu%20information%20security&f=false> Pp. 86.

29

26 と同じ文献。 Article 3.

30

European Parliament and the Council of the European Union. Regulation (EC) No 1007/2008. 24 Sep 2008. 23 Dec 2009.

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:293:0001:0002:EN:PDF>

9

ENISA が、政策立案者や加盟国への助言を担っているのに対して、 JRC はその政策の実

行を主に担っている。 JRC などの組織は、政策サイドから求められた科学技術的な要素を 実現するための研究機関である。特に情報セキュリティに関しては、 JRC 配下である IPSC がその役割を担っており、 Euro-SCSIE 等の重要インフラ防護に関するプログラムが実行 されている。

このように、 EU では、情報セキュリティの調査・研究開発及びイノベーションに関して は、政策の立案をサポートする組織とその政策を実現するための組織の 2 つに役割分担を 行いながら、推進を行っている

。

ENISA の創設の後に、 EU 委員会では i2010 にて、情報セキュリティに関する調査研究

について取りまとめている。 i2010 は従来の eEurope 2002 and 2005 strategies の後継と しての位置づけであるが

、現時点での EU における ICT に関するフレームワークは i2010 である。

 “ 一つのヨーロッパの情報空間（ Single European Information Space ） ” を創設することによって、デジタルサービスやブロードバンドのパフォー マンスから規制、セキュリティにいたる取り組みを加速化させる

31

活動期間延長後の ENISA においては、後述する様に助言以外の機能も強化されるような動きもある。

32

Reding, Viviane. “Europe Must Be Prepared for Cyber Attacks.” 27 Apr 2009. 10 Dec 2009.

<http://ec.europa.eu/commission_barroso/reding/video/text/message_20090427.pdf> Pp. 3.

33

ENISA ないしは同等の組織にも実行的な権限や能力を持たせる必要があるという議論がある。JRC に

おいても、政策の科学技術による実現のみではなく、JRC の活動の一環として技術動向に関する監視 活動の成果を政策側へフィードバックすることも行っていると考えられる。いずれにしても。 ENISA の今後の動向については引き続き注目が必要である。

34

European Commission Information Society. Before i2010: eEurope Initiative. 15 Dec 2009.

<http://ec.europa.eu/information_society/eeurope/2002/index_en.htm>

10

 第 7 次研究フレームワーク計画

に代表される研究開発に対する財源メカ ニズムを活かすことで、情報通信に関する調査研究における投資やイノベ ーションを加速させる

 “ ヨーロッパの情報社会化 ” を進め、その中でアクセシビリティ向上、オン ラインの行政サービスの支援から生活レベルの改善までを目指していく

EU では、 i2010 のようなプログラムを通じて、ユーザの ICT への信頼を高めることを目

指している

。こうしたユーザの信頼を高めるための活動の一環として、欧州委員会では安 全な情報社会に関する戦略（ Strategy for a Secure Information Society

）を公表している。

同戦略は、欧州議会によって 2007 年に承認されたものである

。同委員会では、 EU 加 盟国間における情報セキュリティ面での取り組みに、 ENISA をより積極的に活用するよう に促すとともに、加盟国に対しては、 ICT とネットワークの情報セキュリティ政策の分野 において、互いに協力していくことを要求している

。

35

European Parliament and the Council of the European Union. Decision No 1982/2006/EC. 18 Dec 2006. 15 Dec 2009.

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:412:0001:0041:EN:PDF.>

36

European Commission. i2010 – A European Information Society for Growth and Employment (COM/2005/229 final). 1 Jun 2005. 10 Dec 2009.

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2005:0229:FIN:EN:PDF>

37

European Commission. Protecting Europe from large scale cyber-attacks and disruptions: enhancing preparedness, security and resilience. 30 Mar 2009. 10 Dec 2009.

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2009:0149:FIN:EN:HTML> Section 3.1.

38

European Commission. A Strategy for a Secure Information Society – “Dialogue, Partnership and Empowerment.” 31 May 2006. 10 Dec 2009.

<http://ec.europa.eu/information_society/doc/com2006251.pdf>

39

Council of the European Union. Council Resolution (2007/C68/01). 22 Mar 2007. 10 Dec 2009.

<http://eur-lex.europa.eu/LexUriServ/site/en/oj/2007/c_068/c_06820070324en00010004.pdf>

40

39 の文献と同じ。 Pp.3 (6)

11

さらに同戦略では、参加国に対して、 World Summit on the Information Society （ WSIS ）

Action Lines

と呼ばれるガイドラインの実施を働きかけている。同ガイドラインは、 i2010

の中で EU が求めるレベルの ICT 及びそのガバナンスに関する 10 のゴール

の実現を求め ている。具体的には、各国の状況も踏まえつつ、 2015 年までに、以下の内容の実現を求め るものである。

 ICT によって、人口過疎地同士をつなぎコミュニティを構築する

 ICT によって、大学、高校、小中学校等の教育機関同士をつなぐ

 ICT によって、科学技術の研究所同士をつなぐ

 ICT によって、公共の図書館、文化センター、美術館、郵便局や公文書館 同士をつなぐ

 ICT によって、病院と医療関係機関をつなぐ

 全ての地方公共団体と中央省庁同士と接続したうえで、 Web サイトの設 置と電子メールの利用を可能にする

 全ての小中学校のカリキュラムを、各国の状況を踏まえながら、情報化社 会への挑戦に見合った内容にする

 世界中の人がテレビとラジオの視聴が可能となるようにする

 インターネット上で利用される全ての言語の、利活用を容易にするために、

技術的な条件の設定とその内容の開発の奨励を行う

 世界の半分以上の人たちが、 ICT へアクセスできるようにする

このように、指令やプログラムなどを通じて、 EU は情報セキュリティ分野で、数多くの 成果を残している。加盟国間や関係者間での情報交換をサポートするだけでなく、情報セ キュリティに係る様々な課題に関する認知を高めるとともに、いくつかの EU 加盟国にお いて、重要インフラ関連のプログラムを取りまとめる際の支援まで行なったこともある

。

41

39 の文献と同じ。

Council of the European Union. Council Resolution (2007/C68/01). 22 Mar 2007. 10 Dec 2009.

<http://eur-lex.europa.eu/LexUriServ/site/en/oj/2007/c_068/c_06820070324en00010004.pdf> Pp. (7).

42

World Summit on the Information Society. Plan of Action. 12 Dec 2003. 10 Dec 2009.

<http://www.itu.int/wsis/docs/geneva/official/poa.html#c1>

43

European Commission. Justice, Freedom and Security in Europe Since 2005: An Evaluation of the Hague Programme and Action Plan. 6 Oct 2009. 10 Dec 2009.

<http://ec.europa.eu/justice_home/doc_centre/doc/sec_2009_766_en.pdf> Pp. 61.

12

しかし、様々な加盟国から構成される EU の特質ゆえに、 ICT のセキュリティに関して は、数多くの問題に直面しているというのも事実である。 2009 年 3 月の委員会報告書で指 摘されているように

、情報セキュリティへのアプローチや準備状況、専門家のレベルなど は国によって差がある。この状況は、情報の流通が、国境を越えて行なわれる現在におい ては、少しでも取り組みが遅れているがために EU 内のウィーケストリンクとなり、情報 セキュリティ対策が弱い国を起点とした、情報セキュリティインシデントの連鎖が発生す る可能性を孕んでいるということである

。

44

European Commission. Protecting Europe from large scale cyber-attacks and disruptions: enhancing preparedness, security and resilience. 30 Mar 2009. 10 Dec 2009.

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2009:0149:FIN:EN:HTML> 3.4.1.

45

EU では、政策あるいはセキュリティ問題への対応について、関係国及び加盟国の責任組織間の連携に

よる対応を推進し、政策やセキュリティへの対応の一体性の向上が従来以上に求められている。

13

1.1.4. 関係機関

1) 欧州委員会

欧州委員会は、 1 つの加盟国から 1 名ずつ、計 27 名によって構成されており、全員が一 体となって EU の利益のために行動することとなっている

。委員会は各国の代表としての 権限を有するだけではなく、法案の起草の権限も有している。これは委員会だけが持つ権 限である。

こうした起草には数多くの政策領域がかかわってくることから、委員会はさらに

Directorates-General （ DG ）と呼ばれる組織に細分化されており、 DG は各領域に対して

専門家として起草作業の責任を有している。これら DG の一つに、情報社会とメディア

（ Information Society and Media ）に関するものや、司法・自由・セキュリティ（ Justice,

Freedom and Security ）などがあり、 ICT やセキュリティに関する数多くの法案の起草を

支援する役割を果たしている

。

2) EU 評議会（ Council of the European Union ）

EU 評議会は、 EU における中心的な意思決定機関であり、立法的権限に加え行政的な権 限も有している。議会自身が起草作業を仮に行なわなかったとしても、委員会に対して起 草作業の要求をすることができる。会合には各加盟国から 1 名ずつが参加することになっ ているが、メンバの構成はどのようなテーマを扱うかによって変更されることもある

。

46

2009 年 12 月 1 日のリスボン条約で発効された

47

EU 委員会、委員会と略されることがある

48

Europa. The European Commission. 23 Dec 2009.

<http://europa.eu/institutions/inst/comm/index_en.htm>

49

European Commission. Directorates-General and Services. 23 Dec 2009.

<http://ec.europa.eu/dgs_en.htm>

50

欧州連合理事会、理事会と略されることもある

51

Europa. The Council of the European Union. 23 Dec 2009.

<http://europa.eu/institutions/inst/council/index_en.htm>

14

2002 年から、 2009 年のリスボン条約（ Treat of Lisbon ）発行までは、 9 部門に分かれた 議会で構成されていた

。この中で ICT やセキュリティに最も関係があるものとしては、

運輸・通信・エネルギー委員会（ Transport, Telecommunications and Energy Council ）、

競争政策委員会 （ Competitiveness Council ）あるいは司法委員会（ Justice and Home Affairs

Council ）などがある。

3) 欧州議会

欧州議会のメンバは、 EU 市民によって選ばれており、各メンバは、選出した市民の利益 を代表している。多くの場合、欧州議会は EU 評議会と共同で法案を通過させている。議 会は、他の EU の機関に対する監督権限を有しており、予算について決定を下している

。

4) 欧州理事会（ European Council ）

欧州理事会（ European Council ）は、 EU 加盟国の最高責任者（加盟国首脳）によって構 成されている。法律上、公式な権限を有しているわけではないが、議論される議題は EU の政策議題となるのが通常である。ここでの宣言が、法律上の権限を持つに至るまでには、

EU 委員会が起草した法律を欧州議会が採択した上で、 EU 評議会が立法手続きをとる手続 きが必要となる

。

52

Council of the European Union. The Council: Council Configurations. 23 Dec 2009.

<http://www.consilium.europa.eu/showPage.aspx?id=426&lang=en>

53

Europa. The European Parliament. 23 Dec 2009.

<http://europa.eu/institutions/inst/parliament/index_en.htm>

54

Europa. European Council. 23 Dec 2009. <http://europa.eu/european-council/glance/index_en.htm>

15

5) EU 機関の全体像

1) ～ 4) で示した EU 機関の他、司法機関等も含めた重要な EU 機関の全体像を以下に示す。

出典: 駐日欧州代表部

55

EU 機関の仕組み <http://www.deljpn.ec.europa.eu/data/current/EUstructure.pdf>

欧州理事会

（European Council）

（ＥＵ首脳会議：EU Summit）

加盟国首脳＋欧州委員会委員長

最高政治的機関として、EUを政治的に推進し、政策の方向性を設定する機関

ＥＵ評議会

（Council of the European Union）

加盟国官僚＋欧州委員会委員 意思決定および立法機関

欧州委員会

（European Commission）

各加盟国１名選出２７名構成 行政

欧州議会

（European Parliament）

ＥＵ市民定員７８５名 立法及び民主的統制

図 1 ： EU 主要機関の関係図

16

6) EU における情報セキュリティ関連の体制の例

EU では、欧州理事会を最高機関とし、その配下に欧州委員会、 EU 評議会、欧州議会が 位置付けられている。このような EU の機関における情報セキュリティ関連機関の位置づ けを下図に示す。セキュリティに関係する機関は大きく分けて 2 つあり、政策の立案をサ ポートする組織と、政策の実行を行う組織である。

政策を実行する組織として、例えば、 2005 年に設立された Euro-SCSIE は、 EU におけ る欧州委員会（ European Commission ）配下の JRC （ Joint Research Center ）研究機関の 一つである IPSC に存在する SCADA システムに関するワーキンググループである。活動 結果は、上位組織に対して、 EU 内の産業分野の政策立案に資する情報を提供する。

56

現地ヒアリング調査により得たもの

European Union

European Commission European Council European Parliament Agencies

民間へのサービス 議会政府、Primal Decision機関

ENISA 環境 化学 医薬

・・・

３０以上あり 政策立案機関 政策支援機関

Directorates- General 産業 農業 JRC環境

・・・

３０以上あり 法の下で機能

IPSC IES

・・・

７つの研究機関

ITE

エン ジ ニア

分野の支援

・・・

ＩＣ Ｔ 様々な分野の支援

Eruto-SCSIE

ひとつのワーキンググループで ＳＣＡＤＡを扱う

主要な情報システム

ＩＴポリシーに関する 情報提供促進が役割

実用的な技術の実現が役割

政策実施機関

図 2 ： Euro-SCSIE と ENISA の位置づけ

17

また、 ENISA は、政策支援を行う機関として位置づけられる

。 IT の変化に対して、モ

ニタリングと分析を通じ IT 政策の立案を支援しており、ネットワークや情報セキュリティ に関する問題に関して、 EU の加盟国や関係機関へ助言を提供する役割を果たしている

。

ENISA のモニタリングの例の 1 つに、カントリーレポートの発行がある。これは、 EU

加盟国 27 カ国と EU と経済活動の結びつきが強い諸国（ EEA 加盟国、アイスランド、リ ヒテンシュタイン、ノルウェー）を対象に、各国に設置されたリエゾンオフィス経由で、

当該国のネットワークと情報セキュリティに関する状態を調査したものである

。このレポ ートには、加盟国及び関係機関同士が連携を図りたい場合に、相手国の状況（関係機関や 行政機関がどの様になっているか等）を把握するための情報が記載されている。

その他、 3 ヵ月毎に発行される定期レポートや情報セキュリティに関係する調査研究の 成果のレポート等が ENISA から提供されている。その中には、クラウドなどの IT のトレ ンドや、 CERT の状況調査等の IT 環境の現状を把握するために役立つレポートが含まれて いる

。

57

About ENISA - What does ENISA do? <http://www.enisa.europa.eu/about-enisa>

58

Activities - ENISA as an Advice Broker <http://www.enisa.europa.eu/about-enisa/activities>

59

Country Reports Exexutive Summary Pp.5

<http://www.enisa.europa.eu/act/sr/files/country-reports/enisa_country_reports_introduction.pdf>

60

ENISA reports <http://www.enisa.europa.eu/publications/studies>

18

表 1 ： 主要な欧州の ICT 関連のセキュリティ関連の戦略、法制度、委員会報告、プログラムの概要

種別 名称 年 作成者 概要

戦略 eEurope 2002 2000

- 2002

European Commission,

eEurope 2002 は、電子社会に関する最初の戦略であり、より安

価、高速かつ安全なインターネットの提供にむけたアクションプ ランが整理されている。更に、デジタル時代に向けた人材やスキ ルへの投資を通じて、インターネットによる商取引や行政サービ スを活性化させることなども掲げられている

eEurope 2005 2002

- 2005

European Commission,

eEurope 2002 に続く戦略であり、 ICT インフラを見直し、関連

する各種サービスをサポートしていくことが掲げられている

i2010 2005

- 2010

European Commission

i2010 では、従来の eEurope 2002 や同 2005 といった戦略を踏 まえ、インフラ構築やセキュリティの改善を掲げている。また、

技術調査への投資や、オンラインサービス活用による生活の質の 向上なども触れられている

法規制 Regulation （ EC ） No 460/2004 establishing the European Network and Information Security Agency

10 Mar 2004

European Parliament and Council of the European Union

本規制によって、 ENISA が設けられた。

ENISA は、EU 全般に対する情報セキュリティの助言機関であ

り、情報セキュリティ上の脅威に関する情報の収集や分析、啓発 活動、EU 加盟国における協力関係の促進などを行なっている

Directive 95/46/EC on the protection of individuals with regard to the

processing of personal data and on the free movement of such data

24 Oct 1995

European Parliament and Council of the European Union

本データ保護指令では、EU における個人情報のプライバシーポ

リシーが取りまとめられている。

19 Directive 2002/58/EC on privacy and

electronic communications

12 Jul 2002

European Parliament and Council of the European Union

指令”Directive 95/46/EC”を踏まえ、サービスプロバイダに対し て、個人情報の安全な保護が求められることになった。なお、本 指令は、通信セクターでのプライバシー保護に関する従来の指令

（Directive 97/66/EC）に代替するものでもある。

Framework Decision 2005/222/JHA on Attacks Against Information Systems

24 Feb 2005

Council of the European Union

2001 年の提案 “Network and Information Security: Proposal for a European Policy Approach” を踏まえ、本フレームワークでは、

加盟国において、情報システムへの違法なアクセスに対して処罰 規程を設けることを求めた

Decision No 1982/2006/EC

concerning the Seventh Framework Programme of the European

Community for research, technological development and demonstration activities （2007-2013）

18 Dec 2006

European Parliament and Council of the European Union

この決定により、 2007 年から 2013 年までのプログラム （Seventh

Framework Programme ）の採用を明記した。同プログラムによ

って、 ICT セキュリティを含む様々分野での研究や開発が促進さ れることになった

Decision No 2007/124/EC establishing for the period 2007 to 2013, as part of General Programme on Security and Safeguarding Liberties, the Specific Programme "Prevention,

Preparedness and Consequence Management of Terrorism and other Security related risks"

12 Feb 2007

Council of the European Union

本指令によって、テロやセキュリティ関連のリスクに関する予

防、準備、事後管理に関するプログラムを確立した。このプログ

ラムは、セキュリティ上の脅威によるリスクを予防、軽減するた

めの対応策の促進と支援が狙いである

20 Regulation （EC）No 1007/2008

amending Regulation （ EC ） No 460/2004

24 Sep 2008

European Parliament and Council of the European Union

ENISA 活動期限を定めた命令の有効期限を 2012 年 3 月まで延長

したもの

Directive 2008/114/EC on the identification and designation of European critical infrastructures and the assessment of the

need to improve their protection

8 Dec 2008

Council of the European Union

本指令では、重要インフラについて定義するとともに、加盟国に 対して、他の加盟国に影響を及ぼす重要インフラを明確にするよ う求めている。また、重要インフラとされるものについては全て セキュリティプラン（Operator Security Plan）を設けることを求 めている

委員 会 報 告

Network and Information Security:

Proposal for a European Policy Approach （COM/2001/298 final）

6 Jun 2001

European Commission

情報通信ネットワークのセキュリティを高めることについて提 案している。その中には、セキュリティへの認知を高めること、

技術調査を行なうこと、 CERT 間での協力を強化すること、およ び国際協力を強めることなどが含まれている

Critical Infrastructure Protection in the Fight Against Terrorism

（COM/2004/702 final）

20 Oct 2004

European Commission

本宣言では、EU における重要インフラの重要性について、焦点 を定めるとともに、今後のセキュリティの段階を議論し、追加措 置として求められる EPCIP や CIWIN（下記参照）についても言 及している

Strategy for a Secure Information Society （ COM/2006/251 ）

31 May 2006

European Commission

本宣言によって、ENISA は EU 全般での情報共有やアラートシ ステムに関し、フィージビリティ調査を実施できるようになっ た。その結果、加盟国やステークホルダに、より深く関与するこ とができるようになった

A European Programme for Critical Infrastructure Protection

（COM/2006/786 final）

12 Dec 2006

European Commission

ヨーロッパの重要インフラ保護に関するプログラム （EPCIP）

として、ヨーロッパの重要インフラに関する脅威のリスクを予防

あるいは軽減させるために必要な目標やプロセスについて明記

している。また、警告ネットワーク網の創設や、重要インフラの

明確化および指定指針についても言及している

21 A Critical Infrastructure Warning

Information Network （ COM/2008/676 final）

27 Oct 2008

European Commission

重要インフラに関する警告ネットワーク網（CIWIN）は、EPCIP の一部であり、 EU 加盟国が重要インフラに関する脆弱性、脅威、

戦略 等の情報交換を行なう際のシステムとして機能することを 目指している

Critical Information Infrastructure Protection: Protecting Europe from large scale cyber-attacks and

disruptions: enhancing preparedness, security and resilience(COM/2009/149 final）

30 Mar 2009

European Commission

本宣言によって、重要インフラ保護における加盟国間の協力がよ り強調されることとなった。具体的には以下の 5 つに基づくアク ションプランを提唱している（準備と予防、発見と対応、緩和と 復旧、国際協力、ICT セクター向けの各種の判断基準）

プロ グ ラ ム

Tampere Programme 1999

- 2004

European Council 本プログラムは、EU における移民や亡命等について言及したも

のだが、犯罪やテロに関する加盟国政府間の協力も要求している

Hague Programme 2005

- 2010

Based on a

communication from the European Commission, discussions in the Council of the European Union, and presented by the European Council

本プログラムは、前のプログラム（ Tampere Programme ）での 優先的な取り組みを引き続き延長したもの。テロやセキュリティ について重点的に触れられており、加盟国間でセキュリティに関 する協力を強化することが求められている

出典： Legislation found on EUR-lex

61

EUR-Lex <http://eur-lex.europa.eu/en/index.htm>

22

1.2. EU における情報セキュリティ推進組織

EU の主要なセキュリティ戦略の多くは、 EU 加盟国に対して、相互に協調と協力を促す 内容である。これらのセキュリティ戦略や支援に当たり、 EU が策定、設置した機関や組織 の多くは、元々多国間協力の産物として出来上がったものが多い。

本章では、 EU におけるこうした情報分野あるいはコミュニケーション分野の、以下のよ うな組織について、組織構造、財源あるいは他の機関との関連といった項目について解説 する。

 European Network and Information Security Agency （ ENISA ）

 欧州情報セキュリティプロモーションプログラム （ EISPP ）

 European Security Research Advisory Board （ ESRAB ）

 European Security Research and Innovation Forum （ ESRIF ）

 Institute for the Protection and Security of the Citizen （ IPSC ）

23

1.2.1. European Network and Information Security Agency （ ENISA ）

名称 European Network and Information Security Agency （ ENISA ）

場所 Heraklion （ギリシャ）

対象 欧州委員会、 EU 加盟国及び関連する主要なステークホルダ

業務 ICT 分野のセキュリティに関する情報の交換や収集、データ分析、リス ク評価・コントロール

Web http://www.enisa.europa.eu/

1) 背景

2002 年に EU 加盟国は、情報及び通信技術のセキュリティに関していくつかの指令を発 行した

。例えば、”Directive 2002/21/EC”は、電気通信のネットワークとサービスに関す るフレームワークとなった指令である。この指令は、各国の規制当局に対して、相互協力 を求めるとともに、公衆通信網のセキュリティ確保を欧州委員会に求めていた

。

しかし、こうした指令の実行は非常に複雑で、公衆通信網のセキュリティ確保のために 必要な活動の実施方法は国によって異なっていた。また、 ICT の進展状況等も、 EU 加盟国 間でその状況が異なることが多い。そのため、このような状況を踏まえて、 EU 圏における セキュリティレベルの底上げを行う必要性が指摘され、 EU 加盟国全般に対してセキュリテ ィに関する支援や助言を幅広く行なう組織の存在が、必要不可欠であると判断された

。

62

European Parliament and Council. Regulation (EC) No 460/2004. 10 Mar 2004. 11 Dec 2009.

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32004R0460:EN:HTML> “Whereas”

5-9.

63

European Parliament and Council. Directive 2002/21/EC. 7 Mar 2002. 11 Dec 2009.

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0021:EN:HTML> Article 3 (5) and Article 7 (2).

64

2004 年に誕生した ENISA は、加盟国間で ICT に対するセキュリティの実装に関した相互協力を構築

することを目指している。

65

62 の文献と同じ。 “Whereas” 10.

24

2) ミッション

ENISA は、本報告書の背景でも述べたとおり、 EU の情報セキュリティを支援すること

を目的とした（加盟国からの）独立機関である。

ENISA のミッションは、 “EU の市民、消費者、企業活動、公的機関の利益のためのネッ

トワーク文化や情報セキュリティの確保” の実現を目指すことであるとされている

ENISA 自身は、インシデントハンドリングを行う組織ではなく、インシデント対応の促

進とファシリテイトのみを行っている。つまり、インシデントハンドリングそのものでは なく、情報セキュリティに関するベストプラクティスの横展開等を行っている。しかし、

後述するように、重要インフラのセキュリティ支援等において、 ENISA の位置づけを強化 する動きがあり、新しい ENISA （ 2012 年度以降の ENISA の活動）は大きく変わる可能性 がある。

ENISA では、週に 10 回程度の頻度で、インシデント対応を行う組織と連絡を取り合う

ようにしている。主に EGC(European Government CERTs Group) とのやり取り

が中心に なるが、その相手は多岐に渡る。しかし ENISA では、インシデントハンドリングを行って いないため、オペレーショナルレベルの情報の選別は行っていない。仮に ENISA の業務に おいて、インシデントに関する情報を取り扱う状況になった場合は、電話や電子メールを 活用して対応する。

上記のような理由から ENISA は、インシデント発生時に個別かつ具体的な支援を各国に 行うことは無いが、普及啓発活動の一環として、 2007 年に CERT に関するワークショッ プを行っており、その中でインシデントの抑制活動（ Mitigation 、緩和等とも呼ぶ）のトレ ーニングを行った。これは、情報セキュリティに関するベストプラクティスの横展開の 1 つでもあり、同時に、 CERT 間の連携強化にもつながっている。

66

現地ヒアリング調査により得たもの

67

62 の文献と同じ。

European Parliament and Council. Regulation (EC) No 460/2004. 10 Mar 2004. 11 Dec 2009.

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32004R0460:EN:HTML>

“Whereas”15

68

現地ヒアリング調査により得たもの

25

TERENA は、 ENISA 、 TF-CSIRT(1.3.2 P.60) の運営および Trusted Introducer(1.3.3 P.66) の提供を行っているが、組織の設立経緯やミッションが異なるため、情報セキュリティに 関する調査研究の取り組みテーマの調整等を行う事は無い。しかし、 2 つの組織は、連携 を図りながら調査研究の活動を行っている。

2004 年に設立した際の ENISA は、活動の時限が定められ、 2009 年度までの活動予定で あったが、 2012 年まで延長して活動することが決定された。今後も、 EU 加盟国内部に対 する公的機関向け情報の促進や、政策に関するアドバイスを主に活動していくことになる と考えられる。しかし、今後始まるとされる ENISA の第二期おいては、その強化が図られ る予定となっており、その活動内容やミッションの拡大については、引き続き注目が必要 である。

3) 組織形態

ENISA の体制は、エグゼクティブ・ディレクター（ Executive Director ）、運営ボード

（ Management Board ）、ステークホルダグループ（ Permanent Stakeholders’ Group ）と いった常設ポスト、機関が存在する。これらに加えて、 ENISA には、数多くのアドホック なワーキンググループが設置されている。以下に、常設ポストの概要と、アドホックなワ ーキンググループの概要について解説する。

 エグゼクティブ・ディレクター

日常の ENISA の運営に関する責任者である。運営ボードによって任命さ

れ、活動プログラムや決定事項を遂行するとともに、 ENISA の活動の広 報活動も行なう。また、 ENISA と欧州議会、実業界、消費者団体の間で リエゾンも担っている

.

69

現地ヒアリング調査により得たもの

70

62 の文献と同じ。

European Parliament and Council. Regulation (EC) No 460/2004. 10 Mar 2004. 11 Dec 2009.

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32004R0460:EN:HTML> Article 7.

26

 運営ボード

運営ボード（ Management Board ）は、欧州委員会によって指名された 議長、副議長及び各 EU 加盟国からの代表、 3 名のヨーロッパの経済界

（ European Economic Area ： EEA ）からのオブザーバ、及び以下に示す

ステークホルダグループからの代表によって構成されている

。

このボードの役割は、 ENISA がその義務や役割に基づいて適切に機能し ているかを確認する役割を果たしている。年間予算を策定、採択すると

ともに、 ENISA の業務の全般的な方向性を定義し、活動プログラム（ work

program ）を承認するというものである

。

 常設のステークホルダグループ

エグゼクティブ・ディレクターを議長とし、 ENISA の活動プログラムに 係る課題や、エグゼクティブ・ディレクターのパフォーマンスについて 議論するためのフォーラムの実施が主な活動目的である

。

メンバは情報通信業界、消費者グループ、ネットワークや情報セキュリ ティの関連するグループなど、計 30 名のエキスパートで構成されている

74

。 また、このグループの任期は 2.5 年である

。

 アドホックなワーキンググループ

ENISA の規程によって、エクゼクティブディレクターは、 特定の科学的、

あるいは技術的なテーマに対してワーキンググループを立ち上げること が認められている

。これは、予算の範囲内であれば、ENISA の活動ス

71

List of ENISA Management Board Members and Alternates

<http://www.enisa.europa.eu/about-enisa/structure-organization/management-board/files/mb_comp.pdf

>

72

62 の文献と同じ。

European Parliament and Council. Regulation (EC) No 460/2004. 10 Mar 2004. 11 Dec 2009.

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32004R0460:EN:HTML> Article 6.

73

62 の文献と同じ。 Article 8.

74

ENISA. Permanent Stakeholders Group. 11 Dec 2009.

<http://www.enisa.europa.eu/about-enisa/structure-organization/psg>

75

62 の文献と同じ。Article 8.

76

62 の文献と同じ。“Whereas” 24.

27

コープや目的を越えた調査研究を行えることを意味する

。

過去においては、こうしたアドホックなワーキンググループで、 CERT に関する課題

、あるいはリスクマネジメント

についてディスカッショ ンが行なわれている。

また、 ENISA の規程に基づく各種の体制に加えて、規程に明記されてはいないが、「リ

エゾン・オフィサー」（ National Liaison Officers ： NLOs ）のネットワークも構築されてい る。こうしたネットワークは欧州委員会、欧州議会および EU 加盟国からの代表によって 構成されている。 NLOs は、 ENISA と加盟国とのリエゾンとして機能しており、加盟国、

ENISA のステークホルダと情報交換する際に、チャネルの役割を果たしている

。

4) 財源

ENISA の運営ボードが、年間予算を取りまとめるとともに、最終的に欧州議会の承認を

得 た 上 で そ の 予 算 が 採 択 さ れ て い る

。 ENISA は 、 ヨ ー ロ ッ パ 共 同 体 （ European

Communities ： EC ）の一般予算から多くの助成を受けているほか、 ENISA の活動に参加す

る国からも別途、個別に寄付を受けている

。 2009 年の ENISA の全予算は 800 万ユーロ を僅かに上回る規模であった。このうち、第三国からの寄付は約 2.3 ％を占めていた。

77

62 の文献と同じ。

Regulation (EC) No 460/2004 of the European Parliament and of the Council of 10 March 2004 establishing the European Network and Information Security Agency (Text with EEA relevance)

<http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32004R0460:EN:HTML> Article 9

78

ENISA. Other Work. 11 Dec 2009. <http://www.enisa.europa.eu/act/cert/other-work>

79

ENISA. Ad-hoc Working Group on Risk Assessment and Risk Management. 11 Dec 2009.

<http://www.enisa.europa.eu/act/rm/working-group>

80

ENISA. NLO Network. 11 Dec 2009.

<http://www.enisa.europa.eu/about-enisa/structure-organization/national-liaison-office>

81

62 の文献と同じ。Article 15.

82

62 の文献と同じ。Article 15.

28

ENISA の予算については、 Web サイト

で公開されている。 2010 年の予算見積りは 792

万ユーロとなっており、 2009 年度よりも僅かであるが減少している。内訳は以下に示すと おり。

 人件費 － 530 万ユーロ

 諸経費 － 57 万ユーロ

 プログラムの運営費 － 206 万ユーロ

5) EU 加盟国間での技術協力

ENISA は適宜、他の調査機関、セキュリティサービス提供事業者、大学、その他の事業

者等と協力して、調査研究活動を行っている。そのうちの例が、 PISCE （ Partnership for ICT Security Incident and Consumer Confidence Information Exchange ）と呼ばれるパートナ ーシップで、各国のセキュリティ機関、 CERT 、 Eurostat

他の機関と連携している

。

例えば、 ENISA はネットワーク及び情報セキュリティに関する情報を集め、その情報を

各国の情報セキュリティ機関や EU の関係機関に提供している。その情報を集めるための フレームワークは、フィージビリティスタディを実施した後に構築

したものであり、現在

は、 PISCE フレームワークにおいて、 Eurostat や CERT が、情報の提供元として参加して

いる

。

83

Accounting & Finance <http://www.enisa.europa.eu/about-enisa/accounting-finance>

84

EU 内の統計データ（GDP を始めとする経済データ、人口、文化、環境、犯罪等の様々な統計データを提供す る欧州委員会の機関 <http://epp.eurostat.ec.europa.eu/portal/page/portal/eurostat/home/>

85

ENISA. PISCE. 14 Dec 2009.

<http://www.enisa.europa.eu/media/faq-on-enisa/faq-on-pisce-2013-partnership-for-ict-security-inciden t-and-consumer-confidence-information-exchange>

86

Feasibility study on Data Collection Framework in the field of NIS

<http://www.enisa.europa.eu/act/res/other-areas/data-collection>

87

FAQ on PISCE – Partnership for ICT Security Incident and Consumer Confidence Information Exchange

<http://www.enisa.europa.eu/media/faq-on-enisa/faq-on-pisce-2013-partnership-for-ict-security-inciden

t-and-consumer-confidence-information-exchange>