グローバル企業が直面する法規制とサイバーセキュリティの現状
～APEC、ヨーロッパ、アメリカの視点から～

海外拠点でサイバーインシデントが発生した場合、現地のIT責任者 (多くは日本人駐在員) は直ちに日本本社へ報告する。すると本社のビジネス部門からは「いつ復旧できるのか」「早く対処せよ」といった強いプレッシャーがかかり、同時に情報システム部門やCSIRT (コンピュータインシデント対応チーム) からは、詳細なログの提出や進捗報告の指示が矢継ぎ早に飛んでくる。

やり取りはすべて日本語で行われるため、現地の担当者はそれを英語に訳し、現地スタッフやベンダーに伝えながら対応を判断しなければならない。さらに、現地拠点の営業責任者からも「顧客にどう説明すべきか」「いつ業務を再開できるのか」と詰め寄られ、対応に追われることになる。

現地のIT担当者が外部のITベンダーに支援を依頼しても、「具体的に何をすればよいか」と逆に指示を求められたり、必要なスキルを持つエンジニアがすぐには手配できないといった壁に直面することがある。実際の事例では、復旧手順やデータがすべて暗号化されており、バックアップも取れない状態に陥ったケースもある。日本本社と現地の双方から、日本語と英語でひっきりなしに問い合わせが寄せられ、現地駐在員は翻訳と判断の繰り返しで大変な状態に追い込まれる。インシデントが発生した裏側では、グローバル拠点の担当者に極限の負荷がかかっているのが実情である。

現地対応が混乱する背景には、海外拠点における情報システム担当者の体制的な弱さがある。中小規模の拠点では専任のIT担当者が不在で、人事や総務の担当者が兼務しているケースも少なくない。たとえIT担当者がいても、その業務はネットワークやPCの維持管理など一般的なIT領域にとどまり、セキュリティに関する専門的な知識やスキルを十分に備えていないことが多い。現地担当者の職務記述書 (ジョブディスクリプション) に明確に含まれていないため、「セキュリティ対策は自分の職務ではない」と認識している担当者も少なくない。

こうした意識のギャップが、基本的なセキュリティ対策の漏れ、例えば機器のファームウェア未更新や多要素認証の未導入につながり、結果としてインシデント発生の一因となっている。

さらに、人材面での制約も深刻である。高度なセキュリティ経験とビジネスで通用する英語力を兼ね備えた人材は、世界的に争奪戦となっており、各国で給与水準も上がり続けている。現地で優秀なセキュリティ担当者を採用し、定着させるのは極めて難しく、結局、日本から派遣された駐在員が現地のITを担っているケースが多いのが実情である。

欧州では過去数年にわたり深刻なサイバー攻撃が相次いでいる。たとえば2017年には、英国の公的医療制度 (NHS) がランサムウェアに感染し、約20万台の端末が影響を受け、病院機能が麻痺する事態に陥った。2018年には、ドイツの送電網が国家支援型のAPTグループから執拗な攻撃を受けた。しかし、このときはEUのNIS指令に基づき、各国CSIRT間で迅速な情報共有が行われ、その有効性が証明された。

また、2019年にはノルウェーのアルミニウム企業がランサムウェアの被害を受け、40カ国にわたる拠点で3万5千人の業務が停止。被害額は約70億円にのぼった。原因は、社員がウィルス付きのメールを開封したことだったという。

これらの事例は、欧州のような先進地域でもサイバー攻撃の脅威が依然として高く、法規制を導入してもインシデントを完全に防ぐことはできない現実を示している。最終的に被害を防ぐには、現場での迅速な対応力と国際的な連携の強化が不可欠である。

実際、EUでは各国のCSIRTやENISA (欧州連合サイバーセキュリティ機関) との協力体制を整備し、国境を越えた対応力の向上に取り組んでいる。

米州に目を転じると、アメリカではランサムウェアとビジネスメール詐欺 (BEC) が依然として深刻な脅威となっている。FBIの2024年レポートによれば、ランサムウェアによる被害報告件数は前年比9％増加し、世界全体で観測された被害の約半数が米国を標的としていた。また、BECによる年間被害額は27億ドルを超えている。

一方、APAC地域では製造業を含む日系企業が多数進出しているが、ここでも近年はランサムウェアが特に大きなリスクとなっている。KDDIアジアパシフィックでは、直近1年間で17件のセキュリティインシデントに対応し、そのうち実に12件がランサムウェア感染によるものだった。

ランサムウェアに感染すると、オフィスの業務が停止し、甚大な損害が発生する。前述のとおり、復旧手順まで暗号化されてしまうケースもあり、現場は復旧の糸口すらつかめなくなるおそれがある。被害を最小限に抑えるには、感染の早期発見と拡大の遮断、そして安全なバックアップからの迅速なリストアが重要である。

KDDIでは「復旧優先」をコンセプトに掲げ、インシデント発生時には日本人と現地スタッフで構成されるエンジニアチームが即座に現場へ駆けつけて対応する。日本本社から日本語で指示が出る場合でも、両言語に精通した要員が橋渡し役となって現地対応を主導し、必要に応じて本社のセキュリティ専門部署やラック社とも連携して原因調査と復旧を進める。

こうした専門的なインシデントレスポンス体制を整備することで、被害の拡大と事業への影響を最小限に抑えることが可能となるのだ。

以上の事例から各社が学ぶべき教訓は、「どの地域であってもサイバー攻撃による業務停止のリスクは現実に存在し、本社と現場が一丸となって迅速に対応することこそが、被害拡大を防ぐ鍵である」という点に尽きる。

サイバーセキュリティに関する法規制は世界的に強化が進んでいるが、地域ごとに求められる要件や対応スピード、ガバナンスの厳しさには大きな差がある。特に、データの保存場所、漏えい時の報告義務、役員の責任範囲などは地域によって異なり、本社の方針をそのまま各拠点に適用するだけでは対応しきれないケースも多い。そのため、グローバルで統一されたセキュリティポリシーを持ちながらも、各地域の実情に応じて柔軟に対応する必要がある。

以下では、APAC・欧州・米州それぞれの特徴と、現地の日系企業が直面している課題、さらに実際に成果を上げている取り組みについて紹介する。

各国で個人情報が漏えいした際の報告義務も強化されており、「漏えい発覚から72時間以内に当局へ報告すること」というルールは、APAC地域でも一般的になりつつある。報告時には漏えいの原因説明が求められるため、被害への対応と並行して、迅速な原因究明が必要となる。

欧州はこの10年で、サイバーセキュリティと個人情報保護の両面において大きく規制が強化された地域である。その転換点となったのが、2016年に制定されたNIS指令とGDPRである。
NIS指令は、EU加盟各国に対して国家レベルのサイバー戦略策定や情報システム保護の強化を義務付けた、EU初の包括的なサイバーセキュリティ法である。これにより各国でCSIRT体制が整備され、欧州全域で脅威情報を共有する仕組みが構築された。

その後も欧州では規制強化の流れが続き、2022年にはNIS指令の改訂版である「NIS2」が制定された。違反時には、会社役員が刑事責任を問われるほか、最大1,000万ユーロまたは全世界売上高の2％という罰則が科される。

さらに、2024年に施行されたサイバーレジリエンス法では、ハードウェア・ソフトウェアを問わず、デジタル製品のライフサイクル全体にわたるセキュリティ要件の順守が義務づけられた。

これらのセキュリティ強化の流れを受け、企業の意識改革が進んでいる。ENISAの調査によると、セキュリティ関連の投資額は年々増加しており、2023年は前年比で約2倍に拡大した。IT予算全体に占めるセキュリティ投資の割合も着実に上昇している。

中南米地域でも法整備が進んでおり、ブラジルの「LGPD」をはじめ、各国で個人データ保護法やサイバーセキュリティ関連法の強化が相次いでいる。チリでは、中南米初となる国家サイバーセキュリティ専門機関が設立されるなど、政府主導の体制整備も進められている。

このように、米州全体でも法規制の強化が進んでおり、企業は自社が拠点を置く国や州の動向に注意を払い、定期的にコンプライアンス状況を確認する必要がある。実際、米州において法令違反により罰金処分を受けた日系企業の事例も出始めており、他人事では済まされない。各拠点ごとに最新の規制要件を把握し、ポリシーや手続きを適切にアップデートすることが、コンプライアンスの確保とリスクの低減の両面で重要である。

他方、米州拠点の日系企業が直面するセキュリティ上の課題も見過ごせない。前述のAPACと同様に、人財やリテラシーの不足が大きな問題となっている。米国の日系企業では、駐在員がITやセキュリティ業務を兼任するケースが多く、日々の運用に追われて十分なリソースを割けないのが現状だ。さらに、現地スタッフへの教育も文化の違いから定着しにくいなど、さまざまな困難を抱えている。

グローバル展開する企業にとって、サイバーセキュリティは単なるシステム管理ではなく、事業継続に直結する経営課題である。各国で法規制の強化が進み、報告義務や罰則が設けられるなか、拠点ごとに異なる要件を理解し、適切に順守することが求められる。一方で、海外拠点ではセキュリティ専任者が不在であったり、日本本社との間に言語や判断のギャップがあるなど、対応力に大きな差があるのが現実だ。

法規制を理解し、ポリシーを整備することは重要だが、それだけではインシデントは防げない。実際の発生時には、迅速な判断と復旧を担う現場の体制、そして本社との連携が不可欠である。重要なのは、「いつでも、どの地域でも攻撃される可能性がある」という前提に立ち、事前に仕組みを整えておくことだ。復旧を優先するレスポンス体制、バックアップの確保、ゼロトラストの導入など、実行可能な対策は多い。

グローバル企業に求められるのは、法規制への適応と現場の実行力を両立させ、サイバー攻撃を前提とした事業継続の仕組みを構築することにある。セキュリティはIT部門だけの問題ではなく、経営と現場が一体となって取り組むべき課題だ。

KDDIは、世界各国に拠点を持つ通信事業者である。各国の法規制に関する情報を熟知しており、拠点を持つ国だからこそ入手できる最新動向をお客さまに提供できる。さらに、セキュリティ会社であるラックがKDDIグループに加わったことで、グローバルなセキュリティ支援において、技術力と現場力を兼ね備えた体制が整った。両社の強みを掛け合わせ、海外進出企業の「事業を止めないセキュリティ」を実現していく。

海外拠点におけるセキュリティ体制の不安や、ガバナンス強化の課題を抱えている企業は、まずは相談してほしい。