米国最高裁が米国のサイバー戦略を妨害

機能不全に陥った議会に頼ることなく、アメリカの重要なインフラをハッカーから守るため、バイデン政権は既存法の独創的な活用に大きく賭けた。しかし、最高裁判所はおそらくそのアプローチを台無しにしただろう。

ジョー・バイデン大統領の戦略は、シェブロン尊重として知られる数十年前の法理に基づき、裁判所がそれらの法律の解釈に従うと期待して、サイバーセキュリティを含む規制権限を与えている法律を各機関が解釈することに依存していた。

しかし、6月下旬に判決が下された画期的な訴訟、ローパー・ブライト・エンタープライズ対ライモンド事件において、米国最高裁判所の保守派の超多数派はシェブロンの尊重を排除し、政府機関の解釈にほとんど比重を置くことなく、曖昧な法律の内容を裁判所自身で判断するよう命じた。

この物議を醸した判決は、病院、水道システム、発電所といった重要インフラ施設にサイバーセキュリティ強化を求める複数の政府機関の計画を根底から覆す可能性があります。さらに、クラウドプラットフォームへのハッカーの侵入防止、パイプラインや空港の安全確保、大規模侵害の開示強化を目的とした既存の規則を、企業が覆すきっかけとなる可能性もあります。

「多くの規制の実態を探るために訴訟が行われる可能性があります」と、サイバーセキュリティ政策法センターの顧問であるハーレー・ガイガー氏は述べています。「健全かつ明確な法的裏付けがない分野では、重要インフラのサイバーセキュリティを規制することは間違いなくはるかに困難になります。」

脅威にさらされる画期的なサイバープログラム

バイデン氏の目玉であるサイバー規制は、彼にとって最も危険にさらされているものかもしれない。それは、重要インフラ組織に対し、サイバー攻撃を72時間以内に報告し、ランサムウェアの支払いを24時間以内に行うことを求める保留中の要件だ。

2022年重要インフラ向けサイバーインシデント報告法（CIRCIA）によって承認されたこの規制は、米国企業を日々悩ませているサイバー攻撃に対する政府の認識における大きなギャップを埋めることを目的としています。しかし、国土安全保障省サイバーセキュリティ・インフラセキュリティ庁（CISA）が4月にこの規則案を発表した際、業界団体は立法者の意図を逸脱しているとして批判しました。今月初めにパブリックコメント期間が終了するまでに、多くの企業や業界団体がCISAに対し、規則の縮小を求めており、中にはローパー・ブライト判決を引用する団体もありました。

批判は主に、将来の訴訟において最大の脆弱性となり得る規則の3つの側面に集中していました。それは、報告義務の対象となる「対象事業体」の定義、開示が必要な「対象インシデント」の定義、そして報告が必要な情報のリストです。企業は、CISAがこれら3つの規定について、議会の意図よりもはるかに広範な表現を用いていると批判しています。

「彼らは条文をはるかに超えています」と、サイバーセキュリティを専門とするある弁護士は語る。彼は連邦政府機関との紛争でクライアントを代理しているため、匿名を条件に取材に応じた。「そこには多くの脆弱な側面があるのです」

CIRCIAの起草を主導した上院国土安全保障委員会のゲイリー・ピーターズ委員長は、パブリックコメントにおいて「提案された規則は範囲が広範すぎるため、対象となるインシデントや対象となる事業体の定義を含め、より明確な説明が必要だ」と述べ、この規則の法的危険性をさらに高めた。ピーターズ委員長の異議申し立ては重要である。なぜなら、裁判所は不明確な法律を分析する際に、議会の意図に大きく依存する可能性が高いからだ。

CISAがこうした逆風に直面して譲歩するかどうかは不透明です。広報担当者は、CISAはローパー・ブライト判決について「現在も評価中」であり、「これがCISAの規則制定活動に及ぼす可能性のある影響」についても「検討中」だと述べています。最終的な規則は「議会から与えられた権限と整合したものになる」と広報担当者は述べています。

CISA職員は「目標とする範囲に非常にコミットしているように見える。なぜなら、彼らはそれを自分たちの使命にとって本当に重要だと考えているからだ」と、サイバー問題を専門とする法律事務所メイヤー・ブラウンのパートナー、スティーブン・リリー氏は述べている。それでもなお、彼は「CISAは今、考えなければならない。最近の決定を踏まえると、私たちはやり過ぎたのではないか、それとももう少し控えめに目標を設定する必要があるのではないか」と付け加えた。

政府の撤退がもたらす結果は予測困難ですが、深刻な事態を招く可能性があります。CIRCIA要件の縮小により、より多くの企業が報告義務を免除されるか、報告すべき情報量が削減される可能性があります。これにより、組織の負担は軽減される一方で、政府のデジタル脅威に対する理解は弱まる可能性があります。

ほとんどの専門家は、変化は限定的だと予測している。「弁護士が言う通り、最小限の対応にとどまるだろうと予想しています」とリリー氏は言う。

それでも、2025年10月までに最終決定される政府史上最大のサイバー規制の立案に携わる当局者が、この事態に気付いていることは明らかだ。

「CISAが、ローパー・ブライト事件の影響とシェブロンの尊重の喪失を考慮せずに、今後14か月かけてこの規則を策定することはあり得ない」とガイガー氏は言う。

飛行機、電車、クラウドサービス

CISA のインシデント報告義務は、ローパー・ブライト判決後の注目の大部分を集めましたが、この判決は、他の多くの既存および審議中のサイバー規制に脅威を与えます。

保健福祉省は、病院が連邦メディケアおよびメディケイドの資金を受け取る条件として、サイバー要件の遵守を条件とする規則の策定に取り組んでいます。注目を集めているこの保健福祉省の規則は、バイデン政権が病院をはじめとする医療セクターに対するランサムウェア攻撃の急増を食い止めようとする試みを象徴しています。しかし、強力な影響力を持つ病院業界は、新たな義務化は既に苦境に立たされている施設に過度の負担をかけるとして反対しています。この規則については、正確な法的根拠を含め、詳細がほとんど明らかにされていないため、保健福祉省がローパー・ブライト事件に対処するために規則を書き換えているかどうかは不明です。

アメリカ企業が最も嫌悪するサイバー規制は、証券取引委員会（SEC）が2023年に制定した規則で、上場企業に対し「重大な」影響のあるサイバーインシデントを4営業日以内に公表することを義務付けている。SECには株価に重大な影響を与える情報の開示を義務付ける明確な法的権限があるため、この規則は新たな訴訟を起こさない可能性もある。しかしガイガー氏によると、SECのハッキングに対する罰則権限に企業が異議を唱える可能性もあるという。なぜなら、SECの根拠となる法律や規則にはサイバーセキュリティに関する言及がないからだ。（SECはこの件についてコメントを控えた。）

パイプライン、鉄道、航空事業者に対するサイバーセキュリティ要件をめぐって、運輸保安局（TSA）も訴訟に巻き込まれる可能性がある。TSAは業界からの批判に対応するため、緊急時対応に関する指示を大幅に修正したが、TSAがこれらの指示をより正式な規則として成文化するにつれ、不満を持つ企業が訴訟の機会を捉える可能性がある。「TSAがサイバーセキュリティ対策を実施した実績はなく、根拠となるような法的な根拠も見当たらない」とサイバー専門弁護士は述べ、TSAが「進行中だが説明されていない緊急事態を常に持ち出す」ことで要件を正当化していることに「強い不満」を感じていると述べた。（TSAはコメントを控えた。）

商務省は、クラウド企業に対し顧客の身元確認と活動報告を義務付ける提案で、法的行き詰まりに陥る可能性がある。ハッカーによるクラウドサービスの悪用を取り締まるための取り組みの一環として審議中のこの規則は、権限の行き過ぎを懸念する業界からの批判を招いている。大手テクノロジー業界団体は、商務省に対し、「提案されている規制は、議会から付与された規則制定権限を超える恐れがある」と警告した。（商務省はコメントを控えた。）

訴訟は、政策立案者がサイバーセキュリティについて考えるよりずっと前に制定された法律に依拠する、連邦取引委員会、連邦通信委員会、金融規制当局によるデータ侵害報告要件などの他の規制も対象とする可能性があります。

「政府機関が最も神経質になる課題の多くは、20年間何かを解釈してきた場合、または30年前のものを新たに解釈する場合です」とサイバー弁護士は言います。

ホワイトハウスは既に大きな挫折に直面している。昨年10月、環境保護庁（EPA）は水道システムに対するサイバーセキュリティ要件を撤回した。業界団体と共和党主導の州は、この要件を法廷で争っていた。反対派は、EPAが1974年の法律を解釈し、各州に水道施設の検査にサイバーセキュリティを追加するよう義務付けたことは権限の逸脱だと批判した。ホワイトハウスのサイバー担当高官は以前、この戦略を「独創的なアプローチ」と称賛していた。

議会に注目

政府のサイバー規制推進は司法の泥沼に陥る可能性が高い。

連邦裁判官が同じ規制について異なる結論に達する可能性があり、その結果、全く異なる実績を持つ地方巡回裁判所に控訴することになる。「司法制度自体は一枚岩ではない」と、サイバーセキュリティ政策法センターのガイガー氏は述べている。さらに、サイバー規制の複雑さを理解するのに苦労する裁判官よりも、各機関の方が最先端の技術問題をはるかによく理解している。

専門家によると、この問題に対する本当の解決策はただ一つしかない。議会が政府機関にサイバー改善を義務付けることを望むなら、そうする権限を与える新たな法律を可決する必要がある。

「社会が依存する重要なサービスの保護を確実にするために、議会が断固たる行動をとる責任が今や大きくなっている」とガイガー氏は言う。

ジョージ・メイソン大学国家安全保障研究所の所長で、元最高裁判事ニール・ゴーサッチ氏の秘書官であるジャミル・ジャファー氏は、明確さが鍵となるだろうと述べている。「議会がより具体的になればなるほど、裁判所も政府機関と同じように考える可能性が高くなると思います。」

議会が、特に新たな規制権限を伴う重要な法案を可決することはめったにありませんが、サイバーセキュリティは一貫して例外となっています。

「議会の動きは非常に遅いですが、この点に関しては完全に消極的というわけではありません」とリリー氏は言う。「規制当局が前進できなければ、特定の分野で有意義なサイバー関連法が制定される可能性もあるのです。」

大きな疑問の一つは、11月の選挙で共和党が政権を掌握した場合、この進歩が続くかどうかだ。リリー氏は楽観的な見方を示し、共和党の綱領には「国家の優先事項」として、重要インフラの安全確保をより高い基準で掲げていることを指摘している。

「現時点では両党とも、確かに一部の分野ではある程度の市場の失敗があったとの認識がある」とリリー氏は言う。「そして、ある程度の政府による対策が適切だろう」

来年1月に誰が連邦議会を支配するかに関係なく、最高裁判所はハッカーとの戦いにおいて議員たちに多大な責任を与えた。

「簡単なことではないだろう」とガイガー氏は言う。「だが、議会が行動を起こすべき時が来たのだ。」