｢またトラ｣でサイバーセキュリティ政策にも影響 安全保障と経済活動のバランスは簡単ではない

2024年12月までの時点で、次期トランプ政権では、さまざまな国内産業に対する規制緩和が報道されている。セキュリティ関連では、企業に対するサイバー攻撃被害の報告義務の緩和、AI規制の緩和、スパイウェア規制の緩和がされる可能性がある。

「重要インフラ・AI・スパイウェア」産業に影響か

現在アメリカでは、重要インフラに対するサイバー攻撃は事業者に報告義務を課す法案（CIRCIA：サイバーインシデント報告法）が議論されている。これは2022年にCISAによって提案されたものだ。

しかし、企業に報告義務を課すこの法案は、産業界や議会から、企業に余計な負担を課すとして反発が起きている。法案は2026年施行というスケジュールだが、トランプ政権の出方によって法案に何らかの修正が施される可能性がある。

規制や報告義務などが強化されるのか、緩和されるのかの判断は難しい。国防視点では、政府機関や重要インフラへのサイバー攻撃の情報はくまなく押さえたい。しかし、事業者側の反発は避けたい。落としどころについては後述する。

2024年10月にバイデン大統領がAI開発について安全保障の面から規制すべきとの覚書（NSM）を発表している。覚書では、アメリカが高度なAI開発を主導すること、AIを民主的かつ安全保障のために使うこと、国連の枠組みでAIガバナンスを構築することとしている。

安全保障視点では、トランプ政権との齟齬はないが、ガバナンスについては、例えばカリフォルニア州が提案しているAI規制法にはOpenAIが反対を表明している。連邦政府が規制を行うなら、それ以上細かい規制や法律を増やしたくないというのは、産業界の本音だろう。

AI技術で追い上げる中国を引き離す意味で、AI規制やガバナンスの軟化は、技術革新や市場活性化につながるが、フェイクニュースなどAIの脆弱性を使った反社会活動をも促進させる。世界中で問題になっている社会の分断を加速させる可能性がある。企業にとってはセキュリティコストや（正確な）情報の選択・利用コストの増大につながる。

スパイウェアとは、スマートフォンやPCに侵入してデバイス内部のデータやキー操作、表示画面の内容などを外部に送信するアプリケーションだ。通常は、マルウェアに分類され違法なものが多い。だが、これをビジネスとして提供または販売しているセキュリティベンダーが存在する。有名なのはイスラエルの企業、NSOの「ペガサス」というソフトウェアだ。