英国政府、データセンターの新たなセキュリティ規制を導入へ

コンサルテーション・ペーパーを発表、事業者からのフィードバックを求める

英国ではデータセンターのセキュリティとレジリエンスに関する新たな規制が策定される見込みです。

今週、英国政府は、データセンターを含むデータインフラのセキュリティとレジリエンス（回復力）を向上させるための規制案について意見を募るため、新たなコンサルテーション「英国のデータインフラのセキュリティとレジリエンスの保護と強化」を開始しました。この業界を監督する新たな規制当局が設立される可能性も考えられます。

政府は、データセンター事業者がセキュリティとレジリエンスを高めるために「適切な措置を講じている」ことを確認するため、一連の新しい法律で最低限の要件を義務付けると述べました。

「英国のすべての関連事業者が、国益、特に国家安全保障に関連するリスクを適切に軽減していることを確認するため、データセンターに焦点を当てた、新たな、割合の高い法的枠組みの導入を検討しています。この枠組みは、特に新たな脅威、技術開発、ビジネスモデルの結果として、他のリスクが出現する将来にも適用できるでしょう」と、 John Whittingdale データ・デジタルインフラ担当大臣は述べています。

この提案では、サードパーティのデータセンターサービスに焦点が当てられています。サードパーティのデータセンターサービスは、物理的およびデジタルセキュリティの脅威、異常気象を含む回復力のリスク、業界全体の情報共有と協力が不十分で、政府がリスクを特定し対処する能力を妨げているなど、多くのリスクに直面していると政府は考えています。

政府は、データセンターの「国家的重要性」を考慮すると、既存の分野別規制では十分なセキュリティと監視ができないため、規制の必要性を見出しています。

「データセンターがわが国経済にとって重要であるということは、重大なセキュリティや耐障害性のショックがもたらす国家的損害が、特定の事業者に対する商業的損害よりもはるかに大きい可能性があるということであり、したがって、国益のために必要なレベルのセキュリティ・レジリエンス基準を推進するには、商業的な推進力だけでは不十分です」と、コンサルテーション・ペーパーは指摘しています。

加えて「この規制機能は、最低限、データセンターを運営する組織、特にサードパーティ・プロバイダーとしてコロケーションやコ・ホスティング・データセンター・サービスを提供する組織に対する法的な規制監督を行います。英国のすべてのサードパーティ・データセンター事業者による、セキュリティとレジリエンスのリスク軽減の基本水準を確立することを目指しています」とも述べられています。

提案されている枠組みでは、事業者は規制当局に登録し、インシデントを報告する必要があり、リスクとインシデント管理、施設の物理・サイバーセキュリティの確保に関する「基本的な」措置を遵守を求められると見られています。

この協議では、データセンターのオーナーやオペレーター、クラウドやサービスのプロバイダー、顧客、そしてこの分野の専門家からの意見を求めています。

協議は2024年2月22日に締め切られる予定です。

英国政府は昨年、データセンターのリスク管理フレームワーク策定に関する意見募集を行っています。

産業界のロビー団体techUKの Julian David CEOは次のように述べています。「英国政府が、デジタル経済を支えるデータセンター部門の重要な役割を認識したことを嬉しく思います。DSITが、この重要なセクター全体のレジリエンスを強化するために、産業界と協議し、協力を続ける意向であることは心強いことであります」

「すべての規制の進展と同様に、techUKとそのメンバーは、産業界、その顧客、サプライチェーン、消費者にとって実用的で、商業環境を考慮した方法で、その範囲と方針策定が行われるよう、この問題に関与することを楽しみにしています。」

この記事は海外Data Centre Dynamics発の記事をData Center Cafeが日本向けに抄訳したものです。