ニュース
注意事項: この記事は、英語から自動翻訳されています。原文については、英語の記事をご覧ください。一部の自動翻訳が不自然な場合がありますが、予めご理解いただけますようお願い申し上げます。
Illustration of a European map.

EUと英国におけるNIS代表 - 3月31日の期限は転換点か?

Andreas

Andreas Maetzler

すべてはNIS指令から始まった

ネットワークおよび情報システム指令(EU 2016/1148 - NISD)は、欧州連合(開始時は英国を含む)における高水準のネットワークおよび情報システムのセキュリティを達成することを目的としている。この指令は、重要サービス事業者(Operators of Essential Services)とデジタル・サービス・プロバイダー(Digital Service Providers)の2種類の組織に適用される。この記事では、最近の変更が特にDSPに関連しているため、DSPに焦点を当てます(DSPかどうかを確認するには、こちらをご覧ください)。

NIS指令はその法的性質上、EU加盟国には直接適用されないため、EU一般データ保護規則とは異なります。国内法に移行する必要がある。技術的には28の異なるNIS法が施行されている。NISDやその国内法への移管は、GDPRのように域外適用が可能であるため、EUや英国の外に拠点を置く企業もこれらの国内法の影響を受ける可能性があることに注意することが重要です。域外適用範囲から生じる中核的な義務は、EU/英国外に所在する企業がNISの代表者を任命する義務です。

デジタルサービスプロバイダーとは?

デジタルサービスプロバイダーとは、デジタルサービスを提供する法人を指します。ただし、すべてのデジタルサービスがNISの対象となるわけではなく、特定のサービスのみが対象となります。以下のデジタルサービス提供者はNISの対象となります。

オンラインマーケットプレイス:オンラインマーケットプレイスは、消費者と取引者がオンラインで販売契約やサービス契約を締結することを可能にし、これらの契約の締結先として機能する。第三者のアプリケーションやソフトウェアプログラムのデジタル配信を可能にするオンラインストアとして運営されるアプリケーションストアは、オンラインマーケットプレイスの一種であると理解される。 最終的に契約を締結することができる第三者サービスへの仲介役としてのみ機能するオンラインサービスは含まれない。

オンライン検索エンジン:オンライン検索エンジンは、ユーザーがあらゆるテーマに関するクエリに基づいてウェブサイトを検索することを可能にする。特定のウェブサイトのコンテンツに限定された検索機能は、たとえ外部の検索エンジンによって提供されるものであっても、NISの対象とはならない。また、異なる取引業者から特定の商品やサービスの価格を比較し、ユーザーを希望する取引業者にリダイレクトして商品を購入させるオンラインサービスも対象外である。

クラウドコンピューティングサービス:クラウドコンピューティングサービスは、ネットワーク、サーバーなどのインフラ、ストレージ、アプリケーション、サービスなどの共有可能なコンピューティングリソースのスケーラブルで弾力的なプールへのアクセスを可能にする。NISDは、クラウド・コンピューティング・サービスがクラウド・サービスとして認定されるために必要な3つの特性について言及している:

  • スケーラブルなリソース:需要の変動に対応するため、地理的な場所に関係なく、クラウド・サービス・プロバイダーがリソースを柔軟に割り当てることができる。
  • 弾力的なリソースプール:需要に応じてプロビジョニングと解放が行われ、ワークロードに応じて利用可能なリソースを増減できるコンピューティングリソース。
  • 共有可能:サービスへのアクセスを共有する複数のユーザーにコンピューティング・リソースを提供するが、同じ電子機器から提供されるにもかかわらず、処理はユーザーごとに別々に実行される。IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)、SaaS(Software as a Service)などのモデルがある。

NISDは、ネットワークと情報システムのセキュリティレベルを向上させることを目的としているため、そのようなインフラに一定の影響を与える企業に適用される。EUのNISDとその国内移管版、英国のNIS規則はいずれも、従業員50人未満、年間売上高または貸借対照表が1,000万ユーロ未満の企業には適用されない。

EUまたは英国内でサービスを提供しているかどうかの評価

DSPが特定の市場にサービスを提供しているかどうかの評価に関しては、NISDはGDPRと同様のアプローチを追求しているようだ。NISDのリサイタルは、DSPがEU内の1つ以上の加盟国にサービスを提供しようとしていることが明らかでなければならないこと、言い換えれば、特定の市場を「積極的にターゲットにしている」証拠が必要であることを示唆している。英国のNIS規制に関しても、同様のアプローチをとる可能性が高い。

GDPRの範囲と同様、ウェブサイトの単なるアクセシビリティや、異なる国で一般的に使用されている言語を使用するだけでは、特定の市場をターゲットとする意図を確認するには不十分である。しかし、そのような意図を示唆するような考慮すべき基準がいくつかある:

  • 一つ以上の加盟国または英国で使用されている言語または通貨を使用していること。
  • それらの言語でサービスを注文できること。
  • EUまたは英国にいる顧客またはユーザーについて言及していること。

弊社は、SaaSソリューションを英国代理店向けに適合させ、英国オフィスからリーガルテックサービスを提供することができます。

Brexitによる代理人要件への影響

NISDは、英国がまだ欧州連合(EU)の一部であったときに、ネットワークおよび情報システム規則(NIS規則)を通じて英国法に移管されました。ブレグジットはNIS規則の有効性に影響を与えなかったが、英国だけの適用に合うように改正された。当初、英国のNIS規則にはNIS代理人の任命義務は含まれていなかった。ブレグジットによるNIS規則の改正により、この義務が導入されました。 新規則の下では、非英国企業は以下の場合に英国代理人を任命しなければなりません:

  • デジタルサービスプロバイダー(オンラインマーケットプレイス、オンライン検索エンジン、クラウドコンピューティングサービス)である。
  • 本社が英国にない。
  • 英国でサービスを提供している。 英国に本社ではない支店がある場合でも、英国代理人を選任する義務があることは、NIS規制とGDPRの代理人選任に関するアプローチの最も重要で難しい違いかもしれない。 これらにすべて該当する場合、企業は英国法の下でデジタルサービスプロバイダーとみなされ、その結果、英国のNIS規制に準拠しなければならない。つまり、3月31日の期限までに代表者を任命する必要がある。さらに、DSPは、そのサービスを支えるネットワークや情報システムに対するリスクを管理するために、適切なセキュリティ対策を講じる必要がある。DSPは、サービスの提供に実質的な影響を与えるインシデントが発生した場合、英国情報コミッショナー事務所に通知しなければならない。 英国NIS規則はGDPRの弟分ではなく、違反した場合に規定される罰金に関しては対等なパートナーであることを強調する必要がある。英国NIS規則によると、(関連当局である)ICOは、GDPRで規定されている制裁金と同様に、最も深刻なケースで最高1700万ポンドまでの制裁金を科すことができる。

EUにおけるNISの代表

第18条(2)18 (2) NISDは、EU域外に設立され、EU域内でサービスを提供するDSPに対し、欧州代理人の選任を義務付ける国内措置を提供することを加盟国に求めている。27 GDPRの義務と同様である。しかし、この義務付けは加盟国ごとに異なっている。当初は英国も含め、そのような義務をまったく履行していない国もあった。

しかし、英国代理人の任命期限である3月31日は、欧州代理人の任命にも適用されるのだろうか?答えはノーである。この期限は英国固有のものであり、英国が代表義務を採用したのは最近導入されたブレグジット改正がきっかけである。英国NIS規則の改正は、代表者の選任に3ヶ月の期限を定めており、この期限は改正が施行された2021年1月1日からとなっている。

企業が今すべきこと

BrexitによりDSPに生じる一定の影響があり、上記の観点から慎重に評価する必要がある。重要な問題は、企業がNIS代理人を任命する必要がある可能性のある法的枠組みが2つ存在することである。これらの枠組みは以下に適用される:

  • 英国に本社を持たないDSP(EU内外の企業である可能性がある);
  • EU域内に拠点を持たない英国のDSPおよび関連するデジタル・サービス・プロバイダー;
  • 英国に本社がなく、EUに事業所があるDSP。 NIS代表者の要件については、詳細なFAQを作成しましたので、ご参照ください。 EUまたは英国のNIS代表者、あるいはその両方が必要な企業は、Artiが必要になる可能性が非常に高いです。27 (U.K.) GDPR代表者が必要となる可能性が非常に高い。NISの代表者はGDPRの代表者と同じにすることができるため、GDPRとNISの代表者を同じ人物または団体にすることが可能です。 欧州の代表者を選択することは、DSPに適用される司法権に影響を及ぼします。DSPは、ネットワークおよび情報システムのセキュリティにもたらされるリスクを管理するための技術的・組織的措置の実施や、サービスの提供に重大な影響を及ぼすインシデントが発生した場合の報告義務などを含む、国内のNIS法を遵守しなければならない。