NIS Representation EUおよび英国 FAQ

Question 1

NISは英国でも適用されますか？

Accepted Answer

GDPRとは対照的に、NIS指令はすべての加盟国で直接適用されるわけではなく、各国内法に置き換える必要があります。そのためNIS指令は欧州の法的要件に基づいていますが、英国では英国の国内法に定められているためBrexitが影響を与えることはなく、移行期間後も適用されることになります。

Question 2

誰がNIS指令に準拠しないといけないのですか？

Accepted Answer

ネットワークおよび情報システムのセキュリティに関する指令（NISD）は、ネットワーク・情報システムに関するEU全体で共通したより高いセキュリティ基準を達成することを目的としています。対象となるのは、以下の場合となります。

- 基幹サービス事業者（OES）：エネルギー事業、銀行、運輸など
- デジタルサービスプロバイダー（DSPs）：オンライン検索エンジン、オンラインマーケットプレイス、クラウドコンピューティングサービスの3つのグループ

以下のDSPに適用されます。

- EU域内に拠点を持っている場合
- EU域外に拠点があり、EU域内にサービスを提供している場合

Question 3

デジタルサービスプロバイダーとは何ですか？

Accepted Answer

デジタルサービスプロバイダーとはデジタルサービスを提供する法人のことです。すべてのデジタルサービスがNIS指令の対象となるわけではなく、特定のサービスのみが影響を受けることにご注意ください。

**オンラインマーケットプレイス：** An online marketplace is a spot that allows consumers and traders to conduct online sales or service contracts with traders, and which function as the final destination for the conclusion of those contracts. Application stores, which operate as online stores enabling the digital distribution of applications or software programs from third parties, are a type of online marketplace.

オンラインマーケットプレイスは、消費者と販売元がオンライン上で販売またはサービスの契約を結ぶことを可能にし、それを最終目的として機能する場所のことを指します。サードパーティのアプリケーションまたはソフトウェアプログラムのデジタル配布を可能にするオンラインストアとして機能するアプリケーションストアは、オンラインマーケットプレイスとなります。サードパーティのサービスの仲介としてのみ機能するオンラインサービスは含まれません。

**オンライン検索エンジン：** An online search engine allows the user to perform searches of websites based on a query on any subject. It can also be focused on websites in certain languages.

オンライン検索エンジンは、任意のテーマに関するクエリに基づいて、ユーザーがWebサイトを検索するのを可能にするものです。また、特定の言語のWebサイトに絞ることも可能です。特定のウェブサイトのコンテンツに限定した検索機能は外部の検索エンジンによって提供されるものであっても、NIS指令の対象とはなりません。また、特定の商品やサービス料金を複数の業者で比較し、ユーザーを希望する業者に誘導して商品を購入させるオンラインサービスも含まれません。

**クラウドコンピューティングサービス：** Cloud computing services allow access to a scalable and elastic pool of shareable computing resources such as networks, servers or other infrastructure, storage, applications, and services. The NISD mentions three properties that a cloud computing service must have in order to be qualified as a cloud service:

- **Scalable リソース：** Resources can be flexibly allocated by the cloud services provider, irrespective of the geographical location of the resources, in order to handle fluctuations in demand; and
- **Elastic Pool of リソース：** Computing resources that are provisioned and released according to demand to rapidly increase and decrease resources available depending on workload; and
- **共有可能なもの：** Computing resources are provided to multiple users who share a common access to the service, but the processing is carried out separately for each user even though the service is provided from the same electronic equipment.

IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)、SaaS(Software as a Service)などの異なるビジネスモデルもNIS指令に含まれます。

Question 4

私の企業はEUまたは英国でサービスを提供しているとみなされるのでしょうか？

Accepted Answer

企業がEUまたは英国内でサービスを提供しているかどうかを判断する場合、その企業がどの市場にサービスを提供しようとしているかどうかが重要になります。これを判断するために、複数の要素が考慮入れられます。デジタルサービスプロバイダー（DSP）または仲介者のウェブサイトへの単なるアクセスや、DSPの拠点がある地域で一般的に使用されている言語を使用しているかという点のみでは、判断するには不十分であると言えます。複数の加盟国または英国で一般的に使用されている言語や通貨が使用されている場合や、その地域での他の言語でサービスを購入できる場合、メインとなる拠点でない地域にもDSPがサービスを提供する意図があることを示す指標となります。

Question 5

この義務を免除される条件はありますか？

Accepted Answer

お客様がEUや英国に拠点を持っていなくとも、前述のようなデジタルサービスを提供している場合は、基本的にNISの代理人を指定する義務があります。

ただし、一定の企業規模を超えていない企業には、代理人の指定義務は適用されません。免除となるのは、以下の場合です。

- 小規模企業, which are defined as enterprises which employ less than 50 persons and whose annual turnover and/or annual balance sheet total does not exceed 10 million; and
- 零細企業, which are defined as enterprises which employ less than 10 persons and whose annual turnover and/or annual balance sheet total does not exceed 2 million

従業員が50人以下で、年間売上高および（または）年間貸借対照表の合計額が1,000万円以下の企業は、代理人を指定する必要がありません。

Question 6

NIS指令に基づくDSPの主な義務は何ですか？

Accepted Answer

DSPに関しては、NIS指令の第16条に主な義務が定められています。

- **技術、組織的対策：デジタルサービスプロバイダーは、EUおよび英国内でサービスを提供する際に使用するネットワークおよび情報システムのセキュリティに起こりうるリスクを管理するため、適切な技術および組織的対策を特定し、実行する必要があります。** DSPs must identify and take appropriate and proportionate technical and organisational measures to manage risks posed to the security of network and information systems which they use in the context of offering their services within the EU and UK.
- **影響の最小化：デジタルサービスプロバイダーは、使用するネットワークおよび情報システムのセキュリティに被害を及ぼすインシデントの影響を防止、最小化する必要があります。** DSPs must take measures to prevent and minimise the impact of incidents affecting the security of their network and information systems.
- **報告義務・代理人：デジタルサービスプロバイダーがEUや英国で提供しているサービスの提供に重大な影響を及ぼすインシデントが発生した場合、関係当局またはCSIRTに通知しなければなりません。EU域内に拠点を持たない企業の場合は、代理人を指定する必要があります。** DSPs must notify the relevant authority or the CSIRT when an incident occurs that has a substantial impact on the provision of their service offered in the EU or UK. In the event that a company does not have an establishment in the EU it will need to appoint a representative who acts on behalf of the company.

Question 7

どのNIS指令に準拠する必要があるのでしょうか？

Accepted Answer

すべての加盟国に適用される規則であるGDPRとは異なり、NIS指令はすべてのEU加盟国と英国の各国の国内法として導入されています。どの国の法律がお客様の企業に適用されるかは、デジタルサービスプロバイダーかつ関連する閾値を超えている上で、以下のように決定されます：

- If your company has one or more establishments within the EU then your company is governed by the jurisdiction of the Member State in which it has its main establishment (i.e. where your お客様の会社がEU域内に1つ以上の拠点を持っている場合、その中でメインとなる拠点がある加盟国の国内法が採用されます。（すなわち、EU域内での本社） is);
- 英国内にメインとなる拠点を持っている場合、「ネットワークおよび情報システム規則（2018年）」が適用されます。
- EU域内に拠点はなくとも、域内でサービスを提供している場合、サービスを提供しているEU加盟国の１つに代理人を指定する必要があります。そして、お客様は代理人が指定されたEU加盟国の管轄下にあるとみなされます。
- 英国に拠点はないが、英国でサービスを提供している場合、英国の管轄下にある英国代理人を指定する必要があります。

Question 8

私たちは、NIS指令第18条に従いEU代理人を指定しなければなりませんか？

Accepted Answer

NIS指令の第18条2項によると NIS指令の第18条2項（および国内法に置き換えられた条項）によると、

- EU域内に拠点がなく
- EU域内で特定のデジタルサービスを提供している

以上のようなデジタルサービスプロバイダーは、サービスが提供されている加盟国のいずれかに設立されたEU内の代理人を指定しなければなりません。

英国のEU離脱後、EUにおいて英国は「第三国」とみなされるため、英国での拠点は「EU加盟国内での拠点」として考慮されなくなりました。その結果、英国に拠点を置き、EU域内に拠点を持たずにEU域内にサービスを提供している場合、EU域内にNIS指令第18条の代理人を指定する必要があります。

Question 9

私たちには、英国代理人が必要ですか？

Accepted Answer

英国政府は、以下のような組織は英国NIS指令の対象となると言及しています。

英国外に拠点があり
    英国にサービスを提供している場合

この場合は、2021年3月末までに英国代理人を指定しなければなりません。

ただし、英国法では小規模な企業に対する免除措置が設けられています。従業員が50人以下で、年間売上高および（または）貸借対照表が1,000万ユーロ以下の企業は、英国代理人を指定する必要はありません。

リソース： [ICO: The guide to NIS](https://ico.org.uk/for-organisations/the-guide-to-nis/key-concepts-and-definitions/) / [NIS Regulations - non-UK Digital Service Providers operating in the UK](https://www.gov.uk/guidance/nis-regulations-what-non-uk-digital-service-providers-operating-in-the-uk-should-do-from-1-january-2021)

Question 10

英国代理人を指定するための要件は何ですか？

Accepted Answer

英国のデータ保護当局であるICOが提供する登録プロセスを完了した後、代理人の指定を書面で承認する必要があります。代理人は英国法に遵守し、ICOまたはNCSCの連絡窓口となります。また、インシデントの報告をはじめ、英国のNIS指令における法的義務を果たすために、お客様の代理を務めます。

英国の代理人を指名する際には、以下の事項をICOに報告する必要があります。

Have a お客様の会社がEU域内に1つ以上の拠点を持っている場合、その中でメインとなる拠点がある加盟国の国内法が採用されます。（すなわち、EU域内での本社） in an EU Member State;
    EU加盟国に代理人を指名しているかどうか
    他国で同等の法律に遵守しているかどうか
    英国外でネットワークおよび情報システムを運用しているかどうか

リソース： [NIS Regulations - non-UK Digital Service Providers operating in the UK](https://www.gov.uk/guidance/nis-regulations-what-non-uk-digital-service-providers-operating-in-the-uk-should-do-from-1-january-2021)

Question 11

EU・英国以外に拠点を持つ企業は、代理人がそれぞれ必要なのでしょうか？

Accepted Answer

お客様がEUと英国のいずれにも拠点を持たず、両地域の個人にサービスを提供している場合、EU法とその加盟国での法律、および英国法からなるすべての関連法規を遵守するためにEUと英国の両方で代理人を指定する必要があります。EU代理人は、お客様がサービスを提供する加盟国のいずれかに拠点がなければなりませんのでご注意ください。また、お客様の英国代理人は英国に拠点がなければなりません。

Question 12

EU域内でサービスを提供しており、英国のEU離脱前にNIS指令第18条に準じた英国代理人を指定していました。今後はどうすればよいのでしょうか？

Accepted Answer

ブレクジット後は、英国に拠点のある代理人はEUの代理はできなくなったため、サービスを提供しているEU加盟国のいずれかに拠点がある追加の代理人を指定する必要があります。

Question 13

NIS指令に違反した場合、どのような影響が考えられますか？

Accepted Answer

NIS指令は、各加盟国で異なる形で実施されるEU指令に基づいているため、普遍的な罰則額はありません。例えば、英国では違反した企業に最高1,700万英ポンドの制裁金が科せられ、オーストリアでは5万ユーロの制裁金が科せられ、違反が繰り返された場合は最大10万ユーロになる可能性もあります。

また、NIS代理人を指定しなかった場合の制裁金も各加盟国で異なります。例えば、チェコ共和国ではEU代理人を指定しなかった場合、企業に最大4万ユーロの制裁金が科されます。

Question 14

代理人を指定する際の一般的な要件と、代理人の義務とは何ですか？

Accepted Answer

EU代理人の指定は、サービスプロバイダーの書面による委任状を通じて明示的に行われる必要があります。

代理人が現地の連絡先として機能するため、関係当局またはコンピュータセキュリティインシデントレスポンスチーム（CSIRT）が代理人に連絡できるようにする必要があります。代理人は、インシデント報告を含むNIS指令における法的義務を果たすために、デジタルサービスプロバイダーの代理を務めます。代理人は、拠点がある地域の国内法に準拠する必要があります。

Question 15

Prighterはこれらの要件にどう対応していますか？

Accepted Answer

Prighterは委任状の作成において、オンラインまたは紙媒体で署名できるエンドツーエンドのデジタル登録プロセスを採用しています。

また、関連するデータ保護当局との専用のコミュニケーションチャネルも提供しています。

私の企業にはNIS代理人が必要でしょうか？

特徴・サービス

Your all in one NIS-Representation

NIS 当局と CSIRT のワンストップ窓口

登録

NIS代理人として強化された技術

インシデントレポート

NIS規制対応の準備を万全に

テクノロジーを活用した対応

信頼を構築