NIS英国代表FAQ

Question 1

英国でもNISは適用されますか？

Accepted Answer

はい、ネットワークおよび情報システム（NIS）規則は、引き続き英国でも完全に適用されています。もともと欧州のNIS指令に基づき、英国はこの規制を国内法「UK NIS規則2018」に移行しました。英国のEU離脱後もこれらの規則は維持され、英国国内のネットワークおよび情報システムの強固なセキュリティが保たれています。そのため、英国のNIS規則は引き続き施行されています。

Question 2

UK NIS規則の対象は誰ですか？

Accepted Answer

英国の「ネットワークおよび情報システム（NIS）規則2018」は以下の対象に適用されます。

- 重要サービス運営者（OES）：エネルギー、銀行、交通、医療、水、デジタルインフラなどの分野の組織
- デジタルサービスプロバイダー（DSPs）：オンライン検索エンジン、オンラインマーケットプレイス、クラウドコンピューティングサービスを含む

これらの規則は、以下に該当するDSPに適用されます。

- オンライン検索エンジン、オンラインマーケットプレイス、またはクラウドコンピューティングサービスのいずれかを提供している
- 従業員が50人以上で、年間売上高またはバランスシートの合計が1000万ユーロを超えるため、中小企業の定義に該当しない

なお、DSPの本社が英国以外にある場合、規則に準拠するために英国拠点の代理人を選任する必要があります。

これらの組織が強固なセキュリティ対策を実施し、重大なインシデントを報告することを義務づけることで、英国NIS規則は英国全土における重要サービスの回復力とセキュリティを維持するのに役立っています。

Question 3

デジタルサービスプロバイダーとは？

Accepted Answer

デジタルサービスプロバイダー（DSP）とは、英国「ネットワークおよび情報システム（NIS）規則2018」の対象となるデジタルサービスを提供する法的事業体のことです。すべてのデジタルサービスがこれらの義務を負うわけではなく、特定のサービスのみが対象となります。

**オンラインマーケットプレイス**：
オンラインマーケットプレイスは、消費者と業者がオンラインで売買契約やサービス契約を締結できるプラットフォームです。これらのマーケットプレイスは、契約の最終的な成立地点となります。たとえば、アプリケーションストアなど、第三者のアプリやソフトウェアプログラムをデジタル配信する場はオンラインマーケットプレイスと見なされます。しかし、契約を最終的に結ぶための仲介のみを行うオンラインサービスは、この定義には含まれません。

**オンライン検索エンジン**：
オンライン検索エンジンは、任意のテーマに基づいてウェブサイトを検索できる機能を提供するサービスです。あらゆる言語で運営される検索エンジンが含まれますが、特定のウェブサイトの内容に限られた検索機能（外部検索エンジンによるものも含む）はNIS規則の対象外です。また、異なる業者からの特定製品やサービスの価格を比較し、特定業者にユーザーを誘導するサービスも対象外です。

**クラウドコンピューティングサービス**：
クラウドコンピューティングサービスは、ネットワーク、サーバー、ストレージ、アプリケーション、サービスなど、共有可能で拡張性のあるコンピューティングリソースにアクセスできるサービスです。NIS規則のクラウドコンピューティングサービスと認められるには、以下の3つの特性を備えている必要があります。

- **スケーラブルなリソース**：クラウドサービスプロバイダーによって、地理的な制約を受けずに需要に応じた柔軟なリソース割り当てが可能です。
- **弾力的なリソースプール**：リソースは需要に応じてプロビジョニングおよび解放され、負荷に応じて迅速に増減できるようになっています。
- **共有可能**：複数のユーザーが同じサービスへのアクセスを共有できますが、処理はそれぞれのユーザーごとに個別に行われます。

「Infrastructure as a Service（IaaS）」、「Platform as a Service（PaaS）」、「Software as a Service（SaaS）」などの異なるビジネスモデルも、NIS規則の対象に含まれます。また、スケーラブル、弾力的、共有可能なリソースへのアクセスを提供するハイブリッドモデルや他のバリエーションも対象です。

**小規模およびマイクロ事業の例外**
NIS規則には、小規模およびマイクロ事業者向けの一般的な例外が存在します。もし以下の条件を満たす場合、NIS義務の対象外とされ、DSPに該当しません。

- 従業員数が50人未満
- 年間売上高および/またはバランスシートの合計が1000万ユーロ未満

この例外には個人事業主も含まれます。ただし、サービスがより大きなグループの一部である場合、グループ全体の従業員数および財務基準を考慮し、小規模企業の例外条件を満たしているか評価する必要があります。

Question 4

私の会社はEUまたは英国でサービスを提供していますか？

Accepted Answer

会社が英国でサービスを提供しているかどうかを判断するには、ターゲットとする市場を評価する必要があります。単に英語でアクセス可能なウェブサイトがあるだけでは、この意図を証明するのに十分ではありません。以下の要素を検討してください。

- 英国特有の言語や通貨の使用：サービスをポンド（GBP）で提供したり、英国英語に合わせたコンテンツを提供したりする場合、英国の顧客を対象としていると考えられます。
- 注文機能：英国市場向けに設計されたサービスを提供し、顧客が注文をできる場合、英国でサービスを提供しているとみなされます。
- マーケティングおよびターゲティングの取り組み：英国向けのマーケティングキャンペーンを行う、または英国に拠点を置くカスタマーサポートを設置している場合、英国でサービスを提供しているとみなされる可能性が高くなります。

Question 5

この義務からの例外はありますか？

Accepted Answer

はい、例外があります。会社が英国に拠点を持たず、英国でデジタルサービスを提供している場合、通常は英国「ネットワークおよび情報システム（NIS）規則2018」に基づき、英国NIS代表者を任命する義務があります。しかし、以下の場合、この義務は適用されません：

- 小規模企業：従業員が50人未満で、年間売上高および/または年間バランスシート合計が1,000万ユーロを超えない企業。
- マイクロ企業：従業員が10人未満で、年間売上高および/または年間バランスシート合計が200万ユーロを超えない企業。

そのため、従業員が50人未満で年間売上高および/または年間バランスシート合計が1,000万ユーロ未満の場合、英国NIS代表者を任命する義務は免除されます。

Question 6

英国NIS規則に基づくDSPの主な義務

Accepted Answer

英国「ネットワークおよび情報システム（NIS）規則2018」に基づき、デジタルサービスプロバイダー（DSP）は、英国でサービスを提供する際に、ネットワークおよび情報システムのセキュリティと回復力を確保するために、いくつかの主要な義務を負います。

**技術的および組織的対策**
DSPは、使用するネットワークおよび情報システムのセキュリティリスクを管理するために、適切で相応の技術的および組織的対策を特定し、実施しなければなりません。

これらの対策には以下が含まれます。

- リスク管理：データとサービスの可用性、信頼性、完全性、または機密性を損なう可能性のあるリスクに対処します。
- 比例性：リスクの潜在的影響に応じたものであり、最新技術や導入コストも考慮されるべきです。
- 予防措置：可能な限りサイバーセキュリティインシデントを防止するための措置を含むべきです。

**インシデント管理と影響の最小化**
DSPは次のことを行う必要があります。

- インシデント防止：ネットワークや情報システムのセキュリティに影響を与える可能性のあるインシデントを防ぐための措置を講じる。
- 影響の最小化：発生したインシデントの影響を最小限に抑えるための措置を実施し、デジタルサービスの継続性を確保する。
- 回復計画：サービスを迅速に復旧するためのインシデント対応および回復計画を策定し、維持する。

**インシデント報告**
DSPは、英国におけるサービス提供に重大な影響を及ぼすインシデントが発生した場合、関連当局に報告する義務があります。

- 報告義務：インシデントが発生した場合、遅滞なく情報委員会事務局（ICO）に報告する。
- 通知内容：ICOがインシデントの重大性を判断できるように、インシデントの性質、影響、および実施した是正措置に関する十分な情報を提供する。
- 協力：調査やインシデント管理の過程で、ICOおよび国立サイバーセキュリティセンター（NCSC）と協力する。

**英国代理人の選任**
英国NIS規則に基づき、英国に本社がないが英国で事業を行っている組織は、英国NIS代理人を選任する義務があります。この代理人は次の責任を負います

- 連絡窓口としての役割：ICOおよび他の関連する英国当局との連絡窓口として機能する。
- コンプライアンスの確保：DSPが英国NIS規則のすべての義務を遵守するようにする。
- アクセス可能性：英国当局からの問い合わせや執行措置に対して対応可能であること。

Question 7

どのNIS法に準拠する必要がありますか？

Accepted Answer

お客様の企業がデジタルサービスプロバイダー（DSP）であり、一定の基準を超える場合、英国の「ネットワークおよび情報システム（NIS）規則2018」の適用範囲は、企業の所在地やサービス提供地域により異なります。

- お客様の企業が英国に本社を持つ場合：UK NIS規則2018が適用されます。
- お客様の企業が英国に本社を持たず、英国でサービスを提供している場合：UK NIS規則2018が適用され、英国の代理人を選任し、UK管轄の下で企業を代表する必要があります。

いずれの場合でも、UK NIS規則に準拠し、適切なセキュリティ対策を講じ、すべての報告義務を履行する必要があります。

Question 8

英国代理人は必要ですか？

Accepted Answer

お客様の企業が英国に本社を持たず、英国で一定のデジタルサービスを提供している場合、UK NIS規則2018に基づき、英国代理人を選任する必要があります。

規則によると
- 代理人の選任：英国に本社を持たず、英国で特定のデジタルサービスを提供している企業は、英国に拠点を置く代理人を指定する必要があります。この代理人は、お客様の企業に代わってUK NIS規則への準拠を確保します。
- ブレグジットの影響：ブレグジット以降、EUは英国から見て「第三国」とみなされています。そのため、EUに拠点を置き英国でサービスを提供しているが、英国に本社を持たない企業は英国代理人を選任する必要があります。

代理人の役割
- お客様の企業に代わり、UK NIS規則の遵守に関する対応を行います。
- 関連する英国当局との窓口として機能します。

英国代理人を選任することで、UK NIS規則への準拠が確保され、英国国内のネットワークおよび情報システムのセキュリティと強靱性の向上に寄与します。

Question 9

英国NIS代理人を選任する際の要件

Accepted Answer

お客様の企業が英国に本社を持たず英国でデジタルサービスを提供している場合、UK NIS規則2018に基づき、以下の要件で英国に代理人を選任する必要があります。

- **書面による確認**：情報委員会（ICO）での登録手続きが完了した後、英国代理人の選任を文書で確認する必要があります。
- **代理人の準拠義務**：代理人はUK法に従い、お客様に代わってUK NIS規則に基づく法的義務を履行し、インシデント報告を含む対応を行います。
- **アクセシビリティ**：代理人は、ICOや国家サイバーセキュリティセンター（NCSC）からの連絡に迅速に応答できる状態である必要があります。

代理人を選任する際には、以下の情報をICOに提供することが求められます。

- 本社所在地：お客様の企業が英国外に本社を持つかどうか。
- 他国での代理人の有無：他国に代理人を指定しているかどうか。
他国での類似法令の遵守状況：他国のネットワークおよび情報システム関連法に準拠しているかどうか。
- システムの所在地：英国外にネットワークおよび情報システムが設置されているかどうか。

これらの情報を提供することで、ICOが企業の構造を理解し、円滑な連絡が可能になります。英国代理人を選任することで、お客様の企業がUK NIS規則に準拠し、英国における重要なデジタルサービスのセキュリティと強靱性を確保します。

Question 10

EU外および英国外に本社を持つ企業は、EUと英国の両方で代理人を選任する必要がありますか？

Accepted Answer

お客様の企業がEUおよび英国のいずれにも拠点を持たず、両地域でサービスを提供している場合、関連法令を遵守するために、EUと英国の双方で代理人を選任する必要があります。これは、EU法および加盟国での施行規則と、英国法の双方に対応するためです。なお、EU代理人は、お客様がサービスを提供している加盟国のいずれかに拠点を置く必要があります。また、英国代理人は英国に拠点を置く必要があります。

Question 11

UK NIS規則に違反した場合の影響は？

Accepted Answer

英国の「ネットワークおよび情報システム（NIS）規則2018」に基づき、義務を遵守しなかった企業には大きな罰則が科される可能性があります。違反企業は最大で1,700万ポンドの罰金が課されることがあり、正確な罰金額は違反の重大性、過失の程度、ネットワークおよび情報システムのセキュリティへの影響の度合いにより決まります。また、必要な場合に英国NIS代理人を選任しないことも重大な違反行為と見なされます。英国で事業を展開しているが本社が英国にない企業は、UK NIS規則を遵守するために英国NIS代理人を選任する必要があります。

Question 12

UK NIS代理人を選任する際の一般的な要件と、代理人の義務は？

Accepted Answer

英国の「ネットワークおよび情報システム（NIS）規則2018」に基づき、デジタルサービスプロバイダー（DSP）は書面による委任状を通じて代理人を明確に選任する必要があります。この代理人は英国に拠点を置き、情報委員会（ICO）や国家サイバーセキュリティセンター（NCSC）など、関連する英国当局の窓口として、迅速にアクセスできる状態である必要があります。代理人は、UK NIS規則に基づく法的義務をお客様に代わって果たし、インシデント報告や当局との連携などの役割を担います。代理人は英国法に準拠し、NISコンプライアンスに関する調査や要求にも対応しなければなりません。UK NIS代理人を選任することで、英国に本社を持たないデジタルサービスプロバイダー（DSP）も法的義務を遵守し、英国におけるネットワークおよび情報システムのセキュリティと強靱性に寄与できます。

Question 13

Prighterはどのようにこれらの要件に対応していますか？

Accepted Answer

Prighterは、委任状（Power of Attorney）を生成し、オンラインまたは紙上で署名できるデジタルオンボーディングプロセスを通じて、お客様がスムーズに代理人を選任できる体制を整えています。また、情報委員会（ICO）や国家サイバーセキュリティセンター（NCSC）といった英国の関連当局との専用連絡チャネルを提供し、UK NIS規則2018に基づくインシデント報告や当局との連携を含むすべての法的義務をお客様に代わって果たします。

会社にNIS-Representativeは必要ですか？

NIS規制対応の準備を万全に

テクノロジーを活用した対応

信頼を構築

特徴とサービス

すべてを網羅する英国NIS代理人サービス

英国NIS当局およびNCSCの一括窓口

登録手続き

テクノロジーで強化された英国NIS代理サービス

インシデント報告