最高裁の判決はサイバーセキュリティの規制とルールを脅かす可能性がある
最近の最高裁判所の判決は、米国の規制執行の状況を大きく変え、サイバーセキュリティ規制に重大な影響を及ぼしています。2024 年 6 月 28 日、最高裁判所は、1984 年に確立された法的原則 (Chevron v. Natural Resources Defense Council) である Chevron Doctrine を覆しました。この原則により、連邦機関は専門知識を使用して法律の曖昧さを解釈できるようになりました。この原則は 40 年にわたって連邦規制システムの基盤となっており、機関が技術的な専門知識と効率性を持って規則を作成し、執行できるようにしています。
最高裁判所の判決は、政府機関が法定権限の範囲内で行動したかどうかを判断する際、裁判所が独自の判断を下さなければならないことを義務付けています。この判決は、曖昧な法令に関する事件で裁判所が政府機関の専門知識に従う必要性を事実上なくし、40 年間続いてきた慣行を覆すものです。最高裁判所によると、「行政手続法は、政府機関が法定権限の範囲内で行動したかどうかを判断する際、裁判所が独自の判断を下すことを義務付けており、法令が曖昧であるという理由だけで、裁判所が政府機関の法律解釈に従うことはできません。シェブロンの判決は却下されました。」
この変化は、主に FDA、SEC、DHS などの連邦機関によって管理されている米国のサイバーセキュリティ規制に大きな影響を及ぼします。これらの機関はこれまで、サイバーセキュリティの法律や規制の解釈と施行において専門知識に依存してきました。しかし、最高裁判所の判決により、司法の監督がこれらの問題でより重要な役割を果たすようになり、訴訟の増加や機関の決定に対する異議申し立てにつながる可能性があります。
Platt Law LLPの弁護士でありImmuniwebのCEOでもあるイリア・コロチェンコ氏は、「米国最高裁によるこの画期的な判決は、米国の行政規則制定に根本的かつ長期的な影響を及ぼす可能性が高い。最高裁は40年の歴史を持つシェブロン原則を覆すことで、サイバーセキュリティ、プライバシー、データ侵害開示など、特定の要素について曖昧、不明瞭、またはまったく言及していない可能性のある連邦法の解釈において、裁判所に大幅に司法権と裁量を与えた」と述べた。
この判決は、企業が今後は裁判所が政府機関の専門知識に従わなくても政府機関の決定に対して控訴できるということを示唆している。これにより、法的な異議申し立てや控訴が増加する可能性があり、資金力のある企業は、EU 規制への取り組み方と同様に、大規模な法廷闘争を通じて米国の規制に取り組む可能性がある。Qualys TRU のサイバー脅威担当ディレクター、ケン・ダナム氏は、「連邦政府機関や政府職員は、決定に対して永久に訴えられることになり、訴訟の津波が起こるだろう」と予想している。
ハーバード大学ロースクールのジョディ・フリーマン教授は、「これは、政府機関から裁判所への権力の大規模な移行だ。そして、これを文脈の中で捉えると、これは最高裁が政府機関の職務遂行を困難にした一連の訴訟の一部だ」と付け加えた。
この展開は、サイバーセキュリティ規制の将来について懸念を引き起こしている。コロチェンコ氏は、裁判所が法定目的に反すると判断した行政規則を無効にできるようになり、サイバーセキュリティ、侵害開示、重要な国家インフラに関する規則に影響が及ぶと指摘している。これには、重要なインフラ部門からのサイバーインシデントの広範な報告を義務付ける CISA の CIRCIA 規則などの最近の取り組みが含まれる。新しい司法監視により、これらの規則は覆される可能性が高くなっている。
Optiv + ClearShark の副社長兼 CTO である Jason Porter 氏は、「この変更により、より多くの規制措置が異議を唱えられ、最終的には覆される可能性が高く、規制機関とその監督下にある業界にとって法的な不確実性につながる」と述べています。
最高裁の判決はいくつかの課題を提起しているが、肯定的な結果もいくつかあるかもしれない。チェック・ポイント・ソフトウェアの CTO オフィスのアーロン・ローズ氏は、議会にもっと正確な法案を起草するよう強制したり、政府機関が明確な法的基準に基づいて規制を行うことを保証するなど、潜在的なメリットがあると考えている。司法の監視が強化されれば、確立された法的原則に基づいた、より一貫性のある公正な判決につながる可能性がある。
しかし、ローズ氏は欠点も指摘している。「特にサイバーセキュリティの分野では、技術が急速に進化しているため、タイムリーな適応が重要だ。最高裁の判決により、必要な対策の実施が遅れ、ハッカーや悪意のある人物が悪用できる隙間が残ってしまう可能性がある。」
結論として、最高裁判所がシェブロン原則を覆す決定を下したことで、規制監督の新しい時代が到来し、権限が専門機関から司法制度に移行しました。この変更は、規制が明確な法的原則に基づいていることを保証することを目的としていますが、急速に進化するサイバーセキュリティの分野に不確実性と潜在的な遅延をもたらします。法制度がこの判決に適応するにつれて、司法監督と専門家主導のタイムリーで効果的なサイバーセキュリティ規制の必要性とのバランスを取ることが課題となります。
