オーストラリアにおける重要インフラ安全保障法の改正と外資規制への影響について
オーストラリアにおける重要インフラ安全保障法の改正と外資規制への影響についてニュースレターを発行いたしました。 PDF版は以下からご確認ください。
→オーストラリア:重要インフラ安全保障法の改正と外資規制への影響
オーストラリア:重要インフラ安全保障法の改正と外資規制への影響
2022年1月吉日
1.重要インフラ安全保障法
重要インフラ安全保障法(Security of Critical Infrastructure Act 2018)(以下「SOCI法」という)は、オーストラリアの重要インフラへの国家安全保障のリスクを管理するために2018年に施行されました。SOCI法において対象企業に課される主な義務は、重要インフラ資産の登記、サイバー・インシデントの報告、政府による情報収集・インシデント発生時の介入に対する対応等が挙げられます。
近年の国際的なインフラに対するサイバー攻撃件数の増加を背景に、最近の法改正によりオーストラリア政府はSOCI法の適用対象となる業界を大幅に拡大し、更に対象企業の義務および政府の権限の強化を図っています。また当該改正は、オーストラリアの外資規制において当局の事前承認を必要とする国家安全保障に関わる事業(National Security Business)の定義を直接に拡大する効果があるため、該当分野においてオーストラリア進出を検討する日本企業、または既に進出している企業にとっても重要な改正と言えます。
本ニューズレターでは、SOCI法に関する最近の改正法、および現在パブリックコメントを受付けている公開草案について解説いたします。
2.改正法①(施行済み)
今回の改正法は2段階に分けて行われましたが、その1段階目として、2021年12月2日に、主にサイバーセキュリティに関する義務を重要インフラの責任事業体(Responsible Entities)[1]に対し課すSecurity Legislation Amendment (Critical Infrastructure) Bill 2021が施行されました。当改正前は、ガス、電気、水および港の分野にのみSOCI法が適用されていましたが、現在は、以下の各分野における責任事業体は、新たに追加されたサイバー・インシデント報告義務、既存の重要インフラ登記義務、および有事の際の政府の拡大された権限[2]について適用対象となります。
・データ保管・処理 ・通信 ・防衛 ・エネルギー ・金融サービス・市場 ・食品・食料品 ・ヘルスケア・医療 ・高等教育・研究 ・宇宙技術 ・輸送 ・水・下水処理
サイバー・インシデント報告義務とは
責任事業体が、重要インフラの利用可能性に重大な影響を与えるサイバー攻撃等を受けたまたは受けることを認識した場合に、その時点から12時間、または当該影響が重大でない場合は72時間以内に、政府の発行する規則に指定される関連当局へ通知することが求められる義務を指します。
重要インフラ資産登記簿(Register of Critical Infrastructure Assets)
責任事業体は、自己の重要インフラ資産について重要インフラ資産登記簿に対し、資産の場所、利用地域、責任事業体の詳細、運営業者(Operators)の詳細等、所定の情報提供をしなければなりません。Direct Interest保持者についても、自己の保持する権益、当該資産に関し保持する支配力等の情報を提供することが求められます。これらの義務は改正前に既に存在した義務ですが、上述の通り、SOCI法の適用対象となる分野が拡大したことから、新たに追加された分野にて重要インフラ資産を管理する事業者は登記手続きを進める必要があります。
政府の権限強化
重要インフラの利用可能性に重大な影響を与えるサイバー攻撃等の事態が発生し、社会的・経済的な安定、防衛、または国家安全に深刻な悪影響をあたるリスクが存在すると認められる場合は、一定の制限の下に、各分野の関連大臣は、情報提供命令、差し止め命令、介入命令等を発令する権限が付与されます。
ただし、当改正によるサイバーセキュリティに関する義務は、今後政府により発行される規則により発効されるため、全ての分野・資産に対して自動的に適用されるものではありません。現在草案が公開されている規則については、下記3でご紹介します。
3.改正法②
2021年12月に、上述の改正法を実質的に発効させる規則としてSecurity of Critical Infrastructure (Definitions) Rules 2021 (Cth)(以下「定義規則」という)の登録、およびSecurity of Critical Infrastructure (Application) Rules 2021(以下「適用規則」という)の公開草案発表がありました。
定義規則(https://www.legislation.gov.au/Details/F2021L01769)は2022年12月14日付で発効されており、SOCI法の適用を受ける各分野の重要インフラ資産を具体的に定義づけるものです。以下の重要インフラ資産が定義づけられています。
・Critical Electricity Asset ・Critical Gas Asset ・Critical Liquid Fuel Asset ・Critical Freight Infrastructure Asset ・Critical Freight Services Asset ・Critical Financial Market Infrastructure Asset ・Critical Broadcasting Asset ・Critical Banking Asset ・Critical Insurance Asset ・Critical Superannuation Asset ・Critical Food and Grocery Asset ・Critical Domain Name System
適用規則については、公開草案の段階であり、2022年2月1日までパブリックコメントが受付けられています。現段階では、主に以下の各分野に関し、前記2の主要義務が発効されることが予定されています。
サイバー・インシデント報告義務
・エネルギー(電気、ガス、液体) ・運輸 ・メディア ・銀行 ・保険 ・食品・食料品 ・ドメインネーム ・教育 ・水 ・データ保管・処理 ・病院 ・港 ・航空 ・公共交通機関 ・金融
重要インフラ資産登記簿(Register of Critical Infrastructure Assets)
・エネルギー(電気、ガス、液体) ・運輸 ・メディア ・食品・食料品 ・ドメインネーム ・水 ・データ保管・処理 ・病院 ・港 ・公共交通機関 ・支払いシステム
電気通信(Telecommunication)および防衛については、今回の適用規則において義務の発効が予定されていません。なお電気通信については、別途関連法の改正を行うことが示唆されています。
また、改正法第2弾として、Security Legislation Amendment (Critical Infrastructure Protection) Bill 2022、およびTransport Security Amendment (Critical Infrastructure) Bill 2022の公開草案が公開されています。いずれも、重要インフラを管理する責任者に対して更なるサイバーセキュリティ対策・報告義務を課す内容です。
4.外資規制への影響
オーストラリアでは、国家安全に関わる通知行為(Notifiable National Security Action)に該当する外国投資家の行為は、外国投資審査委員会(FIRB:Foreign Investment Review Board)からの事前承認の取得が必要です。国家安全に関わる通知行為とは、主に、国家安全事業(National Security Business)を開始する、または国家安全事業の10%以上の権益を取得する(もしくは一定の支配権を取得する)場合を指します。
外資規制法(Foreign Acquisitions and Takeovers Act 1975)には、国家安全事業の一つとして、SOCI法に規定される責任事業体(Responsible Entity)がオーストラリアで営む事業であり、当該事業が重要インフラ資産に関して10%以上の権益(または一定の支配権)を保持する場合と定義されています。従って、今後前記2にて記述した各分野の重要インフラ資産を保持する事業へ投資を行う海外投資家は、投資額に限らず、外資規制当局の承認を取得することが求められます。実務上は、投資契約に外資規制の承認を取得することを前提条件とすること、当該承認取得までの期間(複雑な案件でない場合は一般的に2~4か月)を考慮した投資計画とすること、および投資前のデューデリジェンスにおいて上述のSOCI法の義務が遵守されていることを確認する等の配慮が必要となります。
以 上
[1] 責任事業体(Responsible Entities)とは、主に需要インフラ資産を運営することをライセンスされている事業体であり、分野ごとに特定の意味が与えられている(SOCI法第5条、第12L条他)。
[2] 政府の権限については、責任事業体のみでなく、Direct Interest(主に10%以上の権利)保持者、運営者(Operators)、運用管理代行業者に対しても行使されます。
