規制撤回の背景と内容
2025年11月21日、米国連邦通信委員会(FCC)は、国内の通信事業者により厳格なサイバーセキュリティ対策を義務付けていた規制を撤回しました。この規制は、中国の脅威グループ「Salt Typhoon」による大規模なハッキング事件を受け、2025年1月に導入されたものでした。当時の規制では、通信事業者に対し以下の事項が求められていました。
- サイバーセキュリティリスク管理計画の作成と実施
- 年次FCC認証の提出
- 一般的なネットワークセキュリティを法的義務として扱うこと
しかし、通信業界からのロビー活動(新しい枠組みは負担が大きすぎるという主張)を受け、FCCはこれまでの規則を「柔軟性に欠け、違法かつ非効果的」であると判断し、撤回を決定しました。現在のFCCは新たなリーダーシップの下で運営されており、通信サービスプロバイダーが「Salt Typhoon」事件以降、サイバーセキュリティ対策を強化するために重要な措置を講じており、今後も協調してリスク軽減に努めることに合意したと述べています。
「Salt Typhoon」攻撃の深刻な影響
「Salt Typhoon」の攻撃は2024年10月に発覚し、中国によるスパイ活動の一環とされています。この攻撃は、Verizon、AT&T、Lumen Technologies、T-Mobile、Charter Communications、Consolidated Communications、Windstreamなど、複数の主要な通信事業者に影響を及ぼしました。ハッカーは、米国の連邦政府が裁判所命令による通信傍受要求に利用していた中核システムにアクセスし、政府高官レベルの極めて機密性の高い情報を傍受した可能性があるとされています。
批判と国家安全保障への懸念
サイバー攻撃のリスクが依然として変わらない中でのFCCの今回の決定は、各方面から批判を浴びています。唯一反対票を投じたFCC委員のアンナ・M・ゴメス氏は、サイバーセキュリティの有効性について通信事業者の自己評価に依存することへの不満を表明し、「(FCCの提案する)規制撤回はサイバーセキュリティ戦略ではない。それは『希望と夢』であり、アメリカ人を『Salt Typhoon』の侵害が発覚した日よりも保護されていない状態にするだろう」と強く非難しました。
ゴメス委員は、「Salt Typhoon」は単発の事件ではなく、国家支援型アクターによる長期間にわたる通信ネットワークへの侵入を目的としたより広範なキャンペーンの一部であると警告しました。さらに、「連邦当局は、同様の継続的な偵察と悪用の試みが今日も行われており、通信ネットワークが外国の敵対者にとって高価値の標的であり続けていると公に述べている」と付け加えました。マリア・キャントウェル上院議員とゲイリー・ピーターズ上院議員も、採決に先立ちFCCに対しサイバーセキュリティ保護措置を維持するよう求める書簡を送付していました。