{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
連載コラム「『経済安全保障推進法』企業に求められる対応」の第1回では、日本における経済安全保障政策や法規制の整備状況、経済安全保障の確保に向けた主要国の動向などについて解説しました。第2回となる今回は、2022年5月に成立した経済安全保障推進法で定められた4つの施策のうち、2024年春頃に制度運用開始予定の「基幹インフラの安全性・信頼性確保」について、インフラ企業だけでなくサプライヤーやSIer、その先の再委託先も含めた企業が受ける影響や、求められる対応について解説します(図表1)。
基幹インフラの安全性・信頼性確保とは
「基幹インフラの安全性・信頼性確保」は、電気、ガス、水道、情報通信といった国の重要な14業種のインフラを「特定社会基盤事業」、それを運営する事業者を「特定社会基盤事業者」と定め、重要設備に対する外国からの不正機能の埋め込みや脆弱性の悪用などを通じた妨害行為を防止するための施策です。これにより、特定社会基盤事業者が重要設備の導入や維持管理を外部委託する場合には、導入設備のサプライヤーや維持管理の外部委託先の企業および外部委託内容に関する所管省庁による事前審査が義務付けられることとなります。将来的には14業種に加えて港湾と医療の2業種が特定社会基盤事業に追加され、16業種を対象とする方向で検討が進められています(図表2)。
この施策が推進される背景として、重要インフラがサイバー攻撃を受けて機能停止や障害などが生じる事案が世界的に発生し、国民生活や社会経済の安全や発展が大きく脅かされているという実態が挙げられます。史上初の大規模なハイブリッド戦争といわれるウクライナ紛争の着地点がいまだ見えず長期化するなか、米中デカップリングや台湾情勢、北朝鮮のミサイル発射といった国際情勢の緊迫度は年々高まっており、サイバー脅威は今後も継続する見込みです。攻撃対象となりやすい重要技術や重要インフラを保有・運営する民間企業においては、特に対策が急務となっています。
諸外国でも重要インフラの安定性確保に向けた取り組みが進んでいます。ドイツではエネルギー、医療、運輸交通などの重要インフラ事業者は、自社のシステムや施設が連邦情報技術安全庁(BSI)の定める基準に該当した場合、2年ごとに監査を受けることになっています。また米国においても、重要インフラ事業者がサイバーセキュリティ対策上従うべき基準やフレームワークが示され、重要インフラの安全性を確保する手法が取られています。
対象となるインフラ事業者と求められる対応
特定社会基盤事業者と呼ばれる基幹インフラの運営事業者の指定基準が2023年8月に公布されました。鉄道事業であれば旅客営業キロ程の合計が1,000km以上である事業者、発電事業であれば出力50万KW以上の発電等用電気工作物を有する事業者、石油精製業者であれば1日の処理能力が150KL以上の蒸留設備を有する事業者――といった形で指定基準が定められ、10月4日には国が対象と見込む企業を発表しました1。
国への届出対象となる設備は特定重要設備とされ、設備や機器、装置だけでなくプログラム(ソフトウェア)も対象とされています。特定社会基盤事業者が他の事業者から特定重要設備を導入する場合や、特定重要設備の維持管理や操作を外部委託する場合には、「導入等計画書」を作成して事前に主務省庁に届け出たうえで、審査を受ける必要があります。特定重要設備の供給者に対しては、外国政府との取引高、一定割合以上の議決権保有者、役員、特定重要設備の製造場所といった情報を「導入等計画書」に記載することが求められる見込みです。
審査は原則として届け出から30日以内に行われ、特定重要設備が特定妨害行為の手段として使用される恐れが大きいと認められる場合には、導入や維持管理方法の変更または中止の勧告・命令が行われます。対象であるにも関わらず事前届出を行わない場合や、命令に違反した場合などには2年以下の拘禁刑もしくは100万円以下の罰金が科されます。
企業への影響と対応の方向性
対象となるインフラ関連事業者は、政府の事前審査を受けた結果、対象インフラ設備に必要な機器や部品およびそれらの調達経路や維持運営の体制について、変更を要求される可能性があります。その場合、調達契約やサプライチェーン、ビジネスプラン、組織体制などを変更する必要があります。リスクによっては設備メーカーやサプライヤー、システムの構築や運用を担うSIerやベンダーに影響が及ぶものや、特定重要設備にインシデントが起きた場合に企業としての説明責任を問われるようなものも存在します。リスクだけでなく、制度への素早い順応・順守によって競争優位性を獲得することも考えられるため、いち早く脆弱性に対応したインフラや関連サービスの提供を実現することが重要となります。そのためには、この施策の運用が開始される2024年春頃までに準備を迅速に進めておくことが肝要となります。
具体的には、①政府が公布済みの指定基準を確認のうえ、特定社会基盤事業者や特定重要設備に該当するか否かを確認すること、②審査制度に係る法令・政省令に適合した業務運営が行えるよう、社内管理態勢および内部統制を強化すること、③特定重要設備の導入や重要維持管理などの委託を行う際に必要となるサイバーセキュリティ領域や全社リスクマネジメント領域におけるリスクの可視化対策を検討し、実行すること――といった点が挙げられます(図表3)。
事前審査にあたっては、委託先が外国の主体から受ける影響や、妨害行為に関するリスク管理措置の有無、委託先の製品の脆弱性・基準の不遵守など、不適切性の実績有無などが考慮される見込みです。しかし、企業に対して変更や中止を求める具体的な調達先の国名や企業名、設備の仕様の詳細は、2022年5月に法制化された経済安全保障推進法や2023年8月に公布された省令などにおいても明記されていません。また、複数のインフラ領域に跨って設備やシステムを供給するサプライヤーやSIer、ベンダーにおいては、所管省庁によって細部で異なる情報・対応が求められる可能性がある点にも留意が必要です。したがって自社のみで検討するのではなく、政府が設置済みの相談窓口や社外の専門家を活用することが有効であると考えられます。
既に多くの日本企業は対応を進めており、PwCが2023年8月に日本企業を対象に実施した「PwC Japan企業の地政学リスク対応実態調査2023」によると、「法律の内容理解」「関係省庁への相談」「社外専門家への相談」「事業計画の見直し」といった具体的な準備や対応を進めていることが分かっています。
PwCでは、「導入等計画書」の作成から、この施策に伴って企業が求められるリスク管理態勢の整備やリスク管理活動の実行、リスク管理活動の遵守状況に関する第三者評価、事前審査制度の態勢整備に関する監査まで、事前審査で求められる項目への対応を一貫して支援していますので、ご不明な点などがございましたら、お気軽にお問合せください。
1 内閣府 "特定社会基盤事業者の指定基準に該当すると見込まれる者の公表"2023年10月4日
PDF版ダウンロードはこちら
執筆者
坂田 和仁
マネージャー, PwC Japan合同会社
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
