『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 【第3回】運用基準を踏まえた企業対応の在り方
2025年5月17日までに施行される経済安全保障分野におけるセキュリティ・クリアランス制度に関して、特に影響があると見込まれる事業者や事業者の担当者において必要となる対応を、2025年1月31日に閣議決定された運用基準を踏まえて解説します。
連載コラム「『経済安全保障推進法』企業に求められる対応」の第1回では、日本における経済安全保障政策や法規制の整備状況、経済安全保障の確保に向けた主要国の動向などについて解説しました。第2回となる今回は、2022年5月に成立した経済安全保障推進法で定められた4つの施策のうち、2024年春頃に制度運用開始予定の「基幹インフラの安全性・信頼性確保」について、インフラ企業だけでなくサプライヤーやSIer、その先の再委託先も含めた企業が受ける影響や、求められる対応について解説します(図表1)。
基幹インフラの安全性・信頼性確保とは
「基幹インフラの安全性・信頼性確保」は、電気、ガス、水道、情報通信といった国の重要な14業種のインフラを「特定社会基盤事業」、それを運営する事業者を「特定社会基盤事業者」と定め、重要設備に対する外国からの不正機能の埋め込みや脆弱性の悪用などを通じた妨害行為を防止するための施策です。これにより、特定社会基盤事業者が重要設備の導入や維持管理を外部委託する場合には、導入設備のサプライヤーや維持管理の外部委託先の企業および外部委託内容に関する所管省庁による事前審査が義務付けられることとなります。将来的には14業種に加えて港湾と医療の2業種が特定社会基盤事業に追加され、16業種を対象とする方向で検討が進められています(図表2)。
この施策が推進される背景として、重要インフラがサイバー攻撃を受けて機能停止や障害などが生じる事案が世界的に発生し、国民生活や社会経済の安全や発展が大きく脅かされているという実態が挙げられます。史上初の大規模なハイブリッド戦争といわれるウクライナ紛争の着地点がいまだ見えず長期化するなか、米中デカップリングや台湾情勢、北朝鮮のミサイル発射といった国際情勢の緊迫度は年々高まっており、サイバー脅威は今後も継続する見込みです。攻撃対象となりやすい重要技術や重要インフラを保有・運営する民間企業においては、特に対策が急務となっています。
諸外国でも重要インフラの安定性確保に向けた取り組みが進んでいます。ドイツではエネルギー、医療、運輸交通などの重要インフラ事業者は、自社のシステムや施設が連邦情報技術安全庁(BSI)の定める基準に該当した場合、2年ごとに監査を受けることになっています。また米国においても、重要インフラ事業者がサイバーセキュリティ対策上従うべき基準やフレームワークが示され、重要インフラの安全性を確保する手法が取られています。
対象となるインフラ事業者と求められる対応
特定社会基盤事業者と呼ばれる基幹インフラの運営事業者の指定基準が2023年8月に公布されました。鉄道事業であれば旅客営業キロ程の合計が1,000km以上である事業者、発電事業であれば出力50万KW以上の発電等用電気工作物を有する事業者、石油精製業者であれば1日の処理能力が150KL以上の蒸留設備を有する事業者――といった形で指定基準が定められ、10月4日には国が対象と見込む企業を発表しました1。
国への届出対象となる設備は特定重要設備とされ、設備や機器、装置だけでなくプログラム(ソフトウェア)も対象とされています。特定社会基盤事業者が他の事業者から特定重要設備を導入する場合や、特定重要設備の維持管理や操作を外部委託する場合には、「導入等計画書」を作成して事前に主務省庁に届け出たうえで、審査を受ける必要があります。特定重要設備の供給者に対しては、外国政府との取引高、一定割合以上の議決権保有者、役員、特定重要設備の製造場所といった情報を「導入等計画書」に記載することが求められる見込みです。
審査は原則として届け出から30日以内に行われ、特定重要設備が特定妨害行為の手段として使用される恐れが大きいと認められる場合には、導入や維持管理方法の変更または中止の勧告・命令が行われます。対象であるにも関わらず事前届出を行わない場合や、命令に違反した場合などには2年以下の拘禁刑もしくは100万円以下の罰金が科されます。
企業への影響と対応の方向性
対象となるインフラ関連事業者は、政府の事前審査を受けた結果、対象インフラ設備に必要な機器や部品およびそれらの調達経路や維持運営の体制について、変更を要求される可能性があります。その場合、調達契約やサプライチェーン、ビジネスプラン、組織体制などを変更する必要があります。リスクによっては設備メーカーやサプライヤー、システムの構築や運用を担うSIerやベンダーに影響が及ぶものや、特定重要設備にインシデントが起きた場合に企業としての説明責任を問われるようなものも存在します。リスクだけでなく、制度への素早い順応・順守によって競争優位性を獲得することも考えられるため、いち早く脆弱性に対応したインフラや関連サービスの提供を実現することが重要となります。そのためには、この施策の運用が開始される2024年春頃までに準備を迅速に進めておくことが肝要となります。
具体的には、①政府が公布済みの指定基準を確認のうえ、特定社会基盤事業者や特定重要設備に該当するか否かを確認すること、②審査制度に係る法令・政省令に適合した業務運営が行えるよう、社内管理態勢および内部統制を強化すること、③特定重要設備の導入や重要維持管理などの委託を行う際に必要となるサイバーセキュリティ領域や全社リスクマネジメント領域におけるリスクの可視化対策を検討し、実行すること――といった点が挙げられます(図表3)。
事前審査にあたっては、委託先が外国の主体から受ける影響や、妨害行為に関するリスク管理措置の有無、委託先の製品の脆弱性・基準の不遵守など、不適切性の実績有無などが考慮される見込みです。しかし、企業に対して変更や中止を求める具体的な調達先の国名や企業名、設備の仕様の詳細は、2022年5月に法制化された経済安全保障推進法や2023年8月に公布された省令などにおいても明記されていません。また、複数のインフラ領域に跨って設備やシステムを供給するサプライヤーやSIer、ベンダーにおいては、所管省庁によって細部で異なる情報・対応が求められる可能性がある点にも留意が必要です。したがって自社のみで検討するのではなく、政府が設置済みの相談窓口や社外の専門家を活用することが有効であると考えられます。
既に多くの日本企業は対応を進めており、PwCが2023年8月に日本企業を対象に実施した「PwC Japan企業の地政学リスク対応実態調査2023」によると、「法律の内容理解」「関係省庁への相談」「社外専門家への相談」「事業計画の見直し」といった具体的な準備や対応を進めていることが分かっています。
PwCでは、「導入等計画書」の作成から、この施策に伴って企業が求められるリスク管理態勢の整備やリスク管理活動の実行、リスク管理活動の遵守状況に関する第三者評価、事前審査制度の態勢整備に関する監査まで、事前審査で求められる項目への対応を一貫して支援していますので、ご不明な点などがございましたら、お気軽にお問合せください。
1 内閣府 "特定社会基盤事業者の指定基準に該当すると見込まれる者の公表"2023年10月4日
PDF版ダウンロードはこちら
執筆者
坂田 和仁
マネージャー, PwC Japan合同会社
「経済安全保障推進法」企業に求められる対応
10 results
Loading...
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 【第2回】運用基準の概要と企業影響見通し
経済安全保障分野におけるセキュリティ・クリアランス(適格性評価)制度が2025年5月17日までに施行される予定です。閣議決定された運用基準の概要について、企業において対応が必要となる内容を中心に解説します。
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 -【第1回】諮問委員会での検討状況と企業影響見通し
セキュリティ・クリアランスの制度を定める重要経済安保情報の保護および活用に関する法律(重要経済安保情報保護活用法)の具体的な運用に関して、民間企業における影響が特に大きいと考えられる、適性評価および適合事業者の認定に関する内容を解説します。
経済安全保障分野におけるセキュリティ・クリアランス(適格性評価)制度の企業影響について
2024年の通常国会での法制化が見込まれている経済安全保障分野におけるセキュリティ・クリアランス(適格性評価)制度について、その施策内容と企業に及ぼす影響を解説します。
Loading...
インサイト/ニュース
40 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
Loading...
