経済安全保障推進法基幹インフラ役務提供に伴う事前審査対応支援サービス

重要基幹インフラが安定的に役務を提供するため、「特定社会基盤事業者※1」が重要設備の導入や維持管理を外部委託する場合、リスク管理対策を含めた「導入等計画書」の作成と、所管省庁の審査が必要となります。PwCでは、「導入等計画書」作成を含め当該制度に伴い企業が求められるリスク管理の態勢整備やリスク管理活動の実行の支援、リスク管理活動の遵守状況に関する第三者評価、事前審査制度の態勢整備に関する監査支援まで、事前審査で求められる項目への対応を一貫して支援します。

※1 「①国民生活又は経済活動が依存している役務であって、その利用を欠くことにより、広範囲又は大規模な社会混乱を生ずるなどの経済・社会秩序の平穏を損なう事態が生じ得るもの」、または「②国民の生存に不可欠な役務であって、その代替が困難であるもの」とされている。対象は14業種200社におよぶと予想される。

サプライチェーンの複雑化やサイバーセキュリティリスクを踏まえ、効率的・効果的な対応を支援

経済安全保障推進法「特定妨害行為の防止による特定社会基盤役務の安定的な提供の確保に関する基本指針」における審査制度の導入は、特定社会基盤役務の安定的な提供を確保すること、また、そのために特定重要設備に対する不正機能の埋め込みや脆弱性の悪用などを通じた特定妨害行為を防止するための必要な措置をとることを目的としています。国際情勢が複雑化し、地政学的な緊張が高まりを見せる中、サイバーセキュリティリスクからインフラ事業の安全性・信頼性を確保することは、以前にも増して重要な課題となっています。そのため、当該審査において懸念事項が発覚した場合は、該当する事業者に対して、導入や委託の見直し、中止の勧告・命令が行われることもあります。

図表1 「特定妨害行為の防止による特定社会基盤役務の安定的な提供の確保に関する基本指針」に基づく審査制度

一方で、クラウド利用に代表されるように、サプライチェーンのグローバル化や複雑化は留まることを知らず、重要基幹インフラの導入や維持管理には、ますます多くの事業者が関与していくことが予想されます。昨今のサイバーインシデント事例からも推察される通り、当該事業者に対して直接的な攻撃が行われることもあれば、サプライチェーンを構成する事業者に対して攻撃が行われることもあります。そのため、重要基幹インフラの導入や維持管理を外部委託する場合には、委託先や製品の提供元に対しても実効性のあるリスク管理対策を行い、当該事業者としての説明責任を果たすことが重要となります。

図表2 特定重要設備の導入・維持管理等の委託におけるサプライチェーンの複雑化とサイバーセキュリティリスク

このような環境下において、特定社会基盤事業者が単独で審査対応を進めることは容易ではありません。加えて、2024年春までに審査対応が必要となり、時間的猶予も限られている中で、当該事業者は効率的・効果的に対応を進めることが求められています。
また、経済安全保障推進法は法令として定められていることから、当該事業者は遵守を余儀なされます。特定社会基盤事業者に指定された企業は、事前審査に確実に対応するとともに、その実効性を担保できる仕組みの構築にいち早く着手することが求められているのです。

PwCは、審査で特に重視されているサイバーセキュリティリスク領域や全社リスクマネジメント領域において非常に多くの実績を有していることに加えて、経済安全保障推進法や関連する法規制など、国内外を問わず多くのインテリジェンスを保持しています。また、対象業種ごとに豊富な知識・経験を持つ専門のチームを組織していることからも、重要基幹インフラが安定的な役務提供を実現するために必要となる対策を、リスクベースアプローチにより効率的に抽出し、優先度に基づいた対策を効果的に推進することが可能です。

PwCのサービス

PwCは、特定社会基盤事業者が円滑に審査対応を進められるように、以下のサービスを提供しています。総花的に対策を行うのではなく、リスクベースアプローチにより追加や強化が必要となる項目を抽出し、効率的で実効性がある対策の推進を支援します。

1.導入等計画書に関する策定支援

①リスク管理態勢整備支援

審査制度に係る法令・政省令に適合した業務運営が行えるよう、社内管理態勢・内部統制の強化を支援します。

主な実施事項
  • 導入等計画書の作成や届出プロセスの整備
  • 特定重要設備を調達する際の検品基準・プロセスの整備
  • 特定重要設備の導入・重要維持管理等の委託に関する契約や管理の基準・マニュアルの整備
  • 特定重要設備の導入・重要維持管理等の委託に関するモニタリングプロセスの整備
  • 特定重要設備の導入・重要維持管理等の委託に関する管理態勢強化支援

②リスク管理対策実行支援

特定重要設備の導入や重要維持管理等の委託を行う際に必要となるサイバーセキュリティ領域や全社リスクマネジメント領域におけるリスクの可視化、対策の検討と実行を支援します。

主な実施事項
  • 特定重要設備の導入・維持管理におけるリスクアセスメントの実施支援
  • 特定重要設備の導入・維持管理における品質管理支援(脆弱性試験などを含む)
  • 特定重要設備の導入・維持管理に伴う各国法規制の把握・遵守支援
  • 特定重要設備に対する不正アクセス状況の監視・モニタリング支援
  • 特定重要設備に対する事業継続計画策定支援

2.導入等計画書に関する第三者評価または監査支援

特定重要設備の導入や重要維持管理等の委託に際し、導入等計画書に示されたリスク管理措置が、適切に整備または運用されているかについて、第三者の立場から評価と改善助言を行う等の支援を実施します。また同様の取組みを内部監査部門が実施する場合や、事前審査制度全般への対応態勢に関する第三者評価の実施・監査活動を支援します。

評価観点の例
  • 特定社会基盤事業者は、サイバー攻撃を受けた際であっても役務の提供が継続できる体制を整備しているか。
  • 特定重要設備または構成設備の供給者が製造過程において、不正行為を予防する適切な取り組みを行っているか。
  • 特定重要設備または構成設備の供給者が、特定重要設備の開発工程において信頼できる品質保証体制を確立しているか。
  • 委託先(再委託先を含む)が行う重要維持管理等が適切な体制、手順に沿って行われているか。
図表3 基幹インフラ役務提供に伴う事前審査対応支援サービス

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

執筆者

林 和洋

パートナー, PwCコンサルティング合同会社

Email

山本 直樹

パートナー, PwCコンサルティング合同会社

Email

小林 由昌

パートナー, PwC Japan有限責任監査法人

Email

橋本 哲哉

ディレクター, PwCコンサルティング合同会社

Email

熊坂 翔太朗

マネージャー, PwC Japan有限責任監査法人

Email

本ページに関するお問い合わせ