法務が知っておくべき経済安全保障の最新動向と実務

第7回 基幹インフラのサイバーセキュリティと経済安全保障推進法

IT・情報セキュリティ

目次

  1. いよいよ強まるサイバー攻撃と社会インフラへの影響
  2. 基幹インフラ事前審査制度の導入の経緯
  3. 基幹インフラ事前審査制度の概要と枠組み
  4. 基幹インフラ事前審査制度の対象事業者
    1. 特定社会基盤事業者
    2. 14事業と14分野
    3. 特定重要設備
  5. 事前届出
    1. 事前届出が必要な場合
    2. 届出事項
  6. 届出の審査
  7. 導入後の変更の事後報告
  8. 導入等の後の勧告・命令
  9. 調査権限
  10. 経過措置
  11. 罰則
  12. 実務上の留意点
    1. 初期対応
    2. 中長期的対応

いよいよ強まるサイバー攻撃と社会インフラへの影響

 近年、日本国内でもサイバー攻撃、それも海外の勢力による攻撃事例が多数報告されています。総務省「令和4年情報通信白書」では、大規模サイバー攻撃観測網(NICTER)が2021年に観測したサイバー攻撃関連通信数は、3年前との比較では2.4倍、5年前との比較では3.7倍に増加しており、依然多くの攻撃関連通信が観測されている状態であることを明らかにしています。

 サイバー攻撃の標的は国内の政府機関・教育機関・大小の民間企業と業種や規模を問わず幅広く多岐にわたっています。とりわけ2021年から2022年は、比較的セキュリティが手薄になりがちな国内企業の海外拠点がサイバー攻撃の標的とされる事案が相次いで発生しており、中には海外拠点を踏み台にして、国内サーバに不正アクセスが行われた事案も発生しています。また、病院のシステムがサイバー攻撃の標的とされ、数か月にわたり病院の機能が失われたため、医療サービスの提供に支障が出るなど、社会を支えるインフラを標的とした攻撃により、地域社会そのものが被害者となる事案も発生しており、いよいよインフラのサイバーセキュリティをいかに確保するかという課題に直面するに至っています。

基幹インフラ事前審査制度の導入の経緯

 従前より、社会インフラを支える業種については、サイバーセキュリティ基本法14条(重要社会基盤事業者等におけるサイバーセキュリティの確保の促進)に基づき、サイバー攻撃への備えを怠ることのないよう、定期的に「重要インフラのサイバーセキュリティに係る行動計画」が策定され、各政府機関および該当するインフラ事業者はこれを踏まえて、サイバー攻撃に対する備えを行ってきました。そして、2021年9月に公表された新サイバーセキュリティ戦略では、我が国に対するサイバー攻撃に中国・ロシア・北朝鮮の国家的関与が疑われると明記したうえで、まさに我が国が目指すべきグローバル規模での「自由、公正かつ安全なサイバー空間」の確保が危機的状況にあることを強調していました。

 このような危機的状況を踏まえて、2022年2月には、「経済安全保障法制に関する有識者会議」より「経済安全保障法制に関する提言」(以下「有識者会議提言」といいます)が公表されました。この流れを受け、2022年5月11日に成立した経済安全保障推進法(以下単に「法」という場合があります)では、インフラ企業が重要設備(システムを含む)の導入等を行う場合に、政府が事前に審査する制度が導入されました(2024年2月までに適用開始予定)。

 同制度の概要については、すでに本連載第1回「経済安全保障推進法の影響度と実務対応」で紹介していますが、以下では、サイバーセキュリティ基本法との比較も交えながら、改めてご説明したいと思います。

基幹インフラ事前審査制度の概要と枠組み

 同制度では、基幹インフラ内の重要設備に対して、外部からハッキング等の妨害行為が行われることを防止するために、基幹インフラへの重要設備の導入・重要設備の維持管理等の委託について事前審査を受けることを義務付けました(法52条1項)。具体的には以下のような枠組みです。

制度の枠組み

  1. 政府が対象事業者を指定する。
  2. 対象事業者は、以下のいずれかを行う場合、原則として事前に政府に届け出なければならない。
    a. 重要設備(ハードウェア・ソフトウェアを含み、クラウドサービスで提供される場合を含む)の導入
    b. 重要設備の維持管理・操作の他の事業者への委託
  3. 事前届出がなされた場合、重要設備が基幹インフラサービスの安定的な提供に対する、国外からの妨害行為に利用されるおそれが大きいかを、政府が審査する。
  4. 審査の結果、国外からの妨害行為に利用されるおそれが大きいと政府が判断した場合、導入等の方法の変更や中止を勧告・命令できる。
特に影響の大きい業種/事業者

ⅰ  基幹インフラを運営する企業(下記4−1参照)

ⅱ 上記 ⅰ に特定重要設備(下記4−2参照)を提供する企業や、この企業に部品等を提供する企業

ⅲ 委託を受け、上記 ⅰ の保有する特定重要設備を管理・維持する企業

今後のスケジュール
  • (時期未定):政省令案(特定社会基盤事業・特定重要設備等)の公表・確定
  • 2023年5月17日までの政令指定日:基本指針の策定
  • 2023年11月17日までの政令指定日:対象事業者の指定開始
  • 2024年2月17日までの政令指定日:事前届出の開始

基幹インフラ事前審査制度の対象事業者

特定社会基盤事業者

 事前届出の対象となる事業者である「特定社会基盤事業者」は、以下の両条件に該当する事業者を主務大臣が指定し(法50条1項)、指定後に名称等が公表されます(法50条2項)。

  • 下表左の14事業のいずれかに該当する者
  • ①使用する特定重要設備の機能が停止・低下した場合に、②役務の安定的な提供に支障が生じ、③国家および国民の安全を損なう事態を生ずるおそれが大きいものとして、主務省令に定める基準に該当する者

14事業と14分野

 経済安全保障推進法の事前届出の対象である14事業と、サイバーセキュリティ基本法の対象である重要インフラ14分野は、ともに14という数なのでその範囲は共通であるような印象を抱きがちです。

 しかし、下表で整理したように、前者のみに含まれる事業として郵便事業ほかが、後者のみに含まれる事業として物流分野のうちの「港湾運送事業」および「倉庫業」、情報通信分野のうち「ケーブルテレビ」、化学分野のうちの「石油化学工業」、医療分野のうちの「診療」、政府・行政サービス分野のうちの「地方公共団体の行政サービス」ほかというズレがあります。また、分野としては共通でも、つぶさに見ていくと、その範囲が一致していると言い切ってしまってよいかは不明な状況です。このため、経済安全保障推進法の事前届出の対象については、後日出される予定の細則等を確認する必要があります

 なお、サイバーセキュリティ基本法の対象である重要インフラ14分野において、システム障害等により障害が発生した場合、重要インフラ事業者等は、それぞれに適用される法令およびガイドラインに基づいて報告を行うことが求められます。上記の表では、経済安全保障推進法の細則等の手がかりになる可能性があるものとして、重要インフラサービス障害の報告に係る法令、ガイドライン等を示しています。

経済安全保障推進法とサイバーセキュリティ基本法の比較

           
経済安全保障推進法50条 サイバーセキュリティ基本法3条1項 (参考)「重要インフラサービス障害の報告に係る法令、ガイドライン等」
「特定社会基盤事業者」
14事業
「重要インフラ」14分野 「重要インフラサービス」
電気事業(電気事業法2条1項16号) 電力分野「一般送配電事業」「発電事業(一定規模を超える発電事業)」(電気事業法2条1項8号・14号)
  • 電気関係報告規則3条(事故報告)
ガス事業(ガス事業法2条11項) ガス分野「一般ガス導管事業」「ガス製造事業」(ガス事業法2条5項・9項)
  • ガス関係報告規則4条(事故報告)
石油精製業・石油ガス輸入業 (石油の備蓄の確保等に関する法律2条5項・9項)石油分野「石油の供給」(石油の備蓄の確保等に関する法律2条)
  • 石油分野における情報セキュリティ確保に係る安全ガイドライン
水道事業・水道用水供給事業 (水道法3条2項、4項) 水道分野「水道による水の供給」(水道法3条)
第一種鉄道事業(鉄道事業法2条2項) 鉄道分野「旅客輸送サービス」「発券、入出場手続」(鉄道事業法2条)
一般貨物自動車運送事業(貨物自動車運送事業法2条2項) 物流分野 「貨物自動車運送事業」(貨物自動車運送事業法2条)
貨物定期航路事業・一定の不定航路事業 国際的な貨物定期航路事業・不定期航路事業(海上運送法2条4項・6項) 「船舶運航事業」(海上運送法2条2項)
該当なし 「港湾運送事業」(港湾運送事業法2条2項)
該当なし 「倉庫業」(倉庫業法2条2項)
国際航空運送事業・国内定期航空運送事業 (航空法2条19項・20項) 航空分野 「旅客、貨物の航空輸送サービス」「予約、発券、搭乗・搭載手続」「航空機の点検・整備」「飛行計画作成」(航空法2条)
空港の設置・管理事業(空港法2条)、空港に係る公共施設等運営事業(民間資金等の活用による公共施設等の整備等の促進に関する法律2条6項) 空港分野 「空港におけるセキュリティの確保」「空港における利便性の向上」(空港法2条)
電気通信事業(電気通信事業法2条4号) 情報通信 「電気通信役務」(電気通信事業法2条3号)
  • 電気通信事業法28条(業務停止等の報告)
  • 電気通信事業法施行規則58条(報告を要する重大な事故)
放送事業のうち、基幹放送を行うもの(放送法2条2号) 「放送」(放送法2条1号)
  • 放送法113条、122条(重大事故の報告)
  • 放送法施行規則125条(報告を要する重大な事故)
該当なし 「ケーブルテレビ」
(放送法2条3号)
  • 放送法137条(重大事故の報告)
  • 放送法施行規則157条(報告を要する重大な事故)
郵便事業 該当なし 該当なし
保険業、第一種金融商品取引業その他一定の金融に係る事業 銀行業(信用金庫や信用組合等が銀行業を行う場合も含む。)(銀行法2条2項) 金融分野 銀行等分野の「預金・貸付・為替」(銀行法10条1項1号・2号・3号)
  • 主要行等向けの総合的な監督指針
  • 中小・地域金融機関向けの総合的な監督指針
  • 系統金融機関向けの総合的な監督指針
資金移動業 資金決済分野の「資金移動業」(資金決済法2条2項)
第三者型前払式支払手段の発行事業(資金決済法3条5項) 資金決済分野の「第三者型前払式支払手段の発行」(資金決済法3条1項・5項)
電子債権記録業(電子記録債権法51条1項) 銀行等分野の「電子記録等」(電子記録債権法56条・62条・63条)
保険業(保険業法2条1項) 生命保険の「保険金等の支払い」、損害保険の「保険金等の支払い」
第一種金融商品取引業 証券分野の「有価証券の売買等」「有価証券の売買等の取引の媒介、取次ぎ又は代理」「有価証券等清算取次ぎ」(金融商品取引法2条8項1号・2号・5号)
取引所金融商品市場の開設事業 証券分野の「金融商品市場の開設」(金融商品取引法2条14項および16項、80条ならびに84条)
  • 金融商品取引所等に関する内閣府令112条
株式等振替業(社債、株式等の振替に関する法律3条1項) 証券分野の「振替業」(社債、株式等の振替に関する法律8条)
  • 社債、株式等の振替に関する法律19条(事故の報告)
金融商品債務引受業(金融商品取引法2条28項・1項) 証券分野の「金融商品債務引受業」(金融商品取引法2条28項)
  • 金融商品取引法188条(金融商品取引業者の業務等に関する書類の作成、保存及び報告の義務)
  • 金融商品取引清算機関等に関する内閣府令48条(金融商品取引清算機関の業務に関する提出書類)
  • 清算・振替機関等向けの総合的な監督指針
信託業(信託業法2条1項) 該当なし 該当なし
預金保険事業・農水産業協同組合貯金保険事業(預金保険法34条・農水産業協同組合貯金保険法34条) 該当なし 該当なし
包括信用購入あっせん事業(クレジットカード)(割賦販売法2条3項) クレジット分野 「クレジットサービス」
該当なし 化学分野 「石油化学工業」
  • 石油化学分野における情報セキュリティ確保に係る安全基準
該当なし 医療分野 「診療」
該当なし 政府・行政サービス分野 「地方公共団体の行政サービス」

特定重要設備

 特定重要設備とは、事業者の役務の安定的提供における重要性や外部からの妨害に用いられる危険性を考慮して主務省令に定められる基準に該当する設備が該当します(法50条1項)。設備には、機器、装置のほかにプログラムも含まれます。

 なお、有識者会議提言では、「データセンターやクラウドサービス上にシステムを構築して基幹インフラ役務の提供に利用する場合についても、重要な設備の導入として、その導入等の計画について、審査の対象に含めるべきである。」とされており、実際に主務省令でどのように定められるかが注目されるところです。加えて有識者会議提言では、基幹インフラ事業の中心的なシステムのほか、「基幹インフラ事業において役務の安定的な提供に直結するような情報を扱うシステム」(例:「オペレーション情報や重要施設のセキュリティ情報、銀行の預金情報等を扱うシステム」)も特定重要設備に含まれるものと考えられるとされています。

事前届出

事前届出が必要な場合

 特定社会基盤事業者は、以下のいずれかを行う場合、原則として、あらかじめ導入等計画書を主務大臣に届け出る必要があります(法52条1項)。

  1. 他の事業者から特定重要設備の導入(※)を行う場合
  2. 他の事業者に委託して特定重要設備の維持管理・操作(主務省令で定めるものに限る)を行わせる場合
    (※)当該特定社会基盤事業者と実質的に同一と認められる者その他の政令で定める者が供給する特定重要設備の導入を行う場合は、原則として事前届出が不要(ただし、当該特定重要設備に当該政令で定める者以外の者が供給する特定重要設備が組み込まれている場合は事前届出が必要)。

 ただし、特定重要設備の導入等が緊急やむを得ない場合は、例外的に事前届出は不要とされ、事後届出で対応することが許容されています(法52条1項ただし書、11項)。「緊急やむを得ない場合」について、有識者会議提言では「災害時等に緊急で設備を導入しなければ役務の安定的な提供が損なわれる場合」が想定されていました。

届出事項

 事前届出事項(導入等計画書の記載事項)は以下の通りです(法52条2項)。

  1. 特定重要設備の概要

  2. 特定重要設備の導入を行う場合、 以下の事項
    • 導入の内容・時期
    • 供給者に関する事項
    • 特定重要設備の一部を構成する設備、機器、装置またはプログラムであって、「特定重要設備の導入又は重要維持管理等の委託に関して我が国の外部から行われる特定社会基盤役務の安定的な提供を妨害する行為」(「特定妨害行為」といいます)の手段として使用されるおそれがあるものに関する事項
  3. 特定重要設備の重要維持管理等を行わせる場合、以下の事項
    • 委託の内容、時期・期間
    • 委託の相手方に関する事項
    • 委託の相手方が再委託する場合、再委託に関する事項

届出の審査

 事前届出がなされた場合、主務大臣が審査を行います。審査期間は原則として30日以内とされていますが、最長4か月以内まで延長が可能です。審査期間中は、特定社会基盤事業者は導入等を行うことはできません(法52条3項・4項)。

 審査においては、特定重要設備が、我が国の外部から行われる特定妨害行為、つまり、基幹インフラサービスの安定的な提供を妨害する行為の手段として使用されるおそれが大きいか否かが判断されることになります(法52条5項)。
特定妨害行為の具体的な内容については、2023年5月までに閣議決定される基本指針で明確化される予定です

 2022年3月の国会審議における当時の担当大臣は、「妨害行為には、例えばサイバー攻撃などの電磁的な方法、これが主に想定しやすいところではあるんですけれども、それだけではなくて、物理的な方法によるものも含まれるところでございます。」としたうえで、「例えば、外国政府などが特定重要設備の供給者からその設備の脆弱性に関する情報の提供を受けて、その脆弱性を利用してウイルスに感染させることですとか、あるいは、例えば、外国政府などの指示を受けて、特定重要設備の供給者がその設備にあらかじめ不正プログラムを埋め込んで、そのプログラムによって設備を停止させることですとか、あるいは、例えば、重要維持管理などの委託を受けた者が外国政府などの指示を受けて、その委託を受けた重要維持管理などの業務を放棄することで設備の機能を失わせる、こうしたことによって特定社会基盤役務の安定的な提供を妨害する行為を想定しているところでございます。」と答弁しています(第208回国会 内閣委員会 第12号(令和4年3月25日))。

 審査の結果、特定重要設備が特定妨害行為に利用されるおそれが大きい場合、主務大臣は、導入等の方法の変更または中止を勧告することができます(法52条6項)。勧告を受けた事業者は、勧告を応諾するか否か、主務大臣に通知する義務を負います(法52条7項)。事業者が勧告を応諾しない旨を通知し、かかる対応に正当な理由が認められない場合、主務大臣は導入等の方法の変更または中止を命令することができます(法52条10項)。かかる命令に違反した場合、2年以下の懲役または100万円以下の罰金が科される(または併科される)場合があります(法92条1項4号)。

導入後の変更の事後報告

 事前届出と審査を経たうえで特定重要設備の導入を行った後でも、一定の場合には、主務大臣に事後報告が求められる場合があります。具体的には、特定社会基盤事業者は、事前届出を行った特定重要設備の導入を行った後に、一定の変更(具体的内容は主務省令で定められる)を行った場合は、遅滞なく変更の内容を主務大臣に報告する義務を負います(法54条4項)。

導入等の後の勧告・命令

 事前届出の手続を完了し、特定重要設備の導入等を行った後でも、一定の措置の勧告・命令がなされる場合として、「国際情勢の変化その他の事情の変更により、特定重要設備が特定妨害行為の手段として使用され、または使用されるおそれが大きいと認めるに至ったとき」は、主務大臣は以下の行為を勧告・命令できると定められています(法55条1項)。

  • 特定重要設備の検査・点検の実施
  • 維持管理等の委託の相手方の変更
  • その他必要な措置

調査権限

 主務大臣は、特定社会基盤事業者の指定のために必要な範囲で、4-2の表左列の事業を営む者に対し、報告または資料の提出を求めることができます(法58条1項)。
 また、主務大臣は、特定社会基盤事業者に対する勧告、命令等の実施のために必要な範囲で、特定社会基盤事業者に対し、報告または資料の提出の要求、ならびに立入検査を行うことができます(法58条2項)。

経過措置

 以下の行為については導入等計画書の提出義務が免除されます。

  • 特定社会基盤事業者に指定されてから6か月間になされた、当該社会基盤事業者の行為(法53条1項)
  • 省令の改正等があり新たに特定重要設備に該当するようになってから6か月間になされた、当該特定重要設備に係る行為(法53条2項)
  • 省令の改正等があり新たに維持管理等の委託に該当するようになってから6か月間になされた、当該維持管理等の委託に係る行為(法53条3項)

罰則

 事前届出を行わず、または虚偽の届出をして導入等を行った場合は、2年以下の懲役または100万円以下の罰金が科される(または併科される)場合があります(法92条1項)。

実務上の留意点

初期対応

 事業者としては、まず、各自特定社会基盤事業者としての指定を受ける可能性を見極める必要があります。指定の可能性がある場合は、資産管理部門と連携して、特定重要設備に該当する設備の有無や、特定重要設備を導入または更新する予定があるかを確認することが重要です。

 他の事業者に委託して特定重要設備の維持管理または操作を行わせる場合も、本制度の規律に服することになります。維持管理または操作に該当する範囲については、政令および当局の判断に委ねられるため、当局とのコミュニケーションを取り、その範囲を正確に把握することが重要です。

中長期的対応

 特定社会基盤事業者に該当する場合、その権利、義務および届出内容等について正確に理解しておく必要があり、これを遺漏なく実施するための社内規程を設ける必要があります

 受託者として特定社会基盤事業者に対してサービスを提供している場合や、その予定がある場合においても注意が必要です。自社のサービスが「維持管理または操作」に該当するときは、どのように届出等を進めるか、顧客と協議して検討する必要があると考えられます。
 また、協議の結果、類型的に「維持管理または操作」に該当するサービスを提供していることが明らかになった場合、当局審査の対応のほか、顧客への説明等を合理的に行えるよう、社内で対応を整理して、社内規程および顧客との契約に反映する必要があると考えます。
 たとえば、業務委託契約が「維持管理または操作」に係るサービス等を対象とする場合においては、表明保証条項に当事者が経済安保法制に違反していないことや、必要な許認可を得ていること等を規定することが考えられます。当該契約に基づくサービス自体が、当局の審査の対象になる場合は、誓約事項や効力発生の前提条件等で審査に関する規定を設けることが予想されます。
 特定社会基盤事業者もその受託者も相互に理解を共有し、円滑に手続を進めるため、それを義務付ける内容をあらかじめ業務委託契約へ反映しておくことが重要です。

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する