特集
  • ニュース
  • 特集
  • 実務Q&A
  • 弁護士名鑑

能動的サイバー防御関連法の概要と民間企業への影響 一般企業、基幹インフラ事業者、電気通信事業者、ITベンダー

IT・情報セキュリティ
蔦 大輔弁護士 森・濱田松本法律事務所外国法共同事業 嶋村 直登弁護士 森・濱田松本法律事務所外国法共同事業 𠮷澤 法之弁護士 森・濱田松本法律事務所外国法共同事業

目次

  1. 能動的サイバー防御法の概要
    1. 能動的サイバー防御法の制定経緯等
    2. 「能動的サイバー防御」とは
    3. 能動的サイバー防御法の構成
    4. 施行スケジュール
  2. 能動的サイバー防御法の影響を受ける民間企業
    1. 直接的な影響
    2. 関接的な影響
  3. 基幹インフラ事業者に求められる対応
    1. セキュリティインシデントの報告義務
    2. 基幹インフラ事業者と政府との協定(同意)による通信情報の共有
    3. 情報共有および対策に関する協議会の設置
    4. 重要インフラ事業者に関する新たな基準・ガイドライン策定の可能性
  4. 電気通信事業者に求められる対応
    1. 国内を経由し伝送される国外から国外への通信(外外通信)の分析のための取得
    2. 国内・国外間での通信(外内通信・内外通信)の分析のための取得
  5. ITベンダーに求められる対応
    1. 分析情報・脆弱性情報に関する対応
    2. 基幹インフラ事業者のサプライチェーンとしての対応
※本記事は、IT・セキュリティの専門メディアである姉妹サイト「UNITIS」の掲載記事(2025年5月22日公開、2025年5月26日最終更新)から一部内容を変更のうえ転載したものです。

増大するサイバー攻撃の脅威に対し、積極的に対応していくための「能動的サイバー防御」に関する法律(以下本稿において「能動的サイバー防御法」といいます)が、2025年5月16日、同年の通常国会で成立しました。

能動的サイバー防御法は、大きく分けて、①官民連携、②通信情報の利用、③アクセス・無害化、④組織・体制整備の4つから構成されます。本稿では、特に①②にフォーカスし、民間企業(基幹インフラ事業者、電気通信事業者、ITベンダーなど)に求められる対応について解説します。

この記事のポイント
  • 能動的サイバー防御法の直接的な影響を受ける民間企業は、基幹インフラ事業者基幹インフラ事業者が用いるシステムに関連する事業者電気通信事業者ITベンダーである
  • 基幹インフラ事業者は、経済安全保障推進法に基づく規律に加え、サイバーセキュリティが侵害された場合に基幹システム等に影響を及ぼす特定重要電子計算機を導入した際の届出義務、セキュリティインシデントを知った場合の報告義務が課される。また、通信情報の共有に関する政府との協定の締結に向けた協議要請(協定は任意だが、協議には基本的に応じなければならない)や協議会のメンバーとなるよう政府から協力要請を受ける可能性がある
  • 電気通信事業者は、特定の条件下で、政府の求めに応じて特定の通信データを提供するための対応が求められる可能性がある
  • ITベンダーは、基幹インフラ事業者により特定重要電子計算機として用いられるハードウェアやそれに組み込まれるプログラムに関連する脆弱性に関して、被害防止措置や報告・資料提出が求められる可能性がある。また、基幹インフラ事業者がセキュリティインシデントの報告義務を適切に果たせるように協力する必要が生じる可能性もある

能動的サイバー防御法の概要

能動的サイバー防御法の制定経緯等

サイバー攻撃は年々巧妙化・深刻化するとともに、次のとおり、サイバー安全保障に関わる深刻な攻撃の例も多く見られます。

サイバー安全保障に関わる攻撃例
  • IT系システムの侵害(暗号化・システム障害、身代金要求)
    (例:2021年米コロニアルパイプライン業務停止、2022年大阪急性期・総合医療センターの業務停止、2023年名古屋港業務停止)
  • 有事に備えた重要インフラ等への侵入(高度な侵入・潜伏能力)
    (例:2014年クリミア併合、2022年ウクライナ侵略、2023年VoltTyphoonによるグアム等にある米軍施設や政府機関、重要インフラへの侵害)
  • 機微情報の窃取(アクセス権限の獲得)
    (例:2021〜24年JAXAへの侵害、2023年NISCのメール窃取)
出典:内閣官房 サイバー安全保障体制整備準備室「サイバー対処能力強化法案及び同整備法案について」(2025年3月)2頁

こうした状況も背景として、国家安全保障戦略を踏まえた「サイバー安全保障分野での対応能力の向上に向けた有識者会議 1」での検討および「サイバー安全保障分野での対応能力の向上に向けた提言」(2024年11月29日、以下「有識者会議提言」といいます)のとりまとめを経て、2025年2月7日に法案が閣議決定され、法案審議において、衆議院での修正 2 を経て、同年5月16日に成立しました。

能動的サイバー防御法は、正確には以下の2つの法から構成されています。

名称(本稿での略記) 資料 所管省庁
重要電子計算機に対する不正な行為による被害の防止に関する法律
(新法)		 内閣官房
重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律
(整備法)		 内閣官房

「能動的サイバー防御」とは

能動的サイバー防御については、2022年12月に閣議決定された国家安全保障戦略 3 において、次のとおり言及されています 4

国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除し、また、このようなサイバー攻撃が発生した場合の被害の拡大を防止するために能動的サイバー防御を導入する。そのために(中略)以下の(ア)から(ウ)までを含む必要な措置の実現に向け検討を進める。

(ア)重要インフラ分野を含め、⺠間事業者等がサイバー攻撃を受けた場合等の政府への情報共有や、政府から民間事業者等への対処調整、支援等の取組を強化するなどの取組を進める。


(イ)国内の通信事業者が役務提供する通信に係る情報を活⽤し、攻撃者による悪⽤が疑われるサーバ等を検知するために、所要の取組を進める。


(ウ)国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃について、可能な限り未然に攻撃者のサーバ等への侵⼊・無害化ができるよう、政府に対し必要な権限が付与されるようにする。


能動的サイバー防御を含むこれらの取組を実現・促進するために、内閣サイバーセキュリティセンター(NISC)を発展的に改組し、サイバー安全保障分野の政策を⼀元的に総合調整する新たな組織を設置する。

(※)太字、改行は筆者

能動的サイバー防御法の構成

能動的サイバー防御法は、大きく分けて、①官民連携、②通信情報の利用、③アクセス・無害化、④組織・体制整備の4つから構成されます 5。概要は次の表のとおりです。

【能動的サイバー防御法の全体像】

内閣官房 サイバー安全保障体制整備準備室「サイバー対処能力強化法案及び同整備法案について」(2025年3月)をもとに作成
出典:内閣官房 サイバー安全保障体制整備準備室「サイバー対処能力強化法案及び同整備法案について」(2025年3月)をもとに作成

これらの施策のうち、特に民間企業への影響が大きいと考えられるのは、①官民連携、②通信情報の利用です。

施行スケジュール

能動的サイバー防御法の施策の大部分は、公布(2025年5月23日付)から1年6か月以内に施行されます。

もっとも、例外もいくつかあり、たとえば、通信情報の利用に関する施策については、公布から2年6か月以内の施行とされているほか、基幹インフラ事業者に新たに課される義務との関係では、施行からの若干の猶予期間が設けられています(詳細は3-1参照)。

能動的サイバー防御法の影響を受ける民間企業

直接的な影響

能動的サイバー防御法に基づいて直接的な影響を受ける民間企業は、次のとおりです。

民間企業 関係する主な改正項目
基幹インフラ事業者(重要な15のインフラ分野から個別に指定される特定社会基盤事業者) ①官民連携、②通信情報の利用
基幹インフラ事業者が用いるシステムに関連する事業者 ①官民連携
電気通信事業者 ②通信情報の利用
ITベンダー ①官民連携および②通信情報の利用の一環で実施される脆弱性情報の取扱い

※改正項目①②の詳細は1-3参照

(1)基幹インフラ事業者

基幹インフラ事業者は、能動的サイバー防御法で初めて出てくる概念ではなく、すでに別の法律に基づく規律があります。それが経済安全保障推進法 6 です。

基幹インフラ事業者とは、経済安全保障推進法に基づき、電気、通信、金融などの15分野 7(下表)の基幹インフラ役務(サービス)を提供する事業者のうち、その規模等に照らして個別に指定される事業者(同法では「特定社会基盤事業者」)を指します。

【現行の基幹インフラ分野と所管省庁】

現行の基幹インフラ分野と所管省庁

(2)基幹インフラ事業者が用いるシステムに関連する事業者

基幹インフラ事業者が用いるシステムに関連する事業者とは、典型的には各々の基幹インフラ分野における基幹システム(制御システム等)の開発または保守運用の委託を受けている事業者や、システムインテグレーター(SIer)などがあげられます。

(3)電気通信事業者

電気通信事業者とは、典型的には通信キャリアやインターネットサービスプロバイダ(ISP)などがあげられます。

(4)ITベンダー

適用対象となるITベンダーは広範多岐にわたりますが、特に汎用的なソフトウェアを開発またはサービス提供している事業者や、ソフトウェアを組み込んだ汎用的な機器等を開発している事業者は留意が必要です。

関接的な影響

上記以外の民間企業は、直接的な義務等の対象外となっています

他方で、一般企業に向けたセキュリティの普及・啓発活動等を行ってきたNISCの改組など、能動的サイバー防御法に関わる動向がセキュリティ実務に間接的な影響を与える可能性があるため、引き続き、最新の状況を注視することが望ましいでしょう。

基幹インフラ事業者に求められる対応

現行の経済安全保障推進法の下、基幹インフラ事業者は、インフラサービスの提供に用いる制御システム等(特定重要設備 8)が我が国の外部から行われる特定妨害行為(サイバー攻撃等)の手段として使用されることを防止しなければなりません。

また、インフラサービスの安定的な提供を確保するため、特定重要設備を導入したり、他の事業者に維持管理または操作させる(重要維持管理等の委託)際には、設備の供給者や委託先に関する情報等をあらかじめ主務大臣に届け出て、審査を受けなければなりません 9

【経済安全保障推進法に基づく基幹インフラ制度の概要】

経済安全保障推進法に基づく基幹インフラ制度の概要
参考:内閣府「経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度のパンフレット」(2025年4月1日)


このような現行の経済安全保障推進法に基づく基幹インフラ制度に加えて、能動的サイバー防御法によって、基幹インフラ事業者に以下のような新たな義務等が生じます。

セキュリティインシデントの報告義務

新法では、基幹インフラ事業者に対するセキュリティインシデントの報告義務が措置されます。以下では、この報告義務と、その前提となる特定重要電子計算機に関する届出義務を概説します。

なお、新法は事後的な届出義務であり、経済安全保障推進法は、原則として事前の届出に基づく審査となるため、届出を行うタイミングは異なりますが、基幹インフラ事業者に重複する過度な事務負担とならないよう配慮が必要になるものと考えられます。

法案を審議した国会においても、政府は、関係者や専門家と意見交換を重ね、懸念や配慮を反映した制度設計を進めること、官民連携を強化しつつ産業界の意見を尊重し過度な負担を避けること、他法令との重複を避け報告の一元化・様式統一・簡素化・報告基準および内容の明確化により事業者負担の軽減と迅速な政府対応を図るべきであるといった内容の付帯決議がなされています 10。これらは、有識者会議提言4頁においても同種の記載があったところ、それを改めて確認したものともいえます。

今後は、主務省令で定められる届出事項に注視する必要があると考えられます。

(1)特定重要電子計算機に関する届出義務

基幹インフラ事業者は、特定重要電子計算機を導入したときは、その製品名および製造者名その他の主務省令で定める事項を事業所管大臣に届け出なければなりません 11

この特定重要電子計算機に関する届出義務 12 については経過措置があり 13、基幹インフラ事業者は、現に導入している特定重要電子計算機に関する製品名や主務省令で定められる事項について、新法の施行日から6か月以内に所管大臣に届け出る必要があります。

  • 「特定重要電子計算機」とは

    「特定重要電子計算機」とは、基幹インフラ事業者が使用する電子計算機(コンピュータはもちろん、そこに組み込まれるプログラムも含まれます 14)のうち、そのサイバーセキュリティが害された場合に、特定重要設備の機能が停止し、または低下するおそれがあるものとして政令で定めるもの(当該特定重要設備の一部を構成するものを含む)をいいます 15

    新法に基づき届出が必要な特定重要電子計算機は、特定重要設備に関連するハードウェアやソフトウェアであり、これは、経済安全保障推進法に基づいて事前審査を受ける必要がある特定重要設備等、特にその一部を構成する構成設備(OS、サーバなど)と重複する部分も出てくる可能性があります。たとえば、クラウドサービスについては、新法に基づく特定重要電子計算機であり、経済安全保障推進法に基づく構成設備にもなり得るように思われます。

  • 「特別社会基盤事業者」とは

    新法は、特定重要電子計算機を使用する基幹インフラ事業者を「特別社会基盤事業者」と定義しています 16

    理論的には、基幹インフラ事業者の一部が「特別社会基盤事業者」という構造になりますが、実際には、特定重要電子計算機を使用しない基幹インフラ事業者はほぼ想定されないと考えられますので、ほとんどの基幹インフラ事業者が、ここにいう「特別社会基盤事業者」に該当し、特定重要計算機に関する届出を行う必要があると予想されます 17

    なお、事業所管大臣は、基幹インフラ事業者が特定重要電子計算機を導入した際の届出を受けたときは、これを内閣総理大臣に通知します 18。ここにいう「内閣総理大臣」とは、整備法に基づき新たに設置されることとなる、サイバーセキュリティに関する司令塔となる新組織(現在の内閣サイバーセキュリティセンター(NISC)を改組するもの、以下「新組織」といいます)を指すと考えられます 19。つまり、届出に関する情報は、各々の基幹インフラ所管省庁と新組織との間で連携される仕組みとなっています。

(2)セキュリティインシデント報告義務

  • 報告の対象となるセキュリティインシデント

    新法によって、基幹インフラ事業者は、特定侵害事象(不正アクセス行為等により特定重要電子計算機のサイバーセキュリティが害されること等 20)またはその原因となり得る主務省令で定められる事象を知ったときは、その旨および主務省令で定められる一定の事項を事業所管大臣と内閣総理大臣(新組織)に報告する義務を負います 21

    この報告義務に関しては、①報告対象事象、②報告手続、③報告事項について、すべて主務省令で定めることとされており、現時点での詳細は不明です。

    ただし少なくとも①報告対象事象については、以下の2つの類型があげられています。

    (i)新法2条5項に規定する特定侵害事象(不正アクセス等)
    (ii)その原因となり得る事象として主務省令で定めるもの

    特に(ii)については、確定的な事象ではなく、いわゆる「ヒヤリハット」に位置づけられるものも含まれ得ます。

    したがって、主務省令の定めが義務の範囲に大きく影響すると考えられるため、今後、主務省令で定められる報告義務の詳細に留意する必要があると考えられます。

  • サプライチェーン・委託先への影響

    セキュリティインシデント報告義務の主体は、あくまで基幹インフラ事業者です。基幹インフラ事業者の数は限られていますが、そのサプライチェーンに含まれる事業者(システムの供給者や、システムの保守運用の委託を受けている事業者等)を含めると、影響を受ける事業者の数は少なくないと思われます。

    今日では、サプライチェーンや委託先を狙った攻撃も多数発生しており、独立行政法人情報処理推進機構(IPA)が2025年1月30日に公開した「情報セキュリティ10大脅威 2025 22」においても、サプライチェーンや委託先を狙った攻撃は、組織向け脅威の第2位に位置づけられています。

    サプライチェーンに含まれる事業者において報告対象事象が発生した場合に、新法に基づく義務が発生するかどうかは今のところ明確ではありません。いずれにせよ、基幹インフラ事業者が報告義務を履行するためにどのようなオペレーションを組むかは、新法の内容と主務省令をはじめとする下位法令の制定を踏まえて検討が必要になると考えられます。

基幹インフラ事業者と政府との協定(同意)による通信情報の共有

サイバー攻撃は海外から行われることが多いため、通常の情報収集の手段では、どのような攻撃がどこから行われるかを事前に知ることは困難です。そのため、被害を未然に防止するためには、通信情報を分析することにより、攻撃者やそれが用いる攻撃用のインフラの実態を把握することが必須となります 23

そこで、新法は、通信の秘密や個人のプライバシーに配慮しつつも、国内を経由する通信情報を取得、分析、利用するために、各企業から通信情報を収集することを可能にしようとしています。
その一環として、政府は、基幹インフラ事業者を通信の当事者とする通信情報の提供を受けて、そのうち国外から国内への通信(外内通信)に関する通信情報を用いて、サイバーセキュリティの確保を図るために必要な分析を行い、その分析の結果を当該基幹インフラ事業者に提供するという協定を、基幹インフラ事業者との間で締結できるとしています 24

この協定は任意のものなので、基幹インフラ事業者は通信情報の提供を強制されるわけではありませんが、契約当事者となる者は、相互に協定締結の協議を求めることができ、その求めを受けた一方当事者は、正当な理由がない限り協議に応じなければならない 25 とされています。そのため、基幹インフラ事業者としては、少なくとも政府と、協定に関する協議を行うこととなる可能性は相応に高いと考えられます。

情報共有および対策に関する協議会の設置

政府と民間との情報共有制度の1つとして、内閣総理大臣、関係行政機関の長、基幹インフラ事業者、ITベンダーとの間において、官民共同の協議会(以下「協議会」といいます)を設置することとされています 26

上記の協定と同様、民間事業者については任意の制度で、同意した者のみが構成員となります 27

協議会の構成員は、サイバー攻撃による被害の防止に資する情報を共有し、サイバー攻撃による被害の防止のための対策に関する事項や、被害防止情報を適正に管理するために必要な措置に関する事項等について協議を行います 28

さらに、協議会は、協議を行うため必要があると認めるときは、その構成員に対し、サイバー攻撃による被害の防止に関して必要な情報に関する資料の提出、意見の開陳、説明その他の協力を求めることができ、当該構成員は、正当な理由がある場合を除き、その求めに応じなければなりません 29。また、構成員は、共有された情報については守秘義務を負います 30

重要インフラ事業者に関する新たな基準・ガイドライン策定の可能性

整備法により改正されるサイバーセキュリティ基本法では、サイバーセキュリティ戦略本部の新たな所掌事務として、いわゆる重要インフラ事業者等のサイバーセキュリティの確保に関して「国の行政機関が実施する施策の基準の作成」が追加されます 31

ここにいう「重要インフラ事業者」とは、経済安全保障推進法に基づく基幹インフラ事業者ではなく、サイバーセキュリティ基本法3条1項に規定する「重要社会基盤事業者」を指します。こちらも基幹インフラ事業者と同様、通信・電力・金融などの15分野に属する事業者の一部の事業者を指します 32。基幹インフラ事業者とは法的な根拠や分野が異なりますが(たとえば、現状、医療や行政サービスは、重要インフラ分野には含まれますが、基幹インフラ分野には含まれていません)、いずれも我が国において重要性の高いインフラであることは変わりません。

現状、重要インフラ事業者に関しては、サイバーセキュリティ基本法14条および26条1項5号に基づいて、「重要インフラのサイバーセキュリティに係る行動計画 33」とその下位規範として「重要インフラのサイバーセキュリティに係る安全基準等策定指針 34」が公表されています。

整備法に基づく改正後のサイバーセキュリティ基本法26条1項3号にいう重要インフラ事業者に関する「施策の基準」が何を指すかは、条文からは明らかではありません。上記の行動計画等を発展させて新たな基準・ガイドラインを策定する可能性もあるため、新たな基準・ガイドラインが策定される場合には、その内容も注視する必要があります。

電気通信事業者に求められる対応

3-2のとおり、新法では、通信情報の利用に関する規律が新たに措置されます。その一環として、政府は以下の場合には、新設される独立機関 35 であるサイバー通信情報監理委員会の承認を条件に、企業の同意を必要とせずに、情報を取得できるようになります。

国内を経由し伝送される国外から国外への通信(外外通信)の分析のための取得

政府は、外外通信であって、他の方法ではその実態の把握が著しく困難であるサイバー攻撃に関係するものが、特定の電気通信設備により伝送されていると疑うに足りる状況がある場合には、サイバー通信情報監理委員会の承認を受けて、当該電気通信設備から、政府の設置する設備(以下「受信用設備」といいます)に、通信情報が送信されるようにする措置をとることができます 36

ここにいう受信用設備をどのように設置するのか、詳細は今のところ不明ですが、関係する電気通信事業者は、政府の求めに応じて特定の通信データを提供するための対応が求められる可能性があります。

国内・国外間での通信(外内通信・内外通信)の分析のための取得

政府は、外内通信または内外通信であって、サイバー攻撃に用いられていると疑うに足りる状況のある特定の外国設備と送受信している、または当該状況のある機械的情報 37 が含まれているものの分析をしなければ被害防止が著しく困難であり、他の方法ではこれらの通信の分析が著しく困難である場合には、サイバー通信情報監理委員会の承認を受けて、これらの通信が含まれると疑うに足りる外国関係通信を伝送する電気通信設備から、受信用設備に、通信情報が送信されるようにする措置をとることができます 38

こちらについても、電気通信事業者は、4-1の外外通信のケースと同様、政府の求めに応じて特定の通信データを提供するための対応が求められる可能性があります。

国外が関係する通信、関係しない通信の概要図(内閣官房 サイバー安全保障体制整備準備室「サイバー対処能力強化法案及び同整備法案について」(2025年3月)28頁)
国外が関係する通信、関係しない通信の概要図(内閣官房 サイバー安全保障体制整備準備室
サイバー対処能力強化法案及び同整備法案について」(2025年3月)28頁)

ITベンダーに求められる対応

分析情報・脆弱性情報に関する対応

整備法に基づき新たに設置されることとなる、サイバーセキュリティに関する司令塔となる新組織は、基幹インフラ事業者から届出が行われた特定電子計算機の情報と報告されたインシデント情報 39、通信情報 40、協議会を通じて得た情報 41、その他の情報(外国政府から提供された情報等)について、整理と分析をすることができます 42

この整理と分析をされた情報については、その情報の守秘性に応じて次の3つのカテゴリーに分けて提供等されることとなります。

分析情報・脆弱性情報の提供等

法令上の定義 内容 提供先
総合整理分析情報 通信情報や秘密を含み得る情報 国の行政機関等 43
提供用総合整理分析情報 通信情報は含まないが秘密は含み得る情報 協議会の構成員等 44
周知等用総合整理分析情報 通信情報や秘密は含まない情報 基幹インフラ事業者、重要電子計算機の使用者と重要電子計算機等の供給者に対し、提供、周知または公表 45

政府から提供等される情報が、基幹インフラ事業者が使用する特定重要電子計算機として用いられるハードウェアやそれに組み込まれるプログラム(電子計算機等)に関連する脆弱性に関するものである場合は、事業所管大臣(電子計算機やそれに組み込まれるプログラムの供給を行う事業を所管する大臣)は、その電子計算機等のベンダー等に対し、被害防止のために必要な措置を講ずるよう要請することができる 46 ほか、必要な限度で、報告または資料の提出を求めることができます 47この求めを受けたベンダーは、求めに応じるよう努めなければならないとされています 48

関連して、整備法 49 による改正後のサイバーセキュリティ基本法7条2項では、コンピュータやプログラム、情報通信ネットワークまたは電磁的記録媒体などの情報システムの供給者について、利用者のサイバーセキュリティ確保のための設計・開発、情報の継続的な提供等に努めるものとするという責務規定が措置されます

基幹インフラ事業者のサプライチェーンとしての対応

3-1のとおり、新法では、基幹インフラ事業者に対するセキュリティインシデントの報告義務が新たに措置されますが、義務の発生事由は、特定重要電子計算機に対するサイバーセキュリティの侵害となります。

したがって、義務の主体はあくまで基幹インフラ事業者ではありますが、運用上は、基幹インフラ事業者が適切に報告義務を果たせるように、特定重要電子計算機を供給等している事業者が、基幹インフラ事業者に協力する必要が出てくる可能性もあると考えられます。実際にどのようなオペレーションとなることが想定されるかは、今後の議論動向を注視する必要があると考えられます。

  1. 内閣官房「サイバー安全保障分野での対応能力の向上に向けた有識者会議」 ↩︎

  2. ①通信の秘密や憲法で保障された国民の権利・自由を不当に制限してはならない旨の明記、②サイバー通信情報監理委員会による国会に対する報告には、サイバー通信情報管理委員会が行った具体的な承認件数や検査結果、通知・要求・勧告の件数などの詳細を含めること、③施行後3年を目途に政府が制度運用状況を検討し必要に応じて措置を講じるという規定を追加する旨の修正がなされています(衆議院「閣法 第217回国会 4 重要電子計算機に対する不正な行為による被害の防止に関する法律案に対する修正案」) ↩︎

  3. 内閣官房「国家安全保障戦略」(令和4年12月16日)↩︎ ↩︎

  4. 一部報道では、「能動的サイバー防御」がActive Cyber Defence(以下「ACD」といいます)の和訳であることから、ACDと略されますが、ACDは、グローバルに確立した定義があるわけではなく、国によってその意味する内容が異なる可能性がある点に留意が必要です。 ↩︎

  5. その他、本稿で取り上げていない能動的サイバー防御法の全体像については、法案段階の解説ではありますが、森・濱田松本法律事務所外国法共同事業 Data Security Newsletter「サイバー対処能力強化法案 ~能動的サイバー防御(ACD)関連法案の概説~」(林浩美、蔦大輔、嶋村直登、𠮷澤法之)もご参照ください。 ↩︎

  6. 正式名称は「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律」。 ↩︎

  7. なお、港湾運送については、2024年の経済安全保障推進法の改正により追加されました。改正法は2025年4月1日から施行され、同年5月1日付で港湾運送から31事業者が指定されています。 ↩︎

  8. 特定重要設備とは、経済安全保障推進法において、基幹インフラの役務を安定的に提供するために重要な設備等で、日本国外から行われる基幹インフラの役務の安定的な提供を妨害する行為の手段として使用されるおそれがあるものとして主務省令で定めるものとされています(経済安全保障推進法50条1項)。具体的には、機器、装置、プログラムなどが含まれます。 ↩︎

  9. 経済安全保障推進法52条 ↩︎

  10. 衆議院「第217回国会閣法第4号 附帯決議」3号、4号、参議院「第217回国会 附帯決議」2号、3号 ↩︎

  11. 新法4条1項 ↩︎

  12. 新法4条1項 ↩︎

  13. 新法附則4条 ↩︎

  14. 新法2条2項柱書 ↩︎

  15. 新法2条2項2号および同条3項参照 ↩︎

  16. 注新法2条3項 ↩︎

  17. したがって、本稿では、経済安全保障推進法に基づく特定社会基盤事業者および新法に基づく特別社会基盤事業者をあわせて「基幹インフラ事業者」と呼称します。 ↩︎

  18. 新法4条2項、4項 ↩︎

  19. 整備法17条に基づく改正後の内閣府設置法4条参照 ↩︎

  20. 新法2条5項および同条4項参照 ↩︎

  21. 新法5条 ↩︎

  22. 独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2025」(2025年1月30日、2025年5月14日最終更新) ↩︎

  23. 有識者会議提言5頁参照 ↩︎

  24. 新法11条 ↩︎

  25. 新法11条2項 ↩︎

  26. 新法45条1項。この協議会は、サイバーセキュリティ基本法17条に基づくサイバーセキュリティ協議会を発展的に改組するものとなります。 ↩︎

  27. 新法45条2項 ↩︎

  28. 新法45条3項 ↩︎

  29. 新法45条5項 ↩︎

  30. 新法45条4項、7項 ↩︎

  31. 整備法12条、サイバーセキュリティ基本法26条1項3号 ↩︎

  32. 基幹インフラ事業者と重要インフラ事業者の比較について、たとえば、蔦大輔=新井雄也「基幹インフラ審査制度-サプライチェーン・サイバーセキュリティ」ジュリスト2024年9月号(2024年8月23日)特集 経済安全保障のゆくえ 33頁以下も参照。 ↩︎

  33. サイバーセキュリティ戦略本部「重要インフラのサイバーセキュリティに係る行動計画」(2022年6月17日、2024年3月8日改定) ↩︎

  34. サイバーセキュリティ戦略本部「重要インフラのサイバーセキュリティに係る安全基準等策定指針」(2023年7月4日) ↩︎

  35. いわゆる3条委員会(独自に意思決定を行う機関)。他の3条委員会としては、たとえば公正取引委員会や個人情報保護委員会などがあげられます。 ↩︎

  36. 新法17条 ↩︎

  37. IPアドレス、通信日時、電子計算機に動作をさせるべき指令を与える情報(指令情報等)等、コミュニケーションの非本質的な内容の情報(新法2条8項参照) ↩︎

  38. 新法32条、33条 ↩︎

  39. 新法2章 ↩︎

  40. 新法5章、7章 ↩︎

  41. 新法9章 ↩︎

  42. 新法37条 ↩︎

  43. 新法38条 ↩︎

  44. 新法45条 ↩︎

  45. 新法40~42条 ↩︎

  46. 新法42条2項 ↩︎

  47. 新法42条4項 ↩︎

  48. 新法42条5項 ↩︎

  49. 整備法12条 ↩︎

蔦 大輔弁護士

森・濱田松本法律事務所外国法共同事業

サイバーセキュリティ、個人情報保護・プライバシー、IT・ICTを主たる取扱分野とする。サイバー攻撃対策として、事前の体制整備等の取組、攻撃を受けてしまった後の被害拡大防止のための事後対応について豊富な知見を有する。元内閣官房内閣サイバーセキュリティセンター(NISC)上席サイバーセキュリティ分析官。慶應義塾大学大学院政策・メディア研究科特任准教授。サイバーセキュリティ法制学会理事。総務省、警察庁、経済産業省などで有識者委員を歴任。近時の著書として、「クロスセクター・サイバーセキュリティ法」(商事法務NBL連載)、『情報刑法I サイバーセキュリティ関連犯罪」(弘文堂、2022年)、『60分でわかる!改正個人情報保護法超入門』(共著、技術評論社、2022年)ほか多数。
嶋村 直登弁護士

森・濱田松本法律事務所外国法共同事業

弁護士(2013年登録。第二東京弁護士会)。お茶の水女子大学および日本女子大学講師。2022~2024年グーグル合同会社出向、2016~2018年ソフトバンク株式会社出向。複数のBtoC企業での執務経験を活かし、個人情報、消費者法、生成AI、フィンテック、サイバーセキュリティ、知的財産、カスハラ対策、訴訟等の広範な分野の法律問題を取り扱う。ニューヨーク州およびカリフォルニア州弁護士、情報処理安全確保支援士。
𠮷澤 法之弁護士

森・濱田松本法律事務所外国法共同事業

サイバーセキュリティ、データ・プライバシー、IT/ICT、システム開発紛争に関する業務を主として取り扱う。企業の情報セキュリティ対策、サイバーインシデント対応、規制対応(個人情報保護法やサイバーセキュリティ関連ガイドライン等)、情報ガバナンス体制の構築支援について、法制度や政策動向を踏まえ、平時の予防的対応から有事対応まで一貫した支援を提供。

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する
蔦 大輔弁護士 嶋村 直登弁護士 𠮷澤 法之弁護士