経済安全保障推進法をサイバーセキュリティ視点でとらえる~企業が備えるべきポイントを解説~
基幹インフラ事業者への審査制度がいよいよ始まる経済安全保障推進法。サイバーセキュリティの視点から、この法令と関連制度を解説します。
経済安全保障推進法とは?
経済安全保障推進法(以下、経済安保法)※は、一般的には国際情勢の複雑化、社会経済構造の変化等に伴い、経済活動に関して行われる国家及び国民の安全を害する行為を未然に防止するための基本方針の策定とそのための制度を創設するために成立したと説明されています。
具体的な背景には、世界的な感染症の拡大によるマスクなどの特定物資の供給不足や、世界各地での紛争や国家間の緊張でエネルギー供給に混乱が生じるなどサプライチェーンリスクの顕在化があります。これまで「安全保障」というと、軍事的な安全性に注目が行きがちでしたが、それだけでなくいかに経済面での独立性と安全性を確保するかが世界各国の課題となっています。これは、日本においても例外ではないことは、読者の皆様も痛感されていることでしょう。
2022年5月に成立し、同年8月から一部が施行開始されている経済安保法は、以下の4つの柱で成り立っています。全てがサイバーセキュリティに直結するものではありませんが、簡単に紹介します。
※正式名称は「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律」。
①重要物資の安定的な供給の確保(サプライチェーンの強靭化):
国民の生存に必要不可欠、または広く国民生活・経済活動が依拠している重要な物資を特定重要物資として指定し、その安定供給確保に取り組む事業者を支援する制度です(2022年8月1日施行~)。2024年2月現在、12の物資※を特定重要物資として指定し、事業者が物資供給確保計画を提出、所轄大臣の認定を受けると金融支援等を受けられます。
※12の物資:抗菌性物質製剤、肥料、永久磁石、工作機械・産業用ロボット、航空機の部品、半導体、蓄電池、クラウドプログラム、天然ガス、重要鉱物、船舶の部品、先端電子部品(コンデンサー及びろ波器)。
②基幹インフラ役務の安定的な提供の確保:
基幹インフラ事業者の重要設備が日本国外から行われる役務の安定的な提供を妨害する行為を防止するため(サイバー攻撃等)、国が基幹インフラ事業者を指定し、国が定めた重要設備の導入・維持管理等の委託の際に、事前に届出を行い、そのリスクマネジメント体制について国の審査を受ける制度です(2023年11月17日施行。2024年5月17日から本制度の規律が適用される)。これについては、後述する項で説明します。
③重要技術の開発支援※:
将来の国民生活・経済活動の維持にとって重要なものとなり得る先端的な技術(生成AIなど)のうち、外部に不当に利用された場合に国家・国民の安全を損なう可能性のある技術などを特定重要技術と定義し、その研究活動を支援する方針・枠組みです(2022年8月1日施行~)。具体的には、官民連携を促す協議会(官民パートナーシップ)の設置や、技術研究の資金面での支援を目的とした指定基金協議会の設置などがあります。
※内閣官房「先端的な重要技術の開発支援に関する制度」を参考。
④特許出願の非公開※:
特許出願の明細書等などに、公にすることにより外部から行われる行為によって国家・国民の安全を損なう可能性が高い発明が記載されていると判断された場合、その出願内容を非公開とする制度です(2024年5月1日施行~)。特許庁による一次審査(特定技術分野に該当するか否か)、内閣府による二次審査(保全審査)により、「保全指定」された場合、出願公開・特許査定及び拒絶査定などの特許手続きが留保されます。また場合により、外国出願が禁止されます。
※内閣府「特許出願の非公開に関する制度」を参考。
特許庁「特許出願非公開制度について」(2024年2月2日)を参考。
重要インフラと基幹インフラの違いは?
サイバーセキュリティ観点では直近で、②の基幹インフラについて後述する動きがありました。
そもそも経済安保法における「基幹インフラ」を担う分野とは以下を指しています(右の列)。これと混同しやすいのがサイバーセキュリティ基本法における「重要インフラ」です。
図:サイバーセキュリティ基本法と経済安保推進法の対象事業者の比較(公開情報を基にトレンドマイクロで作成)
(2024年3月26日現在)
定義を見る限り、「重要インフラ事業者」も「基幹インフラ事業者」もその内容はほぼ同義と読み取れます。しかし、規定されている業種については一部の差分があります(赤字部分)。また、サイバーセキュリティ基本法における重要インフラ事業者に対しては、以下のように「関係主体の責務」という表現で努力義務が示されています※。
※2024年3月現在、地方自治体にサイバーセキュリティの策定公表を義務付ける議論が国会で進んでおり、各事業者に対して今後課される責務の内容が変わる可能性はある。
・関係主体の責務※ ‐関係主体の責務は、サイバーセキュリティ基本法を基本とする。 ‐国は、サイバーセキュリティに関する総合的な施策を策定し、及び実施する。 ‐地方公共団体は、サイバーセキュリティに関する自主的な施策を策定し、及び実施する。 ‐重要インフラ事業者は、サービスを安定的かつ適切に提供するため、サイバーセキュリティの重要性に関する関心と理解を深め、自主的かつ積極的にサイバーセキュリティの確保に努める。 ‐サイバー関連事業者その他の事業者は、その事業活動に関し、自主的かつ積極的にサイバーセキュリティの確保に努める。 |
※NISC Webページ(https://www.nisc.go.jp/pdf/policy/infra/cip_policy_abst_2024.pdf)より抜粋(2024年10月現在)。
これに対して、経済安保法の「基幹インフラ事業者」に対しては、以下のように、重要設備(特定重要設備)※の導入や委託に関して、事前の届け出や審査を受けることを義務化しています。
※特定重要設備:基幹インフラ事業者の役務の安定的な提供において重要、かつ妨害行為の手段として使用されうるもの。どの設備が対象となるかは、各省令で規定される(航空機の飛行計画システムなど)。
・基幹インフラの安定的な提供の確保に関する制度の概要※ ‐基幹インフラの重要設備が役務の安定的な提供を妨害する行為の手段として使用されることを防止するため、国が一定の基準のもと、基幹インフラ事業(特定社会基盤事業)・事業者(特定社会基盤事業者)を指定し、国が指定した重要設備(特定重要設備)の導入・維持管理等の委託をしようとする際には、事前に国に届出を行い、審査を受ける制度を構築。昨年11月に法を施行し、令和6年5月17日から制度運用開始。 ‐国は、届け出られた計画書に係る特定重要設備が妨害行為の手段として使用されるおそれが大きいと認めるときは、当該計画書を届け出た者に対し、妨害行為を防止するため必要な措置を講じた上で重要設備の導入等を行うこと等を勧告(命令)できる。 |
※内閣府「経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度について」(2024年3月4日)より。文中の「昨年」とは2023年(令和5年)のこと。
基幹インフラ設備導入の事前審査対象に「港湾運送」も指定
2023年7月に起きた名古屋港コンテナターミナルへのサイバー攻撃の事案を受け、すでにサイバーセキュリティ基本法における「重要インフラ」では「港湾」を新たに追加していました。これに加えて、2024年1月に経済安保法における「基幹インフラ」についても「港湾運送」を事前審査の対象の業種として追加するという動きになっています。先の図では基幹インフラは14業種ですが、今後15業種となる見込みです。
参考記事:港湾追加で再注目の「重要インフラ」、自社への影響を改めて確認
図:内閣府「基幹インフラ制度における今後の対応について」(2024年1月30日)より抜粋。
先の名古屋港のサイバー攻撃の事案では、約3日間荷物の搬入出が停止し物流に影響が出ました。「経済安全保障の確保」のため、今後も日本政府が民間所有のシステムインフラへの審査範囲を拡大・強化していく可能性はあるでしょう。
すでに基幹インフラ14業種200超の事業者名は各省庁より公開されています。これらの事業者と直接・間接的に取引のある企業はサプライチェーンリスクの観点からセキュリティ対策の状況などを報告したり強化することが求められる可能性があります。今後も政府の動きは注視していくことが必要です。
なお「事前審査」の方法については、下図のようなフォーマットで計画書の提出が求められるようです。実際には管轄の各省庁に提出する流れとなりますが、どのような申請方式・スケジュールなのかは確認しておくと良いでしょう。
図:導入計画書の記載事項(内閣府「経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度について」(2024年3月4日))より。
図:導入計画書の記載例(内閣府「経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度について」(2024年3月4日))より。
2024年3月に内閣府が公開した資料では、「特定重要設備が特定妨害行為の手段として使用されるおそれを低減させるためには、特定社会基盤事業者が自らリスクを評価し、そのリスクの内容及び程度に応じて適切にリスク管理措置を講ずることが有効」としています。
この資料をベースとした場合、求められているリスク管理措置の主な項目は以下であると考えられます(資料には詳細項目の説明があります)。
●設備の供給・製造の過程で設備に不正な変更が加えられることを防止するための管理状況が確認可能な体制か?
●設備への保守・点検の際に、その対応者を限定可能かどうか(設備の供給者のみ絞るなど)?
●設備への不正な妨害が行われる兆候を把握可能かどうか?また不正な妨害が加えられた場合の冗長性は確保できているか?
●設備の供給者や委託先について、過去の実績、国内法や国際基準の遵守状況が確認できる体制か?
●設備の供給者や委託先について、日本国外からの影響を判断可能な情報が適宜取得可能な体制か?
詳細項目には、脆弱性対策やランサムウェア攻撃対策など技術的なものや、取引先の選定に関わる契約上の項目など多岐に渡ります。しかし、技術的な対策や冗長性の確保など、既にBCPの観点などで取り組んできた対策が適用できる項目も多いと推測されます。一度、各項目について確認し、新規で対応が必要な項目について早めに洗い出しておくことをお勧めします。
Security GO新着記事
RansomHubとは?~2024年に登場した新興ランサムウェア攻撃者グループ
(2024年12月26日)
ランサムウェア攻撃者グループ「LockBit」の摘発の影響と今後
(2024年12月25日)