Zenn
⚖️

民間事業者におけるサイバー対処能力強化法(能動的サイバー防御法)対応について

に公開
ddos
情報セキュリティ
個人情報
インシデント・レスポンス
不正アクセス
idea

はじめに

先週、(1)官民連携の強化、(2)通信情報の利用、(3)攻撃者のサーバ等への侵入・無害化、(4)NISCの発展的改組・サイバー安全保障分野の政策を一元的に総合調整する新たな組織の設置等び実現のための法律※1、「重要電子計算機に対する不正な行為による被害の防止に関する法律」(サイバー対処能力強化法、以下、「法」と略すことがあります)および関連整備法が成立しました(なお、衆院において提出時法案は若干修正されています)。この法律は、以前、能動的サイバー防御法案といわれていたものです。この法律に関しては、アクセス・無害化措置の関係で通信の秘密・国際法との関係が問題となっており、これに関しては、既に様々なところで取り上げられていますが、ここでは、サイバー対処能力強化法の成立により、民間事業者に求められる対応に絞り、見ていきたいと思います。

対応する必要がある民間事業者の範囲

法に登場する事業者としては、経済安全保障推進法において、特定社会基盤事業者(基幹インフラ事業者)とされた事業者(法2条2項2号)と電気通信事業者があります(長くなるので電気通信事業者に関してはここでは言及しません)。
特定社会基盤事業者のうち、同号に該当する重要電気計算機を使用するものを、特別社会基盤事業者としており(同条3項)、法はこちらを対象としているところ、重要電気計算機は、「特定社会基盤事業者…が使用する電子計算機のうち、そのサイバーセキュリティが害された場合において、同条第一項に規定する特定重要設備の機能が停止し、又は低下するおそれがあるものとして政令で定めるもの(当該特定重要設備の一部を構成するものを含む。)であり、ほとんどの特定社会基盤事業者は、重要電気計算機を使用すると思われるため、特定社会基盤事業者≒特別社会基盤事業者と考えられます。特定社会基盤事業者に該当する者としては、電気、水道、空港等15分野ありますが、具体的に指定された者については、こちらをご参照ください。なお、ここからは法律用語は分かりにくいので、特別社会基盤事業者を便宜的に重要インフラ事業者といいます。

重要インフラ事業者において求められる対応

特定重要電子計算機の届出義務

重要インフラ事業者は、特定重要電子計算機を新たに導入したとき、変更したときは、その製品名や型番等を所管官庁に届け出る義務があります(法4条)。特定重要電気計算機が何かは政令で定められることとされていますが、物理的な設備だけでなく、クラウド等のソリューションが含まれる可能性が指摘されており、報告の範囲が予想より広くなる可能性があります※2)。
同様の制度として、経済安保推進法における特定重要設備の事前審査制度がありますが、審査と届出、事前と事後(導入した、変更があった)の違いがあるようにも読めるため、負担が増える可能性があります。
また、変更に関しても、「主務省令で定める軽微なもの」に当たらない限りは届け出が必要となるところ、現状でその程度が不明ですし、主務省令により明らかにされても、程度の問題となると事業者側で判断が難しくなることから、軽微にあたるかどうかにかかわらず、例えばアップデートや設定変更がある都度、届け出を行うことが常態化することなってしまう可能性があります。
なお、届出を行わず、是正命令を受けても対応しない場合、200万円以下の罰金が規定されています(法83条)

セキュリティ・インシデントの報告義務

重要インフラ事業者にセキュリティ・インシデント報告義務が課されます。すなわち、特定重要電子計算機に係る特定侵害事象又は当該特定侵害事象(セキュリティ・インシデント)の原因となり得る事象として主務省令で定めるものの発生を認知したときは、特別社会基盤事業者所管大臣および内閣総理大臣に報告しなければなりません(法5条)。
この「特定侵害事象」は、重要電子計算機に対する特定不正行為により、当該重要電子計算機のサイバーセキュリティが害されることとされているだけで、その内容は不明瞭であるところ、個人情報保護法における個人情報保護委員会に対する報告義務(個人情報保護法26条)において既に生じているような、法に反することを過度に恐れることにより些末なものも含め全て報告することや、逆に本来報告すべきものも報告しないということがここでも生ずる可能性があります。
この報告義務とは別に、似たような報告義務が別の省庁により求められる場合、例えば上述の個人情報保護委員会への報告義務がある場合、報告義務が重複し、同じような報告を何度も別の省庁に出さなければならないことになり得ます。
なお、報告等を行わず、是正命令を受けても対応しない場合、200万円以下の罰金が規定されています(法83条)

当事者協定

当事者協定は、国と重要インフラ事業者との間で締結する協定で、重要インフラ事業者が通信の当事者となっている通信情報を国に提供し、その通信のうち、外内通信情報に該当するものを国が分析し、その結果や関連情報をその重要インフラ事業者に提供することを内容とするものです(法11条1項)。
ここで、外内通信というのは、IPアドレス等から判断して、国外から国内に送信されたと認められる電気通信です。
この協定の締結自体は任意ですが、一方から締結を求められた場合、相手方は求めに係る協議に応じる義務があります(法11条2項)。
国会においても、このあたりは質問と回答が繰り返されていましたが※3、実質協定の締結が強制されるのではないかとの懸念があがっています。これに対しては、国会においても、サイバー対処能力強化法案及び同整備法案の説明資料においても、一貫して任意であることが強調されています。
ただ、任意であればこそ、提供する通信情報の内容次第で様々な問題が生じ得ます。例えば、個人情報保護法との関係で問題が生ずる可能性がありますが、個人情報保護法27条1項各号の例外にあたるかが問題となり得ます(取得した通信情報は、自動的な方法により機械的情報となるとはされていますが(法22条))。
もっとも、重要インフラ事業者の通信情報について、政府において分析を行い、分析に基づく対応を行っていくことは、昨年の年末に発生した大規模なDDoS攻撃※4や、名古屋港コンテナターミナルにおけるランサムウェア被害等※5を見れば、当該重要インフラ事業者にとってのみならず、国家の防衛として非常に重要な取り組みであることは間違いないところです※6。このあたりは、一方の当事者である重要インフラ事業者において、個々での議論だけでなく、業界や、業界横断での議論を行うことが肝要かと考えます。
なお、当事者協定の締結に関する基本的な事項に関しては、基本方針として閣議決定することとされ(法3条)、同条の施行時期は、公布の日から起算して6月を超えない範囲内とされています(附則1条2号)。

施行時期

特定重要電子計算機の届出義務、特定侵害事象(セキュリティ・インシデント)の報告義務については、公布の日から起算して1年6月を超えない範囲内に、当事者協定や取得通信情報の取扱いに関しては、公布の日から起算して2年6月を超えない範囲内に施行されることとされています。
また、特定重要電子計算機の導入の届出義務に関しては、法律の施行の日から「6ヶ月以内に」届け出ることとされています。
そこで、特定重要電子計算機の導入の届出は2年近くの猶予、変更の届出は1年6月程度の猶予、当事者協定は2年6月程度の猶予があるといえます(施行時期は「超えない範囲」なので、あくまで「程度」です)。

重要インフラ事業者において求められる対応

これまで見てきたとおり、サイバー対処能力強化法及び整備法は、まだ成立したばかりで、省令による具体化がなされないといずれも正確な対応が難しいところがあります。
ただ、特定重要電気計算機に関しては、クラウドの利用等も含めた、特定重要設備に影響を及ぼし得るサービス、機器は何かという棚卸しを行うことが準備となりますでしょうし、経済安全保障推進法の対応である程度の経験を積んでいる部分もあると思われます。
インシデント報告に関しても、個人情報保護法の経験を積んでいると思われ、そういったこれまでの対応の延長、及び情報セキュリティ、サイバーセキュリティ対応としてなすべきことすることが先決と考えられます。
また、省令が明らかになったあとになるかと思われますが、報告のフローの整備も必要となるでしょう。
当事者協定に関しては、施行までまだ間があり、また今後政府からの説明の機会などもあると思われます。その中で、業界団体や業界横断での対応方法を検討し、最終的には官民連携し、スムーズな情報連携により、国難ともいえるサイバー攻撃からの国全体としての対応力を備えることができればと考えます。

重要インフラ事業者と関係のある業者において求められる対応

前述のとおり、特定重要電子計算機にはサービスが含まれる可能性があり、当該サービスを提供している事業者は、この法律との関係で、重要インフラ事業者から届け出のための対応を求められる可能性があります。
また、特定侵害事象等の報告に関連し、サプライチェーンやグループ内企業に対し、セキュリティレベルの向上を求める対応がなされる可能性もあります。すでに個人情報保護法上、漏えい等の報告義務があり、どこまでというところもありますが、サイバー対処能力強化法では、対象業者が絞られていることや、業務の国家にとっての重要性の観点から、個人情報保護法での報告とは異なる対応となる可能性もあるかと思われ、こちらも今後に注意が必要と考えられます※7。

引用文献

  • ※1 内閣官房サイバー安全保障体制整備準備室「サイバー対処能力強化法案及び同整備法案について」https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/pdf/setsumei.pdf
  • ※2: BusinessSoftwareAlliance「日本のサイバー対処能力の強化に向けた法律案に関する提言」https://bsa.or.jp/wp-content/uploads/20250411j.pdf
  • ※3 2025年3月18日付け衆議院本会議 https://www.shugiintv.go.jp/jp/index.php?ex=VL&media_type=&deli_id=55597&time=1190.6
  • ※4 ITmediaビジネスonline 2025年1月10日記事 https://www.itmedia.co.jp/business/articles/2501/10/news028.html
  • ※5 朝日新聞2023年7月5日記事 https://digital.asahi.com/articles/ASR753WB6R75OIPE001.html
  • ※6 本法案に先駆け開催されていたサイバー安全保障分野での対応能力の向上に向けた有識者会議の「サイバー安全保障分野での対応能力の向上に向けた提言」においても、「今般実現されるべき通信情報の利用は、重大なサイバー攻撃による被害を未然に防ぐため、また、被害が生じようとしている場合に即時に対応するため、具体的な攻撃が顕在化する前、すなわち前提となる犯罪事実がない段階から行われる必要がある。」とされています。(同5頁)https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/pdf/teigen.pdf
  • ※7 第217回衆議院本会議において、石破茂内閣総理大臣からは「基幹インフラ事業者のサイバーセキュリティを確保するためには、これらの事業者と取引のある中小企業を含めたサプライチェーン全体での対策も重要である。本法律案では、基幹インフラ事業者以外の事業者についても、サイバー攻撃による被害の防止のために国が情報提供を行うことや、情報共有と対策を進めるための官民の協議会に構成員として参加してもらうことを可能とする規定を設けており、こうした取組によって、中小企業等のサイバーセキュリティ対策の強化を図っていく」旨の答弁があった」とされている。(内閣委員会調査室・柿沼重志「能動的サイバー防御の導入ーサイバー対処能力強化法案及び整備法案の概要と主な論点ー」https://www.sangiin.go.jp/japanese/annai/chousa/rippou_chousa/backnumber/2025pdf/20250414003.pdf  )

参考文献(引用文献以外)

Discussion