「対象は一部の基幹インフラ企業だけ」――そう考えていると見落とす可能性がある。実際には、システムベンダーや製品の輸入代理店など、多くの民間企業にも影響が及ぶためだ。
3月12日〜13日に開催されたWebセミナー「TECH+フォーラム セキュリティ 2026 Mar. 能動的防御・新法施行で変わるセキュリティ 自社の“次の一手”を考える」において、森・濱田松本法律事務所外国法共同事業 パートナー弁護士 蔦大輔氏が登壇。2025年に成立したサイバー対処能力強化法及び同整備法(能動的サイバー防御関連法)について、実務的な観点から民間企業への影響を解説した。
経済安保法制が加速、サイバー対処能力強化法の位置付けとは
近年、日本では経済安全保障に関する法整備が急速に進んでいる。2022年には経済安全保障推進法が成立し、基幹インフラの審査制度が開始された。経済安全保障分野におけるセキュリティ・クリアランス制度を創設する重要経済安保情報の保護及び活用に関する法律は、2024年の国会で成立し、2025年5月16日に施行された。
同じく2025年5月16日には、サイバー対処能力強化法及び同整備法も成立し、一部を除き2026年10月1日の施行が予定されている。この法律は、官民連携、通信情報の利用、アクセス・無害化措置、組織・体制整備の主に4つの柱から構成されている。
-
サイバー対処能力強化法及び同整備法の4つの柱
蔦氏は、「報道などでは、日本国憲法が保障する通信の秘密に関わる通信情報の利用やアクセス・無害化の部分が注目されがちだが、民間企業の皆さまの実務に直接関わってくるのは『官民連携』の部分」だと説明した。
対象は限定的でも無関係ではない ベンダー企業にも広がる影響
新法において、義務が直接課される民間事業者は限定的だ。主な対象となるのは、経済安全保障推進法に基づき指定された約250の基幹インフラ事業者と電気通信事業者である。基幹インフラ事業者には、新たに資産届出義務とインシデント報告義務が課される。
しかし、指定されていない企業も全く無関係というわけではない。「システムベンダーやITベンダーは、基幹インフラ事業者が運用する基幹システムや制御システムの運用保守を担っているため、間接的に義務の影響を受ける。また、製品の供給者には脆弱性対応の努力義務が課されるほか、新たに設置される官民連携の協議会への加入も関わってくる」と蔦氏は指摘する。
機器やクラウドも対象に、基幹インフラ企業に課される資産届出義務
新法で定められた資産届出義務とは、基幹インフラ事業者が特定重要電子計算機を導入した際、製品名や製造者名などを事業所管大臣に届け出るというものだ。
「具体的に何を届け出るのかは、今後の下位法令等で定められますが、2025年12月時点で示された検討の方向性としては、インターネットとの接続口にあたるアタックサーフェスの機器(ファイアウォールやVPN機器)、認証を提供するADサーバ、DMZ(Demilitarized Zone、非武装地帯)や中継サーバ、さらにはそれらの重要データや認証情報を保存している機器などが対象となるようです。クラウドを利用している場合は、クラウドのサービス名なども届け出の対象として検討されています」(蔦氏)
インシデント報告義務は“怒られる構造”ではない
従来の制度では“報告すると責任を問われる”構造があったが、新法はその前提を大きく変える可能性がある。
もう1つの大きな柱が、インシデント報告義務である。基幹インフラ事業者は、特定侵害事象(マルウェア実行、不正アクセス、DDoSなどによりサイバーセキュリティが害される事象)、またはその原因となり得る事象(マルウェアの受信、不正アクセスを行う通信の発見など)を認知した際に、報告することが義務付けられる。報告期限は、認知後速やかに第一報、30日以内に第二報を行う方向で検討されている。
-
基幹インフラ事業者のインシデント報告義務概要
このインシデント報告義務について、蔦氏は個人情報保護法における漏えい報告との構造的な違いを強調した。
「個人情報保護法では、事業者に個人データの安全管理措置義務や委託先の監督義務が課されているため、漏えいを報告すると『安全管理が不十分だったのではないか』『委託先の管理ができていなかったのではないか』と追及され、当局から指導や勧告を受けるケースが多々あります。実務上、”報告したら怒られる”というインセンティブの低下を招く構造になってしまっています。
しかし新法では、事業者のサイバーセキュリティ対策全般に対して指導助言を行う権限は当局にはありません。あくまで資産届出義務、インシデント報告義務の円滑な実施の確保に必要なときに限られています。同様に、安全管理措置義務も保有する情報全般が対象ではなく、資産届出、インシデント報告に関係する情報の取り扱いに限定されています。つまり、報告者を責めるというマイナス要素を取っ払い、国に情報を集めて分析し、有益な情報を広く還元することが主な目的になっていると言えます」(蔦氏)
輸入代理店も対象に、製品供給者に求められる脆弱性対応と官民連携
ベンダー企業にとって注意すべきなのが脆弱性対応の強化だ。基幹インフラ事業者が利用する機器などに関連する脆弱性が発見された場合、国は供給者に対して被害防止に必要な措置を取るよう要請できる規定が新設された。
「ここで言う供給者の範囲は広く、生産者だけでなく、輸入者、販売者、提供者も含まれる。海外製品の代理店として日本で販売している事業者も、この脆弱性対応の努力義務の対象に含まれる点には注意が必要」だと蔦氏は語る。
また、サイバーセキュリティ基本法に基づくサイバーセキュリティ協議会をスクラップ&ビルドするかたちで、官民連携のための新たな協議会が設置される。加入は任意だが、加入することで国が分析した価値ある情報を受け取れる可能性がある。ただし、「協議会に加入すれば当然その規約を守る必要があり、情報の安全管理措置やインシデント報告が規約上の義務として求められることが想定される」と同氏は補足した。
報告は一本化へ、それでも残る課題 企業負担はどう変わるか
これまで、サイバーインシデントが発生した際には、個人情報保護法、電気通信事業法、各省庁のガイドラインなど、さまざまな法令や制度に基づいて各所へ報告しなければならず、企業の大きな負担となっていた。
こうした事務負担を軽減するため、報告先の一元化に向けた動きが進んでいる。2025年10月からは第1フェーズとして、明らかにサイバー攻撃と判断できるランサムウェアとDDoSの2類型について、所管省庁、個人情報保護委員会、警察に対する報告を1つの共通様式で行える運用がスタートした。
-
報告の一元化に向けた第1フェーズ
蔦氏は「共通様式ができたこと自体は非常に重要な一歩」としたうえで、実務上の課題点も指摘した。
「現時点では『従来の各制度の様式に”加えて”使える』という位置付けであるため、結局どの様式を使えばよいのかという判断コストが残ります。また、報告した後のフォローアップは一元化されていないため、各機関から同じような質問が別々に飛んでくる可能性もあります」(蔦氏)
さらに同氏は、現状のインシデント報告を取り巻く環境について、次のように私見を述べた。
「最も問題だと感じているのは、サイバー攻撃を受けた事業者は本来被害者であるにもかかわらず、報告すると当局から『安全管理対策をちゃんとしていたのか』と厳しく追及される風潮があることです。結果的に見れば適切な対策を取れていなかったケースがあること自体は否定しませんが、インシデント報告を促進するためには、被害者が報告しやすいような環境にしていくべきではないかと個人的には思っています」(蔦氏)
最後に同氏は、「サイバー対処能力強化法に基づく義務の直接の対象となる民間事業者は限定的だが、運用保守ベンダーや製品の輸入・販売者などには間接的な影響が及ぶ。資産届出やインシデント報告の具体的な内容は今後の省令等で定まるため、引き続き国の動向を注視してください」と呼びかけ、講演を締めくくった。
法令の整備と制度の具体化が進むなか、企業は“自社は対象外”という前提を見直し、どこまで対応が求められるのかを早急に見極める必要がある。
日本で相次ぐ大規模サイバー侵害、原因の多くは「ハッキングではなかった」
