近年、社会生活の根幹を支える重要インフラに対するサイバー攻撃は、もはや日常的な脅威となりました。攻撃が成功した場合、広範囲にわたるサービスの停止や事業活動への影響が生じる可能性は無視できません。
こうした背景のもと、安全保障の確保に関する経済施策を推進することを目的として、2022年に「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(経済安全保障推進法)」が制定されました。その後、段階的に4つの制度の運用が開始され、その中の1つとして国民の生活基盤を守ることを目的とした「基幹インフラ役務の安定的な提供の確保に関する制度(基幹インフラ制度)」が定められています。本制度で指定を受けた「特定社会基盤事業者」と呼ばれる事業者は、国が定めた「特定重要設備[i]」の導入・重要維持管理等の委託を行う際に、届出および審査の受審が求められるようになりました。
本記事では、経済安全保障推進法と基幹インフラ制度の要点について解説するとともに、特定社会基盤事業者に求められる対応をステップごとに解説します。
まず初めに、経済安全保障推進法(以下、同法)の概要とその根幹を成す4つの制度について簡単に整理します。
同法は国際情勢の変化や技術競争の激化に対応し、国民の生活と経済活動を守ることを目的として制定されました。2022年5月に成立し、同年6月から段階的に施行されています。
国家として経済安保体制の確立を図るため、以下の4つの制度を柱としています。
これらの制度は、競争力強化や安全確保のための支援としての側面を持つ一方で、事業者側に対応の負担が発生するという側面もあります。
では、本記事で取り扱う基幹インフラ制度(以下、本制度)では、どういった対応が求められているのでしょうか。
本制度は、重要インフラが我が国の外部からのサイバー攻撃や妨害行為により機能不全に陥るリスクを未然に防ぎ、サービスの安定提供を確保することを目的としています。電力、通信、金融、航空、クレジットカード等、国民生活と経済活動の基盤となる15分野が対象とされており、特に重要な役割を担う事業者は特定社会基盤事業者として国から指定を受けています。
指定された事業者は、本制度で定められた特定重要設備について、導入または維持管理等の委託を行う際、事前に事業所管大臣へ届出を行い、審査を受けることが義務付けられています。例えば金融業では預金管理システム等、クレジットカード業ではオーソリゼーションシステム等が、特定重要設備に該当すると考えられます。対象となる特定重要設備のスコープは、事業所管省庁へ確認の上で決定します。
出典:内閣府資料「経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度について(令和7年8月1日時点)」
上の図の通り、特定社会基盤事業者がベンダー等との間で特定重要設備の導入や委託に係る契約等を行った場合、ベンダーは供給者・委託先に該当します。特定社会基盤事業者は、事業所管大臣への届出にあたり、供給者・委託先に対して情報収集等の協力を要請することが不可欠です。
では、認定までの具体的なプロセスはどういったものになるのでしょうか。
同法には、「特定重要設備の導入」に係る届出と、「特定重要設備の重要維持管理等の委託」に係る届出が存在します。「導入」は他の事業者から特定重要設備の導入を行う場合、「委託」は他の事業者に委託して特定重要設備の維持管理もしくは操作を行わせる場合と定義されており、前者については「構成設備[ii]」の供給者まで、後者については原則として重要維持管理等の委託先全てに関する情報の届出が必要です。
出典:内閣府資料「経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度について(令和7年8月1日時点)」
例えば、特定社会基盤事業者が外部のベンダーと契約して新規に特定重要設備の利用を開始する場合は、「導入」の届出が必要と考えられます。また、当該設備の運用についてもベンダーへ委託を行う場合は、併せて「委託」の届出も必要になることが想定されます。
設備に関する計画が「導入」にあたるかどうか、あるいは「委託」にあたるかどうか、判断に迷う場合は各省庁の相談窓口へ確認するのが良いでしょう。
同法では、導入または委託のタイミングに応じて下図①~④の届出が存在しています。
出典:内閣府資料「経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度について(令和7年8月1日時点)」
新規に導入・委託を行う場合の事前届出には「①導入等計画書の届出」、どうしても届出前に導入の開始が必要である等、緊急でやむを得ない場合は「②緊急導入等届出書の届出」を利用します。
導入・委託可能と判断された後や、導入後および委託期間中に特定重要設備に変更が生じた際は、そのタイミングや性質に応じて「③導入等計画書等の変更の案の(事前)届出」または「④導入等計画書等の(緊急)変更の報告」を利用します。ただし、変更が新たな特定重要設備の導入に当たると判断された場合は「①導入等計画書の届出」が必要とされており、やや複雑なフローとなっています。また、①~④のそれぞれにおいて、導入と委託で申請様式が分かれていることにも注意してください。
どの届出様式が該当するかについても自社のみで判断せず、各省庁の相談窓口へ確認することを推奨いたします。
特定社会基盤事業者として該当する届出様式が確定したら、必要な情報を収集していきます。
ここからは、特定社会基盤事業者が新規に導入の届出を行うケースを対象として見ていきましょう。
設備の新規導入の場合は、上図の「①導入等計画書の届出」に分類される「様式第四(一)導入等計画書(特定重要設備の導入を行う場合)」を利用します。本様式では、以下7項目の提供が求められています。
(1)(3)については原則として登記事項証明書等や旅券の写し等の添付書類(ただし国内登記会社については登記事項証明書等の提出は省略可能)、(5)についてはリスク管理措置を講じていることを証する書類が必要であり、単なる情報のみではなく、それを裏付ける証跡についても提出が求められていることに注意が必要です。
中でもリスク管理措置は、数十項目にわたり特定重要設備に対するリスク評価とその結果に基づく適切な措置が求められるものであり、特定社会基盤事業者は、供給者の体制や設備の管理状況を詳細に確認することが要求されます。
こちらの内容についてもう少し詳しく見ていきましょう。
リスク管理措置の内容も届出様式により異なるため、引き続き新規導入の場合を例として見ていきます。
具体的な項目は内閣府のパンフレットに記載されており、以下はその一部の抜粋です。
特定社会基盤事業者自身での実施が求められている項目に加えて、特定社会基盤事業者が供給者に対して実施状況の確認を行うことが求められている項目も数多く存在します。上記で抜粋した箇所だけを見ても、悪意のあるコード等への対策・品質保証体制の確立・物理的/論理的なアクセス制御等、内容は多岐にわたることが分かります。
ここで対応の負担軽減に繋がる可能性があるものとして、外部セキュリティ基準への準拠や認定取得が挙げられます。
たとえば、情報セキュリティマネジメントシステムに対する第三者適合性評価制度であるISMSや、クレジットカード情報の保護に関するセキュリティ基準であるPCI DSSには、一部のリスク管理措置と類似する要件が存在します。特定社会基盤事業者あるいは供給者が何らかの認証を取得しており、その取り組みの中で既に対応できている項目がある場合、認証取得状況をマッピングすることで証跡作成を簡略化できる場合があります。
特定社会基盤事業者は、まず自社で準拠している規格等を整理し、リスク管理措置とのマッピングを行った上で、それらでカバーできる項目を一覧化すると良いでしょう。また、供給者に対しても同様の確認を行うことで、供給者側で取得済みの認証に基づきリスク管理措置への対応状況を判断するとともに、認証書等を証跡として活用できると考えられます。
最終的な適用可否は各省庁の判断となりますが、証跡の収集に係るコストを大幅に削減できる可能性があります。
また、構成設備が「政府情報システムのためのセキュリティ評価制度(ISMAP)」の登録を受けているクラウドサービスである場合、一部項目に関する記載を省略できることが規定されています。クラウドサービスを構成設備として利用する特定社会基盤事業者は、デジタル庁の公開している「ISMAPクラウドサービスリスト」にて、登録を受けたものであるかどうか確認してみましょう。
リスク管理措置への対応についてはこちらの記事でも解説していますので、併せてご覧ください。
【関連記事】
経済安全保障推進法のリスク管理措置とは?|OT環境におけるセキュリティ対策の実践ポイント
未対応のリスク管理措置に対しては、実装方法の検討を進める必要があると考えられます。具体的に実施すべき内容については、内閣府発行の解説資料「経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度の解説」内の「第2部:リスク管理措置の解説」が参考となります。
例えば図4冒頭のリスク管理措置①-1および①-2については、以下のような解説が付記されています。
こちらを参照することで、それぞれのリスク管理措置において具体的に実施すべき内容とその範囲、提出すべき証跡の例を確認できます。
ただし、本資料には、「リスク管理措置は(中略)リスクの内容及び程度に応じて講じられるべきものであり、主務省令に列挙した具体的な措置の全てを常に講じていただくことを求めるものではありません。」とも記載されています。リスク管理措置の要求範囲については、事業体の実際の環境や、他のセキュリティ対策の実施状況等を踏まえた個別の判断が行われると考えられます。
特定社会基盤事業者にて届出書類と添付書類(証跡)の準備が完了したら、事業所管大臣への届出を行います。提出方法は電子メールのほか、「e-Gov電子申請サービス」によるオンライン届出も可能です。新規導入の場合、供給者または導入に携わる者[iii]は、一部の届出事項や添付書類について特定社会基盤事業者を経由しない直接提出(バイパス)が可能とされています。供給者からバイパスの要望を受けた特定社会基盤事業者は、該当の項目について確認の上で可否を判断してください。
事業所管大臣における審査期間は原則30日間ですが、短縮または最大4ヶ月の延長ありとされています。また、審査へ向けた提出の前に事前の書類確認の実施が求められるケースもあります。
審査が完了した場合は導入を開始できますが、審査の結果、追加の情報提供や証跡の提出を求められた場合はそれに応じなければなりません。また、特定重要設備が妨害行為の手段として使用されるおそれが大きいと判断された場合、事業所管大臣は導入計画の変更・中止を勧告できるとされています。そのため、場合によっては供給者の変更・排除を求められることもあり得ます。
Step3で触れたリスク管理措置には、脆弱性診断の実施など即座の対応が難しい項目も存在します。そのため、特定社会基盤事業者は余裕を持って届出の準備を進めるとともに、リスク管理措置に速やかに対応できる供給者を選定することが重要となります。
基幹インフラ制度において、特定社会基盤事業者に求められる対応のプロセスを解説させて頂きました。
経済安保は近年特に注目度が高まっている分野であり、その中において本制度は重要な位置づけでありながら、運用開始から日が浅く今後変化が予想される制度でもあります。直近でも、本制度の対象となる事業に医療分野を追加する等、同法の改正にむけた検討が指示されています。各事業者は今後の動向について注視し、然るべき対応を行っていく必要があるでしょう。
当社はクレジットカード分野を始めとした本制度の対応支援について実績を有しています。対応に関してお困りごとがある場合は、是非ともご相談下さい。
お問い合わせはこちらから
[i] 特定社会基盤事業の用に供される設備、機器、装置又はプログラムのうち、特定社会基盤役務を安定的に提供するために重要であり、かつ、我が国の外部から行われる特定社会基盤役務の安定的な提供を妨害する行為の手段として使用されるおそれがあるもの。
[ii] 特定重要設備の一部を構成する設備等のうち、特定妨害行為の手段として使用されるおそれがあるもの。
[iii] 次のいずれかに該当する者を指す。
(1)特定社会基盤事業者と特定重要設備の供給者との間に介在し、特定重要設備の供給網の管理その他の特定重要設備の導入に当たって重要な役割を有する者
(2)特定重要設備についてのサイバーセキュリティ対策の実施状況の確認等の妨害行為の防止に関する実施状況の確認を実施し、その機能に変更を及ぼし得る者