経済安全保障推進法の適用に向けインフラ企業が準備しておくべきこと

近年、米中対立やロシアによるウクライナ侵略に見られるように、地政学的リスクが高まっている。他国からのサイバー攻撃によりインフラサービスの提供が停止させられるという事態も生じており、例えば2015年にウクライナで、ロシアによる関与が疑われるサイバー攻撃を受けて電力会社の制御システムが不正に操作され、数時間にわたり停電するという事案が発生した。

そのような中、今年の5月に経済安全保障推進法が成立した。経済安全保障推進法は4つの柱で構成され、その一つとして、電力、通信、鉄道、金融等のインフラサービスが安定的に供給されるよう、インフラ企業のサイバーセキュリティを確保するための制度が導入された。2024年2月までに本制度の適用が開始される予定である。

本制度により、インフラ企業は、インフラサービスの提供に重要なシステム（ハードウェア・ソフトウェア）を導入する場合、事前に政府に届け出て審査を受ける必要がある。審査においては、そのシステムが、サイバー攻撃や不正プログラムをあらかじめ埋め込むこと等によって、インフラサービスの提供を国外から妨害することに使用される恐れが大きいかが審査される。審査の結果、そのような恐れが大きいと判断された場合、システムの導入方法の変更や導入の中止が命じられることになる。

そのため、本制度の対象となるインフラ企業は、導入を計画しているシステムが審査の対象となるか、及び、審査により導入の中止等が命じられる可能性があるか、事前に把握しておくのが望ましい。しかし、審査の対象となるインフラ企業の範囲や、審査の具体的な基準は今後明らかにされる予定であり、現時点では不明である。

ところで、この制度については、昨年3月に米国で類似の制度の適用が開始している。米国の制度では、「外国の敵対者」の影響下にある者が、設計・開発等を行った情報通信技術・サービス（ICTS）を導入する場合、政府が審査を行い、問題がある場合は導入方法の変更や禁止が命じられる。審査の際には、ICTS自体の特徴、「外国の敵対者」がICTSの設計等にどの程度影響を及ぼしているかなどが考慮される。

昨年9月に閣議決定されたわが国の「サイバーセキュリティ戦略」では、サイバー攻撃を行っている主体として中国・ロシア・北朝鮮が名指しされている。このことと米国の制度を参考にすると、経済安全保障推進法の制度の適用に備えて、インフラ企業としては、今後導入を予定するシステムに関して、そのシステムがインフラサービスの提供に関連するものかや、システムの設計等に中国・ロシア・北朝鮮などに関連する個人・企業がどの程度関わっているかなどをあらかじめ調査しておくのが望ましいだろう。

このコンテンツの著作権は、株式会社大和総研に帰属します。著作権法上、転載、翻案、翻訳、要約等は、大和総研の許諾が必要です。大和総研の許諾がない転載、翻案、翻訳、要約、および法令に従わない引用等は、違法行為です。著作権侵害等の行為には、法的手続きを行うこともあります。また、掲載されている執筆者の所属・肩書きは現時点のものとなります。