経済安全保障推進法でインフラ企業に求められる対応

4月28日に、経済安全保障推進法のインフラサービスの安定的提供に関する制度の基本指針が公表された。インフラ企業は、システムを含む設備を導入する際、サイバー攻撃を防ぐためのリスク管理措置を実施することが求められることなど、制度の具体的な内容が明らかになった。

近年、国際的にインフラ事業へのサイバー攻撃が多発している。本制度は、一定のインフラ企業が重要な設備を導入したり、その設備のオペレーション等を外部に委託したりする場合に、政府へ事前に届け出ることを義務付け、審査の対象とするというものである。対象となるインフラ企業には、電気、ガス、水道、通信、金融サービス等を営む企業のうち、事業規模が一定水準以上であるなどの要件を満たす企業が含まれる。本制度は、2024年2月17日までの政令指定日に施行予定である。

基本指針により、事前届出の際の届出事項などに加え、政府による審査の際に考慮される要素も明らかにされた。その考慮要素の一つに、設備に対してサイバー攻撃等が行われることにより、インフラサービスの安定的な提供が妨害される恐れがあるかについて、インフラ企業が自ら評価し、その結果に応じてリスク管理措置を講じているかどうか、が挙げられた。つまり、インフラ企業は実際上、そのような恐れがあるかを自ら評価し、その結果に応じてリスク管理措置を講じることが求められることになる。

では、どのようなリスク管理措置を講じればよいのだろうか。基本指針では、様々なリスク管理措置の例を挙げている。例えば、設備の製造過程で不正な変更が加えられることを防止するため製造環境へアクセスできる従業員を制限することや、ランサムウェア等に感染した場合に備えてバックアップ体制を整備することなどが含まれている。

さらに、リスク管理措置の例として、対象となる設備やその一部を構成する部品・ソフトウェアの製造や、外部に委託したオペレーションの実施の適切性について、「外国の法的環境等により影響を受けるものではないことを確認」（基本指針p.25）することも挙げられている。このリスク管理措置を実施する場合、設備に外国企業の部品・ソフトウェアが組み込まれていたり、外国企業にオペレーションを委託したりしていれば、その外国企業に対して現地でどのような法令が適用されるかの確認が必要になり、実務上の負担が大きいものとなる可能性がある。

インフラ企業は、本制度が来年2月頃に施行されることに備えて、基本指針の例を参考に、必要に応じてリスク管理措置を講じること等が求められる。本制度に関しては、政府に相談窓口が設けられているため、相談窓口も活用しながら早めに準備を進める必要があるだろう。

このコンテンツの著作権は、株式会社大和総研に帰属します。著作権法上、転載、翻案、翻訳、要約等は、大和総研の許諾が必要です。大和総研の許諾がない転載、翻案、翻訳、要約、および法令に従わない引用等は、違法行為です。著作権侵害等の行為には、法的手続きを行うこともあります。また、掲載されている執筆者の所属・肩書きは現時点のものとなります。