『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応【第4回】ガイドライン及びQ&Aの公表
2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」、「重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)」及び「適正評価に関するQ&A」の概要を解説します。
有識者会議の成り立ち
近年、サイバー攻撃の増加や高度化に伴い、「社会全体でのサイバーセキュリティの確保」が求められています。日本国内では、政府が主導してサイバーセキュリティ対策の強化を進めており、関連するさまざまなガイドラインが策定されています。また、企業や組織においても、サイバーセキュリティの重要性が高まる中で、対応能力の向上が急務となっています。
「サイバー安全保障分野での対応能力の向上に向けた有識者会議」は、国家安全保障戦略(2022年12月16日閣議決定)に基づき、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させるべく、当該分野における新たな取り組みの実現のために必要となる法制度の整備などについて検討を行うために立ち上げられました。
提言における「実現すべき具体的な方向性」
冒頭に記載したとおり能動的サイバー防御は、従来の防御壁を築いて攻撃を止めるサイバー防御とは異なり「外部からのサイバー攻撃被害の発生を未然に防ぐため、攻撃の主体を特定するとともに排除措置を講ずる」ことで、サイバー空間の安全を確保する取り組みです。
サイバーセキュリティの歴史は、絶えず変化する脅威への対抗の軌跡であり、サイバー空間を取り巻く環境が激変している今、安全保障においてもサイバー空間の激しい脅威の変化に対応する必要があります(図表1)。
図表1:セキュリティと脅威の今昔
この取り組みを実現するために必要となる法制度の整備や考慮すべき事項を、政府の有識者会議では「実現すべき具体的な方向性」として取りまとめています。
「実現すべき具体的な方向性」は、3つの重点テーマと、テーマ横断的な課題より構成されています(図表2)。
図表2:提言で示された「実現すべき具体的な方向性」の概要
「実現すべき具体的な方向性」のポイント
「実現すべき具体的な方向性」で示されている提言事項は、次のようなものがあります。
(1)官民連携の強化
- 能動的サイバー防御を実現するためには、官のみ・民のみでサイバーセキュリティを確保することは限界があることから、政府機関、重要インフラ事業者、製品ベンダーその他サプライチェーンに関与する全ての者が連携してサイバーセキュリティの確保に努めていくことが必要
- 提供される情報には、高度な攻撃に対抗するための専門的な技術情報の提供に加え、経営層向けとなる、攻撃の背景や目的も含まれるべき
- 情報共有ポリシーによる適切な管理を行うべき(TLPの設定やセキュリティクリアランス制度の活用)
- 利用者がソフトウェア等の脆弱性リスクを適切に理解して利用することができるように、利用者への脆弱性情報の提供やサポート期限の明示を、製品ベンダー等の法的責務として規定すべき
- 経済安全保障推進法における基幹インフラ事業者※1には、特定の機器について政府機関に機種名等の届出を行うことや、インシデント報告を義務化することで、ゼロデイ攻撃情報の迅速な提供や対応の要請等ができるような仕組みが必要
- インシデント報告は迅速かつ効率的に行われることが重要であるため、報告先の一元化や様式の統一が必要
(2)通信情報の利用
- 通信情報の利用は、重大なサイバー攻撃による被害を未然に防ぐため、具体的な攻撃が顕在化する前の段階から行われる必要があるため、犯罪捜査とは異なる形での新制度の導入が求められる
- 通信情報の利用は、通信の秘密を考慮した範囲や方式の検討・制度設計が必要
- 政府による情報の収集や処理・分析、保存廃棄といった一連のプロセスを監督する独立機関の整備を検討するべき
- 電気通信事業者が直面し得る訴訟リスクや通信ユーザーの利便性低下、コスト負担を避けるためのガバナンスの仕組みを検討する必要がある
- 国民の理解を得るために、透明性を確保し、報告書の公表などが必要
(3)アクセス・無害化
- 政府は、重大なサイバー攻撃による被害を未然に防ぐため、攻撃者サーバー等へのアクセス・無害化を行う権限を持つべきであり、緊急性を意識した、臨機応変的な対応が可能な制度が必要
- 措置の実施主体は、既存の法執行制度や法執行機関の能力や機能、制度を活用すべき
- 措置の対象としては、安全保障上の必要性を考慮し、国や重要インフラ等に対するサイバー攻撃を重点とすべき
- 国境を超えて実施されるサイバー攻撃については、国際法との関係を整理する必要性がある
出典:「サイバー安全保障分野での対応能力の向上に向けた提言」(2024年11月29日)を基にPwC作成
※1:「経済安全保障推進法における特定社会基盤役務の安定的な提供の確保に関する制度」にて定められている業種において、主務省令で指定された事業者をいう。執筆時点では15業種が指定。
おわりに
能動的サイバー防御に関する法制度は、日本政府機関と重要インフラ事業者だけでなく、製品ベンダーや中小企業を含むサプライチェーンを構成する全ての日本企業にとって無視できないものとなっています。
サイバー空間の脅威が深刻化している事情を踏まえると、制度整備が急がれることは明白ですが、多くの解決すべき課題や考慮事項が有識者会議の提言として示されていることから、実際に能動的サイバー防御を実行に移すための議論は継続されるものと想定されます。
本稿執筆時点では、日本企業が実施すべき具体的な要件が明確にされていないため、今後の法案審議や関連動向をモニタリングし、自社に対する影響を先回りして把握していくことが必要です。
参考資料
内閣官房「国家安全保障戦略」
https://www.cas.go.jp/jp/siryou/221216anzenhoshou/nss-j.pdf
サイバー安全保障分野での対応能力の向上に向けた有識者会議「サイバー安全保障分野での対応能力の向上に向けた提言」
https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo/koujou_teigen/teigen.pdf
「経済安全保障推進法」企業に求められる対応
11 results
Loading...
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 【第3回】運用基準を踏まえた企業対応の在り方
2025年5月17日までに施行される経済安全保障分野におけるセキュリティ・クリアランス制度に関して、特に影響があると見込まれる事業者や事業者の担当者において必要となる対応を、2025年1月31日に閣議決定された運用基準を踏まえて解説します。
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 【第2回】運用基準の概要と企業影響見通し
経済安全保障分野におけるセキュリティ・クリアランス(適格性評価)制度が2025年5月17日までに施行される予定です。閣議決定された運用基準の概要について、企業において対応が必要となる内容を中心に解説します。
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 -【第1回】諮問委員会での検討状況と企業影響見通し
セキュリティ・クリアランスの制度を定める重要経済安保情報の保護および活用に関する法律(重要経済安保情報保護活用法)の具体的な運用に関して、民間企業における影響が特に大きいと考えられる、適性評価および適合事業者の認定に関する内容を解説します。
Loading...
インサイト/ニュース
40 results
Loading...
グローバルで本格化するAI関連法規制整備を受け、AI活用を推進するために日本企業はどうするべきか
慶應義塾大学大学院特任准教授の吉永京子氏、アレシア国際法律事務所代表弁護士の有本真由氏をお迎えし、AI活用におけるガイドラインや規制に関する世界の最新動向を踏まえつつ、日本企業に求められる戦略と実務対応について考察します。
国内で進む経済安全保障関連法整備の狙いと企業の対応
世界に先駆けて経済安全保障の包括的対策を法制化した日本。法制度の趣旨や既存法制との違いについて法律の専門家に解説いただくとともに、日本電気の実例を基に、リスクと機会を正しく捉える企業対応のあり方を探ります。
日本企業は新世界秩序と大国間の対立をどう乗り越えられるか
コロンビア大学ロースクール教授でPwC Japanグループ顧問のアニュ・ブラッドフォードが、米国の新政権誕生によって米国・欧州・中国関係が転換点を迎える今、国際貿易とデジタル規制の最新動向を分析し、日本企業がとるべき具体的な対応策を解説します。
デジタル規制、いま企業に求められること ビジネスパーソンとメディアの新たな関係
NIKKEI Digital Governance 編集長の中西豊紀氏とTMI総合法律事務所パートナー弁護士の大井哲也氏とともに、企業に求められるデジタル法規制対応のあり方を示し、実務担当者の意思決定を支えるメディアの役割について議論しました。
Loading...
