{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
1. 基幹インフラ事業者を保護対象とする能動的サイバー防御法
2025年5月、能動的サイバー防御を導入する関連法1(以下、総称して「能動的サイバー防御法」)が成立しました。これに伴い、経済安全保障推進法において基幹インフラ事業者として指定されている企業においては、政府から機微情報の提供を受けることや、その際には事前にセキュリティ・クリアランス制度への対応が必要となることが想定されます。
能動的サイバー防御とは、国や重要インフラなどに対する安全保障上の懸念を生じさせる重大なサイバー攻撃の未然防止または発生した場合の被害拡大防止のために、攻撃源の特定、情報収集、攻撃者の無力化を行うことを指します。日本では2022年12月に閣議決定された国家安全保障戦略において、能動的サイバー防御の導入のための法整備や新組織の設置などが盛り込まれ、2025年5月に能動的サイバー防御法が成立しました。同法の大半の部分は、公布の日(2025年5月23日)から1年半以内に施行されます。
能動的サイバー防御法の保護対象には、経済安全保障推進法において基幹インフラ事業者として指定された企業や、基幹インフラ事業者が使用する電子計算機のうち、サイバーセキュリティが害された場合に重要設備の機能が停止・低下するおそれがあるものが含まれます。基幹インフラ事業者として指定されている企業は、2025年7月末時点で約257社にのぼり、電気、ガス、石油、水道、鉄道、貨物自動車運送、外航貨物、港湾運送、航空、空港、電気通信、放送、郵便、金融、クレジットカードの15業種に及びます2。
2. 基幹インフラ事業者に求められるセキュリティ・クリアランス制度への対応
セキュリティ・クリアランス制度とは、国家における情報保全措置の一環として、政府が保有する「経済安全保障上重要」とされた情報にアクセスすることが必要な政府職員や民間事業者などに対して、政府が調査を実施し、信頼性を確認した上でアクセスを認める制度です。いわゆるトップシークレット級/シークレット級の情報を対象とする特定秘密保護法に加えて、コンフィデンシャル級の情報を対象とする重要経済安保情報保護活用法3が2025年5月16日から施行されています(参考:経済安全保障分野におけるセキュリティ・クリアランス(適格性評価)制度の企業影響について)。これを踏まえると、政府は能動的サイバー防御を図る際にセキュリティ・クリアランス制度を活用し、保有する機微情報を基幹インフラ事業者およびその従業員に対して提供する方法を取ることが想定されます。
また、能動的サイバー防御においては、行政機関や基幹インフラ事業者で構成される「情報共有及び対策に関する協議会」を政府に設置することが考えられます。この協議会では、政府が参加者に対してサイバー攻撃に関する機微情報を共有するだけでなく、参加者にも情報共有を求めることが見込まれます。このことから、基幹インフラ事業者を含む参加者は、事前のセキュリティ・クリアランスの取得(適合事業者としての認定)が前提とされ、協議会への参加にあたっては守秘義務が課せられると想定されます。
なお、セキュリティ・クリアランスの必要性に関しては本協議会の場に限りません。例えばサイバー攻撃に関する機微情報が同盟国である米国などから日本政府に共有され、当該情報が能動的サイバー防御の活用において重要であると判断された場合や、能動的サイバー防御に関連する機微技術を扱う国際学会に参加する場合などにおいても、セキュリティ・クリアランスの保有が前提となるでしょう。
上記の他、能動的サイバー防御法の法制化に伴って基幹インフラ事業者に求められる対応としては、特別重要電子計算機導入前の事前届け出、インシデント報告、通信情報の政府への提供などが挙げられます。
3. 政府ガイドラインを踏まえたセキュリティ・クリアランス制度への対応の在り方
民間企業が重要経済安保情報保護活用法によるセキュリティ・クリアランス制度に対応する際は、政府発行の運用基準やガイドラインに沿った対応が求められますが、大きく分けて(1)適合事業者としての認定、(2)政府による役員や従業員への適性評価の実施、(3)政府から提供があった重要経済安保情報の管理の3点への対応が必要となります。
(1)適合事業者としての認定
適合事業者としての認定における政府の審査については、以下の諸要素を踏まえて総合的に判断するとされています4。
①申請者のガバナンス体制(株主や役員の状況に照らして、意思決定に関して外国の所有、支配又は影響がないと認められるか)
②保護責任者や業務管理者(必要な知識を有し、その職責を全うできる地位にあるか)
③情報保全に係る教育資料の作成と教育の実施(従業者が重要経済安保情報を保護するために必要な知識を的確に習得できる内容となっており、適切な頻度で継続的に実施されるか)
④重要経済安保情報を取り扱う施設設備の整備(重要経済安保情報の保護のために設置される施設設備が、必要な機能及び構造を有し、立入りや持込み制限に有効な機能及び構造を有しているか)
⑤社内規程の整備(ガイドラインなどを踏まえ、以上の事項に関する社内規程が整備されているか)
適合事業者に認定された後も、①~④の内容に関して変動があった場合には政府に報告が求められるため、継続的かつ正確に把握していくための社内体制を整備していくことが必要となります。
(2)政府による役員や従業員への適性評価の実施
行政機関との契約を締結した後に、実際に重要経済安保情報を取り扱うことが見込まれる役員や従業員に対して適性評価が実施されます。
適性評価は「準備」、「評価の対応」、「評価後」の3つのステップに分かれており、それぞれ必要となる対応は図表1のとおりです。
図表1:適性評価の流れとその後
(3)政府から提供があった重要経済安保情報の管理
適合事業者認定および適性評価を経て、政府から重要経済安保情報の提供を受けた場合は、情報ライフサイクルに応じた管理策の整備が求められます。代表的な取り扱いは次のとおりとなります。
①保管・管理(行政機関から承認された重要経済安保情報取扱区画において、行政機関から承認された保管容器の中に保管):図表2
②複製・作成(提供された重要経済安保情報文書などが事業者内で複製または新たに作成される場合には、あらかじめ行政機関から許可を受ける)
③閲覧(閲覧した重要経済安保情報文書、閲覧日、閲覧者などを記入し管理)
④運搬(重要経済安保情報の取り扱い場所または保管容器を変更する場合には、あらかじめ行政機関から承認を受ける)
図表2:重要経済安保情報取得後の情報管理策の例
4. おわりに
2026年中の能動的サイバー防御法の施行に向けて官民での事前協議や連携が開始される中、基幹インフラ事業者においては、セキュリティ・クリアランス制度への適切な準備や対応が早急に求められています。これに関しては①影響を受ける部署・役員・事業ポートフォリオの特定、②必要となる予算・体制・施設などの確認および整理、③影響を踏まえた対応方針の作成(社内体制、社内システム、人材雇用・研修、ガバナンス制度、社内規則の刷新など)、④国内外セキュリティ・クリアランス人材の獲得または育成に向けたプランニングといった観点での準備を進めておくことが効果的であり、競合他社への優位性確保も期待できるでしょう。
1 重要電子計算機に対する不正な行為による被害の防止に関する法律(令和7年法律第42号)及び重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備などに関する法律(令和7年法律第43号)
2 内閣府”特定社会基盤事業者として指定された者(令和7年7月31日現在)”
3 重要経済安保情報の保護及び活用に関する法律(令和6年法律第27号)
4 内閣府「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)(第1版)」2025年5月2日
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
