登壇者
宍戸 常寿氏
東京大学大学院法学政治学研究科教授
蔦 大輔氏
森・濱田松本法律事務所外国法共同事業
パートナー弁護士
モデレーター
上杉 謙二
PwCコンサルティング合同会社
ディレクター
2025年5月に成立した「能動的サイバー防御関連法」は、日本のサイバー対処能力を強化する新たな枠組みとして、基幹インフラ事業者に資産届出やインシデント報告などの義務を課すものです。段階的施行が予定される中、企業は何を理解し、いつまでに何を備えるべきなのでしょうか。本セッションでは、法案検討に関わった宍戸常寿氏と、実務に精通する蔦大輔氏が制度の全体像を整理し、報告義務の論点や経営層が取るべき対応について深掘りします。(本文敬称略)
(左から)上杉 謙二、蔦 大輔氏、宍戸 常寿氏
能動的サイバー防御関連法の全体像と段階的施行
上杉:
はじめに用語を整理します。本日議論する「能動的サイバー防御(ACD)関連法」の正式名称は、「重要電子計算機に対する不正な行為による被害の防止に関する法律」と、「重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律」です。本日は分かりやすく、これらを総称して「能動的サイバー防御関連法」と呼びます。では、宍戸先生、蔦先生、自己紹介をお願いいたします。
宍戸:
東京大学の宍戸です。専門は憲法と情報法で、今回のサイバー対処能力強化法・同整備法の法案のもとになる検討にも関わっておりました。
蔦:
森・濱田松本法律事務所弁護士の蔦です。事務所ではサイバーセキュリティ分野を中心に、インシデント対応、プライバシー・個人情報、通信法制などを幅広く扱っています。
上杉:
ありがとうございます。最初に私から、能動的サイバー防御関連法の概要をご説明します。下の図をご覧ください。図の左側に日本政府、中央に基幹インフラ事業者を配置しています。
「能動的サイバー防御関連法」の概要
能動的サイバー防御関連法では、基幹インフラ事業者に対して「資産の届出」「インシデント報告の義務」「協議会での脅威・脆弱性情報の提供」「同意に基づく通信情報の取得」といった事項を定めています。
図の右側にあるとおり、能動的サイバー防御関連法は2025年5月に成立し、一部を除き2026年秋頃までに施行されます。内容は大きく「官民連携」「通信情報の利用」「アクセス・無害化措置」「組織・体制整備」の四つに大別されています。
次に、能動的サイバー防御関連法が、基幹インフラ事業者に対してどのような影響を及ぼすのかを整理しました。それが下の図です。
「能動的サイバー防御関連法」導入による基幹インフラ事業者への影響
まず、官民連携の強化に伴い「資産の届出」「インシデント報告」「協議会への参加と情報共有」が求められます。これらは公布後1年半以内で、2026年11月までに施行予定です。また、同意に基づく通信情報の取得については、公布後2年半以内の2027年11月までの施行となります。宍戸先生、このスケジュールについて解説をお願いできますか。
宍戸:
はい。法律の施行は段階的に行われます。下の図をご覧ください。
制度の検討・施行のスケジュール
2026年4月をめどに政省令などが公布され、その後、2026年11月の官民連携部分の施行に向けて、特定重要電子計算機の範囲を定めるなどの準備が進められます。期間は短いですが、事業者はこの制度への対応準備を進める必要があります。なお、通信情報の利用などについては、さらにその先の段階での施行が予定されています。
森・濱田松本法律事務所外国法共同事業 パートナー弁護士 蔦 大輔氏
基幹インフラ事業者の定義とサプライチェーンへの波及
上杉:
続いて蔦先生に伺います。先ほどから何度か出ている「基幹インフラ事業者」とは具体的にどのような事業者で、どの制度に基づいて指定されるのでしょうか。
蔦:
基幹インフラ事業者とは、能動的サイバー防御関連法とは別に、2022年に成立した「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(以下、経済安全保障推進法)」に基づき、主務大臣が個別に指定する事業者を指します。
対象は電気・ガス・水道・金融・通信など15分野のうち、国民生活や安全保障に重大な影響を及ぼす事業を担う事業者です。分野や規模の基準は法律で定められており、その基準に該当する企業の中から、主務大臣が個別に指定します。2025年時点では、約250事業者が基幹インフラ事業者に指定されています。
基幹インフラ事業者とは
これら重要なインフラの事業者がサイバー攻撃を受ければ、社会や経済全体に深刻な影響が及びかねません。そのため、重要な設備やシステムを導入する場合や、保守・運用を外部に委託する場合には、事前の届け出が義務付けられています。
上杉:
今「重要なインフラの事業者」という言葉がありましたが、制度としての「重要インフラ事業者」と「基幹インフラ事業者」では何が違うのでしょうか。
蔦:
確かに何が違うのか分かりにくいですよね。基幹インフラ事業者の指定は、経済安全保障推進法という法律に基づく制度です。対象となる事業者には、設備導入時の事前届出といった明確な法的義務が課され、違反には罰則も伴います。
一方、重要インフラ事業者に関する制度は、政府のサイバーセキュリティ戦略本部が長年運用してきた枠組みです。こちらも15分野を対象としていますが、分野の内訳は基幹インフラとは一部異なります。また、重要インフラ事業者制度はあくまで「行動計画」や「ガイドライン」に基づく取り組みであり、行政指導のような側面が強く、直接的な法的拘束力はありません。
上杉:
今回の能動的サイバー防御関連法は、基幹インフラ事業者だけでなく、そのITベンダーやクラウド事業者にも影響が及ぶのでしょうか。最近はクラウド経由やベンダー経由でのインシデントも増えていますが、その点も含めてお聞かせください。
蔦:
今回の法律でインシデント報告義務が新たに課されますが、義務の主体はあくまで基幹インフラ事業者です。ベンダーやクラウド事業者に直接の報告義務が課されるわけではありません。基幹インフラ事業者は、保守運用をベンダーに委託したり、クラウドサービスを利用したりしていますが、もし委託先でインシデントが発生した場合でも、報告義務を負うのは基幹インフラ事業者です。
ただし、インシデントが発生した場合に報告義務を果たすには、委託先との連携が不可欠です。委託先との情報共有や連携体制を整備することはもちろん、保守運用やクラウドの契約内容をしっかり確認し、義務に対応できる体制を整備する必要があります。つまり、法律上の義務は基幹インフラ事業者に課されていますが、その義務を果たすためには委託先やクラウド事業者の協力が欠かせません。結果として、これらの事業者にも間接的に影響が及ぶといえるように思います。
東京大学大学院法学政治学研究科教授 宍戸 常寿氏
インシデント報告の義務化が突きつける実務上の課題
上杉:
次に今回のメインテーマであるインシデント報告についてお話を伺います。最初にその概要を、私から説明させてください。
前述したとおり、能動的サイバー防御関連法により、基幹インフラ事業者にはインシデント報告が義務化されます。具体的には、不正アクセス等により特定重要電子計算機のセキュリティが侵害された場合、またはその原因となり得る事象を認知した場合に報告が求められます。遅くとも2026年11月までに施行される予定です。
インシデント報告対応の全体像(想定)
対応にあたって注意すべき点は、報告対象の範囲です。国会答弁などによると、ランサムウェアやDDoS攻撃による実際の被害だけでなく、「被害が発生するおそれがある段階」、つまり攻撃の兆候や予兆を認知した時点でも報告が必要とされています。何をもって「おそれ」とするかの基準はまだ明確ではなく、対象範囲はかなり広いと考えています。
宍戸先生に伺います。こうした報告義務は、基幹インフラ事業者の実務にどのような影響を及ぼすとお考えでしょうか。また、施行に向けて、どのような体制整備が求められるのでしょうか。
宍戸:
ご指摘のとおり、報告対象の範囲にはまだ曖昧な部分が残っています。政府でも現在、特定侵害事象や痕跡の定義をより明確にする作業を進めているところです。
ただ、基準の明確化を待つだけでは不十分です。最終的には、自社のシステム構成を把握した上で、どの事象が「おそれあり」に該当するのかを自ら判断できる体制を、平時から整えておくことが欠かせません。これは先ほど蔦先生がお話しされたとおりです。
そのうえで強調したいのは、インシデントを認知してからの対応は、想像以上に多くのことが同時に起きるという点です。社内の技術的な対処、顧客への連絡、メディアや投資家への説明、さらには行政への報告が一度に押し寄せます。しかも、それが休暇中や年末年始に起きる可能性もあります。例えば、CEO(最高経営責任者)が海外出張中で連絡がつかない場合に、誰が最終判断を担い、誰が対外的な説明責任を負うのか。こうした意思決定の順序と責任の所在を、事前に明確にしておかなければなりません。
限られた報告期限の中で、情報を集め、判断し、報告までたどり着くためには、場当たり的な対応では間に合いません。経営層やCISO(最高情報セキュリティ責任者)が中心となり、平時から体制と手順を具体的に決めておくことが不可欠だと考えています。
上杉:
ありがとうございます。次に蔦先生に伺います。実務の観点から、インシデント報告の義務化にあたってどのような課題や障壁が考えられるでしょうか。
蔦:
事業者側には大きく二つの課題があると考えています。
一つ目は「どの事象が報告対象に当たるのか判断が難しい」ことです。DDoS攻撃のように外形的に分かりやすいケースもありますが、システム障害が「人的ミスなのか」「サイバー攻撃なのか」を即座に区別するのは簡単ではありません。CISOや経営層が判断できるよう、平時からの体制整備が不可欠です。
二つ目は、「期限の問題」です。速報の提出と30日以内の詳報を求める方向で議論が進んでいますが、30日で全てを把握できるかは正直微妙です。実務では個人情報保護法と同じように、速報・確報といった段階的な提出になる可能性が高いと予想しています。関連して、これは政府へのお願いと言えるでしょうけど、事業者が資産届出やインシデント報告の義務をきちんと果たしたにもかかわらず、その報告内容を基に「サイバー攻撃への対策が不十分だった」と指導につなげるような運用は避けていただきたいと思っています。個人情報保護法に関しては、漏えい等を報告した結果、報告内容から安全管理措置の不備を指摘されるケースが非常に多いです。サイバー攻撃の被害に遭ったことを真面目に報告すると当局から「怒られる」という構図は、事業者の報告に対する意欲を削ぐことが懸念されるように思います。
上杉:
システム障害の原因が設定ミスや製品のバグの可能性もあるため、サイバー攻撃だと判明するまでに時間がかかります。その状況で速報は現実的に可能でしょうか。
蔦:
「報告のタイマー」がいつスタートするかは、実務上の大きな論点です。
起算点には二つのパターンが考えられます。一つはシステム障害が発生した時点で起算するパターン。もう一つは、調査の結果サイバー攻撃だと認知した段階で起算するパターンです。後者であれば、現実的なタイムラインで対応できると思います。しかし前者の場合、障害が起きた時点ではまだ原因が分かりません。ですから、報告すべきかどうかの判断自体が難しいという実務上の課題が残ります。
上杉:
海外のインシデント報告義務では、タイマーの起算点はどのように定められているのでしょうか。
蔦:
例えば米国証券取引委員会の基準では、インシデント発生後、それを「重要」と判断した時点から起算する仕組みになっています。つまり、障害が発生した客観的な時点ではなく、会社として「これは重大だ」と判断した時点が起算点になります。先ほどの議論に照らせば、こうした仕組みであれば現実的なタイムラインで対応できるのではないかと思います。
上杉:
宍戸先生に伺います。インシデント報告が義務化される中で、経営層は何を最優先で意識すべきでしょうか。
宍戸:
経営層であれば、事業部門の出身であれ技術部門の出身であれ、労務やファイナンスの基本を理解していないという方はいないはずです。同様にサイバーセキュリティのリスクについても、細かい技術は別として、基本的なことを理解しておくことは経営者として必須の素養になっています。まずはサイバーリスクへの関心を常に持ち、理解を深めることが最も大切です。
その上で、CIO(最高情報責任者)やCISOの部門も含め、いざという時に誰がどう動くのかを把握しておくことです。計画を立てるだけでなく、実際に動かしてみて機能するかどうかを確認し、日頃から担当者と意識を合わせておく必要があります。なぜなら、インシデント発生時には、ビジネスを一時停止してでも対応を優先するのか、代替手段で事業を継続するのかといった経営判断を即座に迫られるからです。そうした判断を、混乱の中で初めて考えるのでは遅すぎます。役員やそれを支えるメンバーが、平時から判断基準を共有しておくべきです。
最後に一点申し上げたいのは、今回のサイバー対処能力強化法は「政府が情報を集めるためだけの法律」ではなく、「官民を通じて社会全体のサイバー対処能力を高める」ことが目的であることです。これは法律の基本方針でも強調されています。
ですから経営層には、単なるコスト増ではなく投資として捉えていただきたい。そして、先ほど蔦先生もおっしゃったように、義務を果たすだけの受け身の立場ではなく、政府に対して脅威情報の共有や支援体制の充実を積極的に求めていく立場でもあるという意識を持ち、能動的に取り組んでいただければと思います。
上杉:
とはいえ、厳しい経営環境の中で人材や予算をどこまでサイバーセキュリティに割くべきか、悩ましいところですね。
宍戸:
はい、サイバーセキュリティ人材の不足は深刻です。技術者だけでなく、法務や総合判断ができる人材も不足しており、官民での獲得競争が続いています。各社が自社で備えることは当然ですが、それだけでは限界があります。人材の裾野を広げるには、業界全体や政府と連携した取り組みが必要です。
PwCコンサルティング合同会社 ディレクター 上杉 謙二
施行前に着手すべき四つの準備
上杉:
蔦先生に伺います。法律の詳細がまだ確定していない中で、企業は今からどのような準備を進めるべきでしょうか。
蔦:
課題はいくつかありますが、主なポイントを挙げていきます。
まず、報告に必要な情報を迅速に集められる体制の整備です。2025年10月に国家サイバー統括室がランサムウェアとDDoS攻撃の共通報告様式を策定しましたが、今回の制度でも同様の内容が求められる可能性があります。技術的な詳細も含まれるため、専門人材の関与が不可欠です。
また、先ほども触れましたが、報告義務は基幹インフラ事業者に課されるものの、実際にはベンダーやクラウド事業者から情報を得なければ報告できないケースも多いでしょう。委託契約の内容を確認し、インシデント発生時に必要な情報を速やかに取得できる仕組みを整えておくことが重要です。
次にインシデント対応の実効性です。関連する規程を整備している企業は多いですが、実際には現場判断に頼る場面が少なくありません。具体的なマニュアルやガイドブックを用意し、有事でも迷わず動ける状態にしておくべきです。
そして、脆弱性管理です。近年の攻撃は特定機器の脆弱性を突くケースが目立ちます。自社が利用しているソフトウェアやハードウェアを把握し、脆弱性情報を継続的に収集して、迅速にパッチを適用できる体制が求められます。
最後に組織面の備えです。セキュリティ担当役員を置いていても、有事に「自分は何をすればいいのか」と慌てるケースを実際に目にします。役割を明確にした上で、担当役員も参加する机上演習を実施し、自分事として動ける状態をつくっておくことが大切です。詳報の期限として検討されている30日は、準備なしに対応できるものではありません。
上杉:
制度の詳細は今後固まっていきますが、だからこそ今から準備を始めることが重要なのですね。宍戸先生、蔦先生、ありがとうございました。
