オピニオン

基幹インフラ258社に迫る新義務 ― サイバー対処能力強化法の論点整理

2026年10月施行のサイバー対処能力強化法により、電力・金融・通信など基幹インフラ事業者に資産届出とインシデント報告が義務化される。EU・米国の類似制度と比較し論点を整理する。

Newscoda 編集部

概要

「重要電子計算機に対する不正な行為による被害の防止に関する法律」(通称・サイバー対処能力強化法)及び同整備法は、2025年5月16日に成立、同月23日に公布された[1]。同法は2026年10月1日、公布から1年6月以内という付則の期限内に本格施行される予定である[3]。電力・ガス・金融・通信・航空・鉄道など、経済安全保障推進法上の「特定社会基盤事業者」と重なる基幹インフラ事業者に対し、システム資産の届出とサイバーインシデントの報告を法的義務として課す点が最大の特徴であり、違反時には是正命令を経て罰金が科され得る[1]。

同法は、官民連携の強化・通信情報の利用・攻撃者サーバーへのアクセス無害化措置・体制整備という4本柱からなる、いわゆる「能動的サイバー防御」関連法の中核をなす[1]。本稿では、このうち企業のコンプライアンス対応に直結する「官民連携の強化」部分、すなわち資産届出とインシデント報告の義務、および今後求められる対策基準に絞って論点を整理する。既存の脅威動向についてはランサムウェアとAI活用攻撃の高度化を、対象となる基幹インフラ企業の指定制度そのものについては経済安全保障推進法の基幹インフラ制度を参照されたい。

1. 対象事業者の範囲 ― 基幹インフラ258社(2026年7月時点)

サイバー対処能力強化法が定める「基幹インフラ事業者」は、経済安全保障推進法第3章に基づき指定される「特定社会基盤事業者」と同じ母集団を指す。内閣府の説明会資料によれば、電気・ガス・石油・水道・鉄道・貨物自動車運送・外航貨物・港湾運送・航空・空港・電気通信・放送・郵便・医療・金融・クレジットカードの16分野を対象とし、2026年7月1日時点で258者が指定されている[2]。医療分野は2026年6月17日公布の改正法によって新たに追加された分野であり、それ以前は15分野・約257社という構成だった[2]。分野横断でサイバーセキュリティ対策の徹底を求める「重要インフラ統一基準」(案)でも、基幹インフラの対象範囲は原則として重要インフラの防護範囲に含める方針が示されている[3]。

同法の対象は、経済安全保障推進法が定める「重要設備の導入審査」(事前規制)とは異なり、導入後の資産把握とインシデント発生後の報告という「事後」の情報把握に主眼を置く点が制度上の違いである。両法は対象企業が重なるため、企業側からみれば同一の基幹インフラ指定を受けた瞬間に、二つの異なる法的枠組みに基づく義務が同時並行で発生することになる。

2. 新たな義務(1) システム資産の届出

基幹インフラ事業者は、サイバーセキュリティが害された場合に特定重要設備の機能停止・低下につながりうる「特定重要電子計算機」を導入したとき、その製品名等を事業所管大臣に届け出なければならない[1][2]。届出対象となる機器の考え方としては、①インターネットとの接続口(グローバルIPアドレスが割り当てられたファイアウォール・VPN装置等のアタックサーフェス機器)、②特定社会基盤役務の認証を担う機器、③特定重要設備を含むセグメントのDMZ等、④当該セグメントへのアクセス制御機器、⑤特定重要設備そのものおよび同一セグメントの機器、⑥これらに関連する重要データ(認証情報等)を保存する機器、という多層防御の考え方に基づく類型が示されている[2]。

届出の粒度については、ハードウェアはアプライアンス機器を除き対象外とし、ソフトウェア(OS・ミドルウェア・アプリケーション)の製品名・製造者名の報告を基本とする方向で検討が進む。クラウドサービス利用時はサービス名・提供者名の届出を求める案が示されている[2]。届出期限は、導入から4か月以内が原則だが、施行時点で既に導入済みの設備については施行から6か月以内の初回届出が求められる見通しである[2]。専用設計品や汎用品については届出義務の対象外とする方向で検討されており、ベンダー等による代理届出や四半期ごとの棚卸し運用など、事業者側の負担軽減策も併せて検討されている[2]。

3. 新たな義務(2) インシデント報告と罰則

基幹インフラ事業者は、不正アクセス行為やマルウェアの実行可能状態など、特定重要電子計算機のサイバーセキュリティが害される「特定侵害事象」またはその原因となりうる事象を認知した場合、事業所管大臣及び内閣総理大臣に報告しなければならない[1][2]。報告は二段階で求められる方向にあり、認知後速やかに行う「速報」と、30日以内に提出する「詳報」からなる。SaaS利用時はクラウド事業者からの通知をもって「認知」とみなす扱いが案として示されている[2]。

罰則は、資産届出・インシデント報告のいずれについても、義務違反に対して監督官庁の大臣が是正命令を出し、それでもなお対応しない場合に200万円以下の罰金が科される[1]。また、報告等に関連して資料提出等を求められたにもかかわらず対応しない場合には30万円以下の罰金が科される[1]。これらとは別に、通信情報の取扱いに関する行政職員や協議会構成員による秘密の不正利用・漏えいについては、2年以下の拘禁刑または100万円以下の罰金など、より重い刑事罰も整備されている[1]。実務上の焦点は、届出義務そのものよりも、違反が「是正命令への不遵守」という形で顕在化して初めて罰則に至るという二段階構造にあり、初動の任意的な情報連絡・協議会を通じた官民のコミュニケーションが実質的な運用の鍵になるとみられる。

4. 求められる対策基準の5要素

サイバーセキュリティ戦略本部の下で検討が進む「重要インフラ統一基準」(案、2026年10月施行予定)は、基幹インフラ事業者を含む関係事業者が取り組むべき主な対策の視点として、次の5点を挙げている[3]。

  1. 「閉域網だから安全」という認識の刷新 ― 環境変化や攻撃手法の高度化により、制御システム等でもリスクが高まっているとの前提に立った認識のアップデート
  2. サプライチェーン・リスクへの対応 ― 自組織へのサイバー攻撃がサプライチェーン全体に波及するリスク、および委託先等へのサイバー攻撃が自組織に影響するリスクへの、組織の壁を越えた対応
  3. 攻撃による被害を低減するためのレジリエンス向上 ― 完全な防御が困難であることを前提に、障害等による影響をいかに低減し事業を継続させるかという観点の強化
  4. 技術・脅威の動向を踏まえた対策 ― 生成AIをはじめとするAI技術の進展が、攻撃の自動化や新たなリスクをもたらすことへの適時的確な対応
  5. 官民双方向でのコミュニケーションの強化 ― 国家を背景とした攻撃キャンペーン等に対し、官のみ・民のみの防御には限界があるとの認識に基づく情報共有の強化

この5要素は抽象的な理念にとどまらない。2026年5月12日の閣僚懇談会では、首相から関係閣僚に対し、AI性能の高度化を踏まえたサイバーセキュリティ対策の強化について発言があったことが官房長官記者会見で明らかにされている[5]。同月18日には内閣官房国家サイバー統括室と警察庁・金融庁・総務省・厚生労働省・経済産業省・国土交通省・防衛省が連名で、基幹インフラ事業者等に対する注意喚起を発出した[4]。この注意喚起は、海外のフロンティアAIモデルによる脆弱性発見・修正能力の急速な向上を踏まえ、資産管理・リスクアセスメント・脆弱性管理・事業継続計画の策定など基本的対策の徹底と、ゼロトラストへの移行、高性能AIを活用した防御側の対策強化を促す内容であり、上記5要素のうち特に4点目(技術・脅威の動向を踏まえた対策)を具体化したものと位置づけられる[4]。

共通点と相違点(EUのNIS2指令・米国CIRCIAとの比較)

サイバー対処能力強化法の制度設計にあたっては、政府資料自体が欧米主要国の類似制度を比較検討の参照点としている[1]。特に、EUのNIS2指令(2022年制定)と米国のCIRCIA(重要インフラサイバーインシデント報告法、2022年制定)は、対象事業者への届出・報告義務化という点で共通の枠組みを持つ。

制度施行・対象時期対象範囲主な義務インシデント報告期限罰則
日本: サイバー対処能力強化法2026年10月1日施行予定[1][3]16分野・基幹インフラ事業者258者(2026年7月時点)[2]資産(製品名等)の届出、インシデント報告[1]認知後速やかに速報、30日以内に詳報(案)[2]是正命令不遵守で200万円以下の罰金等[1]
EU: NIS2指令加盟国による国内法化(2024年10月移行期限)[6]18分野、エネルギー・運輸・医療・金融・デジタルインフラ等の重要・重要事業体[6]リスク管理措置、経営層の責任、インシデント通知[6]24時間以内に早期警戒、72時間以内に通知、1か月以内に最終報告[6]重要事業体は最大1,000万ユーロまたは全世界売上高の2%のいずれか高い方等[6]
米国: CIRCIA最終規則は2026年内の公布を目指し検討中[7]16の重要インフラ分野、推計30万超の事業体(CISA試算)[7]サイバーインシデント報告、ランサム身代金支払い報告重大インシデント発生から72時間以内、身代金支払いから24時間以内report未定(最終規則で規定予定)[7]

3制度に共通するのは、①重要インフラの防護を「事業者の自主的取組」から「法的義務」へと格上げした点、②インシデント報告に段階的な期限(速報・詳報)を設けている点である。一方で相違点も大きい。日本の制度は「是正命令への不遵守」を罰則の起点とする間接強制的な構造であるのに対し、EUのNIS2指令は違反そのものに対して売上高に連動した高額な行政制裁金を直接科す仕組みを採る[6]。また、報告期限についても、NIS2指令の「24時間以内の早期警戒」やCIRCIAの「72時間以内報告・24時間以内のランサム支払い報告」という具体的な時間指定に比べ、日本の制度は「速やかに」という表現にとどまり、詳細は今後のガイドライン等に委ねられている部分が多い[2]。

注意点・展望

制度設計はなお流動的である。届出対象機器の具体的な範囲、届出の粒度、インシデント報告の「速やかに」の解釈、罰則の運用実態などは、2026年夏以降に策定予定の政省令やガイドラインに委ねられている部分が大きい[2][3]。また、資産届出とインシデント報告を行うための官民連携基盤(情報共有システム)は、インシデント報告機能を2026年夏頃に先行運用開始し、本格運用は2027年春頃を予定するとされ、制度施行と運用体制の整備には時間差が生じる見通しである[2]。

企業側の負担軽減策として、ベンダー等による代理届出や外部スキャンによるIPアドレス届出の代替、経済安全保障推進法上の既存届出との情報連携などが検討されているが、いずれも詳細は未確定である[2]。基幹インフラ事業者にとっては、届出・報告の実務体制構築に加え、サプライチェーン上の委託先・ベンダーとの情報連携体制の整備が新たな負担となる可能性がある。

Newscoda の見方

Newscodaとしては、本法の実効性を左右するのは罰則の重さそのものよりも、届出対象機器の線引きとインシデント認知後の報告実務が現場でどこまで明確に運用されるかにあると考える。200万円以下の罰金という水準は、NIS2指令の売上高連動制裁金と比べて抑制的であり、この法律の狙いが懲罰よりも官民の情報共有基盤の構築に置かれていることを示唆している。

他の解説の多くが「対象258社」「罰則200万円」という数字に着目する一方、本稿はこの法律が経済安全保障推進法の基幹インフラ指定制度と対象企業を共有しながら、事前審査と事後報告という異なる規制手法を重ねる二重構造にある点を重視した。企業のコンプライアンス実務上は、二つの法律を別個の担当部署が対応する縦割りのリスクが生じやすい。

今後6~12か月で観察すべき変数は次の通りである。

  • 重要インフラ統一基準および安全基準等策定ガイドラインの確定内容(2026年夏頃策定予定)
  • 届出対象機器の類型・粒度に関する政省令の具体化
  • 官民連携協議会の構成員候補への案内開始状況(2026年春以降)
  • 高性能AIを悪用した攻撃事例の発生有無と、それに対する政府の追加的な注意喚起
  • 是正命令・罰則の初適用事例の有無

まとめ

サイバー対処能力強化法は2026年10月1日の施行に向け、基幹インフラ258社に資産届出とインシデント報告という新たな法的義務を課す。対策基準の5要素は、閉域網神話の払拭からAI技術への対応まで幅広く、EUのNIS2指令や米国のCIRCIAと共通する国際的な潮流の中に位置づけられる。一方で、罰則水準や報告期限の具体性においては欧米より抑制的・段階的な設計となっており、企業のコンプライアンス負担と重要インフラのセキュリティ確保という二つの要請のバランスをどう取るかは、今後策定される政省令・ガイドラインの内容次第という側面が強い。

Tags

Sources

  1. [1]サイバー対処能力強化法及び同整備法について ― 内閣官房国家サイバー統括室
  2. [2]サイバー対処能力強化法(官民連携)の施行に向けた考え方の案 ― 内閣府政策統括官(サイバー安全保障担当)
  3. [3]重要インフラ統一基準(案)の概要 ― 内閣官房国家サイバー統括室(NCO)
  4. [4]AI性能の高度化を踏まえたサイバーセキュリティ対策の強化について(重要インフラ事業者等に対する注意喚起)
  5. [5]内閣官房長官記者会見(令和8年5月12日)― 首相官邸
  6. [6]Directive (EU) 2022/2555 (NIS2 Directive) — EUR-Lex
  7. [7]Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) Reporting Requirements — Federal Register / CISA

関連記事

最新記事