1. ホーム
  2. 委託先管理Blog
  3. 記事

経済安全保障推進法の基幹インフラ制度とは?特定社会基盤事業者が取り組むべきリスク管理を解説

「経済安全保障推進法の基幹インフラ制度はどのような制度なのか」「特定社会基盤事業者としてどのように対応すればよいのか」とお悩みではないでしょうか?

本記事では、経済安全保障推進法の基幹インフラ役務の安定的な提供を確保する制度と特定社会基盤事業者が取り組むべきリスク管理について詳しく解説します。

目次
1. 経済安全保障推進法の基幹インフラ制度とは
■経済安全保障推進法の4つの制度のうちのひとつ
■経済安全保障推進法とは
■基幹インフラの重要性
2. 基幹インフラ役務の安定的な提供を確保する制度の概要
■制度の目的
■制度の内容
■対象となる15業種
3. 基幹インフラ制度の背景
■経済安全保障
■サプライチェーン攻撃
4. 特定社会基盤事業者が取り組むべきリスク管理
■セキュリティポリシーの策定
■セキュリティ意識の向上
■委託先管理
5. まとめ

1. 経済安全保障推進法の基幹インフラ制度とは

基幹インフラ制度とは、2024年5月から運用が開始された、基幹インフラ事業者が設備を導入する際や設備の維持管理を外部に委託する際に、事前に事業所管大臣へ届出を行い、審査を受けることを義務付ける制度です。サイバー攻撃や妨害行為などから、重要な社会基盤である基幹インフラを守ることを目的としています。基幹インフラ制度の正式な名称は、「基幹インフラ役務の安定的な提供を確保する制度」です。

電力や通信、金融、航空など、国民生活と経済活動の基盤となる15業種が基幹インフラ制度の対象です。基幹インフラ制度の対象となる15業種の事業者を、「特定社会基盤事業者」と呼びます。

 

【参考】

基幹インフラ役務の安定的な提供の確保に関する制度「内閣府」

 

■経済安全保障推進法の4つの制度のうちのひとつ

基幹インフラ制度は、2022年に成立した経済安全保障推進法の以下の4つの制度のうちのひとつです。

  • 重要物資の安定的な供給の確保に関する制度
  • 基幹インフラ役務の安定的な提供の確保に関する制度
  • 先端的な重要技術の開発支援に関する制度
  • 特許出願の非公開に関する制度

■経済安全保障推進法とは

経済安全保障推進法とは、日本の経済活動における安全保障を強化するための法律です。

平和と安全、経済的な繁栄等の国益を経済上の措置を講じて確保することを目的としています。

近年、サイバー攻撃や国際的な競争が激化する中で、経済活動が国家の安全に与える影響が増大しています。安全保障の観点から経済を支える重要な基盤を強化するために、経済安全保障推進法が制定されたわけです。

 

【関連記事】

経済安全保障推進法とは?委託先リスク管理に及ぼす影響を解説

 

■基幹インフラの重要性

基幹インフラは、社会や経済の基盤を支える重要な要素です。電力やガス、水道、通信、交通など、日常生活や産業活動に欠かせないサービスを提供しています。これらのインフラが安定して機能することで、日本の社会や経済は成り立っているわけです。

しかし、近年ではサイバー攻撃や自然災害など、基幹インフラを脅かすリスクが増加しています。こうしたリスクに対応するため、基幹インフラ制度では重要なインフラを守るための枠組みを提供し、事業者に対してリスク管理やセキュリティ強化を求めています。

 

 

2. 基幹インフラ役務の安定的な提供を確保する制度の概要

「基幹インフラ役務の安定的な提供を確保する制度」の運用が開始されたのは、2024年5月からです。

電力や通信、交通などの基幹インフラは、社会の基盤であり、その安定供給が損なわれると、国全体の経済や日常生活に大きな影響を及ぼします。基幹インフラの信頼性と安全性を確保するために、経済安全保障推進法の中核的な要素として本制度の運用が開始されました。

 

■制度の目的

本制度の目的は、日本の経済と社会の安定を守るために、基幹インフラの安全性と信頼性を高めることです。基幹インフラとは、電力や通信、交通、金融など、日常生活や経済活動に欠かせない重要なインフラを指します。

本制度が必要とされる背景には、近年増加するサイバー攻撃や自然災害、そして国際的な緊張の高まりがあります。これらのリスクはインフラの機能停止や障害を引き起こし、社会全体に大きな影響を与える可能性があるため、こうしたリスクに対処し、インフラの安定供給を確保するために本制度が制定されたわけです。

 

■制度の内容

本制度においては、特定社会基盤事業者が設備を導入したり、設備の維持管理の業務を委託したりする際に、そのサプライヤーや委託先に関する計画書の提出が義務付けられています。また、届出は二次サプライヤーや再々委託先に関しても求められているため、対象となった企業だけでなく、サプライチェーン全体で同等のリスク管理措置が求められることとなります。

審査時に事前に提出する計画書については、記載する事項が定められています。提出した計画書については審査が行われ、結果に応じて変更・中止等が求められることがあります。審査期間は原則として30日間となっており、審査が完了するまでは導入や維持管理を行うことはできません。審査結果に基づいた勧告に従わない場合は設備の導入等の中止が命令される恐れがある他、事前審査を受けずに導入を行った場合は刑事罰の恐れもあります。

 

■対象となる15業種

本制度の対象となるのは、以下の15業種です。

電気・ガス・石油・水道・鉄道

貨物自動車輸送・外航貨物・港湾運送・航空・空港

電気通信・放送・郵便・金融 ・クレジットカード

 

医療分野についても、制度の対象とすることが検討されています。

 

【参考】

基幹インフラ制度への医療分野の追加について「内閣府」

 

また、対象となる15業種に当てはまる事業者については、内閣府のWebサイトで公表されています。

 

特定社会基盤事業者として指定した者「内閣府」

 

 

3. 基幹インフラ制度の背景

■経済安全保障

現代社会において、基幹インフラは日常生活や経済活動を支える柱であり、その安定性や安全性は国家の経済活動の根幹を成しています。サイバー攻撃や自然災害などのリスクが増加する中、基幹インフラを守ることは国家の安全保障に直結します。

経済安全保障は、国家の経済活動が外部の脅威によって阻害されないようにするための安全保障の一環です。例えば、電力や通信、交通などの基幹インフラが攻撃を受けると、国家全体の活動が停滞し、経済的な損失が発生します。こうした背景から、基幹インフラの安全性を確保するための制度が策定されたわけです。

 

■サプライチェーン攻撃

基幹インフラ制度で基幹インフラ事業者だけでなくサプライヤーも対象となっているのは、サプライヤーを経由して基幹インフラ事業者を攻撃するサプライチェーン攻撃のリスクがあるからです。

サプライチェーン攻撃とは、製品やサービスを提供する企業のサプライチェーン、つまり供給網のどこかに脆弱性を見つけ、そこを攻撃する手法を指します。サプライチェーンは多くの企業や国をまたがるため、サプライヤーの脆弱性がサプライチェーン全体に影響を及ぼす可能性があるわけです。

サプライチェーン攻撃のリスクを軽減するためには、サプライチェーン全体のセキュリティを強化する必要があります。具体的には、取引先や供給業者のセキュリティ基準を確認し、定期的な監査を行うことが重要です。また、サプライチェーン全体での情報共有や協力体制を築くことも欠かせません。サプライチェーン攻撃のリスクを理解し、適切な対策を講じることで、基幹インフラの安全性を確保することができます。

 

【関連記事】

サプライチェーン攻撃とは?主な手口や被害事例、対策を解説

 

 

4. 特定社会基盤事業者が取り組むべきリスク管理

特定社会基盤事業者が取り組むべきリスク管理は以下の3つです。

  • セキュリティポリシーの策定
  • セキュリティ意識の向上
  • 委託先管理

それぞれのリスク管理について詳しく解説します。

■セキュリティポリシーの策定

特定社会基盤事業者が取り組むべき1つ目のリスク管理は、セキュリティポリシーの策定です。

セキュリティポリシーは、事業者が直面する可能性のある脅威に対処するための基本方針を示し、従業員全員が同じ認識を持つことを目的としています。セキュリティポリシーを策定することで、情報資産やシステムを保護するための具体的な指針が明確になります。

策定の際には、事業者の業種や規模に応じたリスク評価を行い、どのような脅威が存在するのかを把握することが重要です。次に、情報の機密性、完全性、可用性を確保するための具体的な対策を明記します。

また、セキュリティポリシーは一度策定して終わりではなく、定期的に見直しを行い、必要に応じて更新することが欠かせません。技術の進化や新たな脅威に対応するため、柔軟に対応できる体制を整えることが求められます。

 

■セキュリティ意識の向上

特定社会基盤事業者が取り組むべき2つ目のリスク管理は、セキュリティ意識の向上です。

特定社会基盤事業者がセキュリティ意識を高めることで、サイバー攻撃や情報漏えいといったリスクを未然に防ぐことができます。

具体的な方法としては、まず全社員を対象にした定期的なセキュリティ研修の実施が挙げられます。研修では、最新の脅威や攻撃手法についての知識を共有し、実際のケーススタディを通じて具体的な対策を学ぶことが求められます。また、日々の業務においてもセキュリティ意識を持ち続けるために、社内での情報共有を活発に行い、セキュリティに関する最新情報を更新することが重要です。

 

■委託先管理

特定社会基盤事業者が取り組むべき3つ目のリスク管理は、委託先管理です。

基幹インフラの運用においては、委託先の選定や管理を慎重に行う必要があります。なぜなら、委託先の不適切な管理が情報漏えいやサプライチェーン攻撃などのリスクを引き起こす可能性があるからです。

委託先管理では、委託先の選定段階で、信頼性やセキュリティ体制を評価することが求められます。さらに、委託先への定期的な監査を実施することで、セキュリティ体制の維持・強化を図ることが可能です。また、委託先に対してセキュリティ教育や訓練を実施することで、委託先の従業員がセキュリティに対する理解を深め、リスクを未然に防ぐことができます。

 

【関連記事】

委託先管理とは?目的や必要な理由、実施する際のポイントを解説

 

 

5. まとめ

今回は、経済安全保障推進法の基幹インフラ役務の安定的な提供を確保する制度と特定社会基盤事業者が取り組むべきリスク管理について解説しました。

経済安全保障推進法の基幹インフラ役務の安定的な提供を確保する制度は、サイバー攻撃から基幹インフラを守るための取り組みです。本特定社会基盤事業者は、本制度で掲げられているリスク管理措置の中から自社の状況に応じた対策を選定しましょう。

アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。