経済安全保障推進法に基づく新たな法律が施行
電力や通信などの基幹インフラを担う企業が、重要な設備を導入する際に、国が事前に審査を行う制度が今年の5月から始まります。
この制度は、経済安全保障推進法に基づくもので、外国の政府や企業によるサイバー攻撃を防ぐことが目的です。具体的な対象となる企業は、電力会社、通信会社、水道会社、鉄道会社、空港会社、金融機関、医療機関などです。
対象となる設備は、発電設備、通信設備、送配電設備、鉄道設備、空港設備、情報処理設備などです。これらの会社が上記の設備導入を計画する際には、国土交通省や経済産業省などの所管省庁に申請を行い、審査を受けます。
審査では、設備のセキュリティ対策や、外国の政府や企業との取引の状況などがチェックされます。
審査の結果、設備のセキュリティ対策が不十分と判断された場合や、外国の政府や企業による影響が懸念される場合、国は設備の導入を許可しない可能性があります。
この制度により、電力や通信などの基幹インフラへのサイバー攻撃のリスクを低減し、国民の安全と経済の安定を守ることが期待されています。
審査基準は、以下の観点から定められています。
設備のセキュリティ対策が適切かどうか
外国の政府や企業による影響が懸念されるかどうか
具体的には、設備のセキュリティ対策の状況が、
設備の脆弱性に対する対策が講じられているか
設備のアクセス制御や認証が適切に実施されているか
設備の監視やログ管理が適切に実施されているか
設備のアップデートやメンテナンスが適切に実施されているか
設備のメーカーや委託先の外国政府や企業との取引状況に対し、外国の政府や企業の支配下にあるかどうか
外国の政府や企業の指示や影響を受けやすいかどうかなど
設備の導入に伴い、外国の政府や企業による情報の収集や妨害行為のリスクがあるかどうかなど、外国の政府や企業による影響を審査します。
設備の導入に伴う安全保障上のリスクに対しても、審査基準に基づき、国は設備の導入が国民の安全と経済の安定に及ぼす影響を総合的に判断します。
設備機器の部材に至るまでの影響も判断されます。
審査の結果、国は設備の導入を許可しない可能性があります。
なお、審査基準は、今後も必要に応じて見直される可能性があります。
重要なのはこの施策が、今後他業種への拡大の可能性が十分にあると考えられる点です。具体的には、以下の業種が新たな対象として議論がされています。金融機関、医療機関、物流、製造業のほか、情報サービス業、ネット配信、放送も対象になる可能性があります。特にネット配信や放送関係は、国民の日常生活に欠かせないサービスであり、その重要性はますます高まっています。また、これらのサービスは、インターネットを介して行われるため、サイバー攻撃のリスクが高くなっています。そのため、ネット配信や放送関係の企業が、重大な設備を導入する際には、事前審査を受ける必要があると考えられます。
経済産業省では、2023年3月に「経済安全保障推進法に基づく特定社会基盤事業者等の指定に関する検討会」を設置し、対象業種や対象設備の追加について、議論を重ねています。総務省では、2023年6月に「重要電気通信設備の導入に係る審査制度に関する検討会」を設置し、ネット配信や放送関係の設備を対象とした審査制度の導入について、議論を重ねています。
我々の業界も、今後この法律によって影響を受ける事も充分考えられますので、その時の為にも、システムを設計する時の基本方針等を研究・対策を講じ始めるほうが良いのではないかと思います。
先手を取って、上記の対策を取ったシステム設計の提案をするのも一考でしょう。