近年、社会経済構造の変化、国際情勢の複雑化などに伴う経済的リスクが増加したことで、経済活動における国および国民の安全を守るための議論が進められてきた。2022年5月に成立した経済安全保障推進法(以下、本法)は、「サプライチェーンの強靭化」「基幹インフラの安全性・信頼性の確保」「官民技術協力」「特許出願の非公開化」の4本柱で構成されている。
本連載ではこのうち、「基幹インフラの安全性・信頼性の確保」について取り上げ、分かりやすく解説することで、情報システム部門をはじめとする企業への影響など、今後の対応の指針を示していく。
1.経済安全保障推進法の成立
岸田政権が重要政策に掲げる「経済安全保障」(経済安保)、その根幹となる本法が2022年5月11日の参院本会議で可決、翌週5月18日に公布された。今後、約2年をかけて段階的に施行される予定となっている。
本法では、半導体や医薬品など国民生活に欠かせない重要な「特定重要物資」が安定的に供給されるよう、企業の調達先を調査する権限を国に与えることや、サイバー攻撃を防ぐため、電気や通信、金融といった基幹インフラを担う大企業が、重要な設備を導入する際に、国が事前審査を行えるようにすることが盛り込まれている。
また、軍事に関わる技術の中から国民の安全を損なう恐れのあるものは、特許の出願を非公開にできる制度なども触れられている。つまりは、“日本の重要な産業や技術や情報を外敵から守ること”を目的に制定された法律である。
本法が制定される背景には、米国・中国のハイテク技術の覇権競争に端を発し、これと同時期に生じた新型コロナウイルス感染症のまん延や半導体不足問題などが関係する。さらに2022年2月、ロシア・ウクライナ問題が発生したことを受けて、同法案のより早期公布の機運が高まったことがうかがえる。
2.基幹インフラの安全性・信頼性の確保
本法「基幹インフラの安全性・信頼性の確保」により、対象となる事業者が重要な設備の導入や維持管理を行う際、国から事前審査を受けなければならない制度が新たに設立される。これはシステム、サーバーやネットワーク機器類の導入や更改(ソフトウェアアップデートなど)する時に不正なソフトウェアが埋め込まれることや脆弱性が放置されることにより、外部からの妨害や破壊行為に対処することを目的としている。
「基幹インフラの安全性・信頼性の確保」については、公布後、1年6カ月以内に審査対象を、約1年9カ月以内に審査・勧告・命令に関する具体的な事項を決められていくこととなるが、現段階(2022年7月15日現在)の情報を整理し、概要を説明するとともに留意しておくべき点を示す。
(1)対象となる基幹インフラ分野・事業者
本法の対象となる基幹インフラ分野については、2021年11月から2022年2月にかけて行われた経済安全保障法制に関する有識者会議の検討結果を経て、最終的に14分野(電気通信、放送、金融、航空、空港、鉄道、電気、ガス、水道、貨物自動車運送、外航貨物、クレジットカード、石油、郵便)に絞られた。
この14分野については、サイバーセキュリティ基本法および関連計画で示された「重要インフラ14 分野」を基に選定されたと推察するが、政府・行政サービス、医療、化学が対象から外れ、郵便が追加されている。なお、具体的な事業者については今後、所管する大臣が指名することになる。
今後、注視すべき点は、「対象事業者の選定」である。今のところ、全国に事業を展開する大手事業者のみが対象となると言われている。一方で対象から外れた事業者は本法で規定される事項に対する強制力はないものの、同様のリスクにさらされる恐れは十分にあるため、自主的に同等の対策を講じる検討が求められるであろう。