「経済安全保障推進法」(本法)の施行により、基幹インフラへの重要設備の導入・重要設備の維持管理などの委託について事前審査制度が導入される予定である。今回は、事前審査制度の導入により、関連する民間企業が受ける影響と今後求められる対応について、「基幹インフラ事業者」と、基幹インフラ事業者への重要設備の導入や運用業務を担当する「ITベンダー/システムインテグレーター(SIer)/クラウド事業者などの業務委託先」に分けて解説していく。
1.基幹インフラ事業者への影響と求められる対応
基幹インフラ事業者への影響:
本法の対象となる事業者や重要設備などが具体的に決まっていない現状において、全ての基幹インフラ事業者は下記のような不安を抱えていると推察する。
- 自社の重要設備は審査をクリアできるのか
- これまで使っていた(実績のある)設備・機器や業務委託先の変更をしなければならないのではないか
- 仮に機器や業務委託先の変更をした際には、現在の品質やサービスレベルを担保できるか、など
求められる対応(1)
このような状況において、今やるべきは、まず自社の重要設備や業務委託先についての棚卸である。対象となる重要設備の製品・機器類がどの国・メーカーの製品であるか、委託先企業および再委託先企業がどの国の企業であるか、開発・運用拠点はどこにあるか、などを整理しておくことである。
棚卸作業を行う背景には、基幹インフラの安全性・信頼性の確保を阻害する製品や委託先として、米国で規制対象とされている国や企業の製品が不適合対象となり得ることが推察されているからである。
既に本法の施行を理由に金融機関では、システム関連や個人情報を扱う業務について、オフショア拠点を見直す動きが進んでいる。また、筆者が担当した基幹インフラ事業者においても、米国で規制対象とされている国や企業の製品の排除を目的に、社内ネットワークに接続する全ネットワーク機器の棚卸作業や不明な機器・デバイスが社内ネットワークに接続されていないか検知するツールを導入するなど強化を図っている。
棚卸の結果、該当する機器や委託先がある場合は、代替製品・委託先の検討を始めることも念頭に置いておきたい。
求められる対応(2)
次に、重要設備や維持管理業務の導入・更改する際の申請プロセスやタスクの整理がある。これまでは社内申請のことだけを考えていればよかったが、今後は加えて、所管する省庁の事前審査が必須となるため、どのようにプロセスを進めるかを整理しておく必要がある。
また、事前審査で提出する計画書の作成も新たなタスクとなる。本連載第1回でも紹介した通り、下表に示す記載事項を作成する必要があると推察するが、それらの情報を準備しなければならない。必要な情報は業務委託先が保持しているケースが多いため、事前に情報を入手できるように手配しておくことが重要となる。
また、重要設備の導入計画策定については、事前審査期間(原則として届出受理から30日間)を考慮したスケジュールを組むことも忘れてはならない。