〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階

東京メトロ 銀座線:溜池山王駅 7番出口(地下直結)

東京メトロ 南北線:溜池山王駅 7番出口(地下直結)

東京メトロ 千代田線:国会議事堂前駅 5番出口 徒歩3分

東京メトロ 丸の内線:国会議事堂前駅 5番出口
徒歩10分(千代田線ホーム経由)

ニューズレター
Newsletter
<目次>
1. はじめに
2. 特定重要設備の概要
3. 特定重要設備の導入を行う場合の記載事項
(1) 特定重要設備の導入の内容及び時期
(2) 特定重要設備の供給者に関する事項
(3) 構成設備に関する事項
4. 特定重要設備の重要維持管理等を行わせる場合の記載事項
(1) 重要維持管理等の委託の内容及び時期又は期間
(2) 重要維持管理等の委託の相手方に関する事項
(3) 再委託に関する事項
5. リスク管理措置
(1) 特定重要設備の導入にかかるリスク管理措置
(2) 重要維持管理等の委託に係るリスク管理措置
(3) 管理体制の確認のために必要なリスク管理措置
6. おわりに

1.はじめに

国民生活や経済活動の基盤となるインフラ設備の安定的な提供が妨害された場合、国民の生存が脅かされ、経済・社会秩序の平穏を損なう事態が生じ得る。とりわけ、インフラ事業者は、他の事業者からインフラ設備を導入したり、他の事業者にインフラ設備の維持管理や操作を行わせたりする場合があるところ、その過程でインフラ設備に不正機能が埋め込まれたり、脆弱性に関する情報が流出するなどしてインフラ役務の安定的な提供が妨害されるといった事態は避ける必要がある。
こうした問題意識の下、2022年(令和4年)5月11日に成立し、同月18日に公布された経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(令和4年5月18日法律第43号。以下「経済安保推進法」又は単に「法」という。)により、事業所管大臣が定める一定の基準を満たした特定社会基盤事業者(※1)が2024年(令和6年)2月頃以降に他の事業者から特定重要設備の導入を行い、又は特定重要設備の維持管理若しくは操作(以下「重要維持管理等」という。)を他の事業者に委託しようとする場合には、原則として(※2)、あらかじめ特定重要設備の導入又は重要維持管理等の委託に関する計画書(以下「導入等計画書」という。)を作成して主務大臣に届け出た上で、当該特定重要設備が特定妨害行為(※3)の手段として使用されるおそれの有無等について事前審査を受けることが求められる(法52条(未施行))(※4)。

(※1)本ニューズレターの配信時点では特定社会基盤事業者の指定等に係る主務省令は公布されていないものの、既に各省庁から公表された特定社会基盤事業者の指定等に関する主務省令案についての意見募集(パブリックコメント)手続が締め切られており、2023年(令和5年)8月頃には各主務省令が公布される予定である。
なお、本制度の対象となる「特定社会基盤事業」は、電気事業、ガス事業、石油精製業・石油ガス輸入業、水道事業、水道用水供給事業、第一種鉄道事業、一般貨物自動車運送事業、貨物定期航路事業等、国際航空運送事業・国内定期航空運送事業、空港の設置及び管理を行う事業等、電気通信事業、放送事業のうち基幹放送を行うもの、郵便事業、金融にかかる事業のうち銀行業、保険業、金融商品取引所・金融商品債務引受業・第一種金融商品取引業、信託業・資金清算業・第三者型前払式支払手段発行業、預金保険機構・農水産業協同組合貯金保険機構の業務、振替機構の業務、電子債権記録業、及び包括信用購入あっせん業の14業種である(法50条1項各号)。
(※2)例外として特定重要設備の導入を行い、又は他の事業者に委託して特定重要設備の重要維持管理等を行わせることが緊急やむを得ない場合として主務省令で定める場合(法52条1項ただし書き)等の例外があるほか、6か月間の経過措置期間が設けられている(法53条)。
(※3)特定重要設備の導入又は重要維持管理等の委託に関して我が国の外部から行われる特定社会基盤役務の安定的な提供を妨害する行為をいい(法52条2項2号ハかっこ書き)、具体的には、脆弱性を利用したウイルスへの感染や不正なプログラムの埋込み、委託業務の放棄の他、不正アクセスや情報の滅失、改ざん等によりインフラ事業者が意図しない動作をさせることなどが想定されている。
(※4)経済安保推進法における基幹インフラ役務の安定的な提供の確保に関する制度以外の制度や施行時期等については、「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(経済安保推進法)の概要」(牛島総合法律事務所 ニューズレター・2022年7月20日)を参照いただきたい。

特定社会基盤事業者において作成し、届け出ることが求められる導入等計画書の記載事項は以下のとおりである。

①特定重要設備の概要(法52条2項1号)②特定重要設備の導入を行う場合、次に掲げる事項(法52条2項2号)

  • 導入の内容及び時期(法52条2項2号イ)
  • 特定重要設備の供給者に関する事項として主務省令で定めるもの(法52条2項2号ロ)
  • 特定重要設備の一部を構成する設備、機器、装置又はプログラムであって特定妨害行為の手段として使用されるおそれがあるものに関する事項として主務省令で定めるもの(法52条2項2号ハ)

③特定重要設備の重要維持管理等を行わせる場合にあっては、次に掲げる事項(法52条2項3号)

  • 重要維持管理等の委託の内容及び時期又は期間(法52条2項3号イ)
  • 重要維持管理等の委託の相手方に関する事項として主務省令で定めるもの(法52条2項3号ロ)
  • 重要維持管理等の委託の相手方が他の事業者に再委託して重要維持管理等を行わせる場合にあっては、当該再委託に関する事項として主務省令で定めるもの(法52条2項3号ハ)

④特定重要設備の導入又は重要維持管理等の委託に関する事項として主務省令で定める事項(法52条2項4号)

これらの事項の具体的な内容は、2023年(令和5年)秋頃に策定予定の主務省令で定められる見込みであるが、既に2023年(令和5年)4月28日に閣議決定された「特定妨害行為の防止による特定社会基盤役務の安定的な提供の確保に関する基本指針」(以下「基本指針」という。)において考え方が示されているほか、同年6月12日に開催された経済安全保障法制に関する有識者会議の第7回に提出された資料(「資料1 特定社会基盤役務の安定的な提供の確保に関する制度の運用開始に向けた検討状況について」。以下「検討状況」という。)においてもその案が示されている。そこで、本稿では、執筆時点で明らかとなっている導入等計画書への記載事項案について解説する。

なお、導入等計画書の作成、届出主体はあくまでも特定社会基盤事業者であるが、導入等計画書に記載すべき事項については、特定社会基盤事業者に特定重要設備を導入し、又はその維持管理等の委託を受ける事業者において保有している性質の情報も多く存在する(※)。それ故、導入等計画書の作成においては、それらの事業者による協力が不可欠である。

(※)導入等計画書に記載すべき事項のうち、特に機微である等の事情により特定社会基盤事業者等に提供することが困難である情報については、特定社会基盤事業者等を経由することなく、直接事業所管大臣に提出することも予定されている。

また、後述するリスク管理措置の中には、特定社会基盤事業者に対して特定重要設備を導入したり、その維持管理等の委託を受ける立場にある事業者において具体的な対応を行うべき事項が含まれている。そのため、特定重要設備の供給者や重要維持管理等の委託先となり得る事業者がこれらの内容をあらかじめ把握して準備しておくことは、とりわけ特定社会基盤事業者による事業者選定の局面等において有利に働き得ると考えられる。

2.特定重要設備の概要

記載事項の1点目は、「特定重要設備の概要」(法52条2項1号)である。特定重要設備を特定するために必要となる、その種類、名称、機能、設置及び使用する場所等の事項を記載することが予定されている。機能とは、例えば、特定重要設備の動作によって実現される特定社会基盤役務の提供に当たって不可欠な作用が挙げられる。

3.特定重要設備の導入を行う場合の記載事項

特定重要設備の導入を行う場合、(1) 特定重要設備の導入の内容及び時期(法52条2項2号イ)、(2) 特定重要設備の供給者に関する事項として主務省令で定めるもの(法52条2項2号ロ)、(3) 特定重要設備の一部を構成する設備、機器、装置又はプログラムであって特定妨害行為の手段として使用されるおそれがあるもの(以下「構成設備」という。)に関する事項(法52条2項2号ハ)の3点を記載することが求められる。

(1)特定重要設備の導入の内容及び時期

①導入の内容

「特定重要設備の導入の内容」(法52条2項2号イ)とは、具体的には、特定重要設備の導入の目的や、特定重要設備の導入に携わる事業者の名称等を記載することが予定されている。
なお、「導入に携わる事業者」とは、特定重要設備の供給者のみならず、当該特定重要設備を特定社会基盤事業者が導入するまでに経由する事業者までを含むとされており、特定社会基盤事業者が特定重要設備について販売会社を経由して供給者から調達する場合は、販売会社の名称等についても届け出る必要があるとされていることに注意が必要である。

②導入の時期

「特定重要設備の導入の時期」(法52条2項2号イ)とは、特定重要設備の導入に関する一連の行為(設計、開発、組立て、設置等)が完了し、役務の提供の用に供する時点をいうものとされている。

(2)特定重要設備の供給者に関する事項

「特定重要設備の供給者に関する事項」(法52条2項2号ロ)としては、特定重要設備の供給者を特定するために必要となる名称及び住所等の事項のほか、特定重要設備の供給者に対する我が国の外部からの影響の有無やその程度を評価するために必要となる事項が主務省令で定められる予定であるが、現時点で明らかとなっている具体的な記載事項案は以下のとおりである。なお、*を付した事項については、特定社会基盤事業者等を経由することなく、直接、事業所管大臣に提出することができるとされている。

<特定重要設備の供給者に関する事項として記載する事項の案>

  • 特定重要設備の供給者の名称、住所、設立国
  • 特定重要設備の供給者の議決権の5%以上を直接保有する者に関する情報(名称、国籍等*、議決権保有割合)
  • 特定重要設備の供給者の役員等(※)の氏名、生年月日*、国籍*
  • 特定重要設備の供給者が過去3年間において、一の外国政府等(外国の政府、外国の政府機関、外国の地方公共団体、外国の中央銀行若しくは外国の政党その他の政治団体)との売上高が、売上高の総額に占める割合の25%以上を占める場合、その相手国及び割合*
  • 特定重要設備を製造する場所の所在する国又は地域

(※)以下の①から⑦に掲げるものをいう。

①株式会社:取締役、執行役
②持分会社:業務執行社員
③一般社団法人:理事
④一般財団法人:理事
⑤中小企業等共同組合:理事
⑥民法組合:組合員
⑦その他の法人又は団体:①から⑥までに定める者に準ずるもの

(3)構成設備に関する事項

「構成設備に関する事項」(法52条2項2号ハ)に関しては、構成設備を特定するために必要となる、種類、名称、機能といった構成設備の概要に関する事項や、当該構成設備の供給者の名称、住所等の事項を記載することが求められる。構成設備に関する届出事項は、特定重要設備の実態等を踏まえて主務省令で定められる予定であり、具体的な届出事項の例としては、構成設備の供給者に対する我が国の外部からの影響の有無やその程度を評価するために必要となる事項が挙げられているが、その具体的な内容は現時点では明らかになっていない。
なお、構成設備については、特定重要設備の供給者が、調達した構成設備を特定重要設備の一部として直接用いる場合のみならず、構成設備が他の機器等と一体となった設備を調達し特定重要設備の一部として用いる場合も考えられるところである。後者の場合、構成設備そのものの供給者に加えて構成設備と他の機器等を一体として組み上げて供給する者も「構成設備の供給者」に含まれることになるため、注意が必要である。

4.特定重要設備の重要維持管理等を行わせる場合の記載事項

特定重要設備の重要維持管理等を行わせる場合、(1) 重要維持管理等の委託の内容及び時期又は期間(法52条2項3号イ)、(2) 重要維持管理等の委託の相手方に関する事項として主務省令で定めるもの(法52条2項3号ロ)、(3) 重要維持管理等の委託の相手方が他の事業者に再委託して重要維持管理等を行わせる場合にあっては、当該再委託に関する事項として主務省令で定めるもの(法52条2項3号ハ)の3点を記載することが求められる。

(1)重要維持管理等の委託の内容及び時期又は期間

①重要維持管理等の委託の内容

「重要維持管理等の委託の内容」(法52条2項3号イ)としては、重要維持管理等の目的、行わせる業務内容、重要維持管理等の実施場所等を記載することが予定されている。

②重要維持管理等の委託の時期又は期間

「重要維持管理等の委託の時期又は期間」(法52条2項3号イ)に関しては、重要維持管理等には、単発・継続性のないもののほか、反復・継続的なものも想定されることから、その内容に応じて、重要維持管理等を行わせる時期又は期間のいずれかを記載することが予定されている。

(2)重要維持管理等の委託の相手方に関する事項

「重要維持管理等の委託の相手方に関する事項」(法52条2項3号ロ)としては、重要維持管理等の委託の相手方を特定するために必要となる名称及び住所等の事項のほか、重要維持管理等の委託の相手方に対する我が国の外部からの影響の有無やその程度を評価するために必要となる事項が主務省令で定められる予定であるが、現時点で明らかとなっている具体的な記載事項案は以下のとおりである。

<重要維持管理等の委託の相手方に関する事項として記載する事項の案>

  • 重要維持管理等の委託の相手方の名称、住所、設立国
  • 重要維持管理等の委託の相手方の議決権の5%以上を直接保有する者に関する情報(名称、国籍等*、議決権保有割合)
  • 重要維持管理等の委託の相手方の役員等の氏名、生年月日*、国籍*
  • 重要維持管理等の委託の相手方が過去3年間において、一の外国政府等(外国の政府、外国の政府機関、外国の地方公共団体、外国の中央銀行若しくは外国の政党その他の政治団体)との売上高が、売上高の総額に占める割合の25%以上を占める場合、その相手国及び割合*

なお、*を付した事項については、特定社会基盤事業者等を経由することなく、直接、事業所管大臣に提出することができるとされている。

(3)再委託に関する事項

「再委託に関する事項」(法52条2項3号ハ)に関しては、特定重要設備ごとに、再委託をして行わせる業務内容等の再委託の内容及び時期又は期間に関する事項のほか、再委託の相手方に関する事項等を記載することが予定されている。
ここでいう再委託には、再委託された重要維持管理等の全部又は一部が更に委託されるもの(再々委託以降)を含むとされており、導入等計画書には最終的に委託を受けた者までの情報を記載することが原則とされているが、再委託先が現に行われる業務及び再々委託先以降を適切に管理していると認められる場合等、再委託先を確認することで、再々委託先以降を確認せずとも特定妨害行為の手段として使用されるおそれを審査することが可能である場合として事業所管大臣が定める場合に該当するときは、再委託先までの情報を届け出ることで足りると定められることが予定されている。詳細については主務省令で定められる予定である。

5.リスク管理措置

特定重要設備の導入又は重要維持管理等の委託に関する事項として主務省令で定める事項(法52条2項4号)に関しては、特定社会基盤事業者が自ら講ずるべき特定重要設備が特定妨害行為の手段として使用されるおそれを低減させるための有効な措置(以下「リスク管理措置」という。)を記載することが想定されている。
リスク管理措置は、リスクの内容及び程度に応じて講じられるべきものであり、例示する措置の全てを常に講ずることが求められるものではないとされているが、基本指針検討状況では以下のようなリスク管理措置が例示されている。
なお、事業所管大臣が審査に当たりリスク管理措置の実施状況を確認する際は、事業ごとの実態を十分に踏まえることとされているほか、特定社会基盤事業者等の主体的な取組についても適切に評価するという方針が示されている。

(1)特定重要設備の導入にかかるリスク管理措置

①特定重要設備及び構成設備の供給者における製造等の過程で、特定重要設備及び構成設備に不正な変更(※1)が加えられることを防止するために必要な管理がなされ、当該管理がなされていることを特定社会基盤事業者が確認できることを契約等により担保している。

(具体的な措置の例)

  • 特定社会基盤事業者又は特定重要設備の供給者(※2)において、特定重要設備又は構成設備に悪意のあるコード等が混入していないかを確認するための受入検査その他の検証体制が構築されており脆弱性テストが導入までに実施されることを確認している。
  • 特定重要設備又は構成設備の供給者が特定社会基盤事業者又は特定重要設備の供給者によって調達時に指定された情報セキュリティ要件(特定重要設備及び構成設備に最新のセキュリティパッチが適用されているか否か、不正プログラム対策ソフトウェアを最新化しているか否か等)を導入までに実装することを確認している。
  • 特定重要設備又は構成設備の供給者が、特定重要設備又は構成設備の開発工程において信頼できる品質保証体制(※3)を確立していることを確認している。
  • 特定重要設備又は構成設備の供給者が、特定重要設備又は構成設備の製造過程における不正行為(例えば不正な変更等)の有無について、定期的な確認を行うことを確認している。
  • 特定重要設備又は構成設備の供給者が特定重要設備又は構成設備の製造環境(システム開発環境を含む。)において、定められた要員以外がアクセスできないよう、アクセス可能な従業員を物理的(監視カメラ等の入退室管理等)かつ論理的(データやシステム等へのアクセス制御)に適切に制限することを確認している。
  • 特定重要設備をインターネット回線と接続する場合に、不正なアクセス等を防ぐための利用マニュアル・ガイダンス等を自ら整備・実施している。
  • 特定重要設備の供給者及び特定重要設備の導入に携わる者が、特定重要設備の設置に際して不正な変更等を加えることを防止する体制を確立していることを確認している。
  • 導入した特定重要設備又は構成設備に不正な変更やそのおそれがあることを発見した場合には、特定重要設備又は構成設備の供給者が詳細な調査や立入検査等に協力をすることが担保されていることを確認している。

(※1)不正なプログラムを含む予期しない又は好ましくない特性を組み込むこと等が含まれる。
(※2)導入前の設備のテスト段階において特定社会基盤事業者及び特定重要設備の供給者とは異なる者によって実施する場合を含む。
(※3)「信頼できる品質保証体制」は、今後具体化される予定である。

②特定重要設備又は構成設備について、将来的に保守・点検等が必要となることが見込まれる場合に、当該保守・点検等を行うことができる者が特定重要設備又は構成設備の供給者に限られるかどうか等の実態も踏まえ、供給者を選定している。

(具体的な措置の例)

  • 特定重要設備又は構成設備の供給者によるサービス保証(故障対応や脆弱性対応等)が十分に講じられていることを確認している。
  • 特定重要設備又は構成設備の保守・点検等が受けられなくなった場合を想定して、代替手段の検討等の必要な対策を自ら講じている。

③特定重要設備及び構成設備について、不正な妨害が行われる兆候を把握可能な体制がとられており、不正な妨害が加えられた場合であっても、冗長性が確保されているなど、役務の提供に支障を及ぼさない構成となっている。

(具体的な措置の例)

  • ランサムウェア等に感染した場合の特定重要設備及び構成設備に対する不正な妨害が行われたときであっても役務の提供が継続できる体制(バックアップの取得・隔離管理、復旧手順の明確化・具体化、代替設備との交換等)について、自ら整備している。
  • 情報の漏洩等の情報セキュリティインシデントが発生した場合の対応方針・体制(マニュアル等の整備、定期的なインシデント対応の訓練等)を自ら整備している。
  • 特定社会基盤事業者又は特定重要設備の供給者が、特定重要設備についてアクセス制御に関する仕組みを講じ、特定重要設備に対する不正なアクセスを監視する仕組みを導入までに実装することを確認している。

(2)重要維持管理等の委託に係るリスク管理措置

①委託された重要維持管理等の実施に当たり、委託(再委託を含む。)を受けた者(その従業員等を含む。)によって、特定重要設備について特定社会基盤事業者が意図しない変更(※)が加えられることを防止するために必要な管理等がなされ、その管理等に関する事項を特定社会基盤事業者が確認できることを契約等により担保している。

(具体的な措置の例)

  • 委託及び再委託の相手方において、特定重要設備の操作ログや作業履歴等の保管に関する手順及びその確認に関する手順が明確に定められており、ログや順守状況の確認等により不正行為の有無を定期的又は随時に確認することについて確認している。
  • 特定重要設備及び構成設備の状況を把握し、既存の設備について最新のセキュリティパッチが適用されているかどうか等の資産の管理を定期的に行っている、また、導入予定の設備についても同様に資産の管理を定期的に行うこととしている。
  • 委託の相手方が保有している設計書や設備等の情報について、定められた要員以外が当該情報にアクセスできないようにするなど、要員を物理的(監視カメラ等の入退室管理等)かつ論理的(データやシステムへのアクセス防御)に適切に制限することを確認している。
  • 特定社会基盤事業者自らや委託の相手方が、重要維持管理等の実施環境において、定められた要員以外がアクセスできないようにするなど、運用要員を物理的(監視カメラ等の入退室管理等)かつ論理的(データやシステムへのアクセス防御)に適切に制限することを確認している。
  • 委託及び再委託の相手方が、作業担当者や管理責任者に対して、サイバーセキュリティに関する教育や研修を定期的(年間1回以上)に実施しており、サイバーセキュリティリテラシーの維持向上に努めていることを確認している。

(※)特定重要設備に不正な変更を加えることのほか、特定社会基盤事業者の意図しない形で特定重要設備の稼働を停止させること等が含まれる。

②重要維持管理等の再委託が行われる場合においては、再委託を受けた者のサイバーセキュリティ対策の実施状況を確認するために必要な情報が、再委託を行った者を通じて特定社会基盤事業者に提供され、また、再委託を行うことについてあらかじめ特定社会基盤事業者の承認を受けることが契約等により担保されている。

(具体的な措置の例)

  • 例えば、委託の相手方が再委託を行うに当たり、特定社会基盤事業者の承認を得ることを契約の要件とし、再委託を受けた者に対しても、さらに再委託を行う場合には特定社会基盤事業者の承認を得ることを契約の要件とする等により、最終委託先までを把握している。
  • 委託の相手方との契約書において再委託を受けた者が委託の相手方と同等のサイバーセキュリティ対策を確保することを、再委託を行う場合の条件として設定することを要件としている。

③特定社会基盤事業者が、委託の相手方が契約に反して重要維持管理等の役務の提供を中断又は停止するおそれがないかを確認している。

(具体的な措置の例)

  • 委託の相手方の事業安定性を、委託の相手方の事業計画(例えば、中期経営計画等)、資産状況及び役務の提供実績等により確認している。
  • 再委託の相手方の事業の安定性を、再委託の相手方の事業計画(例えば、中期経営計画等)、資産状況及び役務の提供実績等を確認している。

(3)管理体制の確認のために必要なリスク管理措置

①特定社会基盤事業者が、特定重要設備及び構成設備の供給者や委託(再委託を含む。)の相手方について、過去の実績を含め、我が国の法令や国際的に受け入れられた基準等の遵守状況を確認している。

(具体的な措置の例)

  • 特定重要設備又は構成設備の供給者が、過去3年間の実績を含め、国内の関連法規(※1)や国際的に受け入れられた基準(※2)(それに基づいて各国で整備されている規制等を含む)に反していないことを確認している。
  • 委託及び再委託の相手方が、過去3年間の実績を含め、国内の関連法規や国際的に受け入れられた基準(それに基づいて各国で整備されている規制等を含む)に反していないことを確認している。

(※1)例えば、各特定社会基盤事業を規律する法律や外国為替及び外国貿易法(昭和24年法律第228号)等がある。
(※2)例えば、国連決議等がある。

②特定社会基盤事業者が、特定重要設備及び構成設備の供給や委託(再委託を含む。)した重要維持管理等の適切性について、外国の法的環境等により影響を受けるものではないことを確認している。

(具体的な措置の例)

  • 特定重要設備又は構成設備の供給者が、外国の法的環境や外部主体の指示によって、特定社会基盤事業者との契約に違反する行為が生じた可能性がある場合、これを特定社会基盤事業者に対して報告することを契約等により担保している。
  • 委託及び再委託の相手方が、外国の法的環境や外部主体の指示によって、特定社会基盤事業者との契約に違反する行為が生じた可能性がある場合、これを特定社会基盤事業者に対して報告することを契約等により担保している
  • 特定重要設備を設置し及び使用する場所若しくは重要維持管理等を実施する場所において、監視カメラやドローン等の映像情報を得ることを目的とした機器を設置し又は使用する場合、当該機器の供給者の本社等(供給者の議決権の50%を直接又は間接に保有する者の本社等を含む。)の立地する場所の法的環境等により、当該機器の映像情報の取扱いの適切性が影響を受けないことを確認している。

③特定社会基盤事業者が、特定重要設備及び構成設備の供給者や委託(再委託を含む。)の相手方に関して、我が国の外部からの影響を判断するに資する情報の提供が受けられることを契約等により担保している。また、契約締結後も当該情報について変更があった場合に、適時に情報提供を受けられることを契約等により担保している。

(具体的な措置の例)

  • 特定重要設備及び構成設備の供給者や委託(再委託先を含む。)の相手方の名称・所在地、役員や資本関係等、事業計画や実績、設備又は部品の製造等や重要維持管理等の実施場所、作業に従事する者の所属・専門性(情報セキュリティに係る資格・研修実績等)等に関する情報提供を受けられることを契約等により担保している。
  • 契約締結後に(i)の事項について変更があった場合に、適時に情報提供を受けることを契約等により担保している。

6.おわりに

今後、本年秋頃に導入等計画書の記載事項に関する主務省令が策定されるとともに、再委託先の情報を省略できる場合の要件に関する考え方など、実務的なポイントについてのQ&Aやガイドラインが公表される予定である。もっとも、制度運用の開始時期が2024年(令和6年)2月頃以降と比較的近い時期にあることからすると、6か月間の経過措置期間があるとはいえ、関連する事業者においては、現時点で対応できる事項(例えば、特定重要設備又は構成設備の供給事業者や重要維持管理等の(再)委託先における管理状況の確認やこれらの事業者との間での契約内容の見直し等)については、順次対応を進めておくことが望ましいものと思料する。

以 上

ニューズレターのメール配信はこちら