〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階
東京メトロ 銀座線:溜池山王駅 7番出口(地下直結)
東京メトロ 南北線:溜池山王駅 7番出口(地下直結)
東京メトロ 千代田線:国会議事堂前駅 5番出口 徒歩3分
東京メトロ 丸の内線:国会議事堂前駅 5番出口
徒歩10分(千代田線ホーム経由)
セミナー
事務所概要・アクセス
事務所概要・アクセス
<目次>
1. はじめに
2. 特定重要設備の概要
3. 特定重要設備の導入を行う場合の記載事項
(1) 特定重要設備の導入の内容及び時期
(2) 特定重要設備の供給者に関する事項
(3) 構成設備に関する事項
4. 特定重要設備の重要維持管理等を行わせる場合の記載事項
(1) 重要維持管理等の委託の内容及び時期又は期間
(2) 重要維持管理等の委託の相手方に関する事項
(3) 再委託に関する事項
5. リスク管理措置
(1) 特定重要設備の導入にかかるリスク管理措置
(2) 重要維持管理等の委託に係るリスク管理措置
(3) 管理体制の確認のために必要なリスク管理措置
6. おわりに
国民生活や経済活動の基盤となるインフラ設備の安定的な提供が妨害された場合、国民の生存が脅かされ、経済・社会秩序の平穏を損なう事態が生じ得る。とりわけ、インフラ事業者は、他の事業者からインフラ設備を導入したり、他の事業者にインフラ設備の維持管理や操作を行わせたりする場合があるところ、その過程でインフラ設備に不正機能が埋め込まれたり、脆弱性に関する情報が流出するなどしてインフラ役務の安定的な提供が妨害されるといった事態は避ける必要がある。
こうした問題意識の下、2022年(令和4年)5月11日に成立し、同月18日に公布された経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(令和4年5月18日法律第43号。以下「経済安保推進法」又は単に「法」という。)により、事業所管大臣が定める一定の基準を満たした特定社会基盤事業者(※1)が2024年(令和6年)2月頃以降に他の事業者から特定重要設備の導入を行い、又は特定重要設備の維持管理若しくは操作(以下「重要維持管理等」という。)を他の事業者に委託しようとする場合には、原則として(※2)、あらかじめ特定重要設備の導入又は重要維持管理等の委託に関する計画書(以下「導入等計画書」という。)を作成して主務大臣に届け出た上で、当該特定重要設備が特定妨害行為(※3)の手段として使用されるおそれの有無等について事前審査を受けることが求められる(法52条(未施行))(※4)。
(※1)本ニューズレターの配信時点では特定社会基盤事業者の指定等に係る主務省令は公布されていないものの、既に各省庁から公表された特定社会基盤事業者の指定等に関する主務省令案についての意見募集(パブリックコメント)手続が締め切られており、2023年(令和5年)8月頃には各主務省令が公布される予定である。
なお、本制度の対象となる「特定社会基盤事業」は、電気事業、ガス事業、石油精製業・石油ガス輸入業、水道事業、水道用水供給事業、第一種鉄道事業、一般貨物自動車運送事業、貨物定期航路事業等、国際航空運送事業・国内定期航空運送事業、空港の設置及び管理を行う事業等、電気通信事業、放送事業のうち基幹放送を行うもの、郵便事業、金融にかかる事業のうち銀行業、保険業、金融商品取引所・金融商品債務引受業・第一種金融商品取引業、信託業・資金清算業・第三者型前払式支払手段発行業、預金保険機構・農水産業協同組合貯金保険機構の業務、振替機構の業務、電子債権記録業、及び包括信用購入あっせん業の14業種である(法50条1項各号)。
(※2)例外として特定重要設備の導入を行い、又は他の事業者に委託して特定重要設備の重要維持管理等を行わせることが緊急やむを得ない場合として主務省令で定める場合(法52条1項ただし書き)等の例外があるほか、6か月間の経過措置期間が設けられている(法53条)。
(※3)特定重要設備の導入又は重要維持管理等の委託に関して我が国の外部から行われる特定社会基盤役務の安定的な提供を妨害する行為をいい(法52条2項2号ハかっこ書き)、具体的には、脆弱性を利用したウイルスへの感染や不正なプログラムの埋込み、委託業務の放棄の他、不正アクセスや情報の滅失、改ざん等によりインフラ事業者が意図しない動作をさせることなどが想定されている。
(※4)経済安保推進法における基幹インフラ役務の安定的な提供の確保に関する制度以外の制度や施行時期等については、「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(経済安保推進法)の概要」(牛島総合法律事務所 ニューズレター・2022年7月20日)を参照いただきたい。
特定社会基盤事業者において作成し、届け出ることが求められる導入等計画書の記載事項は以下のとおりである。
①特定重要設備の概要(法52条2項1号)②特定重要設備の導入を行う場合、次に掲げる事項(法52条2項2号)
③特定重要設備の重要維持管理等を行わせる場合にあっては、次に掲げる事項(法52条2項3号)
④特定重要設備の導入又は重要維持管理等の委託に関する事項として主務省令で定める事項(法52条2項4号)
これらの事項の具体的な内容は、2023年(令和5年)秋頃に策定予定の主務省令で定められる見込みであるが、既に2023年(令和5年)4月28日に閣議決定された「特定妨害行為の防止による特定社会基盤役務の安定的な提供の確保に関する基本指針」(以下「基本指針」という。)において考え方が示されているほか、同年6月12日に開催された経済安全保障法制に関する有識者会議の第7回に提出された資料(「資料1 特定社会基盤役務の安定的な提供の確保に関する制度の運用開始に向けた検討状況について」。以下「検討状況」という。)においてもその案が示されている。そこで、本稿では、執筆時点で明らかとなっている導入等計画書への記載事項案について解説する。
なお、導入等計画書の作成、届出主体はあくまでも特定社会基盤事業者であるが、導入等計画書に記載すべき事項については、特定社会基盤事業者に特定重要設備を導入し、又はその維持管理等の委託を受ける事業者において保有している性質の情報も多く存在する(※)。それ故、導入等計画書の作成においては、それらの事業者による協力が不可欠である。
(※)導入等計画書に記載すべき事項のうち、特に機微である等の事情により特定社会基盤事業者等に提供することが困難である情報については、特定社会基盤事業者等を経由することなく、直接事業所管大臣に提出することも予定されている。
また、後述するリスク管理措置の中には、特定社会基盤事業者に対して特定重要設備を導入したり、その維持管理等の委託を受ける立場にある事業者において具体的な対応を行うべき事項が含まれている。そのため、特定重要設備の供給者や重要維持管理等の委託先となり得る事業者がこれらの内容をあらかじめ把握して準備しておくことは、とりわけ特定社会基盤事業者による事業者選定の局面等において有利に働き得ると考えられる。
記載事項の1点目は、「特定重要設備の概要」(法52条2項1号)である。特定重要設備を特定するために必要となる、その種類、名称、機能、設置及び使用する場所等の事項を記載することが予定されている。機能とは、例えば、特定重要設備の動作によって実現される特定社会基盤役務の提供に当たって不可欠な作用が挙げられる。
特定重要設備の導入を行う場合、(1) 特定重要設備の導入の内容及び時期(法52条2項2号イ)、(2) 特定重要設備の供給者に関する事項として主務省令で定めるもの(法52条2項2号ロ)、(3) 特定重要設備の一部を構成する設備、機器、装置又はプログラムであって特定妨害行為の手段として使用されるおそれがあるもの(以下「構成設備」という。)に関する事項(法52条2項2号ハ)の3点を記載することが求められる。
「特定重要設備の導入の内容」(法52条2項2号イ)とは、具体的には、特定重要設備の導入の目的や、特定重要設備の導入に携わる事業者の名称等を記載することが予定されている。
なお、「導入に携わる事業者」とは、特定重要設備の供給者のみならず、当該特定重要設備を特定社会基盤事業者が導入するまでに経由する事業者までを含むとされており、特定社会基盤事業者が特定重要設備について販売会社を経由して供給者から調達する場合は、販売会社の名称等についても届け出る必要があるとされていることに注意が必要である。
「特定重要設備の導入の時期」(法52条2項2号イ)とは、特定重要設備の導入に関する一連の行為(設計、開発、組立て、設置等)が完了し、役務の提供の用に供する時点をいうものとされている。
「特定重要設備の供給者に関する事項」(法52条2項2号ロ)としては、特定重要設備の供給者を特定するために必要となる名称及び住所等の事項のほか、特定重要設備の供給者に対する我が国の外部からの影響の有無やその程度を評価するために必要となる事項が主務省令で定められる予定であるが、現時点で明らかとなっている具体的な記載事項案は以下のとおりである。なお、*を付した事項については、特定社会基盤事業者等を経由することなく、直接、事業所管大臣に提出することができるとされている。
<特定重要設備の供給者に関する事項として記載する事項の案>
(※)以下の①から⑦に掲げるものをいう。
①株式会社:取締役、執行役
②持分会社:業務執行社員
③一般社団法人:理事
④一般財団法人:理事
⑤中小企業等共同組合:理事
⑥民法組合:組合員
⑦その他の法人又は団体:①から⑥までに定める者に準ずるもの
「構成設備に関する事項」(法52条2項2号ハ)に関しては、構成設備を特定するために必要となる、種類、名称、機能といった構成設備の概要に関する事項や、当該構成設備の供給者の名称、住所等の事項を記載することが求められる。構成設備に関する届出事項は、特定重要設備の実態等を踏まえて主務省令で定められる予定であり、具体的な届出事項の例としては、構成設備の供給者に対する我が国の外部からの影響の有無やその程度を評価するために必要となる事項が挙げられているが、その具体的な内容は現時点では明らかになっていない。
なお、構成設備については、特定重要設備の供給者が、調達した構成設備を特定重要設備の一部として直接用いる場合のみならず、構成設備が他の機器等と一体となった設備を調達し特定重要設備の一部として用いる場合も考えられるところである。後者の場合、構成設備そのものの供給者に加えて構成設備と他の機器等を一体として組み上げて供給する者も「構成設備の供給者」に含まれることになるため、注意が必要である。
特定重要設備の重要維持管理等を行わせる場合、(1) 重要維持管理等の委託の内容及び時期又は期間(法52条2項3号イ)、(2) 重要維持管理等の委託の相手方に関する事項として主務省令で定めるもの(法52条2項3号ロ)、(3) 重要維持管理等の委託の相手方が他の事業者に再委託して重要維持管理等を行わせる場合にあっては、当該再委託に関する事項として主務省令で定めるもの(法52条2項3号ハ)の3点を記載することが求められる。
「重要維持管理等の委託の内容」(法52条2項3号イ)としては、重要維持管理等の目的、行わせる業務内容、重要維持管理等の実施場所等を記載することが予定されている。
「重要維持管理等の委託の時期又は期間」(法52条2項3号イ)に関しては、重要維持管理等には、単発・継続性のないもののほか、反復・継続的なものも想定されることから、その内容に応じて、重要維持管理等を行わせる時期又は期間のいずれかを記載することが予定されている。
「重要維持管理等の委託の相手方に関する事項」(法52条2項3号ロ)としては、重要維持管理等の委託の相手方を特定するために必要となる名称及び住所等の事項のほか、重要維持管理等の委託の相手方に対する我が国の外部からの影響の有無やその程度を評価するために必要となる事項が主務省令で定められる予定であるが、現時点で明らかとなっている具体的な記載事項案は以下のとおりである。
<重要維持管理等の委託の相手方に関する事項として記載する事項の案>
なお、*を付した事項については、特定社会基盤事業者等を経由することなく、直接、事業所管大臣に提出することができるとされている。
「再委託に関する事項」(法52条2項3号ハ)に関しては、特定重要設備ごとに、再委託をして行わせる業務内容等の再委託の内容及び時期又は期間に関する事項のほか、再委託の相手方に関する事項等を記載することが予定されている。
ここでいう再委託には、再委託された重要維持管理等の全部又は一部が更に委託されるもの(再々委託以降)を含むとされており、導入等計画書には最終的に委託を受けた者までの情報を記載することが原則とされているが、再委託先が現に行われる業務及び再々委託先以降を適切に管理していると認められる場合等、再委託先を確認することで、再々委託先以降を確認せずとも特定妨害行為の手段として使用されるおそれを審査することが可能である場合として事業所管大臣が定める場合に該当するときは、再委託先までの情報を届け出ることで足りると定められることが予定されている。詳細については主務省令で定められる予定である。
特定重要設備の導入又は重要維持管理等の委託に関する事項として主務省令で定める事項(法52条2項4号)に関しては、特定社会基盤事業者が自ら講ずるべき特定重要設備が特定妨害行為の手段として使用されるおそれを低減させるための有効な措置(以下「リスク管理措置」という。)を記載することが想定されている。
リスク管理措置は、リスクの内容及び程度に応じて講じられるべきものであり、例示する措置の全てを常に講ずることが求められるものではないとされているが、基本指針や検討状況では以下のようなリスク管理措置が例示されている。
なお、事業所管大臣が審査に当たりリスク管理措置の実施状況を確認する際は、事業ごとの実態を十分に踏まえることとされているほか、特定社会基盤事業者等の主体的な取組についても適切に評価するという方針が示されている。
①特定重要設備及び構成設備の供給者における製造等の過程で、特定重要設備及び構成設備に不正な変更(※1)が加えられることを防止するために必要な管理がなされ、当該管理がなされていることを特定社会基盤事業者が確認できることを契約等により担保している。
(具体的な措置の例)
(※1)不正なプログラムを含む予期しない又は好ましくない特性を組み込むこと等が含まれる。
(※2)導入前の設備のテスト段階において特定社会基盤事業者及び特定重要設備の供給者とは異なる者によって実施する場合を含む。
(※3)「信頼できる品質保証体制」は、今後具体化される予定である。
②特定重要設備又は構成設備について、将来的に保守・点検等が必要となることが見込まれる場合に、当該保守・点検等を行うことができる者が特定重要設備又は構成設備の供給者に限られるかどうか等の実態も踏まえ、供給者を選定している。
(具体的な措置の例)
③特定重要設備及び構成設備について、不正な妨害が行われる兆候を把握可能な体制がとられており、不正な妨害が加えられた場合であっても、冗長性が確保されているなど、役務の提供に支障を及ぼさない構成となっている。
(具体的な措置の例)
①委託された重要維持管理等の実施に当たり、委託(再委託を含む。)を受けた者(その従業員等を含む。)によって、特定重要設備について特定社会基盤事業者が意図しない変更(※)が加えられることを防止するために必要な管理等がなされ、その管理等に関する事項を特定社会基盤事業者が確認できることを契約等により担保している。
(具体的な措置の例)
(※)特定重要設備に不正な変更を加えることのほか、特定社会基盤事業者の意図しない形で特定重要設備の稼働を停止させること等が含まれる。
②重要維持管理等の再委託が行われる場合においては、再委託を受けた者のサイバーセキュリティ対策の実施状況を確認するために必要な情報が、再委託を行った者を通じて特定社会基盤事業者に提供され、また、再委託を行うことについてあらかじめ特定社会基盤事業者の承認を受けることが契約等により担保されている。
(具体的な措置の例)
③特定社会基盤事業者が、委託の相手方が契約に反して重要維持管理等の役務の提供を中断又は停止するおそれがないかを確認している。
(具体的な措置の例)
①特定社会基盤事業者が、特定重要設備及び構成設備の供給者や委託(再委託を含む。)の相手方について、過去の実績を含め、我が国の法令や国際的に受け入れられた基準等の遵守状況を確認している。
(具体的な措置の例)
(※1)例えば、各特定社会基盤事業を規律する法律や外国為替及び外国貿易法(昭和24年法律第228号)等がある。
(※2)例えば、国連決議等がある。
②特定社会基盤事業者が、特定重要設備及び構成設備の供給や委託(再委託を含む。)した重要維持管理等の適切性について、外国の法的環境等により影響を受けるものではないことを確認している。
(具体的な措置の例)
③特定社会基盤事業者が、特定重要設備及び構成設備の供給者や委託(再委託を含む。)の相手方に関して、我が国の外部からの影響を判断するに資する情報の提供が受けられることを契約等により担保している。また、契約締結後も当該情報について変更があった場合に、適時に情報提供を受けられることを契約等により担保している。
(具体的な措置の例)
今後、本年秋頃に導入等計画書の記載事項に関する主務省令が策定されるとともに、再委託先の情報を省略できる場合の要件に関する考え方など、実務的なポイントについてのQ&Aやガイドラインが公表される予定である。もっとも、制度運用の開始時期が2024年(令和6年)2月頃以降と比較的近い時期にあることからすると、6か月間の経過措置期間があるとはいえ、関連する事業者においては、現時点で対応できる事項(例えば、特定重要設備又は構成設備の供給事業者や重要維持管理等の(再)委託先における管理状況の確認やこれらの事業者との間での契約内容の見直し等)については、順次対応を進めておくことが望ましいものと思料する。
以 上