2026年1月9日、いわゆる「能動的サイバー防御(ACD)」の根拠法となる「重要電子計算機に対する不正な行為による被害の防止に関する法律」(略称:サイバー対処能力強化法。以下「法」とも言います。)の施行令案が公表されました(詳しくはこちらを参照)。
現在、2月7日までパブリックコメントが募集されており、制度の具体的な姿が若干見えてきました。
施行令案の要点は以下のとおりです。
- 重要電子計算機の範囲の明確化
- 情報の整理及び分析等の事務を委託する法人の決定
- 行政機関内部における権限の委任
- 法の施行日(2026年10月1日)
本ブログでは、特に民間企業に関連の深いポイントに絞って、その要点を解説します。
1.施行日は「2026年10月1日」に決定
今回の施行令案により、法の施行日は2026年10月1日となることが示されました。
サイバー対処能力強化法と同整備法は、大きく分けて、「官民連携」(インシデント報告や情報共有)、「通信情報の利用」、「アクセス無害化」の3本柱で構成されていますが、今回の施行で動き出すのは主に「官民連携」と「アクセス無害化」に関する部分です。なお、「アクセス無害化」は整備法で規定されており、今回の施行案が扱うのは「官民連携」の部分です。
2. 「重要電子計算機」の範囲が明確に
「重要電子計算機」は本法で新設された用語であり、通信情報の利用(通信事業者からの通信情報の取得)やアクセス無害化の要件に関係し、一部の重要電子計算機(「特定重要電子計算機」)については届出やインシデント報告の対象となっているところ、今回の施行令案において、その範囲が明確化されました(省令に委ねられている部分もありますが)。
以下では、重要電子計算機の定義について、法における規定と施行令案における規定をまとめました(正確な文言はe-govでご確認ください)。民間が関わる部分は法2号、法3号なので、1号に関する施行令案の規定は省略しています。
| 法(2条2項) | 施行令案(1条) |
| 1号:政府、地方公共団体、独立行政法人等の電⼦計算機のうち、そのサイバーセキュリティが害された場合において、当該者における重要情報(特定秘密等)の管理⼜は重要な情報システムの運⽤に関する事務の実施に重⼤な⽀障が⽣ずるおそれがあるものとして政令で定めるもの | (略) |
| 2号:特定社会基盤事業者1が使⽤する電⼦計算機のうち、そのサイバーセキュリティが害された場合において、特定重要設備2の機能が停⽌し、⼜は低下するおそれがあるものとして政令で定めるもの(=特定重要電子計算機) | 1号:特定重要設備である電子計算機又は特定重要設備の一部を構成する電子計算機 2号:特定重要設備と電気通信回線で直接又は間接に接続されている電子計算機であって、当該特定重要設備に対し、当該特定重要設備の機能に影響を与える電磁的記録を送信する機能を有するものとして主務省令で定めるもの 3号:第一号に掲げる電子計算機(「一号電子計算機」)による情報処理の用に供される電磁的記録を作成するために用いられる電子計算機のうち、当該電磁的記録が一定の期間ごとに当該一号電子計算機に入力されるものであって、当該電磁的記録が当該一定の期間ごとに当該一号電子計算機に入力されなくなった場合には当該一号電子計算機に係る特定重要設備の機能が停止し、又は低下することとなるものとして主務省令で定めるもの |
| 3号:重要情報を保有する事業者が使⽤する電⼦計算機のうち、そのサイバーセキュリティが害された場合において、当該事業者における重要情報の管理に関する業務の実施に重⼤な⽀障が⽣ずるおそれがあるものとして政令で定めるもの | 重要情報を保有する事業者が使用する電子計算機のうち、重要情報を記録する電子計算機及び当該電子計算機と電気通信回線で直接又は間接に接続されている電子計算機 |
法2条2項2号に該当する電子計算機を総称して「特定重要電子計算機」といいますが、施行令案によると、以下の2つに大別されることになります。
- 特定重要設備であるコンピュータ(一号電子計算機)
- 特定重要設備と接続してデータを送信することによって、又は、一号電子計算機にデータを定期的に入力することによって、特定重要設備の機能に影響を与えるコンピュータであって主務省令で定めるもの
特別社会基盤事業者(特定社会基盤事業者のうち、特定重要電⼦計算機を使⽤するもの)は、特定重要電⼦計算機の届出や、特定重要電⼦計算機にかかるインシデント報告が必要になるところ、経済安保推進法上の特定社会基盤事業者は既に特定重要設備の導入等の届出の義務を負っており、一号電子計算機はそれとほぼ重なり合うため(「ほぼ」と記載したのは、特定重要設備が電子計算機でない場合には重なり合わないことがあるため。)、本法の義務の履行としては、施行令案2号3号の省令による具体化に着目していけばよいということになります。これを表にすると以下のとおりです。
3. 情報の整理及び分析等の事務を委託する法人の決定
サイバー攻撃情報の整理や分析といった高度な専門事務を委託する法人も指定されました。
- 国立研究開発法人情報通信研究機構(NICT): 情報の整理・分析事務などを担当。
- 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC): 周知事務などを担当。
4. まとめ:民間企業が意識すべきこと
今回の施行令案が確定すると、2026年10月からは、対象となる事業者(特別社会基盤事業者)による電子計算機の届出やインシデント報告などが本格的に始動することになります。 特に、経済安全保障推進法上の「特定重要設備」(注参照)を運用している事業者は、本法における電子計算機の届出やインシデント報告の義務に関し、「特定重要電子計算機」の省令による具体化を注視していく必要があります。
- 「特定社会基盤事業」とは、次の事業(電気、ガス、石油、水道、鉄道、貨物自動車運送、海上運送、港湾運送、航空運送、空港運営、電気通信、放送、郵便、金融、割賦販売の15事業)のうち、特定社会基盤役務(国民生活及び経済活動の基盤となる役務であって、その安定的な提供に支障が生じた場合に国家及び国民の安全を損なう事態を生ずるおそれがあるもの)の提供を行うものとして政令で定めるもの、を言います。
「特定社会基盤事業者」とは、特定社会基盤事業を行う者のうち、その使用する特定重要設備の機能が停止し、又は低下した場合に、その提供する特定社会基盤役務の安定的な提供に支障が生じ、これによって国家及び国民の安全を損なう事態を生ずるおそれが大きいものとして主務省令で定める基準に従って指定された者、を言います(経済安保推進法50条1項)。 ↩︎ - 「特定重要設備」とは、特定社会基盤事業の用に供される設備、機器、装置又はプログラムのうち、特定社会基盤役務を安定的に提供するために重要であり、かつ、我が国の外部から行われる特定社会基盤役務の安定的な提供を妨害する行為の手段として使用されるおそれがあるものとして主務省令で定めるもの、を言います(経済安保推進法50条1項) ↩︎