重要電子計算機に対する不正な行為による被害の防止に関する法律(法令ID:507AC0000000042)は、法令全集の条文ページとe-Gov法令検索で確認できます。同法は、サイバー対処能力強化法とも呼ばれ、重要電子計算機に対する特定不正行為による被害の防止を目的として、基本方針、特別社会基盤事業者による報告、通信情報の取得・取扱い、サイバー通信情報監理委員会、官民連携の仕組みなどを定める法律です。重要インフラ、情報システム、セキュリティ、法務・コンプライアンス、経営管理に関わる担当者が参照する場面があります。この記事では、制度の入口と企業が確認しやすい論点を整理し、個別事案の報告要否や通信情報の取扱いの適否判断は扱いません。
法律の目的と全体像
サイバー対処能力強化法は、重要電子計算機のサイバーセキュリティが害された場合に、国家・国民の安全や国民生活・経済活動に大きな影響が生じるおそれがあることを背景に整備された法律です。内閣官房資料では、国民生活や経済活動の基盤と国家・国民の安全をサイバー攻撃から守るため、能動的なサイバー防御を実施する体制を整備するものとして説明されています。法律の正式名称は長いですが、対象は「重要電子計算機に対する不正な行為による被害の防止」です。
| 項目 | 内容 |
|---|---|
| 正式名称 | 重要電子計算機に対する不正な行為による被害の防止に関する法律 |
| 通称 | サイバー対処能力強化法 |
| 法令番号 | 令和七年法律第四十二号 |
| 法令ID | 507AC0000000042 |
| 主な論点 | 基本方針、特別社会基盤事業者、報告、協議会、通信情報、監理委員会 |
同法は、一般企業すべてに同じ義務を課す法律として読むより、重要電子計算機、特別社会基盤事業者、電子計算機等供給者、通信情報保有機関、政府機関の役割を分けて読む必要があります。内閣府では、同法の施行に関する有識者会議が開催され、基本方針案や官民連携の施行に向けた考え方が検討されています。制度の細目は施行令、省令、基本方針、会議資料で補われるため、法律本文と最新の公式資料をあわせて確認することが重要です。
重要電子計算機と特別社会基盤事業者
法律の中心にあるのが、重要電子計算機と特別社会基盤事業者です。内閣官房資料では、基幹インフラ事業者が特定重要電子計算機を導入したときの届出や、不正アクセス行為等によりサイバーセキュリティが害されたこと、またはその原因となり得る一定の事象を認知したときの報告制度が説明されています。重要電子計算機とは、サイバーセキュリティが害された場合に重要な設備の機能停止・低下につながるおそれのある電子計算機として整理されます。
この制度は、重要インフラ全般を抽象的に対象にするだけではなく、具体的な電子計算機やプログラム、設備、サービス継続に関わるシステムを意識して設計されています。特別社会基盤事業者に該当するかどうか、どの電子計算機が特定重要電子計算機に当たるか、どの事象を報告するかは、法律、施行令、省令、所管省庁資料を確認して整理することになります。
企業側で最初に確認しやすいのは、自社が重要インフラや基幹サービスに関係する事業者かどうか、所管省庁からどのような案内が出ているか、重要なシステム資産を台帳化しているかです。報告制度に関係する場合は、インシデント検知、初動対応、事業所管大臣・内閣総理大臣への報告、社内承認、証跡保存の流れをあらかじめ設計する必要があります。
官民連携と情報共有
サイバー対処能力強化法は、官民連携を重要な柱にしています。内閣官房資料では、協議会を設置し、構成員に対して守秘義務を伴う被害防止に資する情報を共有し、必要な資料提出等を求めることができる仕組みが示されています。また、電子計算機やプログラム等の供給者に対する脆弱性情報の提供や、必要な措置の要請に関する仕組みも説明されています。
官民連携は、政府から企業へ一方的に命令が出るというより、被害防止に必要な情報を集め、分析し、関係者に共有し、対策につなげる仕組みとして理解すると分かりやすくなります。サイバー攻撃は、個別企業だけで完結するものではなく、同じ脆弱性、同じ攻撃手法、同じ供給網を通じて複数の組織に影響することがあります。そのため、情報共有の速度と守秘の両立が制度上の重要な論点になります。
企業実務では、協議会への参加、所管省庁との連絡窓口、脆弱性情報の受領、取引先・ベンダへの展開、インシデント時の外部共有ルールを確認することが入口になります。情報を共有するときには、秘密情報、個人情報、通信情報、契約上の守秘義務との関係も整理する必要があります。法令上の義務と、サイバーセキュリティ実務上の情報共有を混同しないように、根拠と目的を分けて確認します。
通信情報の取扱いと監理委員会
同法では、重要電子計算機に対する国外通信特定不正行為による被害の防止のため、通信情報の取得や取扱いに関する制度も置かれています。内閣官房資料では、外外通信、外内通信、内外通信を対象に、サイバー攻撃に関係する通信情報を分析する制度や、自動選別、通信情報の取扱制限が説明されています。また、通信情報の利用の適正確保のため、サイバー通信情報監理委員会が審査・承認、検査、勧告等を行う仕組みが示されています。
通信情報の取扱いは、制度上特に慎重に読む必要がある分野です。法律の目的達成に必要な限度で権限を行使し、通信の秘密その他の権利・自由を不当に制限してはならないという考え方が示されています。企業担当者がこの記事を読む場面では、政府機関が行う通信情報の取得・分析そのものを自社で判断するのではなく、制度の全体像、監督の仕組み、協定に基づく情報提供の可能性、情報共有を受ける場面を確認することが中心になります。
通信情報に関係する制度は、技術的にも法的にも複雑です。ログ、IPアドレス、指令情報、通信内容、個人情報、秘密情報などが混同されやすいため、公式資料がどの情報を指しているかを丁寧に確認する必要があります。社内では、通信ログの保存、インシデント調査、外部提供、委託先管理、プライバシー対応を、情報セキュリティ部門と法務・コンプライアンス部門で連携して確認することが重要です。
企業が準備で確認すること
企業側の準備は、自社が法律上の特別社会基盤事業者に該当するかどうかだけで終わりません。重要インフラや重要な供給網に関係する企業では、重要システムの棚卸し、委託先・クラウド・ソフトウェア供給者の把握、インシデント報告の手順、所管省庁との連絡窓口、脆弱性対応、ログ管理、情報共有のルールを確認する必要があります。直接の報告義務対象でなくても、供給者や委託先として関係する場合があります。
特に確認したいのは、インシデントを認知した時点から誰が何を判断するかです。技術部門が検知し、CSIRTが初動対応し、法務が報告要否を確認し、経営層が外部公表や取引先通知を判断する場合、時間差や責任分担が問題になります。法律上の報告、個人情報保護法上の漏えい等報告、金融・重要インフラ分野の監督指針、契約上の通知義務が同時に関係することもあります。
施行に向けた詳細は、基本方針、施行令、省令、パブリックコメント結果、有識者会議資料で補われます。サイバー分野は制度更新が速いため、古い解説だけで判断せず、内閣府、内閣官房国家サイバー統括室、NISC、e-Gov法令検索、所管省庁の最新資料を確認することが重要です。
参考リンク
サイバー対処能力強化法を確認するときは、まず法律本文で目的、対象、報告制度、通信情報、監理委員会を確認し、次に内閣官房・内閣府の資料で施行準備や基本方針を確認する流れが読みやすいです。重要インフラに関係する場合は、国家サイバー統括室の重要インフラ対策資料も合わせて確認してください。