法律の概要
サイバー対処能力強化法(正式名称:重要電子計算機に対する不正な行為による被害の防止に関する法律)は、2025年5月に成立・公布され、公布日から1年6ヶ月以内(2026年中)に施行予定の法律です。一般に「能動的サイバー防御法」とも呼ばれます。
国家安全保障戦略(2022年12月閣議決定)で示された「能動的サイバー防御」の実現に向け、政府と民間事業者の連携強化、通信情報の取得・利用等を定めています。
制定の背景
- 国家レベルのサイバー攻撃の増加(重要インフラ、政府機関への攻撃が深刻化)
- サプライチェーンを経由したサイバー攻撃の拡大
- 従来の「受動的防御」だけでは対処困難な高度な脅威への対応
- 欧米諸国と比較した日本のサイバー対処能力の不足
主な内容
| 項目 | 内容 |
|---|---|
| 官民連携の強化 | サイバーセキュリティ協議会を発展的に改組し、官民の情報共有体制を強化 |
| 基幹インフラ事業者の義務 | 特定重要電子計算機の届出義務、インシデント報告義務を新設 |
| 通信情報の取得・利用 | サイバー攻撃の検知・分析のために必要な範囲で通信情報を活用できる仕組み |
| サイバー通信情報監理委員会 | 通信情報の取得・利用を監視する独立機関を設置(2026年4月1日設置) |
基幹インフラ事業者の義務
- 特定重要電子計算機の届出:国の安全保障に重大な影響を及ぼし得るシステムの届出義務
- インシデント報告義務:サイバーインシデント発生時の政府への報告義務(経済安全保障推進法の事前審査に加え、事後的な報告義務が追加)
- 対象業種:電気、ガス、石油、水道、鉄道、航空、電気通信、放送、郵便、金融、クレジットカード、港湾運送、空港 等
一般企業への影響
直接的な義務は基幹インフラ事業者が中心ですが、以下の間接的な影響があります。
- サプライチェーン上の要求:基幹インフラ事業者が取引先にもセキュリティ対策を要求する可能性
- 重要インフラに関するシステムを開発・運用するIT事業者:セキュリティ要件が厳格化
- 情報共有への参加:官民連携の協議会を通じた脅威情報の共有に参加できる可能性
まとめ
サイバー対処能力強化法は2026年中に施行予定の、日本のサイバーセキュリティ体制を大きく変える法律です。基幹インフラ事業者にはインシデント報告義務が新設され、そのサプライチェーン上の企業にも間接的な影響が及びます。