経済安全保障推進法 基幹インフラ範囲拡大2026｜中堅企業へのサプライチェーン波及と実務対応

経済安全保障推進法と基幹インフラ規制の位置づけ

経済安全保障推進法（経済安保推進法、2022年成立／2023〜2024年段階施行）は、経済活動を通じた安全保障上のリスクから日本を守るため、(1)サプライチェーン強靱化、(2)基幹インフラの安全性確保、(3)先端技術開発支援、(4)特許出願の非公開化、の4本柱で構成される国家戦略法です。

このうち中堅企業に最も影響が大きいのが「基幹インフラの安全性確保」で、対象事業者が「特定重要設備」を導入する際の事前審査制度を定めています。2024年に港湾運送業が追加され15分野になり、2026年以降もデータセンター・クラウド事業者・サイバーセキュリティサービスなどへの拡大議論が継続しています。基幹インフラ事業者本人だけでなく、彼らに機器・SaaS・部品・運用サービスを納入するサプライチェーン側の中堅企業にも影響が降りてくる構造です。

対象15分野（2026年5月時点）

各分野で「特定社会基盤事業者」として個別指定された事業者が、特定重要設備の導入・委託時に事前届出を要する仕組みです。2026年以降、データセンター・クラウド事業者、サイバーセキュリティ関連サービス、衛星・宇宙関連等への拡大議論が継続しています。

特定重要設備とは

「特定重要設備」とは、基幹インフラの中核を成す設備で、機能停止や悪用が安全保障上の重大な影響を及ぼし得るものです。一般に以下のカテゴリが該当します。

• 基幹システム：顧客管理、業務基幹、決済処理、運行制御等の中核ITシステム
• ネットワーク機器：基幹通信ルータ、コアスイッチ、SDN／SD-WAN機器
• サーバー・データセンター設備：基幹サーバー、ストレージ、HCI
• 制御システム：SCADA、DCS、PLC（業種により）
• セキュリティ機器：FW、IDS／IPS、SIEM／SOAR、ID管理（業種により）
• クラウドサービス：基幹システムを稼働させるIaaS／PaaS／SaaS

事前審査のプロセス

基幹インフラ事業者が特定重要設備を導入する場合、以下のフローを踏みます。

1. 導入計画の作成：設備の仕様、用途、供給者、構成部品、委託先、運用体制
2. 主務大臣への届出：所管省庁への事前届出（30日前まで）
3. 主務大臣による審査：安全保障リスクの評価（最大30日、必要に応じ最大4か月）
4. 変更勧告・命令：リスクがあれば、設備変更・サプライヤ変更等の勧告／命令
5. 定期報告：導入後の運用状況、変更点の報告

審査ではサプライヤ（ベンダー）の外国資本比率、技術者の出身、サプライチェーンの透明性、サイバーセキュリティ管理、有事の対応能力が重点的に評価されます。

サプライチェーン側中堅企業への波及

規制の直接対象ではないサプライヤ側（IT機器ベンダー、SaaS提供者、SIer、保守委託先、部品供給者）にも、以下の負担が降りてきます。

• 取引先である基幹インフラ事業者から、事前審査の照会票に回答する義務
• 出資構造・株主構成・実質的支配者の開示
• 主要技術者・運用担当の経歴・国籍情報
• サプライチェーン構成（部品・OSS・委託先）の開示
• サイバーセキュリティ管理体制の証跡提供
• 有事対応プロセス（インシデント報告、迅速復旧）の整備状況
• 定期的な体制レビューへの応諾

中堅企業の7ステップ実務対応

ステップ1：取引棚卸し（Day 1〜15）

• 15分野の基幹インフラ事業者との取引一覧化
• 取引対象が「特定重要設備」に該当する可能性の評価
• 過去・現在・将来の見込みを分類

ステップ2：自社体制の現状把握（Day 16〜30）

• 出資構造・株主構成・実質的支配者の整理
• サプライチェーン構成（部品・OSS・委託先）のマッピング
• 主要技術者・運用担当の経歴・国籍情報の収集
• 情シス・調達・法務・人事の連携体制

ステップ3：サイバーセキュリティ管理の整備（Day 31〜60）

• ISO 27001、CSMS、CMMC等の認証取得・更新
• EDR／SIEM／SOC体制の確認
• サプライチェーン攻撃対策（SBOM管理、コード署名、第三者監査）
• パッチ管理・脆弱性管理プロセスの文書化

ステップ4：有事対応プロセス（Day 31〜60）

• インシデント発生時の取引先通報プロセス
• 迅速復旧体制（人員・予備設備・契約）
• BCP／DR計画の更新と訓練
• 政府機関への報告経路の整理

ステップ5：照会対応窓口の設置（Day 45〜60）

• 経済安保照会の単一窓口（法務／経営企画／コンプラ部署）
• 標準回答ドキュメントの整備
• NDA下で開示可能な情報・範囲の事前定義
• 顧客向け「経済安保対応ブック」の作成

ステップ6：契約条項の見直し（Day 60〜90）

• 新規・更新契約への経済安保条項追加（協力義務、情報開示、監査受入れ）
• 下請け・委託先契約の連鎖的整備
• サプライチェーン変更時の通知義務

ステップ7：継続モニタリング（Day 90〜）

• 年1回の体制レビュー
• 新規取引先の経済安保適格性スクリーニング
• 規制動向（対象分野拡大、特定重要設備の追加）の追跡
• 従業員研修（経済安保リテラシー、機密情報取扱い）

関連制度との関係

サイバー対処能力強化法は 能動的サイバー防御法（2026年）、SCS関連は サイバー対処能力強化法 解説 もご覧ください。

社内体制：4部署連携が必須

経済安保対応は、単独部署では完結しません。

• 経済安保・コンプラ担当（リード）：規制動向、対外窓口、社内取りまとめ
• 法務：契約条項、規制解釈、NDA管理
• 情シス・セキュリティ：サイバー体制、認証維持、インシデント対応
• 調達・購買：サプライヤ評価、サプライチェーン透明化
• 人事：技術者バックグラウンド管理、研修
• 経営企画：出資構造管理、株主管理

中堅企業では「経済安保推進委員会」のような横串組織を作るのが現実的。月1回の定例会議で課題共有を行うのが最低ラインです。

2026〜2027年の規制動向

• 対象分野拡大：データセンター・クラウド事業者、サイバーセキュリティサービス、衛星通信、宇宙インフラへの追加議論
• 特定重要設備の追加指定：AI／生成AI関連、量子暗号、5G／6Gコア機器等
• サプライチェーン審査の精緻化：SBOM義務化、第三者監査の標準化
• セキュリティクリアランス対象拡大：民間中堅企業への適用拡大
• 能動的サイバー防御法との連携：基幹インフラ事業者への通信モニタリング条項適用

FAQ

Q1：基幹インフラ事業者ではないので関係ない？

A：直接対象でなくても、サプライヤとして基幹インフラに納入していれば書類提出・体制整備を求められます。サプライチェーン側に降りる審査が拡大中。

Q2：対象15分野は？

A：電気、ガス、石油、水道、鉄道、貨物自動車運送、外航貨物、航空、空港、電気通信、放送、郵便、金融、クレジットカード、港湾運送（2024年追加）。

Q3：特定重要設備の事前審査とは？

A：基幹インフラ事業者が中核設備導入時に主務大臣へ事前届出。供給者・部品・委託先・出資・サイバー対策が審査されます。

Q4：ベンダー側で何を準備すべき？

A：出資関係整理、技術者管理、サプライチェーン透明化、サイバー管理体制、有事対応、照会窓口の6点が標準。

Q5：セキュリティクリアランス制度との関係は？

A：別制度だが、政府調達で同時に問われる。経済安保コンプライアンス体制として統合整備が効率的。

まとめ

経済安全保障推進法の基幹インフラ規制は「対象事業者だけのもの」ではなく、サプライチェーン側の中堅企業にも実務上の影響が及ぶ段階に入っています。2026年内に対象分野拡大議論が継続することを踏まえると、現時点で対象でない企業も出資構造の整理、サプライチェーン透明化、サイバー管理体制、照会対応窓口の4点を先に整えておくのが賢明です。これらはISMAP対応、SCS評価制度、能動的サイバー防御法など隣接制度への対応にも横展開でき、1つの体制整備で複数の規制要件をカバーできます。今後、政府調達と基幹インフラ取引で「経済安保対応の証跡」が事実上のビジネス条件になるため、先行投資の意義が大きい領域です。