第723号コラム:「サイバーセキュリティと経済安保推進法」

第723号コラム:北條 孝佳 理事(西村あさひ法律事務所、弁護士)
題:「サイバーセキュリティと経済安保推進法」

1 経済安全保障
近時、「経済安全保障」に注目が集まっています。
政府は、2020年4月、経済分野における国家安全保障上の課題に対する必要な取組を推進するため、内閣官房国家安全保障局に経済班を設置し、2021年6月18日に、「経済財政運営と改革の基本方針2021」を閣議決定し、「経済安全保障の確保等」として、今後、施策を推進していく上で必要となる制度整備を含めた措置を講ずるべく、検討を進める方針を決定しました*1。また、同年10月に、経済安全保障担当大臣を設置するとともに、同年11月に、第1回経済安全保障推進会議を開催し、「経済安全保障法制に関する有識者会議」を設置しました。そして、2022年2月1日、同有識者会議から「経済安全保障法制に関する提言」が公表されました*2。

「経済安全保障」は、筆者も技術検証部会の委員として参画したLINE社が提供するLINEアプリの問題として、2021年10月18日、Zホールディングス株式会社から公表されました最終報告書において、「LINE社においてガバメントアクセスへのリスク等の経済安全保障への適切な配慮ができていなかったこと」と明記され、注目を集めました*3。前述の有識者会議からの提言や同報告書の中では「経済安全保障」の定義には触れていませんが、2022年5月11日、国会において成立しました第208回国会閣第37号「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律」(以下「経済安保推進法」といいます。)第1条では、目的の中で以下のように記載されています。
++++++++++++
国際情勢の複雑化、社会経済構造の変化等に伴い、安全保障を確保するためには、経済活動に関して行われる国家及び国民の安全を害する行為を未然に防止する重要性が増大していることに鑑み、経済施策を一体的に講ずることによる安全保障の確保の推進に関する基本的な方針を策定する
++++++++++++

また、第208回国会参第5号「総合的経済安全保障施策推進法案」第1条では、経済安全保障施策について、以下のように定義されています。
++++++++++++
我が国の安全保障が、防衛、外交、経済、科学技術、文化等の各分野の施策を総合的に講ずることによって確保されるものであるとともに、国際情勢の複雑化、社会経済構造の変化等に伴い我が国の安全保障を確保するための経済分野の施策
++++++++++++

さらに、否決されましたが第208回国会衆第10号「経済安全保障に関する諸施策の実効的かつ総合的な推進に関する法律案」第2条では、以下のように定義されていました(2022年4月7日衆議院否決)。
++++++++++++
「経済安全保障」とは、経済施策を一体的に講ずることによる安全保障の確保をいう
++++++++++++

このような定義・目的から考えますと、「経済安全保障」は、国際情勢が変化している中、経済と安全保障を切り離すことはおよそ不可能であることから、国家及び国民の安全を害する行為を未然に防止するために、経済施策と一体となって安全保障を確保することと考えられます。

本コラムで言及するサイバーセキュリティに関しては、前述の「経済安全保障法制に関する提言」から、次のようにまとめられます。
基幹インフラ事業を含む、あらゆる経済活動の領域がサイバー攻撃の対象となっており、サプライチェーンの過程で設備に不正機能が埋め込まれるなどのリスクが高まっています。安全を脅かす被害の発生を未然に防止するため、これまでのサイバーセキュリティ対策を推進するとともに、基幹インフラの安全性・信頼性を確保するための取組として、設備の導入等が行われる前にリスクを把握・排除する必要があります。一方、私的自治の原則のもと事業者の経済活動の自由として、自らの経営判断において行われるものでもあるため、過度に制約しないよう配慮することが重要です。そのため、国家及び国民の安全と、事業者の経済活動の自由とのバランスが取れた制度にする必要があることになります。

2 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律
(1)概要
2022年5月11日に成立しました経済安保推進法は、幅広く経済安全保障の確保を推進するため、5つの章立てが設けられており、①基本方針、②重要物資の安定的供給、③基幹インフラ役務の安定的供給、④先端技術の開発支援、⑤特許出願の非公開とされています。このうち、②から⑤が本法律の4本柱になります。

特に、サイバーセキュリティに関係する点として、③基幹インフラ役務の安定的供給があります。これは、基幹インフラの重要設備が外部から行われる役務の安定的な提供を妨害する行為の手段として使用されることを防止するため、重要設備の導入・維持管理等の委託の事前審査、勧告・命令等をすることとなっています。この防止には、前述の提言等からもサイバーセキュリティの確保が含まれることになります。

(2)特定社会基盤事業者(基幹インフラ事業者)
経済安保推進法の審査対象となる事業者は、「特定社会基盤事業」と「特定社会基盤事業者」から構成されます。
「特定社会基盤事業」とは、特定の事業のうち、特定社会基盤役務の提供を行うものとして政令で定めるものをいいます(同法50条1項)。特定社会基盤役務とは、「国民生活及び経済活動の基盤となる役務であって、その安定的な提供に支障が生じた場合に国家及び国民の安全を損なう事態を生ずるおそれがあるもの」とされています。
特定の事業としている分野には、例えば、特定の電気事業やガス事業、電気通信事業、金融事業等があり、よく聞く「重要インフラ」とは重なる分野もありますが、異なる分野もある点に留意する必要があります。
「特定社会基盤事業者」とは、「特定社会基盤事業」を行う者のうち、その使用する「特定重要設備」の機能が停止又は低下した場合に、その提供する特定社会基盤役務の安定的な提供に支障が生じ、これによって国家及び国民の安全を損なう事態が生ずるおそれが大きいものとして主務省令で定める基準に該当する者を、主務大臣が「特定社会基盤事業者」として指定することができるとされています(同法50条1項)。「特定重要設備」には、設備、機器、装置又はプログラムも含まれます。

このように、「特定社会基盤事業」の具体的な範囲は政令で定められ、「特定社会基盤事業者」も指定の基準が主務省令で定められることとなっており、その上で、規制対象となる「特定社会基盤事業者」は主務大臣が指定することになるため、法律が成立しましたが、自社への影響が十分に評価できないことになります。これは、自社が営む事業が「特定社会基盤事業」に該当する場合であっても、必ずしも自社が規制対象には含まれない場合もありますので、今後策定される政省令等に注視する必要があります。

(3)特定社会基盤事業者(基幹インフラ事業者)に対する審査
規制対象となる特定社会基盤事業者が特定重要設備の導入又は特定重要設備の維持管理等(以下「重要維持管理等」といいます。)の委託を行うにあたっては、原則として事前に導入等計画書の届出が求められ、安全保障の観点から審査を行うこととなっています(同法52条1項)。この特定重要設備(同法50条1項)や重要維持管理等(同法52条1項)についての詳細は主務省令で定めることとされています。
導入等計画書には、特定重要設備の概要、特定重要設備の導入の内容及び時期のほか、特定重要設備の一部を構成する設備やプログラム等のうち、特定妨害行為の手段として使用されるおそれがあるものに関する事項、重要維持管理等の委託の内容や相手方に関する事項などを記載する必要がありますが、詳細は主務省令で定められることになっています(同法52条2項)。ここで、特定妨害行為とは、「特定重要設備の導入又は重要維持管理等の委託に関して我が国の外部から行われる特定社会基盤役務の安定的な提供を妨害する行為」をいいます(同項2号ハ)。

審査は事前届出を受理してから行われ、①特定妨害行為の手段として使用されるおそれなし、②①のおそれありとして事業者に対する変更・中止の勧告、③事業者が勧告に応諾して変更・中止する、③'事業者が勧告に応諾せず変更・中止しない、④③'をしないため事業者に対する変更・中止命令があります。事業者が勧告に応じるか否かの返答は10日以内に行う必要があります(同法52条7項)。
審査期間は原則として、導入等計画書の届出を受理してから30日であり、場合により短縮や延長(最大4カ月)が可能ですが、前述のように特定妨害行為の手段として使用されるおそれが大きいかどうかを審査します(同法52条3項及び4項)。このおそれが大きいと認められるときは、特定妨害行為を防止するための必要な措置を勧告し、勧告に応諾しない事業者に対しては、正当な理由がなければ変更又は中止命令をすることができます(同条10項)。

(4)特定重要設備の導入等後
特定重要設備の導入や重要維持管理等の委託を行った後であっても、主務大臣が、特定妨害行為の手段として使用され、又は使用されるおそれが大きいと認められれば、必要な措置をとるよう勧告をすることができ(同法55条1項)、勧告への応諾がない又は応諾しないことに正当な理由がなければ変更又は中止命令をすることができます(同条3項、52条10項)。また、勧告に応じるか否かの返答は10日以内に行う必要があります(同法55条3項、52条7項)。

(5)罰則
届出をせずに又は虚偽の届出をして特定重要設備の導入や重要維持管理等を行わせたとき、命令に違反したときなどの場合は、2年以下の懲役若しくは100万円以下の罰金又はこれを併科されます(同法92条1項各号)。

(6)施行時期
「特定社会基盤事業者」の指定については公布後1年6か月以内(附則1条3号)、勧告や命令を含む審査制度については公布後1年9カ月以内(同条4号)に施行されることとなっています。

3 まとめ
経済安保推進法における基幹インフラ役務の安定的供給についての説明をしましたが、詳細は主務省令で定めることとされているため、どのような事業者が特定社会基盤事業者として指定されるかや、どのような導入等計画書を提出するのかといった点は明らかではありません。また、審査は書面のみで行われる可能性が高く、その場合には基幹インフラ事業者が認識していない、機器に入り込んだマルウェアやマルウェア類似のプログラムを検出することはできないため、主務大臣(実際は現場担当官)による実効性のある審査がどのように行われるかについても課題があるといえるでしょう。
サイバーセキュリティの確保だけが重要というわけではありませんが、各種データや当該データを処理するシステム、これらを接続するネットワークを保護する必要があることを考えれば、基幹インフラ役務の安定的供給にとっての重要課題であることは間違いありません。
経済安保推進法が成立し、サイバーセキュリティの確保を含めた経済安全保障がどのように確保されるのか、今後の動向に注視する必要があります。

*1 2021年6月18日、内閣府「経済財政運営と改革の基本方針2021」

*2 2022年2月1日、内閣官房国家安全保障局経済安全保障推進会議「経済安全保障法制に関する提言」

*3 2021年10月18日、Zホールディングス株式会社「グローバルなデータガバナンスに関する特別委員会 最終報告書」

【著作権は、北條氏に属します】