icon-angleicon-facebookicon-hatebuicon-instagramicon-lineicon-linked_inicon-pinteresticon-twittericon-youtubelogo-not
SCROLL
TOP
Publications 著書/論文
ニュースレター

経済安全保障推進法に基づく特定社会基盤役務(基幹インフラ役務)の安定提供確保に関する基本指針の決定と実務上の留意点

NO&T International Trade Legal Update 国際通商・経済安全保障ニュースレター

NO&T Compliance Legal Update 危機管理・コンプライアンスニュースレター

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日(作成日)時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

1. 経済安全保障推進法の施行とその後の動き

 2022年5月11日に成立した、経済安全保障推進法(「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律」、以下「」といいます。同法の概要については「経済安全保障推進法の成立」(危機管理・コンプライアンスニュースレター第66号)をご参照ください。)において創設された4つの施策のうち、法第49条第1項に基づく特定妨害行為の防止による特定社会基盤役務の安定的な提供の確保に関する制度(以下「本制度」といいます。)についての基本指針(以下「本基本指針」といいます。)が、本年4月28日に閣議決定されました。また、同日に本基本指針に対する意見募集の結果(以下「パブコメ」といいます。)も公表されました。

 本基本指針は、本制度の運用に関わる基準や方針を定めており、本制度に関わる事業者、とりわけ基幹インフラ事業者や基幹インフラ事業者に機器・プログラム等を提供するベンダー等が理解しておくべき重要な内容を多く含みますので、本稿ではその概要といくつかのポイントをご紹介します。

 なお、2022年9月30日に閣議決定された特定重要物資の安定的な供給の確保に関する基本指針(サプライチェーンの強靱化)及び特定重要技術の研究開発の促進及びその成果の適切な活用に関する基本指針(先端技術に関する官民協力)の概要等については、「経済安全保障推進法に基づく基本方針・基本指針の策定」(危機管理・コンプライアンスニュースレター第69号)をご参照ください。

2. 基幹インフラ役務の安定提供確保の制度と本基本指針の概要

 本制度の目的は、国民生活・経済活動の基盤となる役務であって、安定的な提供に支障が生じた場合に国民の安全を損なうおそれがあるものが、外部から行われるサイバー攻撃その他の妨害行為等によって機能停止に陥ることを防ぐことにあり、その中核は、特定社会基盤事業者※1に指定された基幹インフラ事業者が特定重要設備※2の導入・維持管理等の委託を行う場合に、事前届出義務を課し、当局の審査を受けさせる事前届出審査制度です。

 事前届出審査制度は、外国為替及び外国貿易法に基づく対内直接投資等に係る事前届出審査制度に類似する形で設計されています※3。具体的には、事前届出後、一定の禁止期間(原則、届出受理日から起算して30日間)中は特定重要設備の導入等を禁止し、この禁止期間中に「特定重要設備が特定妨害行為(注:特定重要設備の導入等に関してわが国の外部から行われる特定社会基盤役務の安定的な提供を妨害する行為)の手段として使用されるおそれが大きいかどうか」という観点から審査が行われます。事業所管大臣は、審査結果に応じて、特定重要設備の導入等に際して必要な措置を講じることや導入等の中止の勧告や命令を行うことができます(同条第6項、第10項)。

 他方で、本制度は、特定社会基盤事業者への指定により基幹インフラ事業者がコストや機能等の観点からは採用したいはずの設備の使用を萎縮させる可能性や、特定社会基盤事業者に指定されなかった者との競争力に影響を与える可能性もあるなど、民間の経済活動の自由に影響を及ぼす可能性があります。また、後述のとおり、事前届出審査等への対応のために基幹インフラ事業者やベンダー等に生じる負担は大きくなる可能性があります。

 そのため、本制度の整備及び運用は、国家及び国民の安全と自由な経済活動のバランスに留意し、規制対象を安全保障確保の観点から真に必要なものに限定するとともに、関係する各事業の実態等を十分に踏まえて行われる必要があります。本基本指針は、このことを念頭に置いた上で、法第49条に基づき、特定妨害行為の防止による特定社会基盤役務の安定的な提供の確保に関する基本的な方向に関する事項等を明らかにしています。

 以下、本基本指針のうち、実務的に特に重要と考えられる事項について概説します。

(1) 特定妨害行為の考え方(本基本指針第1章)

 特定重要設備の導入等に関する事前届出審査においては、特定重要設備の導入等が「特定妨害行為」(法第52条第2項第2号ハ)の手段として使用されるおそれの有無の観点から審査が行われます。本基本指針は、特定妨害行為が以下の2つに類別されると説明しています。

  • ① 特定重要設備の機能を停止させ、又は低下させること自体をもって特定社会基盤役務の安定的な提供を妨害する行為
  • ② 特定重要設備の機能を維持したまま、当該特定重要設備を用いて特定社会基盤役務の安定的な提供を妨害する行為

 このような特定妨害行為には、サイバー攻撃等の電磁的な方法によるもの(コンピュータウイルス感染等による特定重要設備の機能停止や低下、情報の滅失や改ざん等)に限れず、物理的な方法によるもの(特定重要設備の物理的な破壊等)も含まれることが想定されています。

(2) 特定社会基盤事業者の指定に関する基本的な事項(本基本指針第2章)

 特定社会基盤事業者の指定は、主務省令で定める指定基準に該当する者について、特定社会基盤事業の状況や事業者が提供する役務の実態等を踏まえて、事業所管大臣が判断します。

 本基本指針において、特定社会基盤事業者の指定基準は、特定社会基盤事業を行う者の①事業規模(役務の利用者数、規模等)又は/及び②代替可能性(地理的事情、役務の特殊性等)を考慮し、事業ごとの実態を踏まえ、可能な限り予見性を確保した形で明確に定めることとされています。2023年2月の案※4によれば、例えば、①所有する発電設備の発電設備ごとの出力が50万kW以上の発電事業者、②登録・届出を要する電気通信事業者のうち、第一種指定電気通信設備を設置する者(当該者に県間通信に係る役務を提供する者を含む。)、国際海底ケーブルの回線数シェアが10%以上の者、5G開設計画の認定を受けた者、又はメッセージ交換サービスのうち、利用者数が6,000万人以上であってかつ公共サービスに利用されているものを提供する事業者、③預金残高10兆円以上、口座数1,000万口座以上又はATM台数1万台以上の銀行業者、④再保険料を除く保険金等支払金1.5兆円以上又は契約件数2,000万件以上の生命保険業免許を受けた保険業者、⑤元受正味保険金1兆円以上又は契約件数2,000万件以上の損害保険業免許を受けた保険業者、⑥クレジットカード等の会員契約数1,000万以上かつ年間取扱高4兆円以上の包括信用購入あっせん事業者等を指定する方向で検討が進んでいます。

 また、事業所管大臣は、特定社会基盤事業者が指定基準に該当しなくなったと認める場合には特定社会基盤事業者の指定を解除するとされていますが(法第51条)、本基本指針において、指定基準自体を不断に見直し、適当な期間ごとに、事業者の負担も踏まえながら指定基準への該当性を確認することとされました。

(3) 特定社会基盤役務の安定的な提供の確保にあたって配慮すべき事項(本基本指針第3章)

ア 特定重要設備の考え方

 「特定重要設備」(法第50条第1項)に該当する具体的な設備は、特定社会基盤事業の実態等を考慮して、今後主務省令で定められます※5

 特定重要設備に該当するプログラムの取扱いについては、本基本指針に特に明示的な記載があります。かかるプログラムを導入等した後、導入等計画書記載の機能に関わる変更(既存の機能の変更のほか、新たな機能の追加も含まれます。)を加える場合、原則、導入等計画書の変更の届出、新たな特定重要設備の導入の届出又は構成設備の変更の報告が必要です(下記(4)カを参照)。日常的なバグ修正等のアップデートを行う場合(本基本指針脚注5)のように、導入等計画書記載の機能に関係する変更を伴わない変更であれば、届出等は不要となりますが、具体的にどのような変更であれば届出等を不要と解釈してよいのか、今後の議論を注視する必要があります。

イ 重要維持管理等の考え方

 特定社会基盤事業者が他の事業者に委託して特定重要設備に係る維持管理又は操作のうち一定の行為(重要維持管理等)を行わせる場合、導入等計画書の届出が求められますが(法第52条第1項)、本基本指針により、①特定重要設備の維持管理とは、特定重要設備の機能を維持するため、その保守点検、機器・部品の交換、プログラムの更新を行うこと等をいい、②特定重要設備の操作とは、特定社会基盤役務を安定的に提供するため、特定重要設備を運用し制御する操作を行うこと等を意味することが明らかにされました。重要維持管理等の範囲としては、これらの維持管理又は操作のうち、特定重要設備の実態を踏まえた必要な範囲が主務省令にて定められる予定です。

ウ 再委託の対象範囲に関する考え方

 特定重要設備の重要維持管理等の再委託が行われる場合、再委託に関する事項として主務省令で定めるものを導入等計画書に記載する必要があるところ(法第52条第2項第3号ハ。下記(4)アを参照)、原則として、最終的に委託を受けた者までの情報を導入等計画書に記載する必要があります。

 ただし、再委託を行った者を確認すれば、以後の再委託を受けた者を確認せずとも審査が可能な場合(例えば、ベンダーが以後の再委託を受けた者を適切に管理していると認められる場合等)には、再委託を行った者までの情報を記載すれば足りることとなる可能性があります(他方で、本制度は、特定の事業者や機器を認証するものではないとされている点には留意が必要です(パブコメ54・159参照)。)。

 再委託に関する情報の記載は、基幹インフラ事業者やベンダー等にとって大きな負担となる可能性がありますし、自ら事前届出義務を負うわけではないベンダー等にとっては、再委託先等に情報協力を求める際の説明ぶり等に頭を悩ませる場面が出てくるものと思われます。再委託の対象範囲に関する詳細は、今後主務省令等において明らかになると思われますので、引き続き状況を注視しつつ対応を検討する必要があります。

(4) 特定社会基盤事業者に対する勧告及び命令に関する基本的な事項(本基本指針第4章)

ア 事前届出事項

 特定重要設備の導入及び重要維持管理等の委託に際して届出すべき導入等計画書の記載事項(法第52条第2項各号)について、本基本指針により具体的な内容が明らかになりました。その概要は以下のとおりです。

記載事項(条文) 記載内容 補足
特定重要設備の概要(法第52条第2項第1号) 特定重要設備の種類、名称、機能、設置及び使用する場所等 機能:特定重要設備の動作によって実現される特定社会基盤役務の提供にあたって不可欠な作用等
導入の内容/重要維持管理等の委託の内容(同項第2号イ/同項第3号イ)
  • 特定重要設備の導入の目的、導入に携わる事業者の名称等
  • 重要維持管理等の目的、行わせる業務内容、重要維持管理等の実施場所等
特定重要設備を導入するまでに経由する事業者(販売会社等)を含む
導入の時期/重要維持管理等の委託の時期又は期間(同項第2号イ/同項第3号イ)
  • 特定重要設備の導入に関する一連の行為(設計、開発、組立て、設置等)が完了し、役務の提供の用に供する時点
  • 重要維持管理等を行わせる時期又は期間(単発/反復、継続性等を考慮)
特定重要設備の供給者に関する事項/重要委託管理等の相手方に関する事項(同項第2号ロ/同項第3号ロ)
  • 供給者又は委託先を特定するために必要となる名称及び住所等の事項
  • 供給者又は委託先に対する我が国の外部からの影響の有無やその程度を評価するために必要となる事項
  • 供給者:特定重要設備として機能が充足された状態のものを製造又は供給する者
  • 本事項は、特定社会基盤事業ごとに主務省令で規定※6
特定重要設備の一部を構成する設備、機器、装置又はプログラムであって特定妨害行為の手段として使用されるおそれがあるものに関する事項(同項第2号ハ)
  • 構成設備の概要(種類、名称、機能等)
  • 当該構成設備の供給者の名称、住所等
  • 構成設備の供給者に対する我が国の外部からの影響の有無やその程度を評価するために必要となる事項
  • 供給者:構成設備が他の機器等と一体となっている場合は、構成設備と他の機器等を組み上げる供給者を含む
  • 本事項は、特定重要設備の実態等を踏まえて主務省令で規定
重要維持管理等の委託の相手方が他の事業者に再委託して重要維持管理等を行わせる場合にあっては、当該再委託に関する事項(同項第3号ハ)
  • 再委託の内容(業務内容等)
  • 再委託の時期又は期間
  • 再委託先に関する事項
  • 再委託:再委託された重要維持管理等の全部又は一部が更に委託されるものを含む
  • 本事項は、特定重要設備ごとに主務省令で規定
前3号に掲げるもののほか、特定重要設備の導入又は重要維持管理等の委託に関する事項 特定社会基盤事業者が自ら講ずるべき特定重要設備が特定妨害行為の手段として使用されるおそれを低減させるための有効な措置(以下「リスク管理措置」といいます。)等 本事項は、主務省令で規定

 導入等計画書の記載事項には、ベンダー等から取得する必要がある情報が含まれますが、ベンダー等から提供された情報に基づく記載内容に誤りがあった場合には、その内容等に応じて、導入等計画書の再提出等が求められ、審査がやり直される可能性があります(パブコメ158等参照)。

 また、事前届出後も、事情の変更により、特定重要設備の検査又は点検の実施、特定重要設備の重要維持管理等の委託の相手方の変更その他の特定妨害行為を防止するため必要な措置をとるべきことが勧告される場合もあり、勧告に従わない場合には同旨の命令が行われる可能性があります(法第55条、第52条第7項、同条第8項)。

 なお、本制度の運用開始前に完了した特定重要設備の導入等※7については、事前届出義務はありません。

イ 導入等の禁止期間

 導入等計画書の届出受理日から起算して30日を経過する日までは、特定社会基盤事業者は、当該導入等計画書に係る特定重要設備の導入又は重要維持管理等を行うことができませんが(法第52条第3項)、本基本指針において、禁止期間が短縮され得る場合として、過去に審査を終えたものと同様の内容の導入等計画書の届出を行った場合や、届出前に事前相談を行っており審査に必要な情報をあらかじめ提供している場合等が挙げられています。

ウ 審査にあたっての考慮要素

 事業所管大臣は、導入等計画書の届出に対して特定妨害行為の手段として使用されるおそれが大きいかどうかを審査するところ(法第52条第4項)、本基本指針において、以下の考慮要素が示されました。

  • ① 特定社会基盤事業者が導入等を行おうとする特定重要設備の供給者等が我が国の外部にある主体から強い影響を受けているかどうか
  • ② 特定社会基盤事業者が導入等を行おうとする特定重要設備について、特定社会基盤役務の安定的な提供が妨害されるおそれに関する評価を自ら行い、その結果に応じて、リスク管理措置を講じているかどうか
  • ③ 特定社会基盤事業者が導入等を行おうとする特定重要設備について、その供給者等が供給する特定重要設備及び構成設備に関する製品に対して脆弱性が指摘された例、その供給者等が実施する重要維持管理等に対して不適切性が指摘された例及びその供給者等に対して我が国の法令や国際的に受け入れられた基準等の不遵守等が指摘された例
  • ④ 上記①から③までのほか、特定重要設備の導入等又は特定重要設備の供給者等に関して特定重要設備が特定妨害行為の手段として使用されるおそれに関する事項(例えば、我が国及び同盟国・同志国に対する妨害行為に関与したとの指摘がなされている場合等)

 上記①に関して考慮される事実関係として、ベンダー等の資本構成や役員構成等が想定されますので、導入等計画書の様式又は事前届出審査のプロセスにおいて当局からこれらの情報の提供を求められる可能性があります。この点、特にベンダー等が上場会社である場合、適時に資本構成の詳細を把握することが実務的に困難(少なくとも負担が大きい)と思われること等を踏まえて、審査の実効性を確保しつつも、ベンダー等に過度な負担が生じないよう、提供が求められる情報の粒度等にも配慮した運用が行われることが望ましいと思われます。

エ リスク管理措置

 上記ウのとおり、リスク管理措置は審査の考慮要素の一つであるところ、本基本指針において、リスク管理措置の例が示されています。なお、リスク管理措置は、リスクの内容及び程度に応じて講じられるべきものであり、全ての措置を講ずることまでは求められていません。また、特定社会基盤事業者等の主体的な取組みも、適切に評価するとされています。リスク管理措置に関する実務上の留意点は、下記4(2)及び5(3)をご参照ください。

特定重要設備の導入 重要維持管理等の委託 管理体制の確認
  • ① 不正な変更を防止するために必要な管理+契約等による担保
  • ② 保守・点検者を踏まえた供給者の選定
  • ③ 不正な妨害の兆候を把握可能な体制+不正な妨害が生じた場合でも役務の提供に支障を及ぼさない構成
  • ① 意図しない変更を防止するために必要な管理+契約等による担保
  • ② サイバーセキュリティ対策の実施状況を確認するために必要な情報が再委託先から特定社会基盤事業者に提供される体制+再委託の事前承認を契約等により担保
  • ③ 委託先が契約に反して役務の提供を中断又は停止するおそれがないかを確認
  • ① 供給者や委託先(再委託を含む。)が法令や国際基準等を遵守しているかを確認
  • ② 重要維持管理等の適切性について、外国の法的環境等により影響を受けるものではないことを確認
  • ③ 供給先や委託先から、我が国の外部からの影響を判断するに資する情報が受けられることを契約等により担保

オ 導入等前の勧告及び命令

 事業所管大臣は、特定重要設備が特定妨害行為の手段として使用されるおそれが大きいと認められるときは、特定社会基盤事業者に対して導入等計画書の内容の変更その他の特定妨害行為を防止するため必要な措置を講ずること又は特定重要設備の導入若しくは重要維持管理等の委託の中止を勧告することができ、勧告に従わない場合には同旨の命令が行われる可能性があります(法第52条第5項、第10項)。本基本指針において、かかる勧告及び命令は、その他の対応によっては特定重要設備が特定妨害行為の手段として使用されるおそれを低減できない場合(例えば、計画の中止に至らない有効かつ現実的な防止措置が見当たらない場合等。パブコメ136参照)等、合理的に必要と認められる限度において行うことが明確にされました。

カ 導入等計画書の変更

 事前届出後、特定重要設備の導入・重要維持管理等の開始前又は重要維持管理等の期間終了前に導入等計画書の内容を変更する場合、変更の届出又は報告が必要です(法第54条)。本基本指針も踏まえて変更に際して必要な対応等を整理すると、下表のとおりとなります(重要性等に係る具体的な基準は今後主務省令で定められます。)。

変更の内容 必要な対応 備考
重要な変更(特定重要設備等の供給者の変更等) 導入等計画書の変更案の事前届出 緊急やむを得ない変更の場合、例外的に事後届出も可能
軽微な変更(特定重要設備等の供給者の国内における住所の変更等) 特段対応不要
上記以外の変更 変更内容の事後報告

キ 導入後の勧告及び命令

 特定重要設備の導入等の後においても、国際情勢の変化その他の事情の変更により、特定重要設備が特定妨害行為の手段として使用され又は使用されるおそれが大きい場合には、事業所管大臣は、特定重要設備の検査又は点検の実施、特定重要設備の重要維持管理等の委託の相手方の変更その他の特定妨害行為を防止するため必要な措置をとるべきことを勧告することができ、勧告に従わない場合には同旨の命令が行われる可能性があります(法55条第1項、第3項、第52条第10項本文)。

(5) 特定妨害行為の防止による特定社会基盤役務の安定的な提供の確保に関し必要な特定社会基盤事業者その他の関係者との連携に関する事項(本基本指針第5章)

 政府及び省庁は、特定妨害行為の具体例や望ましいリスク管理措置の具体例等について、関係者への適切な情報提供等を行うことが明記されています(同章第1節)。基幹インフラ事業者、ベンダー等のいずれにおいても、当局が発信する情報も収集しながら、適切に連携して対応することが重要です。

 また、本基本指針において、事前相談のための相談窓口が設置されることが記載されています(同章第2節)。事前相談で審査に必要な情報を提供すれば、導入等の禁止期間が短縮される可能性がありますので、特に本制度の運用開始初期には、適宜事前相談を活用して、円滑に導入等を行えるようにすることが安全な対応といえます。

3. 本制度に関する今後の動き

 本制度は、2024年春頃に運用が開始される見込み※8ですが、今後も、本基本指針を踏まえて、今後政令や主務省令で定められることとされている事項が明確化・具体化されるとともに、Q&Aやガイドラインの作成・公表が予定されていますので(下図参照)、継続的に本制度の動きをフォローすることが重要です。

4. 基幹インフラ事業者にとっての実務上の留意点

(1) サプライチェーン管理の必要性の増大

 上記2(4)アのとおり、導入等計画書における供給者に関する事項として、特定重要設備の導入までに経由する事業者(販売会社等)の記載が求められます。特定社会基盤事業者に指定された基幹インフラ事業者においては、特定重要設備の商流を適切に把握する必要があり、これまで以上にサプライチェーンの管理が重要となります。

 特に委託関係が多層化している場合、基幹インフラ事業者が自ら情報収集できる範囲には限界があり、ベンダー等から情報提供を受けなければ商流を把握できない場面も少なくないと思われます。かかる必要性に対応すべく、ベンダー等との契約内容を見直すなどして、かかる情報提供を確保するよう手当することが考えられます。

(2) リスク管理措置の検討

 特定社会基盤事業者に指定された基幹インフラ事業者においては、事前届出審査を円滑に済ませてスムーズに導入等を行うべく、審査において有意義と認めてもらえるリスク管理措置とはどのようなものであり、そのような措置は現実的に可能なものなのか、適宜検討する必要があります。

 この点については、対内直接投資等に係る事前届出審査のプロセスに関して、外国投資家が事前届出書において誓約する遵守事項に関する実務運用が参考になります。対内直接投資等に係る事前届出審査では、審査の過程において、当局が安全保障上の懸念があり得ると判断した場合であっても、外国投資家が一定の事項を遵守する限りにおいて、その懸念が払拭されると認められるときには、外国投資家が当該事項の遵守を事前届出書において誓約することにより、当局が審査を終了する実務運用となっています。外国投資家は、事前届出審査における当局の反応等を見ながら、当局の懸念を解消するために過不足ない遵守事項を誓約することになります。

 導入等計画書の事前届出審査との関係で意味のあるリスク管理措置を検討するに当たっても、当局の懸念を具体的に理解した上で、その懸念を払拭するために十分な措置が何なのかを考える必要があります。具体的には、特定重要設備等の性質・用途等に照らして、万一特定妨害行為の手段として使用される具体的な場面を想定した上で、その場面が現実に発生する可能性やその場合の事態の重大性、自らやベンダー等において実務的に取り得る措置の範囲等も加味して、具体的な措置の内容を検討することになります。この検討では、審査を担当する当局の懸念を把握するために当局への事前相談等を活用することも有用ですが、他方で、当局の懸念を保守的に意識しすぎて過度に厳しいリスク管理措置を講じ、ビジネス上の支障等を生じさせないように気を配ることも肝要です。当局の懸念の払拭と事業上の合理性等のバランスを取るべく、想定される当局の懸念を理解するための経済安全保障の知見があり、かつビジネスへの理解もある弁護士等のアドバイザーに相談することも一案でしょう。

(3) 価格への不当な転嫁の防止

 事業所管大臣は、特定社会基盤役務の安定的な提供の確保に必要な負担について、特定社会基盤事業者から特定重要設備のベンダー等に対する不当な転嫁が行われることがないようにするなど、適切な監督等を通じ、特定重要設備のベンダー等に過度な負担が生じないよう取り組むこととされています(本基本指針第3章第3節)。

 どのような「転嫁」が「不当な転嫁」に当たるかは個別の事例に即して判断されることになりますが、例えば、立場上ベンダーに対して優位にある特定社会基盤事業者が、導入等届出書の作成に当たって必要となる事務経費やリスク管理措置を追加で実施する際の経費等の全てをベンダーから調達する特定重要設備の価格に転嫁する行為等は、不当な転嫁に当たる可能性があるとされています(パブコメ59参照)。

 一方、例えば、特定社会基盤事業者が本制度への対応に当たってベンダーにリスク管理措置の実施を求めた場合に、ベンダーが当該リスク管理措置の実施に係る費用を特定社会基盤事業者に請求するとき、導入等計画書の作成・届出の義務の主体が特定社会基盤事業者であることから、特定社会基盤事業者が当該費用を負担することは直ちに不当な転嫁に当たるものではないとされています(パブコメ60・61参照)。

 以上を踏まえると、当局は、導入等届出書の作成やリスク管理措置等の費用は基幹インフラ事業者が負担することを基本線としつつ、ベンダーとの間の合意によってどこまでベンダーに費用負担を求めることが合理的かという発想に立っていると思われます。基幹インフラ事業者とベンダーが負担割合等を協議する場合には、この点を意識して行われることになると考えられます。

5. ベンダーにとっての実務上の留意点

(1) ベンダーに関する機微情報の取扱い

 導入等計画書においては、ベンダーが保有する特定重要設備・構成設備に関する機微な技術情報等や営業秘密等の記載が求められる可能性があります。この点、ベンダーに関する機微情報を基幹インフラ事業者に提供することが困難である場合、基幹インフラ事業者を経由せずに、直接事業所管大臣に提出することができるよう配慮することになっています。具体的な運用は今後検討される予定です(パブコメ85等参照)が、この点はベンダーにとって特に重要な事項となりますので、引き続き動向を注視する必要があります。

 なお、パブコメ85を前提とすれば、複数の基幹インフラ事業者に対して同一の機能を有する設備を提供する場合(いわゆるカタログ製品の提供はこれに該当すると考えられます。)には、かかる配慮を受けられない可能性があります。パブコメ85は、このような場合に常に配慮を受けることができないという見解を示したものではないと思われますが、この点に関しても今後の議論をフォローする必要があります。

(2) 再委託先等の管理

 重要維持管理等の委託についても、原則として最終的に委託を受けた者までの情報を導入等計画書に記載する必要があります(上記2(3)ウ参照)。上記2(4)アのとおり、ベンダーが提供した情報に誤りがあると、それにより審査がやり直しとなり、導入等のスケジュールにも大きな影響が生じる可能性があります。万一このような事態となれば、顧客である基幹インフラ事業者に迷惑がかかるだけでなく、ベンダーのビジネスにも支障が生じますから、ベンダーにおいても、自らの再委託先及び以後の再委託を受けた者等を適切に把握しておくことが重要です。

 この点、設備の維持管理・操作等においてアウトソーシングサービスやASP、クラウド等のサービス形態を利用しているベンダーも少なくないと思われますが、これらのサービスを提供する事業者についても(再)委託先に関する事項等として導入等計画書への記載が求められることに注意が必要です(パブコメ55参照)。なお、クラウドサービスに関する考え方を含む一部の事項については、今後、技術的な解説の作成及び公表等が予定されていますので、これらの動向をフォローして対応することが求められます。

(3) 基幹インフラ事業者の事前届出やリスク管理措置等への協力

 特定重要設備のベンダーや重要維持管理等の(再)委託先は、法に基づいて直接に義務を負うことは基本的に想定されていません※9が、上述したように、基幹インフラ事業者が導入等計画書の作成・届出等の義務を履践したり、適切なリスク管理措置を講じたりするためにベンダーの協力が必要となる場合が多いと思われますので、基幹インフラ事業者を顧客とするベンダーの負担も相応に生じることが予想されます。

 特定社会基盤事業者に求められるリスク管理措置の例は上記2(4)エのとおりですが、特に、複数種類の特定社会基盤事業に関連する特定重要設備を供給するベンダーは、基本的に単一の事業所管省庁(の単一の部署)とのみやりとりすることが多いと思われる基幹インフラ事業者と異なり、複数の事業所管省庁(又は一つの事業所管省庁の複数の部署)の意向が全てカバーできるように対応する必要がありますので、より頭を悩ませる場面が出てくると思われます。各省横断的に定めるべき事項は本基本指針により示されていますが(パブコメ178等)、具体的な審査を含めた実務運用は、特定社会基盤事業等に関する専門性や知見等に応じて事業所管省庁の各部署がそれぞれの判断において行うものと見込まれます。そのため、ベンダーとしては、各事業所管省庁の懸念等をまとめてカバーできるリスク管理措置等を考えることが求められる可能性があります。

 また、特定重要設備等への不正な変更を防止するための必要な管理は「契約等により担保している」ことが求められ、事前届出審査のプロセスにおいて、当局から根拠資料として当該「契約等」の提出を求められる可能性があります(パブコメ121参照)。この点、現在の取引実務では、基幹インフラ事業者とベンダーの間で、当事者の合意内容を書面化した契約書のような形ではなく、簡易な説明資料や、場合によっては口頭での申し合わせ等によってセキュリティ要件等を取り決めているケースが少なくないと思われますが、今後の実務運用次第では、根拠資料の提出が要請されることを見越して、審査に耐え得るために必要な書面化を行うことも検討に値すると思われます。

6. おわりに

 本基本指針では、導入等計画書の記載事項の内容、審査にあたって考慮する要素等、法だけを見ても明らかではなかった本制度の中核部分について重要な指針が示されましたので、基幹インフラ役務に携わる事業者は、2024年春頃の運用開始に向けて本基本指針の内容をしっかりと理解しておくことが重要です。また、上述したとおり、本制度には政令及び主務省令において具体化される点も多いため、今後も立法動向を注視する必要があります。

 特に、基幹インフラ事業者を顧客とするベンダー等においては、今後、自らは直接には事前届出義務等を負わない中での対応について難しい判断を求められる場面が出てくると思われます。例えば、特定社会基盤事業者である顧客が導入等計画書を届け出るにあたって、ベンダーに対して、営業秘密の提供や追加のリスク管理措置の実施を求めてきた場合に、この要請が法に基づいて受け入れざるを得ないものなのか、それとも、顧客との協議等によって負担を分担・回避できるものなのかといった点を整理・理解しておくことが重要となります。このような点について法解釈や実務が固まるにはある程度時間を要すると思われますので、少なくとも当面は専門的知見のある弁護士に法解釈のアドバイスを求めつつ対応を模索する必要があると考えられます。

脚注一覧

※1
事前届出義務を負う「特定社会基盤事業者」とは、「特定社会基盤事業」を行う者のうち、その使用する特定重要設備の機能が停止又は低下した場合に、その提供する特定社会基盤役務の安定的な提供に支障が生じ、これによって国家や国民の安全を損なう事態を生ずるおそれが大きいものとして主務省令で定める基準に該当する者として主務大臣が指定する者をいいます(法第50条第1項)。「特定社会基盤事業」は、電気、ガス、石油、水道、鉄道、貨物自動車運送、外航貨物、航空、空港、電気通信、放送、郵便、金融、クレジットカードの14分野の事業のうち、国民生活や経済活動の基盤となる役務であって、その安定的な提供に支障が生じた場合に国家や国民の安全を損なう事態を生ずるおそれがあるもの(特定社会基盤役務)の提供を行うものとして政令で指定されます(同項)。

※2
「特定重要設備」は、特定社会基盤事業の用に供される設備・機器・装置・プログラムのうち、特定社会基盤役務を安定的に提供するために重要であり、かつ、我が国の外部から行われる特定社会基盤役務の安定的な提供を妨害する行為の手段として使用されるおそれがあるものであり、具体的には主務省令で定められます(法第50条第1項)。

※3
事前届出審査を経て行った特定重要設備の導入等であっても、その後の事情により特定妨害行為防止のために必要な措置の実施を勧告・命令される可能性があるなど、対内直接投資等に係る事前届出審査のプロセスと一部異なる点があります(下記(4)キ参照)。

※4
内閣官房・内閣府「特定社会基盤役務の安定的な提供の確保に関する制度における特定社会基盤事業・特定社会基盤事業者の指定基準の考え方(案)」2023年2月(https://www.cas.go.jp/jp/seisaku/keizai_anzen_hosyohousei/r5_dai5/siryou8.pdf

※5
特定重要設備に該当する例として、①その機能が停止又は低下すると、役務の提供ができない事態を生じ得る設備、②その機能が停止又は低下すると、役務の提供は停止しないが、役務が備えるべき品質・機能等が喪失又は低下した状態を生じ得る設備、③その機能が停止又は低下すると、役務の提供を直接阻害するものではないが、安定的な提供の継続を阻害し得る設備が挙げられています。

※6
本基本指針では、供給者に関する事項の例として、①供給者の名称、住所、設立国(法人の設立に当たって準拠した法令を制定した国。以下同じ。)、②一定割合以上の議決権保有者の名称、国籍、保有割合、③役員の氏名、国籍、④外国政府等との取引高が一定割合以上である場合の当該国名及び割合、⑤設備の製造場所が挙げられています。また、委託先に関する事項の例として、①委託の相手方の名称、住所、設立国、②一定割合以上の議決権保有者の名称、国籍、保有割合、③役員の氏名、国籍、④外国政府等との取引高が一定割合以上である場合の当該国名及び割合、が挙げられています。なお、「一定割合以上」の具体的な数値や「役員」の範囲等については、主務省令等において具体化される見込みです(パブコメ76・77も参照)。

※7
ただし、特定重要設備の供給契約が締結済であることだけでは導入完了済と評価されません。また、本制度の運用開始後の特定重要設備の変更が新たな導入に当たる場合や重要維持管理等の委託契約の更新がある場合は事前届出の対象となります(パブコメ147・148参照)。

※8
内閣官房・内閣府「特定妨害行為の防止による特定社会基盤役務の安定的な提供の確保に関する基本指針(案)の概要」2023年2月(https://www.cas.go.jp/jp/seisaku/keizai_anzen_hosyohousei/r5_dai5/siryou6.pdf

※9
パブコメ64においても、「供給者等に対しても、機微な情報以外の情報も含め、法令等で情報の提出義務があることを明確にしない限り、協力を得ることは難しく、実効性が担保できるか疑問」であるとの意見に対して、特定社会基盤事業者は導入等計画書の作成・届出義務を負っていることを踏まえた協力を供給者等に求めていくものと考えている旨の回答がなされています。

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。


全文ダウンロード(PDF)

Legal Lounge
会員登録のご案内

ホットなトピックスやウェビナーのアーカイブはこちらよりご覧いただけます。
最新情報をリリースしましたらすぐにメールでお届けします。

会員登録はこちら

弁護士等

国際通商・経済制裁法・貿易管理に関連する著書/論文

危機管理/リスクマネジメント/コンプライアンスに関連する著書/論文

決定 業務分野を選択
決定