法令ガイド

リーガルトピック


2025 | 2024

第14号 【2026年4月から順次施行】能動的サイバー防御法(サイバー対処能力強化法・整備法)

文献番号 2026WLJLG002
Westlaw Japan コンテンツ編集部

 この記事では、重要電子計算機に対する不正な行為による被害の防止に関する法律(以下「サイバー対処能力強化法」とします。)及び重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律(以下「整備法」とします。)のうち、民間事業者に関するものを紹介します。

Ⅰ 概要

1.サイバー対処能力強化法及び整備法の概要

 2025年5月23日に公布されたサイバー対処能力強化法及び整備法は、かつて「能動的サイバー防御」に関連する法案として議論されてきたものです。
 この法律は、従来の「防御型」から一歩踏み込み、国がサイバー攻撃の未然防止や被害拡大防止のために能動的サイバー防御(Active Cyber Defense)を実施するための法的権限と体制を整備するものです。柱となるのは次の内容です(各図は、内閣官房国家サイバー統括室の資料「サイバー対処能力強化法及び同整備法について」(内閣官房国家サイバー統括室ウェブサイト)から抜粋)。

(1)官民連携の強化(基盤インフラ事業者等との情報共有、脆弱性対応の強化等)

サイバー対処能力強化法のうち、官民連携の強化について説明した資料

(2)通信情報の利用(攻撃検知のための通信情報の活用(官民協定及び同意なしの取得))

サイバー対処能力強化法のうち、通信情報の利用について説明した資料

(3)分析情報・脆弱性情報の提供等

サイバー対処能力強化法のうち、分析情報・脆弱性情報の提供等について説明した資料

(4)攻撃サーバーへの侵入・無害化(警察・自衛隊による攻撃サーバー(ボットネット等)への侵入・無害化)

サイバー対処能力強化法のうち、アクセス・無害化措置について説明した資料

(5)組織体制の整備(国家サイバー統括室(NCO)の設置等)

サイバー対処能力強化法のうち、組織体制の整備等について説明した資料

今後の施行スケジュールは次のとおりです。

~2026年11月頃(1年6ヶ月以内)

  • ・特定重要電子計算機の届出義務、インシデント報告義務の施行
  • ・重要電子計算機に対する不正な行為による被害の防止に関する法律の施行期日を定める政令案によれば、2026年10月1日が有力な施行日候補となっています。

※既存の設備については、施行日から6ヶ月以内に届け出る経過措置があります。

~2027年11月頃(2年6ヶ月以内)

  • ・当事者協定や通信情報の利用に関する規定の施行

※サイバー通信情報監理委員会の設置は2026年4月1日予定

2.対象となる主な民間事業者

(1)特別社会基盤事業者(基幹インフラ事業者)

 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(以下「経済安保法」とします。)で指定された電気、水道、通信、金融等15分野の事業者のうち、「特定重要電子計算機」を使用する事業者が該当します。実質的に、ほとんどの基幹インフラ事業者がこれに含まれると考えられます。この特別社会基盤事業者に課される義務については、下記3.をご覧ください。

(2)電気通信事業者

 通信キャリアやInternet Service Provider(ISP)等が該当し、国の要請に基づき通信情報の提供への協力が求められる可能性があります(下記4.参照)。

(3)基幹インフラ事業者が用いるシステムに関連する事業者

 基幹インフラ事業者にハードウェアやソフトウェアを提供するベンダーや、システムの保守運用を受託するSystem Integrator(Sier)、システムの前提となる機器又は装置のメーカー等のサプライチェーンも、脆弱性対応やインシデント報告への協力という形で間接的・直接的な影響を受けます(下記4.参照)。

3.基幹インフラ事業者(特別社会基盤事業者)の3つの対応義務

 基幹インフラ事業者には、経済安保法とは異なる新たな義務が課されます。これらは同法の「事前審査」とは異なる枠組みであり、実務的な負担増が予想されます。

(1)特定重要電子計算機の届出義務(事後届出)

 事業者は、「特定重要電子計算機」(そのサイバーセキュリティが害された場合に、特定重要設備の機能が停止し、又は低下するおそれがある一定の電子計算機)を導入又は変更した際、製品名や型番等を所管大臣に届け出る必要があります。留意点として、次のものが挙げられます。

a 対象範囲の拡大懸念

 「特定重要電子計算機」には物理的な設備だけでなく、クラウドサービス等のソリューションや、認証サーバー、VPN装置等も含まれる可能性があり、報告範囲が予想以上に広くなる可能性があります。特定重要電子計算機の詳細な定義は政令で定めることとされているため、今後の動向に注視しましょう。

b 事後届出

 経済安保法のような「事前審査」ではなく、「導入したとき」「変更があったとき」の事後届出となります。二重の事務負担とならないような運用調整が課題とされています。

c 運用の課題

 「特定重要電子計算機」の変更の中でも、軽微なものについては、届出が不要です。「軽微な変更」の基準が不明確な場合、アップデートのたびに届出が必要になるなど、業務が常態化するリスクが指摘されていますが、詳細は主務省令で定められる予定であるため、動向を注視しましょう。

d 罰則

 届出義務に違反し是正命令に従わない場合、200万円以下の罰金が科されます。また、届出義務に関して資料の提出等を求められたにもかかわらず、対応しない場合等は30万円以下の罰金が科される可能性があります。

(2)特定侵害事象(インシデント)の報告義務

 サイバー攻撃等により「特定重要電子計算機」のセキュリティが害された場合(特定侵害事象)、又はその原因となり得る一定の事象(ヒヤリハット等)を認知した際、国(事業所管大臣及び国家サイバー統括室)へ報告する義務が生じます。留意点として、次のものが挙げられます。

a 報告の基準

 マルウェア感染やDDoS攻撃(複数のコンピューターから同時に大量のトラフィックを対象のサーバーやネットワークに送りつけ、正常なサービスを停止させるサイバー攻撃)による機能停止だけでなく、ID・パスワードの窃取や、被害実害がなくとも痕跡がある場合等も報告対象になり得ます。

b 重複報告

 個人情報保護委員会への報告等、他法令との重複が生じる可能性があり、実務フローの整理が必要です。なお、現在は、インシデント報告の様式や窓口等を一元化する動きもある(「サイバー攻撃による被害発生時のインシデント報告様式の統一について」(国家サイバー統括室ウェブサイト)等参照)ため、こちらの動きも注視しながら、実務フローの見直しを行うとよいでしょう。

c 罰則

 インシデント報告義務に違反し是正命令に従わない場合、200万円以下の罰金が科されます。また、同義務に関して資料の提出等を求められたにもかかわらず、対応しない場合等には30万円以下の罰金が科される可能性があります。

(3)「当事者協定」(協議応諾義務)と通信情報の提供

 サイバー対処能力強化法の特徴的な仕組みとして、国が基幹インフラ事業者等と協定を結び、当該事業者から通信情報を取得する官民連携があります。概要を整理すると次のとおりです。(なお、サイバー通信情報監理委員会の承認を条件に、国が同意(協定)によらず通信情報を取得できる仕組みも新設されましたが、ここでは詳細は省きます。)

a 仕組み

 協定を締結した事業者が通信情報を国に提供し、国がそれ(特に国外から国内への「外内通信」)を分析してフィードバックします。

b 「任意」だが「協議義務」あり

 協定の締結自体は「任意」ですが、国から締結を求められた場合、正当な理由がない限り「協議に応じる義務」があります。これが「事実上の強制」になるのではないかという懸念が示されていますが、「第217回国会閣法第5号附帯決議」(衆議院ウェブサイト)では、締結しないことによる不利益取扱いを禁止する旨が確認されています。

4.ITベンダー・電気通信事業者への影響

 基幹インフラ事業者以外にも以下の対応が求められます。

(1)ITベンダー(脆弱性対応とサプライチェーン)

 政府が分析した結果、特定の機器やソフトに脆弱性が見つかった場合、その供給者(ベンダー)に対して対処措置の要請や報告・資料提出が求められることがあります。ベンダー側には「求めに応じるよう努める義務」が生じます。
 また、サプライチェーン攻撃のリスクが高まる中、発注元であるインフラ事業者の報告義務を果たすため、ベンダー側も調査協力等の契約上の対応が必要になる可能性があります。

(2)電気通信事業者(通信情報の活用)

 特定の深刻なサイバー攻撃に関与していると疑われる以下の通信等について、新設される「サイバー通信情報監理委員会(いわゆる3条委員会)」の承認を得た上で、事業者の同意なしで国が通信情報を取得する措置が取られる場合があり、これへの対応が必要になります。

a 外外通信(国外から国外への通信)

 日本を経由する攻撃通信について、実態把握が困難な場合、通信事業者は政府の設備へ通信情報を送信する措置を求められる可能性があります。

b 外内通信・内外通信(国内から国外への通信)

 サイバー攻撃に用いられている疑いがある特定の通信について、被害防止に不可欠な場合、同様に通信情報の提供措置が取られます。

5.企業として求められること

 まずは、ご自身の会社がこの法律の規制の対象になるか、確認しましょう。
 対象となる場合には、対応が必要となります。のチェックリスト等をご覧ください。

Ⅱ チェックリスト

1.ご自身の会社が特別社会基盤事業者(基幹インフラ事業者)に該当しますか?

2.基幹インフラ事業者(特別社会基盤事業者)の対応義務

3.最新情報に着目

 本法律についての詳細は、今後省令や指針等によりさらに具体化される予定です。このように、企業が対応しなければならない法改正等は、数多くなされており、対応するためには、まず、最新情報に触れることが重要です。最新ニュースや法令の情報等を把握し、折よく対応していくためには、Westlaw Japanがおすすめです。

*このチェックリストは、文中のリンクの他、末尾のリンクを参考に、一部、編集・加工等して作成しています。簡易化のため、適宜省略・加筆等していますので、詳細は下記リンク等をご参照ください。

(掲載日:2026年2月27日)
*この記事は作成・更新時点での情報を基に作成されています。

参考になる公式のリンク情報を紹介します。(順不同)

» 法令ガイド一覧

各記事の文中にある※印の法令や判例については、Westlaw Japan製品にログインしてご確認いただけます。
製品をご利用ではない方は「無料トライアルへのお申し込み」又は「ECサイトでのご契約」によりご覧いただけます。