title: "能動的サイバー防御「サイバー対処能力強化法」2026年施行:自社が報告義務の対象になるかを見極める" slug: "active-cyber-defense-law-2026" description: "能動的サイバー防御を制度化したサイバー対処能力強化法(重要電子計算機に対する不正な行為による被害の防止に関する法律)の3本柱を経営・情シス視点で整理。自社が届出・インシデント報告の対象になるかの判定フローと、施行までの逆算準備をまとめます。" lead_summary: "新たな届出義務とインシデント報告義務が課されるのは、まず経済安全保障推進法に基づき指定された特定社会基盤事業者(基幹インフラ15分野)です。委託先・サプライチェーン中小も間接的に影響を受けます。自社が直接の義務者か、契約を通じた波及先かをまず切り分けることが出発点です。" date: "2026-06-28" updatedAt: "2026-06-28" category: "コンプライアンス" tags: ["能動的サイバー防御", "サイバー対処能力強化法", "基幹インフラ", "インシデント報告義務", "サプライチェーン", "経済安全保障", "GXOトレンド"] author: "GXO株式会社"
能動的サイバー防御「サイバー対処能力強化法」2026年施行:自社が報告義務の対象になるかを見極める
結論:まず「直接の義務者」か「契約を通じた波及先」かを切り分ける
能動的サイバー防御を制度化した「サイバー対処能力強化法」(正式名称=重要電子計算機に対する不正な行為による被害の防止に関する法律、令和7年法律第42号)は、2025年5月16日に成立し、同年5月23日に公布されました(成立・公布日は内閣官房の公表による)。法律の附則では、一部を除き「公布の日から起算して1年6月を超えない範囲内において政令で定める日」から施行すると定められていました。その施行期日を定める政令が2026年3月に閣議決定・公布され、主要規定の施行日は2026年10月1日に確定しています(一部の組織規定は先行施行)。
この法律で新たに「重要電子計算機の届出義務」と「インシデント報告義務」を課されるのは、まず**経済安全保障推進法に基づいて指定された特定社会基盤事業者(いわゆる基幹インフラ15分野の事業者)**です。一般の中小企業が一律に報告義務を負うわけではありません。一方で、有識者会議の提言は「製品ベンダその他サプライチェーンに関与する全ての者が連携してサイバーセキュリティの確保に努める」ことを求めており、基幹インフラの委託先・再委託先・ITベンダーは、契約を通じて間接的に対応を求められる立場になります。
したがって企業がまず行うべきは、自社が「①直接の義務者(特定社会基盤事業者本体)」「②義務者の委託先・サプライチェーン(契約経由の波及先)」「③現時点では直接の対象外」のどれに当たるかを切り分けることです。本記事はその判定軸と、施行までの逆算準備を経営・情シス視点で整理します。
なお、本記事は制度の全体像と企業の備えを解説するものであり、個別の指定状況や届出・報告の要否についての最終的な適用判断は、所管省庁の告示・主務省令の確認と、顧問弁護士・専門家への相談を前提としてください。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
サイバー対処能力強化法とは何か:受動から能動への転換
これまでの日本のサイバーセキュリティ施策は、攻撃を受けた後に防御・復旧する「受動的」な対応が中心でした。サイバー対処能力強化法と、関連法を一括改正する整備法(重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律、令和7年法律第43号)は、重大なサイバー攻撃のおそれがある段階で被害を未然に防ぐ「能動的サイバー防御」を制度として導入するものです。
法律は大きく次の柱で構成されます。本則を新設するサイバー対処能力強化法が「官民連携の強化」と「通信情報の利用」を、警察官職務執行法・自衛隊法など15の現行法を束ねて改正する整備法が「アクセス・無害化措置」と「組織・体制の整備」を担います。
法律の構成(4本柱)
| 柱 | 主な内容 | 企業(民間)との接点 |
|---|---|---|
| Ⅰ 官民連携の強化 | 基幹インフラ事業者への重要電子計算機の届出義務・インシデント報告義務、情報共有・対策のための協議会の設置、脆弱性対応の強化 | 最も直接的に企業義務が発生する柱。届出・報告・協議会参加 |
| Ⅱ 通信情報の利用 | 基幹インフラ事業者等との協定(同意)に基づく通信情報の取得、同意によらない取得、機械的な選別、サイバー通信情報監理委員会による事前審査・継続的検査 | 通信事業者・基幹インフラとの協定。独立機関による監督が前提 |
| Ⅲ アクセス・無害化措置 | 重大な危害を防止するための警察による措置、内閣総理大臣の命令による自衛隊の通信防護措置(整備法による警職法・自衛隊法改正) | 実施主体は国(警察・自衛隊)。企業が自ら行う措置ではない |
| Ⅳ 組織・体制整備等 | サイバーセキュリティ戦略本部の改組・機能強化、内閣サイバー官の新設 | 政府側の司令塔強化。民間は情報提供・連携の相手方 |
ここで企業視点の要点は明確です。民間企業に新たな手続き義務が生じるのは主にⅠ(官民連携の強化)の領域であり、Ⅱの通信情報の取得やⅢのアクセス・無害化措置は、独立した監視機関や国の機関が担う枠組みです。「自社のサーバーに国が勝手に侵入してくる」という漠然とした不安が報じられがちですが、無害化措置の実施主体は警察・自衛隊であり、その発動には監理委員会の事前承認等の手続きが置かれています。企業がまず点検すべきは、Ⅰの届出・報告に自社が該当するかどうかです。
誰が「直接の義務者」になるのか:基幹インフラ15分野
届出義務・インシデント報告義務の名宛人となる「基幹インフラ事業者」とは、経済安全保障推進法(令和4年法律第43号)に規定される特定社会基盤事業者を指します。対象事業は、2024年の改正で港湾運送が追加され、現在は次の15分野です。
基幹インフラ(特定社会基盤)15分野
| 区分 | 対象事業 |
|---|---|
| エネルギー | 電気、ガス、石油 |
| 生活基盤 | 水道、郵便 |
| 運輸・物流 | 鉄道、貨物自動車運送、外航貨物、港湾運送、航空、空港 |
| 情報・通信 | 電気通信、放送 |
| 金融・決済 | 金融、クレジットカード |
重要なのは、これら15分野に属していれば自動的に義務者になるわけではない、という点です。経済安全保障推進法の枠組みでは、事業規模などの基準に照らして主務大臣が指定した事業者が特定社会基盤事業者となります。自社が15分野の業種であっても、指定の有無は所管省庁の基準・告示で確認する必要があります。ここが「業種で判断してしまう」最初の落とし穴です。
直接の義務者に課される主な義務
- 重要電子計算機の届出:基幹インフラ事業者が重要電子計算機(一定の設備)を導入したときは、その製品名・製造者名その他主務省令で定める事項を事業所管大臣に届け出る(第4条)。届け出を受けた大臣は内閣総理大臣に通知する。
- インシデント報告:不正アクセス行為等により重要電子計算機のサイバーセキュリティが害されたこと、またはその原因となり得る一定の事象を認知したときは、主務省令で定めるところにより、事業所管大臣および内閣総理大臣に報告する(第5条)。
- 協議会への参加:内閣総理大臣は、被害防止のため、重要電子計算機を使用する者等(同意した者に限る)を構成員とする協議会を設置できる(第9章・第45条)。構成員には守秘義務が課される一方、被害防止に資する情報の共有を受けられる。
これらに関連する主な罰則として、インシデント報告等を行わず是正命令を受けてもなお対応しない場合は200万円以下の罰金(第83条)、報告に関し資料を提出しない・虚偽の報告や資料提出をした場合は30万円以下の罰金(第84条)、行政機関や協議会構成員等による秘密の不正な利用・漏えいには2年以下の拘禁刑または100万円以下の罰金(第82条)が定められています(条文は参議院の立法調査資料による整理)。
なお、届出やインシデント報告の具体的な範囲・様式・期限は主務省令に委ねられており、その整備が現在進行中です。解説系の情報では省令の公布時期を施行に先立つ時期とする見方がありますが、確定時期は公式の公布をもって確認する必要があります(省令の具体時期は二次情報として扱います)。
「直接対象外」でも無関係ではない:委託先・サプライチェーンへの波及
ここからが、本記事が最も伝えたい論点です。自社が特定社会基盤事業者に指定されていなくても、基幹インフラの委託先・再委託先であれば、契約を通じて実質的な対応を求められます。
法律上の届出義務・報告義務は基幹インフラ事業者本体に課されます。しかし、インシデントの起点や重要電子計算機の運用・保守が委託先・ITベンダーに存在することは珍しくありません。基幹インフラ事業者が国への報告義務を果たすためには、委託先で起きた事象を遅滞なく把握できる体制が前提になります。その結果、次のような形で中小・ベンダーに波及します。
- 基幹インフラ事業者から、委託契約・保守契約にインシデント発生時の即時通報条項・協力義務条項が新設・追補される
- 重要電子計算機の構成情報(製品名・製造者名等)の提供を、委託先・供給者として求められる
- セキュリティ要件(ログ保全、連絡体制、復旧手順)の水準引き上げや、定期的な点検・報告を契約で課される
- 取引継続の条件として、一定のセキュリティ成熟度の証明を求められる
GXOの分析:本制度の「真の対象範囲」は契約条項で広がる
本制度を読み解く上での独自の着眼点として、「法律の義務者の数」と「実際に対応を迫られる企業の数」は一致しないことを指摘します。直接の名宛人は指定された特定社会基盤事業者に限られますが、その一社一社が数十〜数百の委託先・供給者を抱えるため、国の報告義務を担保しようとすると、要件はサプライチェーンを通じて下流へ伝播します。過去の委託先起点の重大インシデント(医療・自治体・製造の事例)が示すように、攻撃者は本体ではなく相対的に防御の薄い委託先を狙います。制度が「基幹インフラの委託先のセキュリティ水準」を実質的な論点に押し上げる以上、自社が指定対象でないことは「安心の根拠」ではなく「契約交渉で要求される側になる」というシグナルとして読むべきです。
ただし、波及の具体的な範囲・水準は最終的に発注者と受注者の契約および主務省令の内容に依存します。この点は法的断定を避け、自社の取引先の業種・指定状況を起点に個別に確認することをお勧めします。
対象判定フロー:自社はどの立場か
次のフローで、自社の立ち位置を切り分けてください。
- 自社の事業は基幹インフラ15分野に該当するか?
- いいえ → 次のステップ「3」へ(委託先としての波及を確認)
- はい → 2へ
- 経済安全保障推進法に基づき特定社会基盤事業者として指定されているか(所管省庁の基準・告示で確認)?
- はい → 【類型①:直接の義務者】 届出・インシデント報告・協議会対応の準備が必要
- いいえ/不明 → 所管省庁・顧問弁護士に指定要否を確認。指定がなければ類型③だが、3も併せて確認
- 基幹インフラ事業者(15分野の指定事業者)と、システム運用・保守・SaaS提供・データ処理等で取引があるか?
- はい → 【類型②:委託先・サプライチェーン】 契約改定・通報体制・要件引き上げへの備えが必要
- いいえ → 4へ
- 取引先のさらに上流に基幹インフラ事業者がいる(再委託・多層下請)か?
- はい → 【類型②に準ずる】 上位の要求が降りてくる前提で最低限の体制整備を
- いいえ → 【類型③:現時点で直接の対象外】 ただし制度水準は実務標準化する可能性が高く、基礎的対策は前倒しが望ましい
立場別チェックリスト
類型①:直接の義務者(特定社会基盤事業者)
- 重要電子計算機に該当し得る設備の棚卸し(製品名・製造者名・導入時期)
- 届出の社内フロー(誰が・いつ・どの様式で事業所管大臣へ)の設計
- インシデント認知から国への報告までの判断基準・連絡経路・時限の整備
- 委託先・供給者からの一次報告を吸い上げる契約・運用の整備
- 協議会参加時の守秘義務に対応する情報管理(クリアランス・アクセス制御)
- 省令確定後の様式・期限への適合確認
類型②:委託先・サプライチェーン
- 主要取引先に基幹インフラ事業者が含まれるかの取引先マッピング
- 既存契約のインシデント通報条項・協力義務条項の有無と内容の確認
- 自社のログ保全・連絡体制・復旧手順が「即時通報」に耐えるかの点検
- 発注者からの要件引き上げに先回りした脆弱性管理・運用監視の整備
類型③:現時点で直接の対象外
- 将来の取引拡大・指定対象との取引開始に備えた基礎的セキュリティの確保
- 業界標準化を見据えた、最低限のインシデント対応手順の文書化
施行までの逆算カレンダー
施行期日政令により確定した施行日(2026年10月1日)から逆算した準備の目安です。各義務の詳細な手続は今後公布される主務省令に依存するため、確定後に内容の見直しが必要です。
| 時期の目安 | やること |
|---|---|
| 施行の約6か月前 | 自社の対象類型(①②③)の判定。取引先マッピングと指定状況の確認に着手 |
| 施行の約4〜5か月前 | (類型①)重要電子計算機の棚卸しと届出フロー設計。(類型②)契約条項の棚卸し |
| 省令公布の前後 | 主務省令で固まる「届出事項・報告様式・期限」に自社運用を合わせ込む |
| 施行の約2〜3か月前 | インシデント認知→国/発注者への報告の机上演習(誰が判断し、何分以内に、どこへ) |
| 施行の約1か月前 | 委託契約・保守契約への通報条項反映、関係者への周知、連絡網の最終確認 |
| 施行後 | 初動の運用ログを取り、報告判断のばらつきを是正。協議会・情報共有の活用 |
逆算で最も重要なのは、省令で確定する細目(届出事項・報告期限・様式)を待ってから動くのでは間に合わない点です。棚卸し・取引先マッピング・契約点検は省令の内容に左右されにくいため、施行を待たずに前倒しで進められます。GXOでは、現状のセキュリティ体制が「即時通報」「ログ保全」「報告判断」に耐えるかを点検するセキュリティ全般の取り組みや、外部からの侵入経路を洗い出す脆弱性診断(vulnerability assessment)から着手することをお勧めしています。
制度対応を「やり切る」体制:GXOにできること
この法律への対応は、一度の対策で終わるものではありません。届出・報告の義務は継続し、委託先からの一次報告を吸い上げ、インシデント認知から時限内に判断・報告する運用が常時求められます。情シス部門だけで抱えるには負荷が大きく、属人化しやすい領域です。前提として守るべき重要電子計算機とその弱点を脆弱性診断で把握し、平時の対象判定・契約整備・報告フロー設計から、インシデント発生時の初動対応(incident response)までを継続的なセキュリティ顧問・運用支援(security retainer)で伴走する形が、罰則リスクと事業停止リスクの双方を下げます。
最終的な適用判断(自社が特定社会基盤事業者に該当するか、届出・報告の要否、契約条項の妥当性)は、所管省庁の告示・主務省令と顧問弁護士・専門家の確認を前提としてください。GXOは法的判断そのものを代替するものではなく、判断を下すための技術的な体制整備・点検・運用を支援します。
よくある質問(FAQ)
Q1. うちは中小企業ですが、いきなり国への報告義務を負うのですか? A. 届出・インシデント報告の直接の義務者は、経済安全保障推進法に基づき指定された特定社会基盤事業者(基幹インフラ15分野の指定事業者)です。一般の中小企業が一律に義務を負うわけではありません。ただし、それらの事業者の委託先・ITベンダーであれば、契約を通じて通報や協力を求められる可能性が高い点に注意が必要です。
Q2. 施行日は2026年10月1日で確定ですか? A. はい。法律の附則は「公布の日(2025年5月23日)から起算して1年6月を超えない範囲内で政令で定める日」から施行する(一部を除く)と定めており、その施行期日を定める政令が2026年3月に閣議決定・公布されたことで、主要規定の施行日は2026年10月1日に確定しています。ただし、各義務の具体的な手続は今後公布される主務省令で定まるため、運用の詳細は省令の確認が必要です。
Q3. 「アクセス・無害化措置」で、政府がうちのサーバーに入ってくるのですか? A. アクセス・無害化措置は整備法による警察官職務執行法・自衛隊法等の改正に基づくもので、実施主体は警察・自衛隊です。発動には独立機関であるサイバー通信情報監理委員会の事前承認等の手続きが置かれています。企業が自ら行う措置ではなく、また民間に課される届出・報告義務とは別の柱です。
Q4. 何から準備すればよいですか? A. まず本記事の対象判定フローで自社の類型(①直接義務者/②委託先・サプライチェーン/③現時点で対象外)を切り分けてください。次に、重要設備の棚卸し(類型①)または取引先マッピングと契約点検(類型②)を、省令の確定を待たずに前倒しで進めるのが現実的です。
Q5. 罰則はどの程度ですか? A. 参議院の立法調査資料の整理によれば、インシデント報告等を行わず是正命令にも従わない場合は200万円以下の罰金(第83条)、虚偽報告・資料の不提出等は30万円以下の罰金(第84条)、秘密の不正利用・漏えいは2年以下の拘禁刑または100万円以下の罰金(第82条)などが定められています。金額以上に、報告遅延が事業停止・信用毀損につながるリスクを重く見るべきです。
この記事を読むべき人・相談すべきタイミング
基幹インフラ15分野に属し指定の有無が判断つかない経営・情シス、大手との取引で契約のセキュリティ要件引き上げを打診され始めたベンダー・中小、施行前にインシデント報告体制の属人化を解消したい組織は、早めの着手が有効です。対象判定と棚卸しは省令確定前から進められるため、迷う段階でのDX成熟度診断から現在地を把握するのが、最も後戻りの少ない進め方です。
出典
- 内閣官房「サイバー安全保障に関する取組(能動的サイバー防御の実現に向けた検討など)」 https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/index.html (法律の正式名称・成立日2025年5月16日・公布日2025年5月23日。公式)
- 参議院常任委員会調査室・特別調査室 柿沼重志「能動的サイバー防御の導入 ―サイバー対処能力強化法案及び整備法案の概要と主な論点―」『立法と調査』2025年4月 No.474 https://www.sangiin.go.jp/japanese/annai/chousa/rippou_chousa/backnumber/2025pdf/20250414003.pdf (4本柱の構成、基幹インフラ15分野、第4条届出義務・第5条報告義務、協議会、サイバー通信情報監理委員会、罰則第82〜84条、附則の施行期日。立法府の公式調査資料)
- 経済安全保障推進法(経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律、令和4年法律第43号)に基づく特定社会基盤事業者の定義。港湾運送の追加(2024年改正、2025年4月1日施行)を含む。
- 日本経済新聞「サイバー対処能力強化法10月施行 社会インフラ関連企業に新たな義務」 https://www.nikkei.com/article/DGXZQOUC071KC0X00C26A5000000/ (施行日2026年10月1日は施行期日政令により確定。各義務の手続を定める主務省令の公布時期は今後の確認が必要)
- 補足の解説(施行スケジュール・省令時期・委託先への波及の実務的解釈)は keiyaku-watch.jp、PwC Japan、NRIセキュア等の二次情報を参照。確定情報は政令・主務省令の公布で確認のこと。
