「うちは指定事業者じゃないから関係ない、と思っていたら、取引先から事前審査の質問書が回ってきた」――中堅企業で増えている相談だ。 経済安全保障推進法の基幹インフラ事前審査は、指定された特定社会基盤事業者だけでなく、その委託先・サプライヤーまで間接的に影響する制度設計である。本記事は中堅企業の関与パターンと社内整備のポイントを整理する。所管省庁の公表資料・専門家相談を前提とする。
目次
- 基幹インフラ事前審査制度の全体像
- 対象 14 業種と中堅企業の関与パターン
- 事前審査の対象設備と届出フロー
- サプライチェーン記載と委託先質問書
- 審査結果と勧告・命令
- 罰則と社会的影響
- 中堅企業の社内体制チェックリスト
- よくある質問(FAQ)
基幹インフラ事前審査制度の全体像
経済安全保障推進法は複数の柱で構成されており、基幹インフラ事前審査はそのうちのひとつである。導入された背景には、特定社会基盤に対するサプライチェーンを通じたリスクへの対処がある。
中堅企業の関与は「指定事業者本体」より「委託先・サプライヤー」としての関与の方が圧倒的に多い。
対象 14 業種と中堅企業の関与パターン
法令上、事前審査の対象となる「特定社会基盤事業」は複数業種が指定されている。具体的な対象事業者の指定は所管省庁の公表に基づき継続的に更新されるため、最新情報は公式情報を確認のこと。
| 業種カテゴリ(概要) | 中堅企業の典型関与 |
|---|---|
| 電気・ガス | 設備・部材サプライヤー、保守委託 |
| 通信・放送 | ネットワーク機器・SI ベンダ |
| 鉄道・物流 | 運行管理・保守 SI |
| 航空・港湾 | システム・保守 |
| 金融・クレジット | システム開発・保守、SaaS |
| 医療・水道 | 公共系 SI、医療システム |
| 行政情報 | 行政向け SI |
事前審査の対象設備と届出フロー
| ステップ | 内容(概要) | 留意点 |
|---|---|---|
| 1. 対象設備の特定 | 重要設備の導入・委託の予定 | 範囲は所管省庁ガイドライン参照 |
| 2. 計画書の作成 | 設備内容・サプライチェーン | サプライヤー情報含む |
| 3. 届出 | 所管省庁への届出 | 期限は対象により異なる |
| 4. 審査 | 30 日(必要に応じ延長) | 追加資料要請あり |
| 5. 結果通知 | 勧告・命令の有無 | 不服申立手続きあり |
サプライチェーン記載と委託先質問書
中堅企業が直面する典型的な実務は「指定事業者から事前審査用の質問書が送られてくる」ケースである。
| 質問書で問われる項目(典型例) | 整備すべき社内情報 |
|---|---|
| 自社所在地・株主構成 | 登記情報、株主名簿 |
| 提供する設備・サービスの内容 | 製品仕様書、サービス記述書 |
| 設備の製造国・部品調達先 | 部品表(BOM)、調達先一覧 |
| ソフトウェア構成・OSS 一覧 | SBOM、ライセンス一覧 |
| 保守要員の所属・拠点 | 委託先一覧、要員管理台帳 |
| データの保管・処理拠点 | データ所在地マップ |
審査結果と勧告・命令
| 結果 | 内容 | 影響 |
|---|---|---|
| 問題なし | 計画通り実施可能 | 通常進行 |
| 勧告 | 計画変更の勧告 | 指定事業者で対応、サプライヤー巻き込みあり |
| 命令 | 勧告に従わない場合等 | 取引中止リスク |
罰則と社会的影響
| 違反類型 | 罰則の概要 | サプライヤー影響 |
|---|---|---|
| 命令違反 | 罰則対象 | 取引先信用毀損 |
| 虚偽報告 | 罰則対象 | 取引中止、業界評判低下 |
中堅企業の社内体制チェックリスト
「規制対応の社内体制を整えたいが、どこから手を付ければいいか分からない」
コンプライアンス対応の現状診断と移行ロードマップ策定を提供します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
よくある質問(FAQ)
Q. 自社が指定事業者ではない場合、何もしなくて良いですか? A. 自社が指定事業者でなくても、取引先が指定事業者であれば質問書経由で間接的に対応が必要となるケースがある。重要顧客の業種を確認することが出発点となる。
Q. SBOM がまだ整備されていません。 A. 直近では事前審査・サイバーセキュリティ規制の双方で SBOM 提出が広がっている。整備は中期で必須化していく方向にあるため、優先度を上げたい領域である。
Q. 質問書回答に弁護士は必要ですか? A. 内容によって判断したい。株主構成・サプライチェーン情報の開示範囲は機密と公開のバランスがあり、初回対応時は法務・弁護士の確認を推奨する。
参考資料
- 内閣府「経済安全保障推進法」関連ページ
- 各所管省庁(経済産業省・総務省・国土交通省等)の運用ガイドライン
- 業界団体のサプライチェーン管理指針
経済安全保障推進法対応の関与判定、サプライチェーン情報整備、質問書対応プロセス設計は GXO の補助金活用 DX 推進サービスでご相談を承ります。
GXO実務追記: サイバーセキュリティで発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、自社で最初に塞ぐべきリスク、外部診断の範囲、初動体制を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- [ ] 重要システムと個人情報の所在を棚卸ししたか
- [ ] VPN、管理画面、クラウド管理者の多要素認証を必須化したか
- [ ] バックアップの世代数、復旧時間、復旧訓練の実施日を確認したか
- [ ] 脆弱性診断の対象をWeb、API、クラウド、社内ネットワークに分けたか
- [ ] EDR/MDR/SOCの必要性を、監視できる人員と照らして判断したか
- [ ] インシデント時の連絡先、意思決定者、広報/法務/顧客対応を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
経済安全保障推進法 基幹インフラ事前審査 2026 運用|中堅企業の該当性判定と社内手続き整備を自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。