基幹インフラ事業者の審査がスタートする意義とは?
5月17日からいよいよ経済安全保障推進法に基づく基幹インフラ事業者の審査制度の運用がスタートします。日本の経済安保が前進していく大きな節目となるのは間違いありません。
基幹インフラ事業者の審査は経済安全保障推進法の4つの柱の一つで、電力、水道、空港、銀行、鉄道、携帯電話といった国民の安全にかかわる基幹インフラが外国からのサイバー攻撃や破壊工作などによってサービスの安定供給が妨害されないようにするための制度です。
基幹インフラ事業者は自社の設備の安全性について国からの事前審査を受けることになります。具体的には導入する設備のメーカーや設備の維持や管理を委託する先の企業について、その国籍、役員の氏名や国籍、設備の製造国、外国政府や外国主体との資本関係や取引関係を届出て、審査を受けることになります。
くわえてリスク管理措置と呼ばれる自主的なサイバー攻撃への対策の状況も届け出ることになっています。
明らかに政府の関心が、日本のインフラ設備が外国からの影響を受けていないか、サプライチェーンにおいて外国主体によって悪意あるマルウェアやバックドアの埋め込まれるリスクがないか、にあるのがわかります。
審査の結果、サイバー攻撃や不正アクセスのリスクがあると判断されれば、政府は設備の導入、委託先の変更や中止を勧告したり命令することができます。合わせて資料の提出命令や立入検査もできます。
仮に虚偽の届出をおこなった場合や命令に従わなかった場合は懲役2年、100万円以下の罰金が、また、資料の提出命令に従わなかったり、虚偽の報告をした場合や立入検査の際に質問に答えなかったり検査を妨げることをすれば30万円以下の罰金が科されます。
特に注意したいのは虚偽の報告に当たる対応にならないようにすることでしょう。経済安保推進法への全社的な取り組みが十分でなかったり、社内部署の熱量がまだ低いといった課題がある社が、社内コンセンサスの不徹底ゆえに意図せず不誠実な報告や実態とは異なる資料提出をしてしまう、といったリスクは決して他人事ではないでしょう。あまりに不誠実な対応だと当局から虚偽報告や検査の妨害とみなされてしまうリスクがあることを審査を受ける側は念頭に置いておく必要があります。
基幹インフラ事業者の審査制度の特徴
筆者が注目する特徴点をいくつか書きたいと思います。まず、この制度の最大の特徴は対象となる範囲が非常に広く、日本の主要企業をカバーすることになることです。これにより、いよいよ(ようやく?)日本の基幹産業に経済安保という新しい概念の実行と定着がはかられていくことになります。
対象となるインフラは電気、ガス、放送、航空、空港、鉄道、金融など実に広範囲で、基幹インフラ事業者として審査を受けることになる数も14分野210社にのぼります。ちなみに近く港湾、医療も指定対象になる見込みです。さらには、それらのインフラ事業者に設備を納入しているサプライヤーや設備の維持管理を担っている業務委託先の企業も含めればさらに関係企業数は広がります。
すでに政府は基幹インフラ事業者として東京電力、NTTドコモ、三菱UFJ銀行、JR東日本、日本郵政などを指定していて、サプライヤーも含めたら皆さんが目にしたり聞いたことがある日本の主要企業はほぼすべてがこの制度に関係してくるといっても過言ではありません。まさに産業界全体に広く経済安保の網が広がっていくことになります。
政府と企業の「一蓮托生」
次に筆者がこの制度がユニークだと注目しているのは、審査する側の政府と審査を受ける側の企業が二人三脚、あるいは一連托生の関係になりながらインフラの安全を目指す点にあります。
審査では政府が持つ情報も活用しながら、重要設備のサプライチェーンに悪意があるものがまぎれこんでいないか、精査されることになります。政府としてはインフラ事業者の届出内容に太鼓判を押して運用にゴーサインを出すことになるわけです。
インフラ事業者の方は政府からも太鼓判を押された信頼あるサービスだと名乗ることができるメリットがありますが、もし審査の合格後に何かインシデントが発生すれば「企業と政府とで共同責任」(政府担当者)にもなるため、審査する政府も覚悟をもって臨むことになります。
もちろん審査を受ける立場の企業にも緊張感があります。それこそ審査に通らず、予定していた設備導入や外部委託の変更や中止を求められれば、設備投資の計画が狂うだけでなく、基幹業務が一時停止に追い込まれるリスクすら出てきます。そんなことになれば株価への影響やレピュテーションリスク、信頼の喪失、サービス停止による減収や追加投資など、事業基盤を揺るがす事態になりかねません。そんな事態だけは絶対避けようと緊張感をもって対応することでしょう。
基幹インフラ事業者に設備を供給しているサプライヤーも気が抜けません。サプライヤーも自社の属性情報を届け出ますが、仮にそれが問題視されれば、大事な顧客である基幹インフラ事業者の審査に悪影響を及ぼすことになりかねません。顧客に迷惑がかかるようなことがないよう、多くのサプライヤーが全社を挙げて対応にあたっていることでしょう。
ブラックリストとホワイトリスト
筆者が見るところ、審査を受ける側として悩ましいのは、具体的にどこの国の設備がダメなのか、どの国の、どのサプライヤーがNGなのか、あるいはOKなのかを示すような審査基準が一切、明らかにされていないことでしょう。
たとえば米国は2019会計年度国防権限法でブラックリスト方式を採用して、具体的に中国企業5社を名指しして中国製の通信・映像監視の機器、サービスの政府調達の禁止を規定しています。これを見れば企業側は対策が打てますし、どのあたりがグレーゾーンのリスクの予見可能性も高まります。
逆に「このメーカーなら大丈夫」というホワイトリストでも、企業の予測可能性が高まって負担が減るメリットがあるかもしれません。
ただ、政府関係者に聞くと、ブラックリスク、ホワイトリストいずれも難点があると言います。
ホワイトリストの記載後に懸念国の資本や影響力が及ぶケースもあり得るため、「実はホワイトな会社ではなくなっていたのにホワイト扱いのまま」というリスクがあるといいます。
またブラックリストの方はリストに掲載された企業の国との外交上の摩擦を招くデメリットもあり、政府としてはホワイトリスト、ブラックリストといった審査基準を公表する予定はないと政府関係者は解説しています。
その代わり各省庁と内閣府に設けている相談窓口を積極的に活用してほしいと政府は呼びかけています。「企業任せにするような対応はせず、問い合わせに対してちゃんと答えを示します」(政府関係者)ということなので、政府への問い合わせやコミュニケーションを積極的にしながら審査を乗り切ってもらいたいところです。
高まる「データ主権」という考え方
なお、クラウドの運用実態も重要な審査項目になると筆者はみています。日本ではハード(設備)が議論の中心になりがちですがこの審査制度も例外ではありません。
一方でデータの戦略的価値が高まる中でデータをいかに守るかが経済安保、とりわけ基幹インフラ事業者の審査の中心課題になっていく可能性があります。各国が自国の重要データや個人情報を海外に移転させず、できるだけ国内で保存、活用することを目指す「データ主権」の考え方が広がっていて、経済安保においても企業経営においてもメイントピックになっていくでしょう。
実際、政府はクラウドを特定重要物資に指定していることや、LINEヤフー社に対する総務省による度重なる行政指導をみれば、データの取り扱いやデータの流通経路について政府が強い関心を持っていることがわかります。クラウド上で保存、利活用されるデータが外国主体の影響下にないか、自社の重要設備(サービス)が扱うデータの流通経路や保管場所が意図せず海外を経由していたりしないか、リスクの洗い出しはしておきたいところです。
特にクラウドなどのデジタル分野では、懸念国由来の技術を低コストを売りに販売している日本企業もあるので注意が必要です(クラウドに限らずデジタル分野では日本企業を謳いながら、実質的には海外資本だと疑われるような企業も散見されます)。
大手で有名な日本企業が販売しているからと安心せず、外国の影響の有無に関して購入する側、使う側であるインフラ事業者とサプライヤーも、リスク軽減策やデューデリをしっかり行うことを今後、求められていくことになるでしょう。
もちろん政府の側もインフラ設備というハード重視になっている審査を、データ重視という視点も取り入れた運用変更にさせていくことが課題となります。設備の安全、サービスの安定供給は守ったが、その中にあるデータが海外に流出してしまっては意味がなくなってしまいますから。
台湾有事リスクというファクター
いま基幹インフラのセキュリティ審査が日本で制度化された背景には、台湾有事をめぐる米中対立もあることを指摘しておきたいと思います。
自民党の長島昭久衆議院議員による国会での質問によれば、実は日本の政府や重要インフラのサイバーセキュリティのレベルの低さは米国をもってして「マイナーリーグ・レベル」(22年5月、デニス・ブレア元国家情報長官)と言わしめるほどだとされてきました。この「マイナーリーグ」発言は日本政府関係者や自民党に衝撃を与え、サイバーセキュリティの強化が最優先の政策課題として浮上するきっかけとなったと筆者は聞いています。
では米国政府がなぜ日本のサイバーセキュリティの程度にそれほど関心を寄せるのでしょうか。それは台湾有事などの米中紛争の際の日米の共同作戦能力や米軍の運用能力をも低下させてしまうリスクがあるからです。
台湾海峡で有事が起きた際、在日米軍基地が補給拠点、出撃拠点、部隊の集結、編成拠点に活用されることは米シンクタンクCSISなどのシミュレーションでも明らかにされています。
米軍基地といえども、当たり前ですが水道、電気、物資の調達、輸送などは日本の民間インフラに依存しています。そうした民間の重要インフラが有事やその直前にサイバー攻撃などで麻痺することになれば、米軍が展開するうえで大きな足枷になりかねません。
米国政府が日本の重要インフラのセキュリティに重大な関心を寄せるもう一つの理由は中国の動きです。
米FBI長官の警告
重要インフラを狙う中国のハッキングの実態と狙いについて米FBIのレイ長官が4月にテネシー州ナッシュビルで開かれたシンポジウムの講演で不気味な解説をしているので紹介しましょう。
「中国は台湾有事の際に米国民の抵抗する意思を挫くことを目的に重要インフラに混乱を引き起こす計画をもっている」。
そのため中国によるハッキングは電気、水道、エネルギー、輸送、通信などありとあらゆる重要インフラに及んでいるとレイ長官は訴えています。
そのうえでFBI長官は中国のサイバー攻撃を分析した結果、その目的は企業秘密や技術情報を盗みだすことにはなく、台湾有事に絡んだ軍事戦略と関係があると指摘します。
「中国は2027年までに起こるかもしれない台湾有事に米国が介入してくることを阻止しようとしている」。
台湾有事が2027年かそれ以降、最もリスクが高まるという見方はワシントンで根強くあります。この点に関する解説は別の機会に譲りたいと思いますが、レイ長官は中国の狙いをそう分析した興味深い経緯も明らかにしています。
中国のサイバー攻撃を受けている、ある米企業が自社のネットワーク上に囮として偽の企業機密ファイルを置いておいたところ、中国のハッカーはものの15分でシステム全体を監視、制御する権限を乗っ取ったということです。
レイ長官は「ハッカーはお金に関わる財務情報やビジネスに関わるファイルには目もくれなかった。明らかに経済的利得のために企業情報を盗むのが目的ではない」と、中国がインフラの乗っ取りを目的にしていると警鐘を鳴らしています。
米マイクロソフト社は23年5月、中国政府の支援を受けたハッカー集団であるVolt Typhoonがグアムの通信、港湾、水道などのインフラに侵入していたと発表しています。同じようにハワイ州のエネルギー・パイプラインと水道にも侵入していたことをワシントンポスト紙が報じています。
グアム、ハワイともに米インド太平洋軍の司令部や重要施設があり、台湾有事が起きればいずれも米軍の展開能力を決定的に左右する場所です。
基幹インフラの安全性はもはや国家安全保障上の重要課題
話を日本に戻せば、今回の基幹インフラ事業者の審査制度も決してこうした動きと無縁ではないでしょう。重要インフラをサイバー攻撃から守ることは利用者である国民の生活を守るという至上命題に負けず劣らず、台湾有事リスクも含めた米中の戦略的対立の中心課題になっているのです。
もはや重要インフラのセキュリティは重大な国家安全保障上の課題であり、日米同盟観点からもスピード感を持って取り組むべきテーマになっています。
事業機会の創出という発想を
安全保障上の意義に加えて、最後に強調しておきたいのは基幹インフラ事業者の審査制度を事業機会の創出に結びつけていくことの重要性です。経済安保を有効なものにするためにも単なる規制や法令の遵守と捉えるのではなく、それを逆手にビジネスにつなげていく発想がいま企業には求められていると筆者は考えます。
経済安保の主要アクターは政府だけではありません。インフラ運営を担っている企業、技術や情報、データを持っている企業も欠かせないアクターです。企業が本気にならなければ日本の経済安保は絵に描いた餅になりかねません。
そして企業を本気にさせるのは「日本の安全保障のため」というパブリックマインドに加えて「事業機会になる」というビジネスマインドが両立することではないでしょうか。
ぜひ基幹インフラ審査制度の運用スタートをきっかけに、経済安保の到来を事業機会として捉える動きが日本企業から出てくることを期待したいですし、政府もそうした動きをバックアップしてもらいたいものです。
それに一番、敏感に気づいて動き出しているのは米国企業かもしれません。先ほどデータ主権が経済安保の中心課題になると説明しましたが、そうなれば今後、日本国内でのデータセンター需要は生成AIによる需要と相まって飛躍的に高まるでしょう。
早速、めざとい米国勢はそうしたトレンドを睨んで日本への巨額投資を先行させて来ています。日経新聞が報じるところによれば、たとえば米オラクルが今後10年間で80億ドル(1兆2000億円)を日本国内のデータセンターへの投資に投じるように、米のクラウド事業者3社が2024年に表明した投資額だけで実に4兆円近くにのぼっています。
データ主権というトレンドが追い風となって、巨額の投資に見合うほどのビジネスチャンスが出てくると米国の事業者は見ているわけです(もちろんデータセンター需要の理由はデータ主権だけでなく生成AI開発による需要も大きな要因ですが)。
クラウドやデータセンター以外にも経済安保の時代ではセキュアであること、安心安全や信頼という要素も重要となります。特定の懸念国や海外からの影響を極小化させるニーズが出てくれば、おのずと「安心と信頼」をキーワードにセキュアな国内製品がインフラ事業者や機微技術を取り扱う企業や研究機関、大学の間で求められてくることになるでしょう。まさにそこにビジネスチャンスがあります。
繰り返しになりますが、経済安保を単なるコンプライアンスに終わらせない事業創出を狙った発想力、構想力が日本企業には試されています。
基幹インフラ事業者の審査制度のスタートはまさに、日本の重要インフラをセキュアに強くするとともに、経済安保が事業機会として日本に根付いていくきっかけになるかもしれません。
経済を通じて日本の安全保障が強くなる、安全保障を通じて日本の経済が強くなる、そんな経済安保エコシステムが育っていくことで日本の産業も安全も強くなっていくことに期待したいと思います。