サイバー対処能力強化法の成立－能動的サイバー防御　|ニッセイ基礎研究所

1――はじめに

サイバー対処能力強化法（以下、強化法）は、重要電子計算機への不正行為を防止するための法律および関連法の整備法を含み、2025年5月16日に国会で成立した。このうち、同法律（以下、「強化法」）と警察官職務執行法（警職法）と自衛隊法を解説する。

今回制定・改正された強化法等はコンピューターウイルスなどのサイバー攻撃に対して、政府が情報を収集・分析し、分析結果を事業者等に提供すること、および実害が発生する以前に対処することを定めたものである。強化法が想定するサイバー攻撃は図表1の図示する通りであり、攻撃主体（図表1の発信者）が通信ネットワークを介して受信者側に攻撃を仕掛けるといったものである。強化法等では、特に国外から国内に対して攻撃がなされるものを想定している。これはサイバー攻撃のうち99.4％が国外からのものとされる実態調査結果に基づいている¹。

国外からのサイバー攻撃については、組織的な攻撃が行われているという指摘がある。そのため、強化法等では国外から送信されたサイバー攻撃について情報収集・分析し、その結果を利用・提供する体制が構築される。そのうえで必要があれば、まずは警察が対応し、有事の場合は自衛隊が出動するという仕組みになっている（後述）。ここには自衛権の行使という側面もある。

この点、強化法等の立法の基礎となった有識者会議報告「サーバー安全保障分野での対応能力の向上に向けた提言」では、重大なサイバー攻撃が国家の安全保障上の懸念であると明記された。これを受け、官民ともに「常に有事である」という危機意識を持って対応が求められている²。

なお、強化法等はテクニカルな用語や規定の仕方が多く、一見しただけでは容易には理解しがたい規定内容になっている。したがって、内容については幹の部分のみに焦点を当てるとともに、条文を大幅に簡略化するなど文章を工夫している点に注意していただきたい。

¹ https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/pdf/setsumei.pdf　参照。
² https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo/koujou_teigen/teigen.pdf　参照。

2――目的・定義・基本計画

1｜目的
強化法の目的についてだが、強化法1条では、具体的な目的として、以下の(1)～(5)が定められている。強化法が定義している特殊な用語が多いが、これらは後述する。

(1) 重要電子計算機に対する特定不正行為による被害の防止のための基本的方針の策定
(2) 特別社会基盤事業者による特定侵害事象等の報告の制度
(3) 重要電子計算機に対する国外通信特定不正行為による被害の防止のための通信情報の取得
(4) 当該通信情報の取扱いに関するサイバー通信情報監理委員会による審査および検査
(5) 当該通信情報を分析した結果の提供

これを要約すると、強化法では、政府が同意の下で情報提供を受け、あるいは自発的に情報を取得したうえで、分析し、その結果を関係行政機関あるいは関係事業者に提供することが目的として定められている。　そのうえで警職法により警察が、自衛隊法により自衛隊がそれぞれ一定の要件のもと対処することになる。

2｜定義
(1) サイバーセキュリティ
まず、サイバーセキュリティであるが、これはサイバーセキュリティ基本法2条に定められたものをいう（強化法2条1項）。サイバーセキュリティ基本法2条を要約すると、情報システムがサイバー攻撃の脅威から十分に隔離され、安全性が維持管理されることをサイバーセキュリティとしている。

(2) 重要電子計算機
強化法の適用対象となるのが「重要電子計算機」であるが、概略すると以下のもののうち、政令で定めるものとされている（強化法2条2項）。

1) 政府（地公体含む）の保有する電子計算機のうち、防衛あるいは経済安全保障にかかわるもの
2) 特定社会基盤業者（下記に記載）が使用する電子計算機のうち一定のもの
3) その他重要情報を保有する事業者が使用する電子計算機のうち一定のもの

上記2) でいう特定社会基盤業者とは経済安全保障推進法(経済政策を一体的に講ずることによる安全保障の確保の推進に関する法律）50条1項に定めるものをいう。同法においては電気事業者やガス事業者、水道業者、石油精製業などがある。ただし、強化法の対象となるのはこのうち政令で定める一定のもの（(3)で後述）を使用する事業者（＝特別社会基盤事業者）に限定されている。

上記3) の重要情報を保有する事業者については、提言(4p)によれば「重要インフラ事業者」³および機微情報を保有する事業者が指定されることとされている。サイバーセキュリティ基本法では、保険会社が「重要インフラ事業者」として指定されており、生命保険会社は重要情報を保有する事業者と指定されることが想定される。

³ 提言でいう重要インフラ事業者とは、サイバーセキュリティ基本法3条1項でいう重要社会基盤事業者（国民生活及び経済活動の基盤であって、その機能が停止し、又は低下した場合に国民生活又は経済活動に多大な影響を及ぼすおそれが生ずるものに関する事業を行う者）を指す。具体的には、「重要インフラのサイバーセキュリティに係る行動計画」で規定されている。

(3) 特別社会基盤事業者
少し複雑だが、強化法の対象となる特別社会基盤事業者（提言では「基幹インフラ事業者」と表記）とは、上記(2) 2)でいう、特定社会基盤事業者が使用する電子計算機のうち、サイバー攻撃によって特定重要設備⁴の機能が停止・低下するおそれのあるものとして政令で定めるもの（これを「特定重要電子計算機」という）を使用するものと定義されている。したがって、特定社会基盤事業者のうち、特別社会基盤事業者となるものと、ならないものがある（図表2）。

⁴ 「特定社会基盤事業の用に供される設備、機器、装置又はプログラムのうち、特定社会基盤役務を安定的に提供するために重要であり、かつ、我が国の外部から行われる特定社会基盤役務の安定的な提供を妨害する行為の手段として使用されるおそれがあるものとして主務省令で定めるもの」と定義されている（経済安全保障推進法50条1項）。省令では社債、株式の振替等に係るシステムが指定されている（内閣府・法務省・財務省関係経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律に基づく特定社会基盤事業者の指定等に関する命令1条）。

(4) 特定不正行為
強化法は「特定不正行為による被害の防止」を目的としているが、特定不正行為は以下のア）～ウ）を指す（強化法2条4項）。

ア）正当な理由なく、他人の電子計算機で不正指令電磁的記録作成等⁵をする行為（刑法168条の2第2項）
イ）不正アクセス行為⁶（2条4項）
ウ）サイバーセキュリティを害すことを通じて、信用および業務を害する罪（刑法233条～234条の2）⁷を犯す行為

⁵ 「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」を人の電子計算機において実行することを指す。
⁶ 本法に関連するのは特に「電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為」（2条4項3号）であろう。
⁷ 具体的には、信用毀損および業務妨害(233条)、威力業務妨害(234条)、電子計算機損壊等業務妨害(234条の2)である。

(5) 特定侵害事象
強化法の対象となるのは特定侵害事象（＝サイバー攻撃）である。特定侵害事象とは、重要電子計算機（上記（3））に対する特定不正行為（上記(4)）により、当該重要電子計算機のサイバーセキュリティ（上記（1））が害される事象を言う（強化法2条5項）。

(6) 通信情報
通信情報は三つのものが定められている。まず、通信中であって電気通信事業者が管理するものを「媒介中通信情報」といい、送信または受信される情報であって、送信者又は受信者が管理するものを「当事者管理通信情報」、そしてこれら二つの情報を複製して内閣総理大臣に提供されたものを「取得通信情報」という（強化法2条6項。図表3）。

(7) 国外通信特定不正行為
国外にある電気通信設備を送信元とする電気通信の送信により行われる特定不正行為（上記(4)）をいう。すなわち強化法では国外発信のサイバー攻撃が主な適用対象となっている。

(8) 機械的情報
強化法では、政府がサイバー攻撃に係る情報を取得することができるが、通信の具体的内容まで踏み込むこととはされていない。利用等できるのは、以下の三つに限られる（強化法2条8項）。

ｉ）送信元または送信先を示す情報であるIPアドレス
ii）電子計算機に動作をさせる指令を与える電磁的記録に記録された情報（指令情報）
iii）その他通信内容にかかわらないものであって内閣府令で定めるもの

(9) 通信情報保有機関
通信情報保有機関とは、ア）内閣府、イ)選別後通信情報(後述5の3)の分析に協力をする行政機関・外国政府・国際機関（強化法27条3項、36条）、被害防止のために選別後通信情報を提供された行政機関（強化法31条1項・2項。警察・自衛隊等）、ウ）選別後通信情報を整理または分析した情報を提供された行政機関(38条1項・2項)を指す。すなわち、政府が収集した情報を保有する行政機関を指す。

3｜基本方針
内閣総理大臣はサイバー攻撃による被害防止のための基本方針を作成し、閣議決定しなければならない（強化法3条）。方針に定められるのは、たとえば重要電子計算機に対する特定不正行為による被害の防止に関する基本的な事項(2項1号)などである⁸。

⁸ このほか、当事者協定(強化法13条)の締結に関する基本事項(2号)、通信情報保有期間における通信情報の取扱いに関する基本事項(3号)、報告等情報などの整理および分析(強化法37条)に関する基本事項(4号)、総合整理分析情報の提供に関する基本事項(5号)、協議会（強化法45条）に組織に関する基本事項(6号)、およびその他必要な事項(7号)がある。

4｜コメント
上述の通り、保険会社はサイバーセキュリティ基本法で「重要インフラ事業者」として指定されていることから、強化法では「重要情報を保有する事業者」として法が適用されることとなるものと考えられる。

保険会社が重要情報を保有する事業者と指定された場合には、(1)当事者協定の締結（強化法12条、ただし特別社会基盤事業者に対して規定されている協議の求めおよび協議に応ずる義務（強化法11条2項）に相当する規定の適用はない）、(2)保有する重要電子計算機の被害が想定されるときに通信目的措置（通信情報を内閣総理大臣が取得する措置）の対象となること、(3)周知総合整理分析情報（後述6の1）の提供先となること（強化法41条）が挙げられる。これらは後述する。　

日付	タイトル	執筆者	媒体
2025/06/24	サイバー対処能力強化法の成立－能動的サイバー防御	松澤登	基礎研レポート
2025/06/16	株式併合による非公開化－JAL等によるAGPのスクイーズアウト	松澤登	研究員の眼
2025/06/13	株主提案による役員選任議案－フジメディア・ホールディングス	松澤登	研究員の眼
2025/06/10	江戸時代の堂島米市場－先物取引所の先駆け	松澤登	研究員の眼

サイバー対処能力強化法の成立－能動的サイバー防御 | ニッセイ基礎研究所