2025年5月に成立した「サイバー対処能力強化法」は、深刻なサイバー攻撃の未然防止を目的とし、政府が通信情報を用いて攻撃の発信元を特定・無害化する「能動的サイバー防御」の制度的枠組みを整備するものです。法律の対象となるのは、電力、ガス、交通、金融、医療、通信、水道など、国民生活や経済活動の基盤となるサービスを担う「基幹インフラ事業者(特定社会基盤事業者)」で、約200超の指定事業者に義務が課されます。
同法で課される義務の一つは、重要な情報処理機器(「特定重要電子計算機」)を導入または変更した際の届け出です。また、当該機器に対して深刻なサイバー事象(侵害や重大な脆弱性)を把握した場合には、報告義務が発生します。また、政府と民間事業者間の連携を強化するための当事者協定の締結を求められた場合、協議に応じることを求められることになります。
今後は省令で対象機器の範囲や報告対象等が定められる予定であり、法の施行は段階的に進みます。そのため、省令がなく、対応すべき内容が不明確な現時点では、対象設備の棚卸しや社内の報告体制整備を進めておくことが現実的な対応です。制度の詳細については、以下のnote記事をご覧ください。
https://note.com/kgoodwell/n/nf81219d226e7
