1．はじめに

「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律」（令和4年法律第43号）（経済安全保障推進法、以下「法」という）は一部が既に施行されているが、法第3章の「特定社会基盤役務の安定的な提供の確保」の届出義務は本年5月17日に適用開始の予定である。本稿は、適用開始を控えて、法の概要を確認するとともに、制定された政令・省令や関係省庁が公開している解説文書を踏まえ、安定提供を求められる事業者の立場からどのような対応を行う必要があるのか、を概観しようと試みるものである。

2．法の概要

法は、第1章総則第1条（目的）において、安全保障の確保に関する経済施策として、次の4つの制度を創設することを定めている。

（1） 特定重要物資の安定的な供給の確保（法第2章）
（2） 特定社会基盤役務の安定的な提供の確保（同第3章）
（3） 特定重要技術の開発支援（同第4章）
（4） 特許出願の非公開（同第5章）

それぞれ重要な制度であるが、本稿では、（2）について概観する。

この制度の背景と目的は、法が策定を求める基本指針^[1]（以下「基本指針」という）の「はじめに」に記載されているように、近年の厳しい安全保障環境や地政学的な緊張の高まりにより、海外ではインフラ事業へのサイバー攻撃の事案が多く発生している中、インフラ事業者のサプライチェーンの過程において設備に不正機能が埋め込まれたり、機器の脆弱性に関する情報が必要外の第三者に流失してしまったりする可能性等が高まっているとみられ、インフラ事業者の安定的な役務提供に支障が生じると国民の生存を脅かす等のおそれがあるため、インフラ事業者が設備の導入を行う前に、政府が当該設備の導入等に伴うリスクを把握し、そのリスクを低減又は排除する必要がある、ということである。

その認識を踏まえ、制度は、対象分野を定め、それぞれの分野における対象事業者を指定し（法50条）、指定された対象事業者は、定められた重要設備（「特定重要設備」）の導入と同設備の維持管理等の委託に関する計画書を事前に届け出て（法52条1項）、審査を受ける、とする。原則30日間の審査期間（この間は、特定重要設備の導入を行い、又は重要維持管理等を行うことはできない）^[2]（同3項）が設けられ、事業所管大臣が審査し（同4項）、審査の結果「届け出られた導入等計画書に係る特定重要設備が特定妨害行為の手段として使用されるおそれが大きいと認めるとき」は、計画の変更による導入・委託の開始又は中止を勧告することができる（同6項）。勧告を受けた特定社会基盤事業者は勧告を受諾すれば勧告に沿って行動し（同8項）、当該事業者が勧告を受諾しない又は受諾の旨の通知を行わない場合は、事業所管大臣は当該事業者に応諾しない正当な理由がなければ勧告の内容を命令できる（同10項）。この命令に違反すると、二年以下の懲役若しくは百万円以下の罰金に処し、又はこれを併科される、との罰則が適用される（法92条）。

対象分野は、内閣府の制度の概要の解説文書^[3]においてわかりやすく紹介されており、電気、ガス、石油、水道、鉄道、貨物自動車運送、外航貨物、航空、空港、電気通信、放送、郵便、金融、クレジットカードの14である。なお、今後、一般港湾運送事業を追加する動きになっている。

3．特定社会基盤事業者の届出義務

（1）対象となる事業者

法50条は前述の14の事業について、その提供を行う者のうち、主務省令で定める基準に該当する者を主務大臣が指定できるとしており、2023年11月の関係省庁の告示により、14の事業にわたり延べ210の事業者が指定されている（「特定社会基盤事業者」という）。

電気通信分野では、総務省の告示^[4]が、KDDI、沖縄セルラー、ソフトバンク、NTTドコモ、NTT東日本、NTT西日本、NTTコミュニケーションズ、楽天モバイル、NTTリミテッド・ジャパン、LINEヤフーの10の株式会社を特定社会基盤事業者に指定している。

（2）電気通信分野の対象となる設備等：事前審査を受ける対象となる設備

法50条は、「特定重要設備」の定義として、「特定社会基盤事業の用に供される設備、機器、装置又はプログラムのうち、特定社会基盤事業を安定的に提供するために重要であり、かつ、我が国の外部から行われる特定社会基盤役務の安定的な提供を妨害する行為の手段として使用されるおそれがあるものとして主務省令で定めるものをいう。」と定めているところ、電気通信分野については、総務省の省令^[5]（以下「本省令」という）1条1号において、次のとおり定めている（紙幅の関係上、イとニを記述し他を略す）。

イ　第一種指定電気通信設備を設置する者（この者は、同省令2条1号イにおいて特定社会基盤事業者の指定基準に該当するとされている）にあっては、その者が設置する第1種指定電気通信設備のうちの、次のいずれかに該当するもの、（1）交換機能を有する電気通信設備（2）電気通信設備の制御機能（仮想化した機能を制御するための機能を含む。）を有する電気通信設備（3）通信の接続又は認証に係る加入者管理機能を有する電気通信設備

ロ及びハ　略

ニ　基地局を設置して第5世代移動通信システムを使用する携帯無線通信による電気通信役務を提供する者（この者は、同省令2条1号ニにおいて特定社会基盤事業者の指定基準に該当するとされている）にあっては、その者が設置する電気通信通信設備のうち、上記イ（1）から（3）までのいずれかに該当するもの（第5世代移動通信システムを使用する携帯無線通信による電気通信役務の用に供するものに限る）

ホ　略

これらの特定重要設備について、総務省は「電気通信分野における経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度の解説」（令和5年11月29日、総務省国際戦略局参事官室、以下「総務省解説」という）^[6]において、固定系電気通信設備については「・端末系交換設備　・中継系交換設備（以下略）」、移動系電気通信設備については「・3GPPにて標準化された以下の機能区分を有する設備―CU（以下略）」などと具体例を表形式で紹介しているので、参照されたい。

（3）対象となる場面：事前届出による審査を受ける場面とは

法52条1項は、「特定社会基盤事業者は、他の事業者から特定重要設備の導入を行う場合（中略）又は他の事業者に委託して特定重要設備の維持管理若しくは操作（（中略）以下この章（中略）において「重要維持管理等」という。）を行わせる場合には」、計画書を主務大臣に届け出なければならない、と届出を行う場面を定めている。では、「導入」と「重要維持管理等」とは何か。

導入について、基本指針、政令^[7]（以下「本政令」という）、本省令において定義を確認することはできなかった。

重要維持管理等については、本省令9条で、一　維持管理　二　操作、と定めているのみであるが、手掛かりが基本指針等にある。具体的には、基本指針では、「維持管理とは、特定重要設備の機能を維持するため、当該特定重要設備の保守点検、機器・部品の交換、プログラムの更新を行うこと等をいう」「操作とは、特定社会基盤役務を安定的に提供するため、特定重要設備を運用し制御する操作を行うこと等をいう」としており、前述の総務省解説では、維持管理には、「例えば、セキュリティアップデートなどのソフトウェア更新や、現に動作させている設備や部品が故障した場合に設備や部品を入れ替える行為、また、定期的な動作確認や保守点検が該当」するとし、日常的なバク修正や、清掃を行う場合などは、該当しない。操作には、「特定重要設備を動作させ特定社会基盤役務に直接的に影響を与える行為や特定重要設備の内部パラメータを変更する行為（具体例：ネットワークの正常性監視や異常時の解析や、トラフィック増や新サービス追加、経路変更等に対応するための当該設備の設定の変更）などの運用や制御等を行うことが該当」する、と記されており、参考になる。

なお、特定重要設備を導入する場合に該当するが届出を不要とするケースとして、法は同項で「（当該特定社会基盤事業者と実質的に同一と認められる者その他の政令で定める者が供給する特定重要設備の導入を行う場合（当該特定重要設備に当該政令で定める者以外の者が供給する特定重要設備が組み込まれている場合を除く。）を除く。）」と定め、「実質的に同一と認められる者」として、本政令10条で、当該特定社会基盤事業者を親法人等とする子法人等及び、国の機関、地方公共団体などを定めている。なお、「親法人等」「子法人等」は同条に定義があるので、参照されたい。

また、法52条1項はただし書きで、届出について「導入を行い、又は（中略）重要維持管理等を行わせることが緊急やむを得ない場合として主務省令で定める場合には、この限りでない。」と例外を定めており、本省令11条が4つの要件を示してその場合を定めているが、緊急やむを得ない場合の具体例として、基本指針には「災害時等の場合に」と記されている。なお、この場合は導入等計画書を遅滞なく届け出る必要がある（法52条11項）。

（4）届け出る計画書：計画書に記載すべき事項

導入等計画書の提出を行うに該当すると判断した場合は、計画書を提出する。計画書に記載すべき事項については、法52条2項に定めがあり、本省令では10条において、特定重要設備の導入を行う場合にあっては様式第6（1）、重要維持管理等を行わせる場合にあっては様式第6（2）を定めているので、以下、それらにより記載すべき事項を見ていく。なお、イ、ロ、ハは法52条2項2号及び3号の列記事項を指す。

① 法52条2項1号：「特定重要設備の概要」（様式第6（1）、同（2）のいずれにも記載）

基本指針では、「特定重要設備を特定するために必要となる、その種類、名称、機能、設置及び使用する場所等の事項をいう」とされ、「機能とは、例えば、特定重要設備の動作によって実現される特定社会基盤役務の提供に当たって不可欠な作用が挙げられる」とされている。

これに対応する表が前述の2つの様式に設けられている。なお、使用する場所とは操作・管理する場所とされ、遠隔地から操作する場合には、設置する場所と異なることもあり得る、とされており[8]、様式の「記載上の注意」（以下「注」という）では国外に所在する場合も想定されている。

② 法52条2項2号：導入を行う場合の計画書記載事項を定める（様式第6（1）が対応する）

〇イ　「導入の内容及び時期」

基本指針では、「内容」について、「特定重要設備の導入の目的や、特定重要設備の導入に携わる事業者の名称等をいう」としており、導入に携わる事業者には、「特定重要設備の供給者から、当該特定重要設備を特定社会基盤事業者が導入するまでに経由する事業者まで」を含み、「例えば、（中略）販売会社を経由して供給者から調達する場合は、販売会社の名称等を届け出る必要がある」（基本指針18頁）。

「時期」については、設計、設置等が完了し、役務の提供の用に供する時点としている。

なお、様式第6（1）の対応する表の注では、「導入に携わる者に関する事項」について、経由する者のうち、（1）「特定重要設備の供給網の管理その他の特定重要設備の導入に当たって重要な役割を有する者」、又は（2）「特定重要設備についてサイバーセキュリティに関する対策の実施状況の確認等の妨害行為の防止に関する実施状況の確認を実施する者であって、当該特定重要設備の機能に変更を及ぼし得る者」、に該当する者に関する情報を記載すること、とあり、さらに「導入との関係」の欄に、上記（1）又は（2）のいずれに該当するかを記載したうえで、導入に携わる者が行う行為を具体的に記載するように記されているので注意が必要だ。

〇ロ　「特定重要設備の供給者に関する事項として主務省令で定めるもの」

基本指針では、同事項は、供給者を「特定するために必要となる名称及び住所等の事項のほか、特定重要設備の供給者（中略）に対する我が国の外部からの影響の有無やその程度を評価するために必要となる事項をいう」とし、その事項は省令で定められるものの、基本方針では、例えば、と断った上で次のような事項について定めるとしている（基本指針19頁）。

• 特定重要設備の供給者の名称、住所、設立国
• 一定割合以上の議決権保有者の名称、国籍、保有割合
• 役員の氏名、国籍
• 外国政府等との取引高が一定割合以上である場合、当該国名及び割合
• 設備の製造場所

なお、「供給者とは、特定重要設備として機能が充足された状態のものを製造又は供給する者を指す」とされている。

本省令では12条、様式第6（1）で定められており、条文等の記述は割愛するが、議決権の「一定割合」は5％、取引高のそれは25％と定められている。なお、「設備の製造場所」に関して、様式には、当該工場又は事業所で供給者が自ら特定重要設備を製造し、機能を充足させているかを特定社会基盤事業者が確認しているかを問う欄があるので、その確認が必要となる。また、法52条1項及び本省令10条で、届出の添付書類として登記事項証明書等、旅券の写し等を求めているのでそれらも必要になる。

〇ハ　「特定重要設備の一部を構成する設備、機器、装置又はプログラムであって特定妨害行為（中略）の手段として使用されるおそれがあるものに関する事項として主務省令で定めるもの」

基本指針では、「構成設備を特定するために必要となる、その種類、名称、機能といった構成設備の概要に関する事項や、当該構成設備の供給者の名称、住所等の事項をいう」としており、その趣旨として「例えば、構成設備の供給者に対する我が国の外部からの影響の有無やその程度を評価するために必要となる事項」と記している（基本指針19～20頁）。

本省令では、13条でまず構成設備を定義し、14条で届け出る事項を定める。

13条は、特定重要設備の定めに応じて構成設備を具体化しており、例えば13条1号では、本省令1条1号イの設備（本稿第3節（2）のイとして記述）について、業務用ソフトウェア、ノードデバイス、基盤システム　など6種類を定めている（同様に、同条2号以下で、本省令1条1号の設備の態様に応じ構成設備を定める）。これについて、前出の総務省解説に、「特定重要設備の機能を構成する設備のうち、その機能の毀損、または不正な操作を受けた場合に特定重要設備の機能に直接の支障を生じさせるものとし、①特定社会基盤役務を提供するために必要な機能を有するプログラム、②（後略）」とされているので、参照されたい。

14条で定める届け出る事項は基本指針に対応しており、構成設備の種類等の他、構成設備の供給者について、本省令12条で定める特定重要設備の供給者についての届出事項の1号から5号による定めと同じとなっている。

③ 法52条2項3号：重要維持管理等を行わせる場合の届出事項を定める（本省令の様式第6（2）が対応する）

〇イ　「重要維持管理等の委託の内容及び時期又は期間」

基本指針では、内容について「重要維持管理等の目的、行わせる業務内容、重要維持管理等の実施場所等をいう」としている（基本指針18頁）。

〇ロ　「重要維持管理等の委託の相手方に関する事項として主務省令で定めるもの」

基本指針では、委託の相手方を特定するために必要となる名称及び住所等の事項などとしており、導入の場合の供給者に関する事項と考え方は共通だ。本省令15条でも同12条において定める導入の場合の供給者と同じ定めとなっている（但し、導入の場合に求められる「製造する工場又は事業場の所在地」が重要維持管理等の委託の場合にはない（基本指針19頁）。なお添付書類については導入の場合と同様である）。

〇ハ　「重要維持管理等の委託の相手方が他の事業者に再委託して重要維持管理等を行わせる場合に（中略）再委託に関する事項として主務省令で定めるもの」

基本指針では、「再委託をして行わせる業務内容等の再委託の内容及び時期又は期間に関する事項のほか、再委託の相手方に関する事項等をいう。また、ここでいう再委託には、再委託された重要維持管理等の全部又は一部が更に委託されるものを含む」とされている（基本指針20頁）。そして、本省令16条ではこれに対応して1号から6号にわたって該当事項を具体的に定めている。

再委託では、さらに別の者に再委託しそれを繰り返す場合があるので、どこまでを届け出るかの範囲が気になる。この点について、基本指針では、原則として、最終的に委託を受けた者までの情報の記載を必要とするが、例外も認めるとしており、詳細を主務省令で定めることとしている（基本指針15～16頁）。本省令18条では、例外として、特定社会基盤事業者又は再委託を行った者が、再委託を受けた者において、再委託された重要維持管理等を行う区域を特定し、特定された当該区域への立ち入りを制限することなど当該区域への不正なアクセスを予防するための措置が講じられていること等を確認するために必要な措置を講じているときなど一定の条件を満たす場合には、当該再委託に関する省令規定の事項の記載と必要書類の添付は省略できると定めているので、当該確認のための措置を講じているかなど、が届出の範囲を画すことになる。

④ 法52条2項4号：1号から3号までの他、「特定重要設備の導入又は重要維持管理等の委託に関する事項として主務省令で定める事項」

これは、条文からは内容を捉えにくいが、基本指針では、「例えば、特定社会基盤事業者が自ら講ずるべき特定重要設備が特定妨害行為の手段として使用されるおそれを低減させるための有効な措置（以下「リスク管理措置」という。）を主務省令で定めることとなる。」と書かれており、どのような管理措置を講じているか、を記載させるものと解することができる（基本指針20頁）。

本省令17条は記載事項について「特定社会基盤事業者が講ずる特定妨害行為を防止するための措置」と定めているのみだが、様式第6（1）及び同（2）では、表にリスク管理措置の内容が6の類型に分けて書かれており、特定社会基盤事業者は自らが実施している取り組みが記載のいずれかに該当するかどうかチェックを付して届け出る、という仕組みになっている（加えて、様式の注では、選択した措置について当該措置を講じていることを証する書類を添付することを求めている）。これは、法52条4項に定める、導入計画書の届出があった場合に主務大臣が審査するために必要な要素である。なお、基本指針では「リスク管理措置は、リスクの内容及び程度に応じて講じられるべきものであり、（中略）例示する措置の全てを常に講ずることが求められるものではない」としており（23頁）、また、前出の文書[9]によれば、リスク管理措置は「様式に記載されている各項目の取組と同一の取組ではなくとも、同等のリスク管理が実施できていると認められるものについては、その取組内容を様式の備考の欄に記載した上でチェックを付すことが可能」としている。同文書では、「第2部」として、記載のリスク管理措置のそれぞれについて、措置の内容の解説と、確認するために必要な書類の例示を記しているので、参照されたい。

以上、導入等計画書の記載事項について見てきた。導入等計画書の届出が行われた後のプロセスは本稿第2節に記述しており、確認されたい。

このほか法第3章では、特定社会基盤事業者が指定を受けた際や特定重要設備が変更となった際、あるいは届け出た事項が変更になった場合など、変更発生の扱いを定めている。紙幅の関係で詳細は記さないが、委託の実務で用いられる「自動更新」であっても法上は委託の新たな開始と扱われることに注意が必要だ（基本指針29頁）。

また、法58条では、必要な限度に限って主務大臣の特定社会基盤事業者からの報告の徴収や立ち入り検査の権限が定められている。

4．今後に向けて

以上のとおり、特定社会基盤事業者には届出義務が追加されることになる。導入等の頻度によるが、届け出ることや禁止期間を導入等の日程に織り込むなど一定の負担が発生すると推察されるが、この制度により厳しい安全保障環境においてもサプライチェーンのリスクの管理と低減につながり、生活や経済活動の基盤となるインフラサービスが安定的に提供されることを期待したい。また、特定社会基盤事業者は供給者や委託の相手方の役員の国籍などの情報なども管理することになるので、情報の管理も重要な取り組みとなる。

なお、制度の運用における事業者の意見や発生する課題、また安全保障環境の変化によって、制度は変更されていく可能性があるので、実務においては、法、本政令、本省令の変更はもとより本稿で参照した文書について常に最新のものを確認することも重要である。