ここでとりあげたケースのベンダーや委託先は必ずしも外国企業ではない。だが、重要設備の調達先企業が敵対関係にある国、安全保障上の懸念がある国の影響下にある場合、サイバー攻撃はより容易となり、その被害は大きくなるだろう。
米国で高まる特定中国企業に対する規制
「国の影響下」という面で特に懸念されるのは、情報通信分野で世界シェアを拡大し、日本にとっても戦略的競争相手である中国だ。特定の中国企業が自社製品やサービスを通じて情報窃取やサイバー攻撃を行うリスクがあるとして、米国などは規制を強化している。
米トランプ前政権下で成立した「2019会計年度国防授権法(18年8月署名、成立)」は、通信機器や監視カメラの製造大手を含む5つの特定中国企業製品の政府調達を禁じた。加えて、特定中国企業の製品を組み込んだ完成品の政府調達やこうした製品を利用する事業者の政府調達市場への参入も禁じられた。
米通信業界では、特定中国企業への規制がさらに進む。「安全で信頼できる通信ネットワーク法」(20年3月)やバイデン政権下で成立した「安全な機器に関する法」(21年11月)により、特定中国企業が米国内で新たに通信機器を販売することは実質的に不可能となった。
特定中国企業で懸念されるのは、主に情報窃取のリスクである。だが、機密情報をとるためのサイバー攻撃と将来の破壊的・妨害的行為のための探索的活動は区別がつかず、前者のリスクがあると判断されれば、当然、後者のリスクもあると判断してよいだろう。
基幹インフラの中核たるハードな機器(通信機器・情報機器)、アプリケーション・オペレーションシステム(OS)、クラウドサービスやそのベンダー・委託先は破壊的なサイバー攻撃の経路となりうるもので、既に大国間の地政学的競争の舞台となっている。こうした観点で、自社の調達品や調達先に特定国の影響が及んでいないか、安全保障上のリスクがないか、既に自主的チェックを行っている日本企業も少なくない。
何が経済安保上の基幹インフラに指定されるのか
民間企業の設備投資は全て、中長期の経営判断に基づくものだ。政府の方針や規制に予見可能性(見通しの立ちやすさ)がなければ、こうした経営判断は難しい。
多くの企業にとって現時点での関心事は明確だろう。つまり、①どのような事業・事業者・設備が規制対象となるのか、②具体的にどのような製品が安全保障上のリスクがあると判断されるか、である。
対象となる事業・事業者・設備は現時点で不確実性が高い。有識者会議提言では、インフラサービスが途絶した場合の「国家及び国民の安全」への影響を鑑みて、選定するという。現時点での事業分野の「想定」としては、エネルギー、水道、情報通信、金融、運輸、郵便が挙げられる。
「基幹インフラ」と似たカテゴリーとして、サイバーセキュリティ基本法が定める「重要社会基盤事業者」(一般的には「重要インフラ事業者」と呼ばれる)があるが、両者の関係は明らかになっていない。日本国内では22年1月現在、情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流、化学、クレジット、石油の14の分野が重要インフラに指定されている。
後述するが、米国はじめ諸外国では、必ずしも重要インフラに限定されず、大量の機微個人情報を保有する事業者、広く普及したソフトウェア開発・販売事業者なども含めて情報通信技術サプライチェーンに規制をかけている。
事前審査の対象となる「基幹インフラ事業者」については市場シェアや企業規模など観点が提示されているが、民間企業の投資判断のためにも、「基幹インフラ事業者」の対象範囲を一日も早く明確にすべきである。
