経済安全保障における国内外の政策動向と金融機関への影響 – 基幹インフラ審査制度を中心に –

1. 経済安全保障推進法と基幹インフラ審査制度
2. 基幹インフラ審査制度とサイバーセキュリティ
3. 米国やドイツの類似の取組
4. 基幹インフラ審査制度において対象事業者が行わなければならないこと
5. 金融機関における経済安全保障

経済安全保障推進法と基幹インフラ審査制度

｢経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律｣(いわゆる経済安全保障推進法、以下｢推進法｣という)は、多岐にわたる経済安全保障上の主要課題のうち、法制上の手当てを講ずることによりまず取り組むべき分野として、①重要物資の安定的な供給の確保、②基幹インフラ役務の安定的な提供の確保、③先端的な重要技術の開発支援、及び④特許出願の非公開化による機微な発明の流出防止の4つの制度を新たに導入するものとして2022年5月に成立した。4つの制度は、段階的に施行されてきており、このうち、経済安全保障の観点から重要な物資の供給や技術の研究開発に関する政府による支援枠組みである①と③の制度は、残りの制度に先行して2022年8月より施行され、制度の運用段階にある。とりわけ①の重要物資の安定的な供給の確保に関する制度については、特に半導体、蓄電池、クラウドプログラム等を製造する事業者に対する政府による財政上の支援措置について報道されることもあることから、本稿の読者の方の中にも認識されている方も多いのではないかと思われる。

残る②と④の制度のうち、②の基幹インフラ役務の安定的な提供の確保に関する制度(以下では単に｢基幹インフラ審査制度｣という)についても、2023年11月より施行されている(なお、残る④の特許出願の非公開化部分は2023年5月1日より施行)。2022年5月の施行以降、制度の詳細について詰める議論が継続されてきたが、11月に対象となる事業者の基準、重要な設備、構成設備、届出事項といった制度の詳細部分に関する政省令が確定した。その際には、制度の適用対象となる、通信、電力、ガス、水道、航空、運輸、金融などの14の重要インフラ事業分野の事業者、210事業者が各事業所管省庁により指定され、公表された。本稿の主な読者であろう金融分野の事業者については、例えば、銀行は17行、保険会社は10社、証券会社は7社、資金移動業者は2社、クレジットカード会社は７社が対象が指定されている。これらの制度の適用対象となる事業者(特定社会基盤事業者)は、重要設備の導入や維持管理等の委託を行う場合に、届出を行い、政府による審査を受け、完了したうえでないと、重要設備を導入したり、これらの維持管理の委託を行うことが禁止されることになる。推進法においては、6ヶ月間の猶予期間が定められているため、実際に制度が適用される(制度の対象となる事業者の重要設備の導入等に際して当局に対する届出義務を負う)のは2024年5月からとなる。

基幹インフラ審査制度とサイバーセキュリティ

基幹インフラ審査制度は、外国政府やテロリストの関与が疑われるようなサイバー攻撃事案などを念頭に、日本の外部からの重要設備を通じた妨害行為、例えば、外国政府の影響下にある者が、埋め込んだマルウェアを用いてプログラムを停止させたり、物理的な破壊行為により重要なインフラサービスの提供を停止させるような外部の主体による妨害行為を可及的に防ぐことができるよう、政府が重要インフラ事業者に対して届出を求めることにより、重要設備の導入や委託等に際してあらかじめ事前に審査を行うとともに、インフラ事業者に対して安全保障の観点から監督を及ぼすことを可能とするものである。
本制度は、現在の地政学状況等をふまえて導入されたものであり、とりわけ、米国のウクライナの発電所や通信事業者に対するロシア政府による関与が疑われるサイバー攻撃事案など、外国政府やテロリスト、それらの影響下にある者など、日本の外部の主体による一定の目的(例えば政治目的、軍事目的)をもったアクターによる、重要インフラ設備に対する妨害、侵入を排除することに念頭におかれた制度といえる。そのような妨害行為に加担するような重要設備等の供給者がいないかどうかをスクリーニングするために、当局に対する導入等の届出においても、重要設備や構成設備の供給者や重要維持管理等の委託先の5%以上の議決権を有する株主や、役員の国籍の記載が求められ、また、外国政府との取引関係を確認したうえで一定割合以上となる場合は、その旨を届け出ることを求めている。このため本制度は、重要インフラ保護を目的としたサイバーセキュリティに向けられた制度ではあるが、サイバーセキュリティのための一般的な取組とは重なる部分があるとはいえ、少し目的が異なるものである(このような違いゆえに、例えば、日本国外の主体とは無関係な日本国内のハッカー集団がいるとすれば、これらの集団による重要インフラへの妨害行為は本制度の規制対象にはならないことになり得る)。本制度は、基本的には、外国政府やテロリスト、それらの影響下にある者がインフラ事業者の重要設備に対して妨害行為を行うようなものであるか、という属性のチェックを通じて懸念がある重要設備に係る供給者等を排除し、あるいはリスク軽減のための措置を講じることに、一義的な力点が置かれているのである(とはいえ実際には、後に述べるリスク管理措置との関係では、一般的なサイバーセキュリティの観点から行わなければならない措置が多く挙げられているため、この属性の確認の点を除けば、一般的なサイバーセキィリティ対策と重なっている部分も大きい)。

米国やドイツの類似の取組

日本の基幹インフラ審査制度は、日本独自のものかというと国外に目を向ければ類似した制度がいくつか存在している。例えば、推進法導入時の政府説明資料においても言及されていた、米国の情報通信技術・サービス(ICTS)のサプライチェーンを保護するための規則(ICTS)規則や、ドイツの2021年にドイツで成立したITセキュリティ法2.0に基づく当局によるインフラへの妨害行為を防ぐための審査制度は、本制度に基づく審査類似しており、参考になる。

・米国のICTS規則
米国のICTS規則は、米国内の個人・民間企業による「外国敵対者」の影響下にある個人・団体によって設計・開発・製造・供給される ICT機器・サービスに係る米国のICT機器・サービスに係る事業活動に悪影響を与える取引、米国の重要インフラ・デジタル経済のセキュリティに深刻な悪影響を与える取引、その他の米国の安全保障に深刻な脅威を与える取引を米商務省が審査を行うものである。この｢外国敵対者｣は具体的には、中国、キューバ、イラン、北朝鮮、ロシア政府、マデュロ政権下のベネズエラが指定されており、米国にとって敵対的な外国政府の影響下にある主体による、米国のICTSに関する一定の技術分野(重要インフラ、通信ネットワーク、人工知能、機械学習、量子コンピューティング、ドローン、自動運転システムなどの先端技術分野)への妨害行為を排除するということに力点がある(なお、この制度は、2023年6月に最終規則が施行されている一方、事前の届出制度の導入も検討されていたが、当初想定していたようには進んでおらず、2023年12月時点までに事前届出の枠組みは導入されていない)。これ以外にも、米国の場合は、米国政府は、｢2019 年安全で信頼できる通信ネットワーク法(H.R.4998)｣に基づく措置として米国の国家安全保障と米国人の安全に容認できないリスクをもたらし得るものとして、一定の機器・サービスをリストとして公表し、そのうち、中国企業5社やその子会社又は関連会社の製造する一定の通信機器及びビデオ監視機器に対する、米国内への輸入や販売に関する認証が禁止されている。また、2019年度国防授権法の889条に基づいて、中国企業5社の通信・監視関連の機器、システム又はサービスを政府調達から排除する取組も行っている。

・ITセキュリティ法2.0
ドイツの場合も、ITセキュリティ法2.0に基づいて、重要インフラ事業者が、インフラに係る重要部品の使用を開始しようとする場合に、事前に政府に通知し、政府を受けなければならないこととされている。ドイツのITセキュリティ法2.0は、制度としては特定の国の製造業者をブラックリストに載せたうえで、一律に排除するような制度では無く、重要インフラ事業者により通知された事項を政府が個別に審査する制度である(なお、2023年9月には、ドイツ政府が、国内の5G網から中国のファーウェイ及び及びZTEの通信機器を排除することを検討しているとの報道もあり、さらに特定の機器にフォーカスした規制が導入される可能性がある)。ドイツのITセキュリティ法2.0では、当局により審査にあたって考慮される項目として、①製造者が、第三国の政府機関又は軍隊を含む政府によって直接又は間接的に管理されているか、②製造者が、ドイツ連邦共和国、欧州連合、EU、NATOの他の加盟国、又はそれらの機関の公共政策や公的安全保障に悪影響を及ぼす活動を行っているか、及び、③重要部品の使用が、ドイツ連邦共和国、EU又はNATOの安全保障政策目的に合致しているかどうかを挙げており、当局の設備の製造者の属性を、ドイツの安全保障の観点から適合的かどうかをレビューすることが明確な枠組みになっており、日本の制度と類似する点が多い。
なお、5月に開催されたG7広島サミットでは、史上はじめて経済安全保障に関する首脳声明が行われたが、その際にも、強靱な基幹インフラの構築のための｢ベンダー及びサプライヤーがもたらす政治的、経済的、及びその他の非技術的な性質のリスクを評価する必要性を再確認｣するとされており、これらの米国、ドイツ、日本の基幹インフラに対する、ベンダー及びサプライヤーがもたらす政治的なリスクを含むリスクを排除に向けた取組と平仄が取られた声明が行われている。

基幹インフラ審査制度において対象事業者が行わなければならないこと

制度の適用対象となる事業者(特定社会基盤事業者)による導入の祭に、審査を受けなければならない｢重要設備｣(特定重要設備)は、例えば、銀行であれば、預金取引、貸付け、為替取引の勘定処理を行うシステム、保険であれば、保険金支払システム、証券会社であれば、注文データの管理、口座管理、約定管理、残高管理、清算・決済を処理しているシステム、資金移動業者であれば、為替取引システム、及び、これらのシステムを稼働させるためのシステムなどが想定されている。これらは、金融庁の解説によれば、｢原則としてソフトウェア・ハードウェアを総称する仕組みとしてのコンピュータシステム｣が該当するとされ、｢各特定社会基盤事業者におけるシステムの導入・管理の実態等に照らして個別に判断すること｣とされており(令和5年1月｢金融分野における経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度の解説｣Q1-1)、何が特定重要設備に該当するか、どこまでが特定重要設備の範囲に含まれるかは、金融機関自らが判断し、確定する必要がある。
その上で、制度の適用対象となる特定社会基盤事業者は、届出及び届出審査の前提として、理念的には以下の大きく3つの対応が求められているといえる(実際にはそれぞれの対応は相互に重なる部分があり、とりわけ②は、届出準備の課程における③のリスク管理措置の確認を通じて行われる部分が多いのではないかと思われる)。

1. 重要設備やその構成設備の供給者の供給の状況、及び維持管理等の外部委託の状況の確認と、重要設備の供給者等の属性に関する情報収集・把握
2. これらの情報収集結果をふまえた、重要設備が外部の主体による妨害行為により利用されるおそれに関するリスク評価の実施
3. リスク評価をふまえ、リスク内容と程度に応じたリスク軽減のための措置(リスク管理措置)を検討・実施

①は、そもそもどういった事業者が上記で特定された重要設備の供給に携わっているのかということを確認することは当然であるが、さらに、重要設備を構成する設備やプログラムである｢構成設備｣についても、これらがどのような事業者から供給されているかも把握し、(把握していないのであれば)情報収集を行う必要がある。例えば、銀行の例で言えば、｢構成設備｣には、預金取引、貸付け、為替取引に係る勘定処理を行う機能を有する業務アプリケーション、及び、上記アプリケーションに係るオペレーティングシステム、ミドルウェア、サーバー、顧客資産情報を保管する設備等が含まれ、これらの供給者についての情報を収集する必要があり、例えば、これらの事業者の5%以上の株主の属性、役員の生年月日や国籍等の情報、それを裏付ける資料(例えば、パスポートや登記情報)などを収集し、又は直接政府に対して提出するよう求めたりする必要がある。重要維持管理・操作の委託の場合も、同様に、具体的にどの行為が重要維持管理又は操作の委託に該当するかを特定したうえで、委託先や委託先の再委託先(さらにその再委託先)も把握し、情報収集を行う必要がある。これまで再委託先等について直接の委託先に任せきりなっていた事業者にとっては、再委託先に関する情報収集・把握及びその適切な管理は、本制度への対応に関する大きな分析・検討ポイントになり得る。また、上記の情報の収集・把握にあたっては、ベンダーや設備のサプライヤーに対して、金融機関は、(場合によっては海外の事業者に対し)制度の説明を行ったうえで、本制度に基づく対応に関し理解を求め、必要に応じて、ベンダーやサプライヤーとの間の契約を改訂し、必要な情報取得が可能な立て付けとしていく必要がある。
②のリスク評価としては、現在の重要設備やその構成設備の供給者や、外部委託管理の状況をふまえて、重要設備を通じて外部の主体からの妨害行為が行われるおそれがないかどうかを分析し評価することが求められている。推進法に基づいて定められた基幹インフラ制度の基本指針によれば、政府による届出審査の考慮要素としては、供給者等が我が国の外部にある主体から強い影響を受けているかどうかや、その供給者等に対して日本の法令や国際的に受け入れられた基準等の不遵守等が指摘された例、特定重要設備の供給者等が、日本及び同盟国等に対する妨害行為に関与したとの指摘の有無等が考慮されており、このような考慮要素をふまえたリスク評価を行う必要がある。防衛関係企業などとは異なり、金融機関を含む事業者については、これまで安全保障(ないし、G7の首脳声明でいうところの、｢ベンダー及びサプライヤーがもたらす政治的、経済的、及びその他の非技術的な性質のリスク｣)の観点からリスク分析を行ったことがある企業は少ないであろうから、非常に悩ましい点である。
とりわけ、前記のとおり、米国政府は、｢2019 年安全で信頼できる通信ネットワーク法(H.R.4998)｣に基づく措置として米国の国家安全保障と米国人の安全に容認できないリスクをもたらし得るものとして、一定の機器・サービスをリストとして公表しているため、米国の場合、一定のブラックリストをベースに対応することも可能となる。日本の場合も、ISMAP登録を行った事業者がベンダーやサプライヤーとなる場合には、一定の届出事項の省略が認められるという特例はあり、一定の問題がないであろう事業者を把握できる形にはなっているものの、米国のような安全保障上懸念のある、ベンターやサプライヤーリストが公表されているわけではないため、現在の地政学状況を踏まえて、自ら判断することが求められる(ただ、実際には③のリスク管理措置を一つ一つ確認するなかでリスク評価を行うことが想定される。また、金融機関はこれまでにAML/CFTの文脈ではあるものの、組織的に顧客属性のスクリーニングを行ってきている実績があることからすれば、懸念されるアクターについて、データベースなどを用いてスクリーニングを行いやすい体制にあるのではないかと思われる)。

③に関し、制度の適用対象となる事業者(特定社会基盤事業者)は、②のリスク評価をふまえて、そのリスクの内容及び程度に応じてリスクを軽減するための具体的な措置を検討することになる。これらはリスク管理措置と呼ばれるものであるが、リスク管理措置は届出書のひな形でチェックボックスの形式で列挙されているため(導入は23種類、維持管理等の委託は14種類)、内閣府が掲載している解説もふまえれば、何を行う必要があるのかというのは相当程度明確になっているといえる。
例えば、導入時点のリスク管理措置としては以下のような点が含まれる。

• 脆弱性テストが実施されたかどうか、情報セキュリティ要件が実装されているか、構成設備が信頼できる品質保証要件の元で開発されたどうかを確認ができているか
• 不正な妨害が行われたとしても役務が提供できるようなバックアップや隔離の体制が講じられているか、インシデント対応の対応方針が整備されているか、
• 導入後も、構成設備の供給者が、外国の政府等の影響をうけるなどして契約に違反した場合等の、一定の事項を報告することが契約上担保されているか。

上記は制度の適用対象となる事業者(特定社会基盤事業者)である金融機関側から見た場合の対応であるが、一方で、例えば、クラウドサービス事業者といったような、金融機関に重要設備に関連するサービスを提供している事業者にとっても本規制は無関係ではない。これらの事業者は、金融機関、場合によっては政府から事業者の役員や株主に関する情報や再委託先の情報など、審査や届出に必要な情報の提供が求められたりすることになる。
また、金融機関との間の契約において、リスク管理措置の一環として、サイバーセキュリティの対応状況についての確認を求められたり、再委託する場合にこれまで以上に制約がかかったり、一定の報告を求められたりすることも想定される。ベンダーやサプライヤーの立場からすれば、金融機関の要請の背景をよく理解したうえで、金融機関側からの求めに対応することが望ましく、また、金融機関としてもこれらのベンダーやサプライヤー(場合によっては海外の事業者に対し)に制度の説明を行ったうえで、一定の対応を求めることについて、理解を求める必要があると思われる。
なお、③のリスク管理措置は、②のリスク評価が前提となっているところ、②のリスク評価の結果、③のリスク管理措置によっては軽減し得ないようなリスクがある場合には、②の届出書に列挙されている事項をすべて行ったとしても、②のリスクが軽減するのに十分ではない場合があり得る。また、②のリスク評価がないままリスク管理措置を行おうとすれば、リスクのない取引についても、すべてのリスク管理措置を行うことになる結果、特定社会基盤事業者の負担が大きくなる可能性もある。したがって、②のリスク評価は③の前提として、特定社会基盤事業者自らの工夫によりある程度実施せざるを得ないのではないかと思われる。

基幹インフラ審査制度の制度内容は、確定したとはいえ、各事業所管省庁が、どのような運用を行うか、ルール上必ずしも明確ではない部分も残っている。また、運用の詳細についてはまだこれから詰められていく部分も多いのではないかと思われる。このため、特定社会基盤事業者に該当する金融機関は、金融庁の相談窓口も利用しながらプロアクティブに当局とよく対話をしていくことも必要となるであろう。

金融機関における経済安全保障

金融機関の事業は、国民生活の基盤としての役務の安定的な提供が求められるだけでなく、機微な個人情報や、融資先・取引先の機微な事業情報を保有していることから、経済安全保障のマインドをもって事業を行う必要がある。金融機関として経済安全保障の観点から検討が求められる事項としては、例えば、外国政府による情報アクセスの可能性を踏まえたデータ管理、サイバーセキュリティ、資産凍結のゲートキーパーとしての規制対応、M&Aや投資実行にあたってのパートナーの選定(事業特性をふまえて、資本・業務提携の相手方や株主が誰になるのかという観点)といった点である。最後の点に関し、外国投資家による金融セクター業は、2023年12月現在までに、外為法上の投資審査の対象となる業種としては指定されていない。もっとも、上記の事業特性をふまえれば、金融機関としては、上記の事業特性やレピュテーションなども検討しながら、資本・業務提携の相手方を検討する必要があるのではないかと思われる(なお、外国投資家による、銀行の株式取得については、例えば、金融機関がグループ会社や本体においてIT、サイバーセキュリティ、ソフトウェア業を営んでいることを理由として事前届出対象となり投資審査の対象となる場合があり得る他、金融庁の主要株主認可の取得を通じて当局による一定の審査はなされ得る)。金融機関においては、厳しい安全保障環境と目まぐるしく変化し複雑化する国際状勢をふまえて着実に対応をしていく必要がある。

寄稿

西村あさひ法律事務所
弁護士
桜田 雄紀 氏

投資審査、輸出管理、経済制裁、機微な技術分野における共同研究開発等の経済安全保障に関する案件を多数手掛ける。2019年から2022年までの間、財務省に大臣官房企画官(国際局調査課)として執務し、2020年の外為法改正の立案、改正後の運用強化、対ロシア制裁などに携わった経験を有する。経済安全保障に関する執筆・講演も多数行っている。