2σ Guide

経済安保推進法と
重要インフラ規制の実務論点

企業法務、調達、IT、OT、サイバーセキュリティ、個人情報、M&A、内部統制が交差する重要インフラ規制を、届出前の契約設計から運用後の変更管理まで整理します。

30日審査期間の原則
4か月延長の最大目安
257者2026年4月1日時点の指定事業者
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

経済安保推進法と 重要インフラ規制の実務論点

企業法務が最初に押さえるべき制度目的、届出構造、経営管理への影響をまとめます。

動画を読み込み中…
2σ GUIDE ・ VIDEO
経済安保推進法と 重要インフラ規制の実務論点
企業法務が最初に押さえるべき制度目的、届出構造、経営管理への影響をまとめます。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 経済安保推進法と 重要インフラ規制の実務論点
  • 企業法務が最初に押さえるべき制度目的、届出構造、経営管理への影響をまとめます。

POINT 1

  • 経済安保推進法と重要インフラ規制の全体像
  • 企業法務が最初に押さえるべき制度目的、届出構造、経営管理への影響をまとめます。
  • 届出前から契約・情報・工程を設計する制度です
  • 重要物資の安定供給
  • 基幹インフラ役務の安定提供

POINT 2

  • 経済安保推進法と重要インフラ規制を企業法務で扱う前提
  • 1. 1. 指定事業者か確認します:自社が特定社会基盤事業者として指定されているか、または重要サプライヤーとして関与するかを確認します。
  • 2. 2. 設備・委託が対象か確認します:設備、プログラム、クラウド、保守運用、再委託が特定重要設備または重要維持管理等に当たるかを確認します。
  • 3. 3. 届出情報を取得できるか確認します:供給者、委託先、再委託先、株主、役員、外国政府等との関係、製造場所、リスク管理措置を確認します。
  • 4. 契約・質問票を先に整えます:情報提供、変更通知、再委託管理、当局照会協力、移行支援を契約に入れます。
  • 5. 届出と工程管理へ進みます:30日の審査期間、短縮・延長、緊急時対応、変更管理を日程へ反映します。

POINT 3

  • 経済安保推進法と重要インフラ規制の用語と制度階層
  • 法律上の用語と、実務で参照すべき法令・指針・Q&Aの階層を整理します。
  • 経済安保推進法は長い正式名称を持つため、実務では経済安全保障推進法、経済安保推進法、経済安保法などと呼ばれます。
  • 重要インフラ規制は法律上の正式な章題ではなく、第3章に基づく特定社会基盤役務の安定提供確保制度を指す呼称です。
  • 重要インフラ規制は、法律だけでは実務判断が完結しません。

POINT 4

  • 経済安保推進法と重要インフラ規制の対象分野・対象行為
  • 対象事業者だけでなく、サプライヤー、委託先、クラウド、再委託先まで影響が及びます。
  • 医療分野は同日公布の改正法による追加であり、施行日は政令で定められる日とされています。
  • 法律上の直接の届出義務者は指定された特定社会基盤事業者です。
  • サブコンポーネント、ファームウェア、OSS、認証基盤、保守ツール、サブプロセッサ、再々委託先を確認します。

POINT 5

  • 経済安保推進法と重要インフラ規制の導入等計画書・審査・命令対応
  • 1. 対象性の一次判定:設備・サービス・委託内容が対象になり得るか、質問票と選定基準に反映します。
  • 2. 情報提供条項を提示します:再委託、役員情報、製造場所、支配関係、当局照会協力、変更通知を契約案に入れます。
  • 3. 届出情報の取得可能性を確認します:営業秘密や個人情報が含まれる場合は、限定閲覧や当局への直接提出も検討します。
  • 4. 届出と審査期間を管理します:当局相談、追加照会対応、審査期間満了、短縮・延長の可能性を工程に反映します。
  • 5. 変更・証跡・監査を続けます:変更届出要否、契約条項の遵守、再委託先変更、リスク管理措置の実施状況を確認します。

POINT 6

  • 経済安保推進法と重要インフラ規制の届出事項・データ管理・医療分野追加
  • 役員情報・国籍情報
  • 氏名、生年月日、国籍等は個人情報として扱い、利用目的、取得範囲、本人通知・同意、安全管理、海外法制を確認します。
  • 営業秘密
  • 構成設備、製造場所、再委託先、取引割合は競争上重要な情報になりやすく、限定閲覧や当局への直接提出を検討します。

POINT 7

  • 経済安保推進法と重要インフラ規制の契約実務
  • 情報取得、変更捕捉、リスク低減、行政対応を契約条項へ落とし込みます。
  • 情報取得機能
  • 変更捕捉機能
  • リスク低減機能

POINT 8

  • 経済安保推進法と重要インフラ規制の調達・IT・OT・クラウド管理
  • アクセス管理
  • 多要素認証、特権ID、最小権限、リモートアクセス制限、踏み台管理、接続元制限を実施します。
  • ログ・変更管理
  • ログ取得、改ざん防止、長期保存、構成管理、変更承認、監査可能な記録を残します。

まとめ

  • 経済安保推進法と 重要インフラ規制の実務論点
  • 経済安保推進法と重要インフラ規制の全体像:企業法務が最初に押さえるべき制度目的、届出構造、経営管理への影響をまとめます。
  • 経済安保推進法と重要インフラ規制を企業法務で扱う前提:禁止リストではなく、事前審査制度としてプロジェクトの入口から管理します。
  • 経済安保推進法と重要インフラ規制の用語と制度階層:法律上の用語と、実務で参照すべき法令・指針・Q&Aの階層を整理します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

経済安保推進法と重要インフラ規制の全体像

企業法務が最初に押さえるべき制度目的、届出構造、経営管理への影響をまとめます。

経済安保推進法と重要インフラ規制を実務で扱う際に重要なのは、これを単なる法令届出やITセキュリティの話に狭めないことです。正式名称は「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律」であり、サプライチェーン、官民技術協力、特許出願非公開、基幹インフラ役務の安定提供を含みます。

重要インフラ規制は、このうち第3章の「特定社会基盤役務の安定的な提供の確保」に関する制度を指す実務上の呼称です。指定された特定社会基盤事業者が特定重要設備を導入する場合や、重要維持管理等を外部委託する場合に、導入等計画書を事前に届け出て審査を受ける仕組みです。

下の重要ポイントは、制度の時間軸と規模を表しています。審査期間、延長可能性、指定事業者数を同時に見ることで、法務だけでなく調達、情報システム、経営会議の日程管理にも影響する制度として読み取れます。

届出前から契約・情報・工程を設計する制度です

審査は原則30日で、最大4か月まで延長される可能性があります。2026年4月1日時点で特定社会基盤事業者は257者とされ、2026年6月17日公布の改正法により医療分野の追加も予定されています。

規制の焦点は、設備、機器、装置、プログラム、構成設備、保守運用委託、再委託、サプライヤーの支配関係、外国政府等との関係、製造場所、リスク管理措置へ広がります。企業法務は、調達部門、IT部門、OT部門、CISO/CSIRT、個人情報保護担当、内部監査、経営企画、M&A担当、事業部門と連携し、契約・手続・データ管理・技術管理・ガバナンスを一体で設計します。

次の一覧は、経済安保推進法の4本柱と、重要インフラ規制がどこに位置するかを表しています。制度の全体像を押さえることが重要なのは、重要物資、重要技術、特許出願非公開と混同せず、基幹インフラ固有の届出・審査・契約管理を読み分けるためです。

Pillar 01

重要物資の安定供給

半導体、蓄電池、重要鉱物、医薬品など、供給途絶が安全保障に影響する物資の確保を扱います。

Pillar 02

基幹インフラ役務の安定提供

本ページの中心です。特定重要設備の導入と重要維持管理等の委託を事前届出・審査の対象にします。

Pillar 03

特定重要技術の研究開発

重要技術に関する官民協力、研究開発支援、協議会、成果活用を含みます。

Pillar 04

特許出願の非公開

安全保障上機微な発明について、一定の場合に出願公開などを制限します。

Section 01

経済安保推進法と重要インフラ規制を企業法務で扱う前提

禁止リストではなく、事前審査制度としてプロジェクトの入口から管理します。

重要インフラ規制は、行政法、サイバーセキュリティ、国家安全保障の制度に見えます。しかし企業の現場では、対象設備の調達契約、サプライヤーや再委託先からの情報取得、役員情報・国籍情報の取扱い、営業秘密の開示拒否、審査期間の工程反映、設備更新・クラウド移行・保守委託先変更、M&A時のデューデリジェンス、取締役会や内部監査の監督範囲といった企業法務課題として表れます。

重要なのは、特定国の製品や特定ベンダーを一律に排除する単純な禁止リストではない点です。指定事業者が特定重要設備を導入し、または重要維持管理等を委託しようとする場合に、導入等計画書を事前に届け出て、主務大臣の審査を受ける制度として理解します。

次の判断の流れは、実務で最初に確認する順番を表しています。この順番が重要なのは、対象性、設備範囲、情報取得、審査期間、契約条項のどこかを後回しにすると、稼働直前に届出漏れや契約上の情報不足が判明しやすいためです。

対象性判定から契約設計までの判断の流れ

1. 指定事業者か確認します

自社が特定社会基盤事業者として指定されているか、または重要サプライヤーとして関与するかを確認します。

2. 設備・委託が対象か確認します

設備、プログラム、クラウド、保守運用、再委託が特定重要設備または重要維持管理等に当たるかを確認します。

3. 届出情報を取得できるか確認します

供給者、委託先、再委託先、株主、役員、外国政府等との関係、製造場所、リスク管理措置を確認します。

不足あり
契約・質問票を先に整えます

情報提供、変更通知、再委託管理、当局照会協力、移行支援を契約に入れます。

不足なし
届出と工程管理へ進みます

30日の審査期間、短縮・延長、緊急時対応、変更管理を日程へ反映します。

この順序を誤ると、プロジェクト終盤で届出対象であることが判明し、稼働開始遅延、契約違反、行政対応、予算超過、対外説明リスクが同時に発生します。企業法務は、相談を待つだけでなく、調達・システム・事業部門の初期判断に組み込まれる体制を整えます。

Section 02

経済安保推進法と重要インフラ規制の用語と制度階層

法律上の用語と、実務で参照すべき法令・指針・Q&Aの階層を整理します。

経済安保推進法は長い正式名称を持つため、実務では経済安全保障推進法、経済安保推進法、経済安保法などと呼ばれます。重要インフラ規制は法律上の正式な章題ではなく、第3章に基づく特定社会基盤役務の安定提供確保制度を指す呼称です。

次の一覧は、届出要否や契約条項の前提となる主要用語を表しています。用語の違いを押さえることが重要なのは、対象事業者、対象設備、構成設備、保守運用委託を混同すると、届出漏れや不要な情報取得につながるためです。

用語実務での意味確認ポイント
特定社会基盤役務国民生活と経済活動の基盤となり、停止時に安全を損なうおそれがあるサービスです。電気、水道、通信、金融、交通などでも、法令・政令・省令で絞り込まれます。
特定社会基盤事業特定社会基盤役務を提供する事業のうち、政令で定められる事業です。医療分野は2026年改正で追加予定です。
特定社会基盤事業者対象事業を行う者のうち、主務大臣に指定された事業者です。分野内の全事業者が自動的に直接義務者になるわけではありません。
特定重要設備役務の安定提供に重要で、妨害行為の手段として使用されるおそれがある設備・機器・装置・プログラムです。物理装置だけでなく、ソフトウェア、制御、認証、クラウド基盤も問題になります。
構成設備特定重要設備を構成する設備、部品、プログラム、クラウド機能などです。一次サプライヤーだけでなく、サブコンポーネントの供給者確認も必要になり得ます。
重要維持管理等維持管理、操作、保守、点検、更新、障害対応、運用支援などのうち制度上重要な行為です。保守、SOC/NOC、遠隔アクセス、マネージドサービス、データセンター運用が論点になります。
特定妨害行為特定社会基盤役務の安定提供を妨害する行為です。バックドア、遠隔停止、データ改ざん、脆弱性悪用、権限濫用などを想定します。

重要インフラ規制は、法律だけでは実務判断が完結しません。次の比較表は、参照すべき資料の階層と実務上の意味を表しています。上位の制度趣旨だけでなく、分野別省令、告示、Q&A、様式まで確認することで、具体的な届出要否と記載事項を読み取れます。

階層内容企業法務での使い方
法律制度目的、基本概念、指定、届出、審査、勧告・命令の枠組みです。全体像とリスクの根拠を確認します。
政令対象事業、適用範囲、手続の詳細です。自社事業が制度対象に入り得るかを一次判断します。
主務省令指定基準、特定重要設備、重要維持管理等、届出事項です。届出要否判断の中心として確認します。
告示特定社会基盤事業者の指定などです。自社または取引先が指定事業者か確認します。
基本指針制度の基本的な考え方とリスク管理措置の方向性です。社内規程とリスク管理設計に反映します。
所管省庁の解説・Q&A分野別の解釈、届出手続、様式、相談窓口です。案件ごとの運用確認と当局相談に使います。
社内規程・契約ワークフロー、ベンダー条項、証跡管理です。制度対応を日常業務へ実装します。
Section 03

経済安保推進法と重要インフラ規制の対象分野・対象行為

対象事業者だけでなく、サプライヤー、委託先、クラウド、再委託先まで影響が及びます。

内閣府の2026年6月17日版の概要資料では、対象事業として、電気、ガス、石油、水道、鉄道、貨物自動車運送、外航貨物、港湾運送、航空、空港、電気通信、放送、郵便、医療、金融、クレジットカードが掲げられています。医療分野は同日公布の改正法による追加であり、施行日は政令で定められる日とされています。

次の一覧は、対象分野ごとの主な着眼点を表しています。分野によって設備、委託、データ、既存業法、監督当局が異なるため、自社の分野だけでなく、顧客や委託先が属する分野の論点を読み取ることが重要です。

分野企業法務上の主な着眼点
電気・ガス・石油発電、送配電、需給制御、導管、製油所、備蓄、OTセキュリティ、長期保守、海外部品、予備品、緊急供給を確認します。
水道浄水、送配水、監視制御、自治体委託、広域連携、料金システム、民間委託、クラウド化を確認します。
鉄道・航空・空港・港湾・物流運行管理、信号、予約発券、貨物追跡、港湾ターミナル、空港運用、国際物流、海外ベンダーを確認します。
電気通信・放送・郵便ネットワークコア、認証、交換、仮想化基盤、基地局、送出、中継、郵便追跡、住所データ、通信秘密を確認します。
金融・クレジットカード決済、勘定系、市場インフラ、共同センター、ATM、クラウド、外部委託、不正検知、PCI DSSを確認します。
医療電子カルテ、医療情報基盤、診療報酬請求、医療機器保守、地域連携、ランサムウェア、患者安全を確認します。

法律上の直接の届出義務者は指定された特定社会基盤事業者です。ただし実務では、ITベンダー、クラウド事業者、ネットワーク機器メーカー、保守会社、データセンター、ソフトウェア開発会社、システムインテグレーター、BPO事業者、物流委託先も情報提供、変更通知、再委託管理、当局照会協力を契約上求められます。

次の一覧は、対象行為の典型例と変更管理の範囲を表しています。新規導入だけを見るのではなく、保守・運用・クラウド移行・再委託先変更まで読むことで、日常的な技術変更が規制上の変更に当たる可能性を把握できます。

01

特定重要設備の導入

機器購入、ソフトウェア導入、システム更改、クラウド移行、設備更新、データセンター移転、認証基盤刷新、監視制御システム更新などを確認します。

導入前確認
02

重要維持管理等の委託

ハードウェア保守、ソフトウェア保守、SOC/NOC、監視運用、障害対応、パッチ適用、クラウド運用、グループ会社へのIT機能委託を確認します。

委託管理
03

構成設備と再委託先

サブコンポーネント、ファームウェア、OSS、認証基盤、保守ツール、サブプロセッサ、再々委託先を確認します。

多層管理
04

変更管理

設備追加、構成設備変更、親会社・株主・役員変更、製造場所変更、クラウドリージョン変更、リスク管理措置変更、緊急代替措置を捕捉します。

継続運用
Section 04

経済安保推進法と重要インフラ規制の導入等計画書・審査・命令対応

30日の審査期間を、契約締結前から調達・稼働計画へ組み込みます。

指定事業者は、対象となる導入または重要維持管理等の委託を開始する前に、導入等計画書を届け出ます。審査期間は原則30日で、短縮される場合も、延長される場合もあります。延長は最大4か月までと整理されています。

次の時系列は、届出対応を調達・契約・稼働開始にどう組み込むかを表しています。各段階の順番が重要なのは、契約後に初めて情報提供を求めても、相手方に契約上の協力義務がなく、届出書を完成できないリスクがあるためです。

RFI/RFP・候補選定

対象性の一次判定

設備・サービス・委託内容が対象になり得るか、質問票と選定基準に反映します。

契約交渉前

情報提供条項を提示します

再委託、役員情報、製造場所、支配関係、当局照会協力、変更通知を契約案に入れます。

契約締結前

届出情報の取得可能性を確認します

営業秘密や個人情報が含まれる場合は、限定閲覧や当局への直接提出も検討します。

導入・委託開始前

届出と審査期間を管理します

当局相談、追加照会対応、審査期間満了、短縮・延長の可能性を工程に反映します。

導入後

変更・証跡・監査を続けます

変更届出要否、契約条項の遵守、再委託先変更、リスク管理措置の実施状況を確認します。

審査では、届け出られた特定重要設備が、特定妨害行為の手段として使用されるおそれが大きいかどうかが確認されます。評価対象には、設備の重要性、供給者・委託先・再委託先の属性、支配関係、外国政府等との関係、製造場所、アクセス権限、リスク管理措置、代替可能性、業務継続への影響が含まれます。

次の比較表は、当局審査や勧告・命令に備えて契約へ反映する事項を表しています。審査結果だけを待つのではなく、追加照会、仕様変更、導入延期、代替調達が生じた際に誰が何を負担するかを読み取ることが重要です。

局面契約・社内手続で備える内容
追加資料要求技術説明、資料提出、当局向け補足、技術担当者の説明協力を定めます。
勧告・命令仕様変更、運用変更、停止、解除、代替製品への移行、費用分担を定めます。
導入延期納期調整、損害分担、サービス開始条件、プロジェクト計画の再設定を定めます。
緊急導入・緊急変更緊急理由、代替措置、事後報告、通常体制への復帰、証跡保存を定めます。
終了・移行データ移行、設定情報引継ぎ、ログ提供、権限返還、秘密情報削除を定めます。

災害、事故、重大障害、サイバー攻撃などで緊急やむを得ない対応が必要になる場合でも、記録は不要になりません。なぜ通常手続が困難だったのか、どの設備・委託先を使ったのか、リスクをどう低減したのか、いつ通常体制へ戻したのかを残します。

Section 05

経済安保推進法と重要インフラ規制の届出事項・データ管理・医療分野追加

役員情報、営業秘密、越境移転、2026年改正を同時に管理します。

導入等計画書には、特定重要設備の概要、導入の内容・時期、供給者の名称・住所・設立準拠法国、供給者の議決権の5%以上を直接保有する者、供給者の役員の氏名・生年月日・国籍等、外国政府等との取引が売上高の25%以上を占める場合の外国政府等の名称等、設備の製造場所、構成設備、リスク管理措置などが含まれ得ます。

次の一覧は、届出事項と企業内データ管理で特に衝突しやすい情報を表しています。個人情報、営業秘密、サプライチェーン情報を同じ台帳で扱うため、誰が閲覧し、何の目的で保存し、いつ廃棄するかを読み取ることが重要です。

役員情報・国籍情報

氏名、生年月日、国籍等は個人情報として扱い、利用目的、取得範囲、本人通知・同意、安全管理、海外法制を確認します。

営業秘密

構成設備、製造場所、再委託先、取引割合は競争上重要な情報になりやすく、限定閲覧や当局への直接提出を検討します。

越境移転

海外ベンダーや海外保守拠点を使う場合、日本法だけでなくGDPR、各国プライバシー法、政府アクセス規制を確認します。

証跡管理

対象設備、構成設備、供給者、届出日、審査期間、照会履歴、契約条項、変更判断を台帳化します。

台帳は案件ごとの表計算だけで終わらせず、法務、調達、IT、事業部門、内部監査、リスク管理部門が共同で使える形にします。対象事業・設備、構成設備、供給者・委託先・再委託先、議決権保有者、役員情報の取得状況、外国政府等との取引割合、製造場所・開発場所・保守拠点、リスク管理措置、当局照会、変更届出要否を一元管理します。

2026年6月17日には、医療分野を追加する改正法が公布されました。内閣府資料では、医療分野追加について公布日から1年6か月を超えない範囲内で政令で定める日から施行される旨が示されています。施行日、対象設備、指定基準、届出様式は最新版資料で確認します。

次の一覧は、医療分野追加で影響を受けやすい関係者と準備事項を表しています。施行前から準備が重要なのは、電子カルテ更改、クラウド移行、医療情報基盤整備が長期プロジェクトになりやすく、契約締結後では情報提供条項や変更通知条項を追加しにくいためです。

医療機関・医療法人

電子カルテ、ネットワーク、認証、バックアップ、保守運用、医療法上の管理責任を棚卸しします。

対象候補

医療情報システム事業者

電子カルテ、診療報酬請求、医療データ連携、PHR、EHR、オンライン診療の委託構造を確認します。

ベンダー対応

クラウド・保守・セキュリティ事業者

データセンター、サブプロセッサ、リモートアクセス、SOC/NOC、ランサムウェア対応、障害通知を整理します。

運用管理

M&A・統合関係者

医療機関の事業承継、システム統合、ベンダー契約、指定対象化の可能性をデューデリジェンスに含めます。

将来影響
Section 06

経済安保推進法と重要インフラ規制の契約実務

情報取得、変更捕捉、リスク低減、行政対応を契約条項へ落とし込みます。

重要インフラ規制対応の契約条項は、「法令を遵守する」と書くだけでは不十分です。指定事業者が届出書を作成し、当局審査に対応し、リスク管理措置を説明するには、相手方から具体的情報と協力を得る必要があります。

次の一覧は、契約条項が果たすべき4つの機能を表しています。機能ごとに必要な条項を読み取ることで、抽象的な遵守条項だけで終わらず、届出・審査・変更・緊急時対応まで契約に組み込めます。

Function 01

情報取得機能

供給者、委託先、再委託先、構成設備、製造場所、支配関係、役員情報、外国政府等との関係を取得します。

Function 02

変更捕捉機能

株主、役員、製造場所、再委託先、クラウドリージョン、アクセス権限、リスク管理措置の変更を通知させます。

Function 03

リスク低減機能

アクセス制御、監査、再委託管理、セキュリティ措置、ログ、脆弱性対応、インシデント通知を実施させます。

Function 04

行政対応機能

当局照会、技術説明、追加資料、バイパス提出、勧告・命令、導入延期、代替措置に協力させます。

次の比較表は、契約書に入れる主要条項と、条項ごとの設計ポイントを表しています。契約類型に応じて必要な濃淡は変わりますが、届出事項と変更管理に直結する条項を優先的に確認します。

条項設計ポイント
情報提供届出、審査、報告、当局照会に必要な情報を合理的な範囲で速やかに提供させます。
表明保証提供情報が重要な点で真実、正確、完全であることを確認します。
再委託事前承認、再委託先情報、再々委託、アクセス権限、再委託先への義務展開を定めます。
変更通知支配関係、役員、製造場所、開発場所、保守拠点、セキュリティ体制、インシデントを通知対象にします。
当局対応追加資料、技術説明、バイパス提出、勧告・命令時の仕様変更・工程調整・費用負担を定めます。
解除・移行支援導入不可、重大リスク、表明保証違反が判明した場合の解除、代替調達、データ移行、権限抹消を定めます。

既存契約の見直しも重要です。長期保守契約、包括委託契約、グループ会社間サービス契約、クラウド契約、ソフトウェアライセンス契約、共同センター利用契約では、重要維持管理等に当たる可能性があります。必要な条項がなければ、変更契約、覚書、質問票、セキュリティ付属書、契約更新時の標準化で補います。

次の比較表は、社内承認手順に組み込むべきゲートを表しています。任意相談に任せず、どの段階で法務・調達・IT・事業部門が確認するかを読み取ることで、担当者依存の漏れを減らせます。

段階チェック内容主担当
企画段階対象事業・対象設備・対象委託の可能性事業部門・法務
RFI/RFP前ベンダー質問票、情報提供条件、再委託確認調達・法務
契約審査経済安保条項、再委託、当局対応、費用負担法務
発注前届出要否、当局相談、審査期間、契約上の停止条件法務・事業部門
導入前届出完了、審査期間満了、リスク管理措置PMO・IT
導入後変更管理、証跡、監査、再委託先更新IT・内部監査
Section 07

経済安保推進法と重要インフラ規制の調達・IT・OT・クラウド管理

価格や機能だけでなく、規制対応可能性を選定基準に入れます。

重要インフラ規制対応は、調達プロセスの初期段階に組み込む必要があります。RFI/RFPの段階で、対象設備・サービスの概要、構成設備、主要ソフトウェア、製造場所、開発場所、保守拠点、親会社、主要株主、役員情報の提供可否、外国政府等との関係、再委託先、リモートアクセス、管理者権限、監査報告、インシデント対応、BCP、DRを確認します。

次の一覧は、調達・IT・OT・クラウドで確認する実務項目を表しています。技術部門だけで判断すると見落としやすい法務・契約・当局対応の視点を同時に読み取れるため、部門横断の質問票作成に役立ちます。

調

調達プロセス

候補ベンダーの情報提供可否、再委託先、親会社・主要株主、セキュリティ認証、経済安保条項への同意可否を選定基準にします。

RFI/RFP
OT

制御系システム

可用性、安全性、古いOS、専用機器、長期利用設備、パッチ困難性、ベンダー保守依存、現場アクセス権限を確認します。

現場連携

クラウド・SaaS

データセンター所在地、管理者権限、サブプロセッサ、監査報告、機能更新、障害通知、政府アクセス要求、暗号鍵管理、ログ保存を確認します。

外部委託

ソフトウェア供給網

SBOM、OSSライセンス、脆弱性、コード署名、ビルド環境、開発委託先、EOL、緊急パッチの承認手順を確認します。

供給網

クラウド契約では、個別の再委託承認や現地監査が難しい場合もあります。その場合は、SOCレポート、ISO認証、第三者監査報告、サブプロセッサ一覧、データ所在、暗号化、アクセスログ、鍵管理、サービスレベル、障害通知、政府アクセス要求ポリシーを組み合わせて、リスク管理措置を説明します。

次の一覧は、審査や内部監査で説明し得るサイバーセキュリティ上の管理措置を表しています。届出書の文言だけでなく実際に運用され、証跡を示せるかを読み取ることが重要です。

アクセス管理

多要素認証、特権ID、最小権限、リモートアクセス制限、踏み台管理、接続元制限を実施します。

ログ・変更管理

ログ取得、改ざん防止、長期保存、構成管理、変更承認、監査可能な記録を残します。

脆弱性・開発管理

パッチ、EOL、セキュア開発、コードレビュー、SBOM、アップデート署名を管理します。

復旧・委託管理

バックアップ、復旧訓練、DR、サプライヤー監査、インシデント通知、フォレンジック協力を整えます。

Section 08

経済安保推進法と重要インフラ規制の個人情報・営業秘密・M&A対応

届出情報の取得と、秘密管理・越境移転・組織再編を矛盾なく整理します。

重要インフラ規制対応では、取引先役員の氏名、生年月日、国籍、場合によっては旅券写しなどの個人情報を扱う可能性があります。取得・保管・提出の際は、利用目的、適正取得、安全管理措置、第三者提供、外国にある第三者への提供、委託先監督を確認します。

次の比較表は、個人情報・営業秘密・越境移転で整理する観点を表しています。届出のために必要な情報でも、無制限に取得するのではなく、必要最小限性とアクセス制限を読み取ることが重要です。

論点管理の方向性
役員情報利用目的を明確にし、法令対応に必要な範囲へ限定し、保管期間・暗号化・廃棄方法を定めます。
国籍情報差別的取扱いにつながらないよう、届出・審査対応以外の目的で使わない管理を徹底します。
営業秘密構成設備、製造場所、再委託先、取引割合は限定閲覧、情報遮断、外部専門家受領、当局直接提出を検討します。
競争法競争上機微な価格・原価・顧客情報を不要に取得せず、調達担当者と競争上の意思決定者を分離します。
越境移転GDPR、英国GDPR、各国プライバシー法、データローカライゼーション、政府アクセス規制を確認します。

M&Aでは、対象会社が特定社会基盤事業者か、または指定事業者向けの重要サプライヤーかを確認します。過去の導入等計画書、当局照会、勧告・命令、届出漏れ、ベンダー依存、契約条項、サイバーインシデント、将来の医療分野追加をデューデリジェンス項目に含めます。

次の一覧は、M&A・組織再編で確認する項目を表しています。株式譲渡や支配関係変更が届出事項の前提を変える可能性があるため、契約上の通知義務やPMIでの台帳統合まで読み取ることが重要です。

DD

対象会社の指定状況

特定社会基盤事業者の指定、対象設備、重要維持管理等、過去届出、変更届出、当局照会の履歴を確認します。

Supplier

重要サプライヤー性

指定事業者向けの設備、クラウド、保守、運用、再委託サービスを提供しているか確認します。

Control

支配関係変更

親会社、主要株主、役員変更が既存届出や顧客通知義務に影響するか確認します。

PMI

統合後管理

経済安保台帳、契約条項、再委託先、クラウド、海外拠点、サイバー基準、内部監査報告ラインを統合します。

外為法の対内直接投資審査とは、制度目的・対象行為・手続主体が異なります。外国投資家が重要インフラ事業者や重要サプライヤーを買収する場合、外為法の事前届出と、経済安保推進法上の設備・委託契約の変更管理が別々に問題になり得ます。

Section 09

経済安保推進法と重要インフラ規制の内部統制・中小企業・ベンダー対応

三線管理、取締役会報告、監査、回答パッケージで継続運用します。

重要インフラ規制対応は、法務部門だけがすべての案件を拾う設計では続きません。第1線が対象設備・委託を発見し、第2線が法令解釈・契約・当局対応を支え、第3線が運用状況を監査する三線管理で整理します。

次の比較表は、三線管理モデルでの役割分担を表しています。どの部署が初期発見、制度設計、監査を担うかを読み取ることで、届出対応を属人的な確認から組織的な管理へ移せます。

主体役割
第1線事業部門、IT、OT、調達、プロジェクト部門対象設備・委託の発見、情報取得、リスク管理措置の実施を担います。
第2線法務、コンプライアンス、リスク管理、情報セキュリティ、個人情報保護法令解釈、規程、契約条項、当局対応、モニタリングを担います。
第3線内部監査届出漏れ、契約条項、台帳、変更管理、証跡、実効性を監査します。

取締役会は、届出書の細部をすべて承認する必要まではありませんが、事業継続、行政規制、サイバーリスク、レピュテーション、M&A、顧客信頼に関わる重要リスクとして定期報告を受けるべきです。制度対応体制、棚卸し状況、届出件数、審査状況、当局照会、重要サプライヤー集中リスク、契約条項整備率、内部監査結果、重大インシデントを報告項目にします。

中小企業でも、重要インフラ事業者に製品・サービスを提供している場合は、重要インフラ規制対応を求められることがあります。ネットワーク機器、制御機器、ソフトウェア、保守・運用、クラウド、データセンター、MSP、物流、医療システム、金融機関向けシステム、クレジットカード決済関連事業者は特に注意します。

次の一覧は、ベンダー側が準備する回答パッケージの中身を表しています。顧客ごとに都度回答するのではなく、開示可能情報、限定開示情報、当局への直接提出候補を分けておくことで、営業秘密と顧客対応を両立できます。

会社・支配関係

会社概要、設立準拠法、所在地、親会社、主要株主、支配関係、5%以上の議決権保有者を整理します。

製品・供給網

対象設備、構成設備、主要ソフトウェア、製造場所、開発場所、保守拠点、再委託先を整理します。

セキュリティ

認証、監査報告、脆弱性管理、インシデント対応、BCP、リモートアクセス管理を整理します。

開示区分

顧客へ開示可能な情報、NDA・限定閲覧で開示する情報、当局への直接提出を検討する情報を分けます。

Section 10

経済安保推進法と重要インフラ規制の対応プロジェクトとチェックリスト

0〜30日、31〜90日、3〜6か月、継続運用に分けて実装します。

対応プロジェクトは、最初に制度対応の主管部署を決め、対象事業・対象設備・対象委託の棚卸しを始めます。その後、規程、契約、台帳、質問票、当局相談手順、取締役会報告、内部監査を整備し、実案件で定着させます。

次の時系列は、初期対応から継続運用までの進め方を表しています。期限ごとの成果物を読み取ることで、制度対応を一度きりの調査ではなく、日常の調達・契約・変更管理へ組み込めます。

0〜30日

体制構築とスコープ確認

経営層スポンサー、法務・調達・IT・OT・個人情報保護・内部監査のチーム、指定状況、重要サプライヤー性、進行中案件を確認します。

31〜90日

規程・契約・台帳の整備

対象性判定、質問票、標準契約条項、既存契約優先順位、経済安保台帳、個人情報・営業秘密管理、緊急対応手順を作ります。

3〜6か月

運用定着

新規調達案件のゲートチェック、届出書作成リハーサル、当局相談メモ、ベンダー回答是正、内部研修、監査計画を進めます。

継続運用

見直しとKPI管理

法令改正、対象分野追加、指定事業者更新、サプライヤー変更、クラウド仕様変更、M&A、サイバー攻撃動向に応じて更新します。

次の比較表は、経済安保推進法と重要インフラ規制の実務チェックリストを分野ごとにまとめたものです。自社対象性、導入等計画書、契約、内部統制を横断して見ることで、初期対応と監査項目の抜けを読み取れます。

領域確認項目
規制対象性対象分野、指定事業者該当性、指定告示、主要設備、分野別省令・Q&A、重要維持管理等、グループ会社・クラウド・海外拠点、進行中案件、医療分野追加を確認します。
導入等計画書設備名称、機能、設置場所、導入・委託目的、供給者・委託先、5%以上議決権保有者、役員情報、外国政府等との取引割合、製造場所、構成設備、再委託先、リスク管理措置、添付書類、個人情報・営業秘密管理、当局相談、審査期間を確認します。
契約条項関連法令遵守、情報提供、表明保証、変更通知、再委託承認、義務展開、当局照会協力、バイパス提出、セキュリティ、監査、ログ、脆弱性対応、インシデント通知、勧告・命令時の変更・停止・解除・移行支援、データ返還・削除、費用分担を確認します。
内部統制経済安保対応規程、調達手順への対象性チェック、台帳、変更管理、当局相談記録、取締役会・経営会議報告、内部監査、個人情報・営業秘密のアクセス制限、サイバー訓練、M&A時の確認項目を整備します。
KPI対象設備台帳更新率、規制対象性チェック実施率、標準条項導入率、質問票回答率、変更通知処理件数、当局照会への平均回答日数、監査指摘と是正完了率、重大脆弱性対応日数、再委託先一覧更新率を追います。
FAQ

経済安保推進法と重要インフラ規制のFAQ

一般的な制度理解と実務上の注意点を、個別案件の判断ではなく一般情報として整理します。

Q1 ― 経済安保推進法と重要インフラ規制は同じ意味ですか。

一般的には、同じ意味ではないと整理されています。経済安保推進法は、重要物資、基幹インフラ、重要技術、特許出願非公開を含む広い法律です。重要インフラ規制は、そのうち基幹インフラ役務の安定提供確保に関する制度を指す実務上の呼称です。具体的な適用関係は、対象事業や設備によって変わるため、最新版の法令・所管省庁資料を確認する必要があります。

Q2 ― インフラ事業者でない会社にも関係しますか。

一般的には、関係する可能性があります。指定事業者に設備、ソフトウェア、クラウド、保守、運用、再委託サービスを提供している場合、顧客から情報提供、契約条項、監査、変更通知を求められることがあります。ただし、具体的な義務や対応範囲は契約内容と取引実態で変わります。

Q3 ― 外国企業だけが問題になりますか。

一般的には、外国企業だけを対象にする制度ではありません。国内企業でも、海外製造、海外開発、外国政府等との関係、海外再委託、リモートアクセス、支配関係によってリスク評価の対象になり得ます。具体的な評価は、分野別資料と案件の事実関係に基づいて確認する必要があります。

Q4 ― 審査期間は必ず30日ですか。

一般的には、原則30日とされていますが、短縮されることも延長されることもあります。内閣府資料では、延長は最大4か月までと整理されています。実務では、工程に余裕を持たせ、追加照会や契約条件の調整に備える必要があります。

Q5 ― 届出後に承認書が出ますか。

一般的には、制度は事前届出・審査であり、通常の許認可とは性質が異なるとされています。ただし、審査期間中に導入・委託を開始できない局面や、勧告・命令の可能性があります。工程管理上は、事前承認に近いリスク管理を行う必要があります。

Q6 ― クラウドサービスは対象になりますか。

一般的には、分野別の省令・Q&Aとサービス内容によって対象になり得ます。クラウドが特定重要設備の機能を担う場合、または重要維持管理等の委託に関わる場合は、データ所在、管理者権限、サブプロセッサ、監査報告、障害通知、政府アクセス要求対応が重要です。具体的には、所管省庁資料を確認する必要があります。

Q7 ― 既存契約にも対応が必要ですか。

一般的には、必要になる場合があります。長期保守契約、運用委託、クラウド契約、共同利用契約、グループ会社間サービス契約では、変更管理や情報提供条項が不足していることがあります。更新時または覚書で補完する方法が考えられますが、具体的な対応は契約内容に応じて検討する必要があります。

Q8 ― ベンダーが営業秘密を理由に情報開示を拒む場合はどう考えますか。

一般的には、NDA、限定閲覧、開示範囲の限定、外部専門家の利用、当局への直接提出、バイパス提出などを検討します。顧客側は必要性を明確にし、ベンダー側は開示可能情報と非開示情報を整理することが重要です。個別の開示範囲は、法令、契約、営業秘密性、当局運用によって変わります。

Q9 ― 役員の国籍情報を取得してよいのですか。

一般的には、法令対応に必要な範囲で取得が必要になる場合があります。ただし、個人情報保護法、海外個人データ保護法、利用目的、安全管理措置、本人通知・同意、差別防止に配慮する必要があります。具体的な取得方法や保管方法は、関係法令と社内規程に沿って確認する必要があります。

Q10 ― 医療分野はすでに完全に適用されていますか。

一般的には、2026年6月17日に医療分野を追加する改正法が公布されていますが、内閣府資料では公布日から1年6か月以内の政令指定日から施行される旨が示されています。施行日、対象設備、指定基準、届出様式は今後の最新版資料を確認する必要があります。

Q11 ― 当局相談は必須ですか。

一般的には、すべての案件で必須とは限りません。ただし、対象性が微妙な案件、初回届出、クラウド・海外委託・再委託が複雑な案件、工程上のリスクが大きい案件では、早めの相談が有益になる可能性があります。具体的には、所管省庁の相談窓口や手続資料を確認する必要があります。

Q12 ― M&Aで特に注意すべき点は何ですか。

一般的には、対象会社が指定事業者か、または指定事業者の重要サプライヤーかを確認します。過去の届出、変更届出、当局照会、契約条項、サプライヤー情報、サイバーインシデント、将来の医療分野追加などをデューデリジェンス項目に含めることが考えられます。具体的な調査範囲は、取引類型と対象会社の事業内容によって変わります。

Section 11

経済安保推進法と重要インフラ規制のまとめ

届出書の作成可否だけでなく、説明責任を果たせるサプライチェーン管理が成否を分けます。

経済安保推進法と重要インフラ規制は、企業にとって、法務、調達、IT、OT、サイバーセキュリティ、個人情報、営業秘密、M&A、内部統制、取締役会監督が交差する実務領域です。制度の中心は、指定された特定社会基盤事業者による特定重要設備の導入と重要維持管理等の委託に関する事前届出・審査ですが、影響はサプライヤー、再委託先、クラウド事業者、海外グループ会社、中小企業にまで広がります。

企業法務が最初に行うことは、自社が規制対象かどうかを確認するだけではありません。自社がサプライヤーとして巻き込まれる可能性、進行中の調達案件、既存保守契約、クラウド利用、再委託先、M&A案件、医療分野追加の将来影響を含め、全社的な棚卸しを行います。

そのうえで、契約条項、サプライヤー質問票、導入等計画書作成手順、変更管理、個人情報・営業秘密管理、当局相談、内部監査、取締役会報告を統合した実務体制を構築します。必要な情報を早期に取得し、リスク管理措置を実効的に運用し、変更を漏れなく捕捉し、サプライチェーン全体で説明責任を果たせるかが重要です。

Appendix

経済安保推進法と重要インフラ規制の実務補助資料

役割分担、サプライヤー質問票、経済安保条項の注意点を実務用に整理します。

次の比較表は、多職種連携の役割分担を表しています。重要インフラ規制対応では、法務だけでなく、セキュリティ、OT、調達、個人情報、M&A、内部統制、知財、人事労務まで関係するため、誰が何を担うかを読み取ることが重要です。

専門家・担当主な役割
企業内弁護士・法務担当法令解釈、届出要否判断、契約条項、当局対応、経営報告を担います。
外部専門家複雑案件、当局相談、M&A、紛争、海外法制、危機対応を支援します。
コンプライアンス・リスク管理規程、研修、モニタリング、全社リスク評価、BCP、重大リスク報告を担います。
内部監査・会計統制台帳、届出、契約、変更管理、証跡、J-SOX、監査可能性を確認します。
IT・AI・データ法務クラウド、SaaS、データ、AI、個人情報、知財の交錯を管理します。
輸出管理・通商法務外為法、制裁、海外取引、外国政府等との関係確認を担います。
CISO・情報セキュリティ技術的リスク管理措置、インシデント対応、ログ、脆弱性管理を担います。
OT・設備担当制御系設備、現場保守、安全管理、設備更新を担います。
調達担当RFI/RFP、サプライヤー質問票、契約交渉、再委託管理を担います。
個人情報保護担当役員情報、国籍情報、越境移転、保管・削除管理を担います。
M&A法務担当デューデリジェンス、表明保証、前提条件、PMI、支配関係変更を確認します。
知財・人事労務担当ソフトウェア、ライセンス、営業秘密、役員・従業員情報、研修、内部規程周知を確認します。

次の一覧は、サプライヤー質問票に含める項目を表しています。質問票を契約条項と連動させることが重要なのは、回答が届出書作成、表明保証、変更通知、監査の基礎資料になるためです。

1

会社情報

会社名、所在地、設立準拠法、法人番号、親会社、最終親会社、主要株主、5%以上の議決権保有者を確認します。

基礎情報
2

役員情報

氏名、生年月日、国籍等の提供可否、個人情報保護上の根拠、提供方法、保護措置、更新頻度を確認します。

個人情報
3

製品・サービス

対象設備・サービスの概要、主要機能、設置場所、使用場所、構成設備、主要ソフトウェア、SBOM提供可否を確認します。

設備情報
4

供給網とセキュリティ

製造場所、開発場所、保守拠点、再委託先、クラウド基盤、認証、監査報告、アクセス管理、脆弱性、BCPを確認します。

運用情報
5

外国政府等との関係

取引割合確認方法、政府所有・支配・補助・規制上の特別関係、開示困難情報の直接提出可否を確認します。

機微情報
6

契約対応

経済安保条項への同意、当局照会対応、変更通知、勧告・命令時の対応、移行支援を確認します。

契約連動

次の一覧は、経済安保条項を設計する際の注意点を表しています。条項を広げすぎても狭すぎても実務に支障が出るため、必要情報、変更通知、再委託、緊急対応、費用分担のバランスを読み取ることが重要です。

抽象的すぎる条項を避けます

関連法令遵守だけでは、届出事項に必要な情報提供を請求できない場合があります。

開示情報を広げすぎません

不要な個人情報や営業秘密を過剰取得すると、秘密管理や競争法上のリスクが高まります。

変更通知を具体化します

何が変更に当たるかを明記しないと、サプライヤーが通知義務を認識しにくくなります。

再委託先への義務展開を入れます

一次委託先だけに義務を課しても、再委託先から情報を取得できない場合があります。

緊急時対応を入れます

障害復旧やサイバー攻撃時に、通常手続と異なる緊急対応が必要になる場合があります。

解除後の移行支援を定めます

重要インフラではサービス継続が不可欠なため、単純解除だけでは実務上不十分です。

費用分担を整理します

追加資料、技術説明、仕様変更、代替措置の費用負担を責任原因に応じて整理します。

海外法との衝突を確認します

役員情報、国籍情報、政府関係情報、供給網情報の開示が海外法令に抵触しないか確認します。

Reference

参考資料

制度理解と実務確認に用いる公的・中立的な資料名を整理します。

制度全体・基幹インフラ制度

  • 内閣府「経済安全保障推進法」
  • 内閣府「経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度」
  • 内閣府「経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度の概要」
  • 内閣府「特定社会基盤役務の安定的な提供の確保に関する制度における届出事項を含む制度概要資料」
  • 内閣府「基本方針」特定社会基盤役務基本指針

改正法・法令情報

  • 参議院「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律及び特別会計に関する法律の一部を改正する法律案」議案情報
  • 内閣法制局「最近の法律・条約」
  • 内閣府改正法案資料
  • e-Gov法令検索「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律」
  • e-Gov法令検索「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律施行令」

分野別資料・サイバーセキュリティ

  • NCO/NISC「重要インフラグループ」重要インフラ防護に関する行動計画、リスクマネジメント、情報共有等
  • 金融庁「金融分野における経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度」
  • 経済産業省「経済安全保障」電気・ガス・石油・クレジットカード分野の指定、Q&A、届出様式等
  • 国土交通省「経済安全保障推進法に基づく特定社会基盤役務の安定的な提供の確保に関する制度」