経済安全保障推進法とサードパーティ・リスク管理

はじめに

現在の企業は、業務をサポートしたり、顧客に製品やサービスを提供するために、様々なサードパーティ（委託先、再委託先を含む）のサービスを利用し、その恩恵を受けています。その一方、企業はサードパーティのサービスやリソースに依存することでサードパーティとの関係に伴うリスクも抱えています。こうしたリスクの多くは、データの不正アクセス（情報漏洩）、コンプライアンス違反、財務的損失、詐欺、事業の中断、風評被害による企業イメージやブランドの棄損など、企業にとって重大な問題をもたらす可能性があり、企業はサードパーティに関連するリスクを適切に管理し、対処していくことが求められています。

こうしたサードパーティに対するリスク管理は、企業だけの問題ではありません。経済安全保障の面においても、国⺠の⽣存や、国⺠⽣活・経済活動に甚⼤な影響のあるサービスやインフラを提供する企業に対し、関連するサードパーティも含めたリスク管理の仕組みを構築し、経済活動に関して行われる国家及び国民の安全を害する行為を未然に防ぎ、サービスの安定的な提供を確保していくための対策が求められています。

こうした背景から、経済安全保障法では、「第三章　特定社会基盤役務の安定的な提供の確保（第四十九条―第五十九条）」において、サードパーティに関連するリスクや脅威に対する措置として、特定重要設備の導入・維持管理等を委託する場合の導入計画書の提出と主務省庁による事前審査が制度に組み込まれています。

同法自体は、中国からのレアアースなどの輸出制限に対処するための重要物資の安定確保や先端的な重要技術の開発⽀援に関する制度など、広範囲にわたりますが、今回のブログでは同法の柱の１つである基幹インフラ役務の安定的な提供の確保に絞って紹介します。

経済安全保障推進法とは？

内閣府のサイトによると、経済安全保障推進法は、「国際情勢の複雑化、社会経済構造の変化等に伴い、安全保障を確保するためには、経済活動に関して行われる国家及び国民の安全を害する行為を未然に防止する重要性が増大していることに鑑み、安全保障の確保に関する経済施策を総合的かつ効果的に推進するため、経済施策を一体的に講ずることによる安全保障の確保の推進に関する基本方針を策定するとともに、安全保障の確保に関する経済施策として、所要の制度を創設する」ことを目的とし、2022年5月11日に成立、2022年5月18日の公布日から6月以内～2年以内に段階的に施行が予定されています。

法律は、４つの柱でできており、同じく内閣府のサイトでは「法制上の手当てが必要な喫緊の課題に対応するため、(1)重要物資の安定的な供給の確保、(2)基幹インフラ役務の安定的な提供の確保、(3)先端的な重要技術の開発支援、(4)特許出願の非公開に関する４つの制度を創設するもの」としています。

内閣府　経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律（経済安全保障推進法）（令和４年法律第43号）

基幹インフラ役務の安定的な提供の確保

４つの柱の中で、「(2)基幹インフラ役務の安定的な提供の確保」については、内閣府が公開している「経済安全保障推進法の概要」において「基幹インフラの重要設備が我が国の外部から⾏われる役務の安定的な提供を妨害する⾏為の⼿段として使⽤されることを防⽌するため、重要設備の導⼊・維持管理等の委託を事前に審査、勧告・命令等を措置」することを目的とし、審査対象となる対象分野、対象事業者ならびに審査方法の概要の他、妨害⾏為を防⽌するための必要な措置として勧告・命令について言及しています。

※上記の「我が国の外部」の定義には、外国政府に限らず、テロリスト等の政府ではない主体も含まれます。

対象分野の事業者は、各事業を主管する「主務大臣」によって「特定社会基盤事業者」として指定された場合、特定重要設備の導入・維持管理等を委託する場合、主務大臣に導入等計画書を届け出るとともに主務省庁による事前審査を受ける必要があります。

「重要設備の導⼊・維持管理等の委託を事前に審査、勧告・命令等を措置」の施行時期について

内閣府の「経済安全保障推進法の概要」によると、「重要設備の導⼊・維持管理等の委託を事前に審査、勧告・命令等を措置」の施行時期について、それぞれ公布後（2022年5⽉18日公布）の期間として以下のように定められています。

• ①審査対象：公布後１年６⽉以内　（※2022年5⽉18⽇公布）
• ②審査・勧告・命令：公布後１年９⽉以内　

とされ、さらに「対象事業者の指定から６⽉間は経過措置として適⽤を開始しない」とあります。

特定社会基盤事業者の指定について

主務大臣が指定することとなっている特定社会基盤事業者の指定は、上記①のとおり2023年11月に各省庁より指定された特定社会基盤事業者について公示がされています。

以下のリンクでは、2023年11月16日時点で各省庁が指定した特定社会基盤事業者を確認することができます。

• 経済産業省
• 厚生労働省
• 総務省
• 国土交通省
• 金融庁
• 農林水産省・金融庁

特定社会基盤役務の安定的な提供の確保に関する制度に関する Q & A

内閣府のサイトには、使用されている用語の定義や制度に関する疑問についてQ＆A形式で解説されている資料「経済安全保障推進法の 特定社会基盤役務の安定的な提供の確保に関する制度の解説」が公開されていますので、そちらをご確認ください。

導入計画書の記載事項

経済安全保障推進法の第52条2項によると、特定重要設備の導入・維持管理等を委託する場合に、主務大臣に届け出る当該特定重要設備の導入又は重要維持管理等の委託に関する計画書（＝導入計画書）には以下の事項を記載する必要があります。

２　導入等計画書には、次に掲げる事項を記載しなければならない。

　一　特定重要設備の概要

　二　特定重要設備の導入を行う場合にあっては、次に掲げる事項

　　イ　導入の内容及び時期

　　ロ　特定重要設備の供給者に関する事項として主務省令で定めるもの

　　ハ　特定重要設備の一部を構成する設備、機器、装置又はプログラムであって特定妨害行為（特定重要設備の導入又は重要維持管理等の委託に関して我が国の外部から行われる特定社会基盤役務の安定的な提供を妨害する行為をいう。以下この章において同じ。）の手段として使用されるおそれがあるものに関する事項として主務省令で定めるもの

　三　特定重要設備の重要維持管理等を行わせる場合にあっては、次に掲げる事項

　　イ　重要維持管理等の委託の内容及び時期又は期間

　　ロ　重要維持管理等の委託の相手方に関する事項として主務省令で定めるもの

　　ハ　重要維持管理等の委託の相手方が他の事業者に再委託して重要維持管理等を行わせる場合にあっては、当該再委託に関する事項として主務省令で定めるもの

　四　前三号に掲げるもののほか、特定重要設備の導入又は重要維持管理等の委託に関する事項として主務省令で定める事項

引用：経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律　52条２項（特定重要設備の導入等）, e-Gov法令検索

重要視されるサードパーティ・リスク管理

企業は自社だけでなく、関連するサードパーティ・リスクについても管理する必要があります。前回のブログ「金融セクターで重要視される「オペレーショナル・レジリエンス」」でも紹介したように、DORAなどの金融セクターに対する法規制をはじめ、EUのNIS2指令で求められるサードパーティを含めたサイバーセキュリティリスク管理の対策（NIS2指令21条）など、世界的にも重要インフラおよびサービスを安定的に提供するためにサードパーティも含めたリスク管理対策は近年ますますその重要性が増しています。

こうした法規制への対応はもちろんのこと、企業がサードパーティに関連するリスクを組織が許容できる範囲で効果的に管理するためには、それらに関連するリスクと、サードパーティ・プロバイダーが実施している管理やその手順を把握し、サードパーティのリスクを契約の開始から終了までのライフサイクルを通して管理するための仕組みを構築することが重要となります。

サードパーティ・リスク管理ソリューション

• OneTrust
• Archer

さいごに

サードパーティリスクや組織全体のリスクの透明性を高めるには、サードパーティに関連するリスク管理業務をデジタル化し、サードパーティごとにリスクとその詳細情報、さらに影響範囲をすぐに把握できる仕組みが必要不可欠です。

サードパーティ・リスク管理をサポートするソリューションには、サードパーティのリスク管理に必要な機能がすべて提供されており、サードパーティのガバナンスを担保するための仕組みがあらかじめ用意されています。

興味のある方は、ぜひ弊社までご相談ください。