政府が認識する問題意識

　経済安全保障について政府が課題として認識している点は、「特定社会基盤事業」そのものに対する妨害行為である。なお、特定社会基盤事業とはインフラ事業者が提供する国の機能として欠かせない設備を指しており、金融分野でいえば金融機関の運営に必須となる基幹システムや決済インフラが該当する。

　インフラ事業者は外部から機器やソフトなどを購入し、これを組み上げることでインフラを整備している。また、インフラの維持管理には外部企業や委託先による支援を受けているはずだ。こうしたシーンそれぞれに脅威が台頭している。

　すなわち、調達や保守の過程でICT機器やソフトウェアに不正に機器やチップが組み込まれ、これを通じて外部に重要情報が漏洩するリスクだ。政府はこれを念頭に、重要インフラたる金融機能そのものにも対策を施そうとしているわけだ。

ガイドライン素案のポイントとなる特定重要設備

　筆者らのチームが認識している範囲内での情報とはなるが、今般、インフラ事業者には新設・更改対象となる特定重要設備、すなわち金融分野では勘定系システムなどが該当するが、これらの更改が計画されているならば、事前に政府へ計画書を届け出たうえで審査を受ける必要がある。

　ここでいう特定重要設備とは、当該機能が提供できない場合に役務の提供自体に影響を与える可能性のあるものや、役務が提供できたとしても品質や機能低下を招く可能性のあるもの、もしくは将来的に安定的な役務の提供に影響を生じ得るもの、が該当するようだ。

　なお、こうした設備には情報システムとしてのソフトウェアが欠かせないが、計画策定段階はもちろんのこと、ライフサイクルにおける更新時・機能追加といった見直しが加わるケースが想定される。このようなイベント時にも変更届け出の提出を義務付けるのがポイントだ。

現状のシステム開発・維持・運用工程の受委託関係にメス

　特定重要設備とみなされるインフラを構築・運用する場合、従前どおりであれば二次受け、三次受け、四次受け……といったように再委託が繰り返され、最近の大型システム開発案件では八次受けまで確認されてもいる。

　こうした重畳的な受委託関係では、特定重要設備の開発・維持・運用の各工程における安全性が担保されない。

　そこで政府は、特定重要設備の開発・維持・運用の各工程にかかわる「最終的に委託を受けた者」を計画書に記載することを要件としている。これは現状からみれば相当に高いハードルとなろう。 【次ページ】現状のシステム開発・維持・運用工程の受委託関係にメスが入る