TRAFEED

基幹インフラ制度とセキュリティ・クリアランス入門:ベンダー・SIerは何を求められるか

公開2026-07-16濱本 隆太

基幹インフラ制度(16分野・特定社会基盤事業者)が、設備を納めるベンダーや再委託先・オフショアにまで及ぶ「間接規制」の構造を初心者向けに解説。導入等計画書の届出項目、5%株主・役員の国籍開示、バイパス手続き、セキュリティ・クリアランス制度まで一次情報で整理します。

基幹インフラ制度とセキュリティ・クリアランス入門:ベンダー・SIerは何を求められるか
シェア

こんにちは、株式会社TIMEWELLの濱本です。

「うちはインフラを運営している会社じゃないから、経済安全保障の規制なんて関係ない」。中堅のシステム会社やソフトウェアベンダーの方と話していると、この一言をよく耳にします。気持ちはわかります。電力会社でも鉄道会社でも銀行でもない、いち下請けなのだから、国の重要インフラを守る話は自分たちの外側で決まっていく。そう思うのが自然でしょう。

けれど、そこにこそ落とし穴があります。基幹インフラ制度は、指定されたインフラ事業者を規制するだけの制度ではありません。その事業者に機器を納め、システムを構築し、クラウドを提供し、保守を請け負う会社、さらにその先の再委託先やオフショア開発の現場にまで、契約という糸を伝って要求が降りてきます。むしろ「自分は当事者ではない」と思っている下請けベンダーこそ、真っ先に読んでおくべき話なのです。備えの第一歩として、自社の輸出管理やセキュリティ体制の現在地を確かめたい方は、輸出管理コンプライアンス診断で足元を点検してみてください。

この記事は、初心者向けに経済安全保障推進法をたどる3部作の最終回にあたります。第1回では経済安全保障推進法そのものの全体像を、第2回では政府調達とISMAP・SBOMをめぐるセキュリティ要件を扱いました。今回は、その仕上げとして「基幹インフラ制度がなぜ末端のベンダーにまで及ぶのか」、そして「人の信頼性を国が確かめるセキュリティ・クリアランス」という、いちばん誤解されやすい二つのテーマを一緒にほどいていきます。

基幹インフラ制度は何を規制しているのか

まず土台から確認します。基幹インフラ制度は、2022年に成立した経済安全保障推進法(令和4年法律第43号)の第3章に置かれた仕組みです[^4]。国民の暮らしや経済活動の基盤になっている重要な役務が、外部から妨害されて止まってしまう事態を防ぐことを狙っています。対象になる事業は法律で外縁を列挙したうえで、政令でさらに絞り込むという二段構えになっています[^1]。

対象分野は制度のスタート時から段階的に広がってきました。当初は14分野でしたが、令和6年の改正で一般港湾運送が加わって15分野になり(この改正の施行は令和7年4月1日、届出義務は令和7年11月2日から)、さらに医療を追加する改正で16分野に増えています[^1][^2]。現在の顔ぶれは、電気、ガス、石油、水道、鉄道、貨物自動車運送、外航貨物、港湾運送、航空、空港、電気通信、放送、郵便、医療(施行の準備が進んでいる段階です)、金融、クレジットカードです。私たちの生活を下から支えている役務が、ほぼひととおり並んでいると考えてよいでしょう。

この分野のなかで、一定規模以上の事業者が「特定社会基盤事業者」として指定されます。指定を受けた会社は令和8年7月1日時点で258者にのぼります[^1]。数だけ見ると意外に多いと感じるかもしれませんが、電力や通信のように一社で広い地域を担う事業を思い浮かべれば、この規模感も腑に落ちるはずです。指定された事業者には、重要な設備を新しく導入したり、その維持管理を外部に委託したりする前に、事業所管大臣へ「導入等計画書」を届け出る義務が生じます[^1]。届け出たらすぐに使える、というわけではありません。国はその内容を審査します。審査期間は30日を基本にしていますが、事情に応じて延長される場合も、逆に短縮される場合もあります[^1][^5]。審査の過程で必要があれば内閣総理大臣や関係機関との協議が行われ、その設備が妨害の手段に使われるおそれが大きいと判断されれば、事業者に対して勧告や命令が出されます[^1]。この「事前に届け出て、国のチェックを受けてから使う」という流れが、制度の背骨です。

該非判定の属人化を、AIで解消する。

経産省2024年度データによれば、外為法違反の52%は該非判定起因。TRAFEEDの機能・導入フローをまとめたサービスカタログを無料でダウンロードできます。

なぜ末端のベンダー・SIer・SaaSまで影響するのか

ここからが、この記事でいちばん伝えたい部分です。指定されるのはあくまでインフラ事業者であって、その下請けが指定されるわけではありません。ではなぜ、下請けのベンダーやSIer、SaaS事業者まで巻き込まれるのか。答えは、導入等計画書で開示を求められる中身にあります。

内閣府の説明会資料を読むと、届出では設備そのものだけでなく、その設備の「供給者」、維持管理などを請け負う「委託の相手方」、さらにその先の「再委託の相手方」についても、かなり踏み込んだ情報を書くことになっています[^1]。たとえば供給者の議決権を5%以上直接持っている株主については、名称や氏名、設立準拠法国、国籍、そして議決権の保有割合まで記載します。この割合は届出日前2か月以内の議決権数に占める割合を小数点第3位で四捨五入して出す、という細かさです[^1]。役員についても、氏名、生年月日、国籍などを届け出て、登記事項証明書やパスポートの写しといった添付書類が求められます[^1]。

さらに目を引くのが、外国政府との関係を測るしくみです。供給者が過去3年間で外国の政府や政府機関、地方公共団体、中央銀行、政党などとの取引による売上高が、売上高総額の25%以上を占めていた場合、その事業年度、相手、割合を記載しなければなりません[^1]。特定重要設備を製造する工場や事業場が、どの国のどの地域にあるかも書きます[^1]。要するに国は、インフラ事業者本体だけでなく、そこに部品やソフトを納める会社の資本構成や役員の国籍、外国政府への依存度まで見たうえで、妨害のリスクを判断しようとしているわけです。

ここで下請け側の立場に立ってみてください。自社は経済安全保障の当事者だと思っていなくても、取引先のインフラ事業者が届出をする以上、株主構成や役員の国籍、外国政府との取引割合といった情報を求められる可能性があります。身元の透明性や、後で触れるセキュリティ体制を整えていなければ、そもそも取引の候補から外れてしまうことも起こり得ます。これが、私が「間接規制」と呼んでいる構造です。法律の名宛人ではないのに、契約を通じて実質的に同じ水準を求められる。この視点を持っているかどうかで、数年後の受注機会が変わってくると私は見ています。

現場で実際に求められるリスク管理措置

では、身元の透明性の次に問われるセキュリティ体制とは、具体的に何なのか。内閣府の資料には、供給者や委託先に確保してほしいリスク管理措置が並んでいます[^1]。専門的に見えますが、中身は現場の運用に落とせる話ばかりです。

まず、納入する機器やソフトに悪意あるコードが仕込まれていないかを確かめる受入検査や脆弱性テストが挙げられています[^1]。あわせて、最新のパッチを当て、不正プログラム対策ソフトを最新の状態に保つことも求められます。製造や維持管理を行う環境については、定められた要員以外がアクセスできないよう、入退室管理のような物理的な制限と、アクセス制御のような論理的な制限の両方をかけることが期待されています[^1]。不正アクセスを防いで監視し、誰がいつ何をしたかという操作ログや作業履歴を保管して定期的に確認する。委託先の要員に対しては、サイバーセキュリティの教育を年1回以上行う。こうした一つひとつが、リスク管理措置として言及されています[^1]。

近年とくに重みを増しているのが、ランサムウェアへの備えです。資料では、ランサムウェアに感染したとしても役務を継続できる体制、つまりバックアップや隔離、復旧手順といった事業継続計画(BCP)の整備が挙げられています[^1]。インシデントが起きたときの対応方針や体制を決めておき、訓練しておくことも同様です。ここで一点だけ補足しておくと、これらの措置は「全部を常に完璧にやりなさい」というものではありません。資料でも、リスクの内容や程度に応じて講じるものであって、すべての項目を一律に実施する必要はない、と明記されています[^1]。自社の役割と扱う情報の重さに見合った範囲で整えればよい、という現実的な設計です。

再委託についても触れておきます。制度では、再委託を行う際に特定社会基盤事業者の事前承認を得ることが要件化されており、これは再々委託についても同じ扱いです[^1]。承認の条件は、再委託先が委託の相手方と同等のサイバーセキュリティ対策を確保していることです。さらに、外国の法的環境や外部の主体からの指示によって契約違反となる行為が生じ得る場合には、それを事業者へ報告する契約上の担保も求められます[^1]。オフショア開発や外国政府の影響を、契約の言葉で統制しようとしているわけです。海外に開発を出している会社は、この一節を自社の契約書に照らして読み直しておく価値があります。

「バイパス手続き」という救済ルート

ここまで読んで、下請けベンダーの方はひとつ不安を覚えたかもしれません。株主や役員の情報、外国政府との取引割合、パスポートの写しといった機微な情報を、いちいち取引先のインフラ事業者に渡さなければならないのか、と。競合になり得る元請けに自社の手の内を晒すのは、たしかに抵抗があるでしょう。

この懸念に、制度はきちんと逃げ道を用意しています。それが「バイパス手続き」です[^1][^6]。供給者や委託の相手方、再委託先は、導入等計画書の一部の届出事項や添付書類、たとえば役員の氏名・生年月日・国籍、旅券の写し、外国政府との取引割合、リスク管理措置の一部を確認する書類などを、特定社会基盤事業者を経由せず、直接、事業所管大臣に提出できます[^1]。文字どおり取引先を「バイパス」して国へ出せる、というわけです。

なぜこんな仕組みが必要だったのか。少し想像すればわかります。もし機微な情報を必ず元請け経由でしか出せないとしたら、供給者は取引先に企業秘密を握られることを嫌って、そもそも取引に応じにくくなります。それでは、身元がきちんとしている優良なベンダーほどインフラの供給網から抜けてしまい、制度が目指す安全とは逆の結果になりかねません。バイパス手続きは、下請けの正当な秘密保持と、国が求める透明性を両立させるための橋渡しなのです。日本で登記している会社であれば、登記事項証明書の添付を省略できるといった配慮も用意されています[^1]。

私はこの手続きの存在を、下請けベンダーの方にこそ知っておいてほしいと思っています。「取引先に全部見せなければいけないなら降りる」と早合点する前に、直接国へ出す道があると知っているだけで、取引の選択肢はずいぶん広がります。制度は規制であると同時に、正しく備えた会社を供給網に残すための設計でもある。バイパス手続きは、その思想がよく表れた部分だと感じています。

人の信頼性を確かめる「セキュリティ・クリアランス」

設備と会社の話が続きましたが、経済安全保障のもう一本の柱は「人」です。ここで登場するのがセキュリティ・クリアランス、日本でいえば重要経済安保情報保護活用法(令和6年法律第27号)にもとづく仕組みです[^7][^8]。この法律は2024年5月10日に成立し、同月17日に公布され、2025年5月16日に施行されました[^7]。所管は内閣府です。

企業の視点で押さえるべきなのは、これが二段構えになっている点です。まず会社が「適合事業者」としての認定を受け、次にその会社で実際に情報を扱う担当者個人が「適性評価」と呼ばれる調査をパスして、はじめて重要経済安保情報を扱えるようになります[^9]。会社の看板だけでも、個人の資格だけでも足りません。両方がそろって初めて扉が開く設計です。基幹インフラや先端技術の共同開発に関わる会社にとっては、この人の管理が新しい入場条件になっていきます。制度の全体像や意義をやさしく知りたい方はセキュリティ・クリアランスの入門解説を、企業がとるべき実務にまで踏み込みたい方は制度の最新と企業対応を、あわせて読んでみてください。

気になるのは、適性評価で何が調べられるのか、でしょう。法律事務所などの解説によれば、法が定める調査事項は本人の同意を前提に、行政機関の長が実施するとされています[^9][^10]。調べられるとされる内容は、氏名や生年月日、国籍、帰化歴、職歴・学歴といった基本的な事項に始まり、家族や同居人、スパイ活動や外国政府との関係などの重要経済基盤を毀損する活動とのつながり、犯罪や懲戒の経歴、情報取扱いの非違歴、薬物の濫用、精神疾患、飲酒の節度、借入や滞納・自己破産といった信用状態、そして過去に適性評価を受けた履歴まで、かなり広い範囲に及びます[^9]。借金や飲酒、家族の国籍まで見られると聞くと踏み込みすぎに感じるかもしれませんが、機密を託す相手を選ぶための調査だと考えると、各国の同種の制度ともおおむね共通しています。ここでの調査項目や条文の細かな番号は解説にもとづくものなので、実際に対応する際は必ず一次資料で確認してください。

罰則も相応に重く設計されています。複数の解説によれば、重要経済安保情報を漏らした場合は5年以下の拘禁刑もしくは500万円以下の罰金が科され得るとされ、両者が併科される場合もあり、未遂や過失も処罰の対象になり、両罰規定によって法人にも罰金が及ぶとされています[^9][^10]。情報の管理面では、立ち入りを制限した区画を設けたり、記録媒体の持ち込みを制限したり、外部ネットワークにつながないスタンドアローンの端末を使ったりといった措置が想定されています[^10]。人を確かめる仕組みと、情報を物理的に守る仕組みが、セットで動くわけです。

ひとつ隣の論点にも触れておきます。2025年5月に成立し、同月23日に公布されたサイバー対処能力強化法(令和7年法律第42号)では、能動的サイバー防御の導入とあわせて、基幹インフラ事業者にインシデント報告などが課される方向で議論が進んでいます[^11]。設備、人、そしてサイバー対処。経済安全保障をめぐる要求は、この三つが互いに補い合う形で厚みを増しています。基幹インフラとAIガバナンスの交わりについては重要インフラとAIガバナンスでも掘り下げているので、関心があればそちらもどうぞ。

中小ベンダーが今から準備できること

ここまでの流れを、下請けベンダーの立場から一本にまとめ直します。基幹インフラ制度は、指定されたインフラ事業者だけの話ではありません。届出を通じて、供給者や委託先・再委託先の資本構成や役員の国籍、外国政府への依存度、そしてセキュリティ体制までが問われます。だからこそ、自社が名宛人でなくても、取引の入口で同等の水準を求められる。これが間接規制の正体でした。

では、何から手をつければよいか。私が現場で勧めているのは、大がかりな投資の前に、まず棚卸しをすることです。自社の主要株主と役員の情報を整理し、外国政府や外国企業との取引がどれくらいの割合かを把握しておく。アクセス制御や操作ログ、年1回のセキュリティ教育、ランサムウェアに備えたバックアップと復旧手順といった、リスク管理措置に対応する運用が今どこまでできているかを一覧にする。オフショアに開発を出しているなら、契約書に外国からの影響を報告させる条項があるかを確認する。そして、機微な情報を取引先に渡したくない場合はバイパス手続きという選択肢があることを、社内で共有しておく。ここまでやっておけば、取引先から問われたときに慌てずに済みます。

技術側の管理を人手だけで回し続けるのは、正直なところ年々きつくなっています。各国の規制は頻繁に改正され、照合すべきリストも増える一方だからです。私たちが開発する輸出管理AIエージェントTRAFEEDは、経済産業省の基準に沿って、輸出してよい品目かどうかの該非判定や、軍民両用(民間でも軍事でも使える技術)の見きわめ、懸念のある取引先との照合といった重い作業を自動化し、各国の法規を当日中に反映します。岡山大学との共同実証では過去審査データをもとにAI判定精度95%以上を確認しており(自社調べ)、特許第7862062号を取得し、すでに20を超える組織に導入いただいています。もちろん、最終的な該非判定は貴社の輸出管理責任者が行うという原則は変わりません。ツールはあくまで、人の判断を速く正確にするための土台です。

基幹インフラ制度もセキュリティ・クリアランスも、根っこにあるのは「重要なものを、信頼できる相手にだけ任せる」というシンプルな発想です。難しく身構える必要はありません。ただ、その信頼を示せるかどうかは、平時の準備で決まります。「うちは関係ない」と思っていた会社が、ある日の引き合いで初めて制度に直面して立ち尽くす。そんな場面をこれ以上増やしたくない、というのが、この3部作を書いた私の正直な気持ちです。備えの入口として、経済安全保障・輸出管理の個別相談もお使いください。読み終えたいま、まず自社の株主と役員の一覧を開いてみる。そこから始めてもらえたら十分です。

参考

[^1]: 経済安全保障推進法における特定社会基盤役務の安定的な提供の確保に関する制度(説明会資料)— 内閣府 経済安全保障推進室 — 2026年7月7日(アクセス2026年7月16日) [^2]: 基幹インフラ役務の安定的な提供の確保に関する制度 — 内閣府 経済安全保障推進室 —(アクセス2026年7月16日) [^3]: 経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に関する制度について — 内閣府 経済安全保障推進室 — 2026年6月17日(アクセス2026年7月16日) [^4]: 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(経済安全保障推進法、令和4年法律第43号)— e-Gov法令検索(デジタル庁)(アクセス2026年7月16日) [^5]: 経済安全保障推進法の基幹インフラ制度をめぐる最近の動き — 参議院 立法と調査 No.483 — 2026年(アクセス2026年7月16日) [^6]: 基幹インフラ制度 — 総務省(アクセス2026年7月16日) [^7]: 重要経済安保情報保護活用法について — 内閣府 経済安全保障推進室(アクセス2026年7月16日) [^8]: 重要経済安保情報の保護及び活用に関する法律(令和6年法律第27号、施行2025年5月16日版)— e-Gov法令検索(デジタル庁) [^9]: セキュリティ・クリアランス制度の概要を重要経済安保情報保護活用法に基づき解説 — BUSINESS LAWYERS — 2025年(アクセス2026年7月16日) [^10]: セキュリティ・クリアランス制度とは — KPMGジャパン — 2024年4月(アクセス2026年7月16日) [^11]: サイバー対処能力強化法等の施行に向けた対応(資料2)— 厚生労働省 — 2025年(アクセス2026年7月16日)

外為法違反の52%は該非判定起因 — 御社は大丈夫ですか?

2024年度の経産省統計で、輸出管理違反の過半が該非判定に起因。まず5問(約2分・メール不要)のライト診断。詳細は10問本編へ。

この記事が参考になったらシェア

シェア

メルマガ登録

AI活用やDXの最新情報を毎週お届けします

ご登録いただいたメールアドレスは、メルマガ配信のみに使用します。

無料診断ツール

輸出管理のリスク、見えていますか?

まず5問(約2分・メール不要)のライト診断。必要なら10問本編で詳細レポートまで。

輸出管理の実務、一緒に整理しませんか

該非判定・取引先調査・法令追随など、現場の運用を伺いながら整理します。まずはお問い合わせフォームから(カレンダー直結ではありません)。

関連記事

キャッチオール規制の改正まとめ【2026年最新】2025年10月9日施行の見直しと用途・需要者・インフォーム要件への影響

キャッチオール規制(補完的輸出規制)の改正を時系列で総整理します。2025年4月9日公布・10月9日施行の見直しで導入された特定品目(HSコード指定の6分類)、通常兵器キャッチオールへの客観要件の拡大、グループA(旧ホワイト国)向けインフォーム要件の新設に加え、2025年11月14日公布・2026年2月14日施行の輸出貿易管理令改正までを経産省・e-Govの一次情報で解説。改正後の用途要件・需要者要件・インフォーム要件と、輸出管理内部規程(CP)の改定ポイントも整理しました。

2026-07-15