こんにちは、株式会社TIMEWELLの濱本です。
2026年4月、高市政権が「自治体のIT機器調達を、政府認定品のみに限定する」という新方針を打ち出しました[^1][^2]。総務省令を2026年6月に改正し、2027年夏から運用を開始する予定です。
一見、地味な行政の話に見えます。ただこれ、日本の経済安全保障の地図をかなり書き換える一手です。なぜなら対象は全国1700あまりの自治体が日常業務で使うPC・サーバー・クラウド。しかも認定制度の仕組み上、HuaweiやZTEといった中国製品は事実上、調達網から消えます。
4月22日には牧野フライス買収への中止勧告が出され、翌23日には国家情報会議設置法案が衆院を通過しました。今回の自治体IT規制は、その同じ週に発表されたものです。連続して起きた3つの動きを並べると、高市政権の経済安全保障政策が一気に加速しているのが見えてきます。
そもそも何が決まったのか、なぜ自治体なのか、背後にある意図は何か、そして民間企業にはどう効いてくるのか。順を追って整理します。
何が決まったのか
まずは要点から整理します[^1][^3][^4]。
| 項目 | 内容 |
|---|---|
| 対象 | 全国の地方自治体 |
| 対象機器 | PC、タブレット、通信機器、サーバー、クラウドサービス |
| 方式 | 政府認定品(JC-STAR・ISMAP)のみ調達可能 |
| 省令改正 | 2026年6月予定 |
| 運用開始 | 2027年夏 |
| 既調達分 | 更新タイミングで認定機器に切り替え |
認定制度は2つあります。ひとつは経済産業省のJC-STAR(Japan Cybersecurity Star)、IoT機器などセキュリティ適合性の評価制度です。もうひとつはサイバーセキュリティ戦略本部サイバー統括室のISMAP(Information system Security Management and Assessment Program)、クラウドサービスの安全性評価制度です。
両制度とも中国企業の製品・サービスを認定していません。つまり「中国製品を名指しで禁止する」のではなく、「認定品しか買えない仕組みにする。そのリストに中国製品はない」という構造です。法的には認定制度を経由した規制、実質的には中国製IT機器の全面排除、と整理できます。
なぜ中央省庁ではなく「自治体」なのか
中央省庁については、実は2018年からすでに同様の指針が運用されています[^1]。今回は「中央省庁で効いた仕組みを、ようやく自治体に広げる」というのが実態に近いでしょう。
なぜ自治体が穴として残っていたのか。理由はシンプルで、自治体は数が多く、IT調達の判断も各自治体ごとに分散しているからです。1700あまりの自治体がそれぞれ入札を回している構造では、統一的なセキュリティ基準を徹底するのは難しい。結果として、中央省庁から排除された中国製機器が、自治体調達では残っているケースが少なくありませんでした。
ここに、住民情報・マイナンバー・地方税・医療・介護など、極めて機密性の高いデータが溜まっていきます。「日本のセキュリティの最大の穴は地方自治体」という指摘は、サイバーセキュリティ業界ではかなり前からされていました。今回の方針は、その穴を政府主導で埋めにいった、というわけです。
背景にある3つの意図
高市政権がこのタイミングで動いた背景には、少なくとも3つの意図があると見ています。
意図①:中国のエコノミック・ステイトクラフトへの対抗
2026年2月、中国は日本の三菱重工・SUBARU・TDK・JAXAなど40の企業・団体を対象とした輸出管理リストを発表しました。これは経済を武器にして相手国の政策転換を迫る、いわゆるエコノミック・ステイトクラフトの典型です。詳しくは「中国の対日輸出規制、日本企業が直面する新たな現実」で書いています。
日本政府としては、相互主義の観点でも、セキュリティの観点でも、中国製ITへの依存を野放しにしておくわけにいかない。今回の自治体規制は、そのメッセージを制度として形にした一手です。
意図②:国家情報会議とのセット運用
翌4月23日に衆院を通過した国家情報会議設置法案は、首相を議長とするインテリジェンス政策の最高意思決定機関を作るものでした。方針を決める会議体を作るだけでは意味がなく、実際の政府機器・自治体機器のセキュリティ水準を同時に引き上げないと機能しません。
「方針のレイヤー(国家情報会議)」「執行のレイヤー(国家情報局)」「現場のレイヤー(IT機器の認定制度)」。この3層をほぼ同時に動かしているのが、今回の一連の動きの本質です。
意図③:国産セキュア機器市場の育成
もうひとつ、経済産業政策の側面もあります。認定制度によって一定の市場が保証されることで、国産メーカー・国内データセンター事業者・国内クラウドサービスのシェアが伸びやすくなります。
「安全保障を理由に国内産業を守る」というのは、世界的には米国のBuy American Actなどでも使われてきた発想です。日本でも、NECや富士通、さくらインターネット、NTTコミュニケーションズなど、国内プレイヤーにとっては追い風のニュースになります。
これまでの積み重ねを一連の流れで見る
今回の方針を単発ニュースで見ると、「また中国叩きか」くらいの印象で流してしまいがちです。過去の動きと並べると、連続したシナリオが浮かび上がります。
| 年 | 出来事 |
|---|---|
| 2018年 | 中央省庁のIT調達で中国製を事実上排除(政府方針) |
| 2020年 | 政府機関のドローン調達から中国製(DJI等)を事実上排除 |
| 2022年 | 経済安全保障推進法 成立 |
| 2023年 | 基幹インフラ制度の対象14分野を告示 |
| 2024年 | 基幹インフラ事前届出・審査制度 本格稼働 |
| 2026年2月 | 中国による対日輸出規制(40社リスト) |
| 2026年4月22日 | 牧野フライス買収中止勧告(外為法初発動) |
| 2026年4月23日 | 国家情報会議設置法案 衆院通過 |
| 2026年4月 | 自治体IT機器認定限定方針 ← 今ここ |
こうして並べると、単なる個別事件ではなく、中央省庁→ドローン→基幹インフラ→個別企業買収→情報体制→自治体と、守るべき領域を順番に制度で覆っていく長期シナリオが見えてきます。
民間企業への波及「関係ない」では済まない理由
この方針の直接の対象は地方自治体ですが、民間企業も決して無関係ではありません。
経済安全保障推進法に基づく基幹インフラ制度では、以下の14分野が「特定社会基盤事業」として指定されています[^5]。
- 電気、ガス、石油
- 水道
- 鉄道、貨物自動車運送、外航貨物、航空、空港
- 電気通信、放送
- 金融、クレジットカード
これらの事業者は、「特定重要設備」の導入や維持管理の委託を行う際に、事前届出と政府審査が義務付けられます。ここでも事実上、中国製の特定重要設備は入れにくくなります。
現時点で一般の民間企業(BtoB、製造業、商社など)はこの規制の直接対象ではありません。ただし、
- 自治体や基幹インフラ事業者と取引する場合、そのサプライチェーンの一員として同じ水準のセキュリティ説明が求められる
- 海外(特に米国)の取引先から、中国製IT・部品の使用履歴を問われるケースが増えている
- みなし輸出(外国籍技術者への技術開示等)でも、情報管理の厳格さが問われる
という3つのルートで、実質的な影響が広がります。「うちは自治体と取引ないから関係ない」と油断していると、ある日突然、海外取引先のデューデリ質問票に答えられない、という事態が起きます。
想定される懸念と論点
大きな方向性は妥当だとしても、運用には論点が残ります。
コストとスピードの問題:自治体の既存システムの入れ替えは、財政的にも人員的にも小さな負担ではありません。特に中小自治体では、認定機器への更新が2027年夏に間に合わない懸念があります。
認定制度の透明性:JC-STARやISMAPの認定基準が、実質的にどの国・どの企業を排除するのかは明示されません。日経社説が牧野フライスの件で指摘したのと同じ構図で、審査基準の透明化は今後の課題です。
市場競争への影響:排除と保護の線引きが不明確だと、国内事業者が「認定を取れば競争せずに受注できる」とあぐらをかく恐れもあります。ガバナンス側でのチェックが必要です。
中国の対抗措置:中国側が、日本企業に対する追加の規制や報復的な輸出管理を行う可能性は十分にあります。2月の40社リストはその前哨戦と見るのが妥当でしょう。
企業はどう備えるか
自社がどの位置にいるかで、対応の温度感は変わります。
自治体・基幹インフラと取引がある企業:サプライチェーン全体で使っているIT機器・部品・ソフトウェアの原産国マッピングを急ぐ必要があります。認定機器への切り替え計画、代替ベンダーの選定、データの国内保管を前提とした運用への移行、このあたりは待ったなしです。
海外取引(特に対米・対欧)がある企業:相手国のサプライチェーン・セキュリティ要求に合わせて、中国製IT機器・部品・クラウドの使用履歴を整理しておく。Entity List・外国ユーザーリスト・制裁リストとの突き合わせは、手作業ではもはや現実的ではありません。
これから対応を始める企業:最小限でも、取引先スクリーニング、該非判定、みなし輸出の管理、技術情報のアクセス制御。この4点を仕組み化しておくことが起点になります。
私たちが開発しているAI輸出管理エージェント「TRAFEED(トラフィード)」は、こうした要件に対応するために生まれたサービスです。取引先の懸念度判定を5秒ほどで、複数のリストと自動照合。該非判定も製品スペックからAIが一次評価を行います。経産省基準に沿ったワークフローで証跡管理も統合しているので、監査対応にそのまま使える形になっています。
Excelと属人管理で回してきた輸出管理の現場は、2026年の環境には正直もう追いつきません。この機会に仕組み化に着手するのが、結局は一番コスパが良い、と個人的には思っています。
まとめ
自治体IT機器からの中国製排除は、パッと見は地味な総務省令改正です。過去数年の動きと並べると、経済安全保障の制度網を最後のピースまで埋めにいく動きの一環だと見えてきます。
- 対象:自治体のPC・通信機器・サーバー・クラウド、2027年夏運用開始
- 仕組み:JC-STAR・ISMAPの政府認定品に限定 → 中国製は事実上排除
- 理由:住民情報・マイナンバー等の機密性と、中国の経済的強制力への対抗
- 流れ:中央省庁(2018)→ ドローン(2020)→ 基幹インフラ(2023)→ 自治体(2026)
- 高市政権:国家情報会議・牧野フライスと同じ週の発表で、経済安保3点セット
- 企業への波及:自治体・基幹インフラ取引、対米取引、サプライチェーン全体へ
「まだ自社には関係ない」と思える方も、取引先の取引先、さらにその先を辿ればこの網に触れている可能性は十分にあります。自社の中国製IT依存度・サプライチェーン透明性を、一度棚卸ししてみる価値はあるはずです。
TRAFEEDの詳細・資料請求・デモ依頼はこちらのページからどうぞ。
参考文献
[^1]: 自治体のIT機器、中国製品を排除 政府の認定品のみ使用可能に - 日本経済新聞(2026-04-17) [^2]: 政府、自治体のIT機器調達を国認定品に限定へ…中国製品の事実上排除で対策強化 - ビジネス+IT [^3]: 自治体の中国IT機器排除 総務省令改正へ 調達で義務付け - 福島民報 [^4]: 総務省 自治体IT調達を認定品に限定 中国製を事実上排除へ - 大紀元 [^5]: 基幹インフラ役務の安定的な提供の確保に関する制度 - 内閣府