ICT-ISAC ICT分野事業者に向けたセキュリティ・クリアランス法制に関するレポート (2026.03.03)

こんにちは、丸山満彦です。

ICT-ISACがICT分野事業者に向けたセキュリティ・クリアランス法制に関するレポート、「我が国におけるセキュリティ・クリアランス法制の動向
「重要経済安保情報保護活用法」」という報告書を公表していますね...KDDI総合研究所が作成したものです...

「電気通信事業者に求められる実務的な対応と、企業活動への影響を明確化することを目的とする。特に、通信業界が今後直面し得る制度対応を、条文および運用基準に基づき整理する。」としていますね...

電気通信事業者への影響と求められる対応のイメージとして次のように考えているようですね...

組織に求められる対応もその通りだと思います。。。（私は次の5つで考えていましたが（①組織体制、②設備、③システム、④人事対応、⑤調達・委託管理（日本人らしい...(^^)）。KDDIの報告書は、わたしの①から③をまとめて「適合事業者認定への備え」としているイメージですね...）

---

◼ 影響

⚫ 電気通信は「重要インフラ15分野」として明確に位置づけられており、本法の運用において対象となりやすい業
態となる可能性がある。留意点として以下が考えられる：

• 「特定秘密」とは異なる制度であるため、事業で生ずる情報が指定対象になり得る可能性。
• 適合事業者認定や適性評価は任意制度だが、事実上の政府調達参加条件となる可能性が高い。
• 下請・委託先（ベンダー・工事会社等）との関係性。

◼ 求められる対応

⚫ 組織対応・社内体制構築：適合事業者認定への備え

• 保護責任者（役員）／業務管理者（CSIRT等）指名
• 重要情報取扱区画（専用室）設置計画 等

⚫ 労務・人事対応：適性評価への備え

• 従業者選定
• 退職者の情報管理強化 等

⚫ 調達・委託管理対応：サプライチェーン対策

• NDA の強化（退職後規定含む）
• 再委託禁止（または報告義務）
• 委託先監査の実施

---

 

また、サイバーセキュリティに関するサプライチェーンリスクを3つの類型にわけていますが、私もその通りと思います。ときどき、どのリスクの話をしているのかわかりにくくなるので、この３類型に名前をつけたらよいのではないかと思います。（渉外 -> 障害）

---

◼ サプライチェーン・リスクの種類（サイバーセキュリティに関し）

⚫ 具体的には：

• 委託先（委託先のシステムを経由したサイバー攻撃）
• クラウドサービス（クラウドサービスの渉外によるサービス停止）
• ソフトウェア（バックドア型マルウェアが仕込まれる）

---

 

1. 委託先（委託先のシステムを経由したサイバー攻撃）
2. クラウドサービス（クラウドサービスの渉外によるサービス停止）
3. ソフトウェア（バックドア型マルウェアが仕込まれる）

とすると、、、たとえば...

1. 「大阪急性期総合医療センター型」

2. 「小島プレスのクラウド版型」

3. 「SolarWinds型」

みたいな...社名出すとあかんか...

 

● ICT-ISAC

・2026.03.03 国内初、ICT分野事業者に向けたセキュリティ・クリアランス法制に関するレポートを公表