2026年サイバー新法とSCS制度|企業法務が今すべき実務対応
2026.07.12UP!
- blog
- 2026年サイバー法制
- SCS評価制度
- サイバー対処能力強化法
- サプライチェーンリスク
- 取締役責任
- 善管注意義務

2026年10月1日は、日本のサイバー法制にとって重要な転換点となる。ただし、これは「努力義務から強制法規への一斉移行」ではない。既に個人情報保護法、経済安全保障推進法、各業法等に基づく法的義務は存在し、サイバー対処能力強化法の規定も段階的に施行される。
新たに重要なのは、一定の基幹インフラ事業者について、重要な電子計算機の届出やインシデント報告が制度化されること、そして任意制度であるSCS評価制度が、契約・調達を通じてサプライチェーン全体に波及する可能性があることである。
企業の実務負担を決めるのは、行政罰の金額だけではない。取締役会における監督プロセス、委託先管理、調達上の取引資格、事故後に合理的な対応を立証できるかという説明可能性が、より大きな影響を及ぼす可能性がある。
本稿では、①脅威の実態、②制度の三層構造、③日本型エンフォースメントの効き方、④本丸としてのサプライチェーン規制(SCS評価制度)、という順で、2026年7月時点の見取り図を整理する。
1. 脅威の実態——「高度な攻撃」ではなく「基本対策の不備」が主因
警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」(2026年3月公表)によれば、2025年のランサムウェア被害報告は226件であり、これとは別に、暗号化を伴わず情報窃取等により金銭を要求するノーウェアランサムが17件確認された。
実務上より重要なのは、その内訳である。
- 侵入経路:VPN機器が約62%、リモートデスクトップが約22%。両者で8割超が「外部公開されたリモートアクセス経路」からの侵入である(令和7年上半期調査)。
- パッチ適用状況:侵入経路とされた機器のうち、最新パッチが未適用だったものが約半数。
- 被害企業の規模:中小企業が6割超。
つまり、被害の大半は「ゼロデイを用いた国家級の高度攻撃」ではなく、「パッチを当てていない」「多要素認証がない」「不要アカウントが放置されている」という、やるべきことをやっていなかった状態に起因している。この事実は、後述する善管注意義務違反の立証を容易にする方向に働く。
加えて、生成AIによる攻撃側の自動化・高速化(偵察から侵入までの自律化、ディープフェイクを用いた経営層なりすまし)が重なりつつあり、「基本対策の不備」というボトルネックは、今後さらに致命的なものになる。
2. 制度の三層構造——土台・司令塔・新法
(1) 土台:サイバーセキュリティ基本法と経済安全保障推進法
サイバーセキュリティ基本法(平成26年法律第104号)を基礎に、2025年7月、NISCを改組して国家サイバー統括室(NCO)が司令塔として設置された。その上に、経済安全保障推進法に基づく基幹インフラ制度(15分野・257者が特定社会基盤事業者として指定。令和7年7月末時点)が乗り、さらに分野別の規制——金融庁ガイドライン、医療分野ガイドライン、ISMAP(政府クラウド調達)、対米防衛調達におけるNIST SP 800-171/CMMC——が重なる構造になっている。
(2) 新しい波:サイバー対処能力強化法
サイバー対処能力強化法(正式名称「重要電子計算機に対する不正な行為による被害の防止に関する法律」/令和7年法律第42号)および同整備法(令和7年法律第43号)は、2025年5月16日成立、同月23日公布。主要規定は2026年10月1日に施行される。
柱は4つ——①官民連携の強化(資産届出・インシデント報告・協議会)、②通信情報の利用、③アクセス・無害化措置、④組織体制の整備。専守防衛的だった日本のサイバー政策が「能動的サイバー防御」へ質的転換した、という評価が妥当である。
民間企業にとっての実務上の焦点は、次の2点に集約される。
- 資産届出義務:基幹インフラ事業者が特定重要電子計算機を導入した際、製品名等を事業所管大臣に届け出る。
- インシデント報告義務:不正アクセス等によりサイバーセキュリティが害された場合等に、事業所管大臣および内閣総理大臣へ報告する。
罰則は、報告義務違反について是正命令が発せられ、なお従わない場合に200万円以下の罰金(強化法83条)、資料提出等に応じない場合に30万円以下の罰金(同84条)。秘密の不正利用・漏えいには2年以下の拘禁刑または100万円以下の罰金が定められている。
そして——ここが多くの企業に見落とされている——経済安全保障推進法上、257者が特定社会基盤事業者として指定されている。強化法上の直接義務対象は、この中から法律・政省令上の要件に従って画定されるため、257者と当然に一致するわけではない。重要電子計算機の定義には、ファイアウォール・VPN機器・認証サーバー等のアクセス制御機器が含まれ得る。その運用を受託するITベンダー、グループ会社、クラウド事業者にも波及する。さらに整備法によってサイバーセキュリティ基本法上の供給者責務が拡充され、電子計算機やプログラムの供給者には、設計・開発段階からの安全性確保や、供給後の脆弱性情報の継続的提供等に努めることが求められる。
3. 日本型エンフォースメント——罰則ではなく、善管注意義務と調達で効く
海外と比較すると、日本の特異性は明瞭である。
EU(NIS2指令):
制裁金(重要事業者で最大1,000万ユーロまたは全世界売上高2%)+経営陣の個人責任
米国(SEC規則):
上場会社がサイバーインシデントを重要と判断した場合、原則として、その重要性判断から4営業日以内にForm 8-Kで開示する。
日本:
日本では高額制裁金よりも、業法上の監督、事故公表、取締役責任、損害賠償、保険、調達条件等が複合して実務上の規律を形成する。その中でも、本稿では取締役の監督責任と調達連鎖に注目する。
(1) 経路A:取締役の善管注意義務
取締役は会社に対し善管注意義務を負い(会社法330条、民法644条)、その違反は任務懈怠責任(会社法423条1項)を構成する。経済産業省「サイバーセキュリティ経営ガイドライン」は、経営者がサイバーセキュリティ対策を怠った場合に善管注意義務違反を問われ得ることを明記している。
ここで前記1の統計が効いてくる。侵入の8割超がVPN・RDP経由であり、その半数がパッチ未適用という公的統計が存在する以上、被害後の株主代表訴訟や取引先からの損害賠償請求において、「予見可能性がなかった」という抗弁は成り立ちにくい。ガイドラインと統計は、予見可能性や期待される管理水準を裏付ける資料となり、基本的対策を講じなかった企業の説明を難しくする。
(2) 経路B:調達要件による「面」の締め付け
政府調達、防衛産業、重要インフラのサプライチェーンに入るには、認証取得・基準適合が事実上の参入資格となる。法律が命じるのではなく、発注者が契約条件として要求することで規範が伝播する。この構造が、次章のSCS評価制度で完成する。
(3) 弱点も直視すべきである
制度側の課題も明確だ。第一に、セキュリティ人材の慢性的不足。第二に、憲法21条2項が保障する通信の秘密による制約(強化法も「必要最小限度」原則・独立監視機関であるサイバー通信情報監理委員会の設置など、厳格な枠をはめている)。第三に、規制が積み上がる一方で中小企業の実装が追いつかない実行ギャップである。規制が増えれば安全になる、という話ではない。
4. 本丸はサプライチェーン——SCS評価制度
(1) なぜサプライチェーンなのか
攻撃者は、防御の固い本体を正面から攻めない。守りの薄い委託先・子会社・取引先を踏み台にする。2025年も、委託先経由の情報漏えい・供給停止が相次いだ。自社が無傷でも、委託先が止まれば事業は止まる——これが常態化している。
他方、発注者側には「取引先の対策状況が見えない」という課題があり、受注者側には「取引先ごとに異なるチェックシート対応が重い」という課題がある。この二重の課題を同時に解こうとするのが、次の制度である。
(2) SCS評価制度の骨格
経済産業省および内閣官房国家サイバー統括室は、2026年3月27日、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度)を公表した。運営主体はIPA。対象はサプライチェーンを構成する企業のIT基盤(クラウド環境を含む)であり、業種・規模は問わない。
★3一般的な脅威に対処し得る最低限・基礎的対策/評価方法:専門家確認付き自己評価+経営層による自己適合宣誓/有効期間1年
★4供給停止・重大漏えいに直結し得る企業に求められる標準的水準/評価方法:評価機関による第三者評価+実地審査+技術検証/有効期間3年
上位の★5は検討継続中。中小企業向けのSECURITY ACTION(★1・★2)と接続される設計であり、ドイツのTISAX、米国のCMMC、英国のCyber Essentialsに相当する「日本版」と位置づけられる。
制度自体は任意である。しかし、これを任意制度と読むのは実務的に誤りだ。発注者が契約条件に組み込むことで、事実上の取引資格として機能するよう設計されている。★4の要求事項には取引先のセキュリティ対策状況の把握が含まれるため、要求は二次委託先・三次委託先へ連鎖する可能性がある。★を持たない企業が、ある日突然「取引継続には★3が必要」と告げられる可能性は高い。
(3) スケジュール(逆算が必要)
2026年8月頃制度規程の公表
2026年10月頃評価ガイド・解説書の公表
2026年後半評価機関の公表
2026年度末頃:制度運用開始目標
要求事項・評価基準はすでにIPAから公開されている。規程・台帳・アカウント管理・パッチ管理・バックアップ・教育記録の整備は短期間では終わらない。制度の詳細が固まるのを待つ理由はない。公開済みの基準でギャップ分析を始めるのが合理的である。
(4) 関連する周辺制度
- JC-STAR:IoT製品のセキュリティ適合性ラベリング制度(「製品」の評価)。
- SBOM:ソフトウェア部品表。内包するOSS等の脆弱性を追跡可能にする(「ソフトウェアの中身」の可視化)。IPAの導入手引きに加え、国際的な標準化も進む。第三者製ソフトウェアの脆弱性を起点とする事案が続く以上、高リスクのソフトウェアや重要システムでは、SBOMを整備していないことについて、事故後の説明が次第に難しくなると考えられる。。
- 経済安全保障推進法:基幹インフラ事業者の特定重要設備導入について、供給者およびその再委託先まで国が事前審査(「重要設備」の評価)。
5. 法務としての実務対応——3つの論点
(1) 委託契約条項の再設計
委託契約に、①SCS★取得義務または対策状況の開示義務、②インシデント発生時の通知義務(通知期限・通知先・第一報の記載事項を明記)、③SBOM提出義務、④再委託先に対する同等義務の課与、⑤監査権——を組み込む動きが標準化していく。
ただし、発注者側には別のリスクがある。独占禁止法および中小受託取引適正化法(取適法)上、「合理的範囲を超えた負担」を一方的に押し付ければ、優越的地位の濫用等の問題を生じ得る。経済産業省と公正取引委員会は2025年12月26日、「問題とならない」ケースを整理した事例集・解説文書を公表している。セキュリティ要求とコストの適正な転嫁はセットで設計する必要がある。片方だけを進めれば、別の法的リスクに移し替えただけになる。
なお、制度趣旨としては★3が基本であり、必要に応じて★4である。「とりあえず★4を」という営業文句に乗る必要はない。
(2) 取締役の監督責任
SCS評価制度が業界標準として浸透すれば、「重要な委託先の対策状況を確認していなかった」こと自体が、善管注意義務違反の評価根拠となり得る。これは、個人データの取扱いを伴う委託については、個人情報保護法25条の委託先監督義務とも重畳する。取締役会の議題として、委託先のセキュリティ水準を定期的に報告・記録する運用を整えるべきである。取締役会報告や是正判断の記録がなければ、事故後に合理的な監督を行っていたことの立証が著しく困難になる。
(3) M&A・デューデリジェンス
対象会社のSCS取得状況、委託先管理体制、SBOM整備状況は、サイバーDDのチェック項目として定着していく。買収後に対象会社の委託先経由でインシデントが発生した場合、表明保証条項の設計とPMIにおける是正計画が、そのまま損失分担の帰趨を決める。
6. まとめ——重心はすでに移っている
直近のマイルストーンは、次の3つである。
2026年10月1日:サイバー対処能力強化法の主要規定が施行され、対象事業者における特定重要電子計算機の届出やインシデント報告等の制度が始動する。
2026年度末頃:SCS評価制度の★3・★4について、制度運用および申請受付が開始される予定である。
その後:通信情報の利用に関する規定が段階的に施行されるとともに、AIを活用したサイバー防御・脅威分析政策の具体化が進むと見込まれる。
サイバーセキュリティは、もはや情報システム部門だけが担う技術課題ではない。取締役会が監督すべき経営リスクであり、重要インフラ分野では安全保障コンプライアンスであり、サプライチェーン取引においては取引資格を左右し得る要素である。
今後問われるのは、単に「対策を講じているか」ではない。事故発生後に、当時のリスクに応じた合理的な対策を選択し、実施し、継続的に監督していたことを、議事録、規程、評価記録、ログ、教育記録その他の証拠によって説明できるかである。
日本のサイバー規制の重心は、対策の有無から、経営判断のプロセスとその立証可能性へと移りつつある。
委託契約の更改時期とSCS評価制度の開始時期は、多くの企業で重なる。逆算して動き始めるなら、今である。
今回の一連の制度変更について、罰則の重さよりも、取締役の責任と取引先から求められる条件の変化のほうが、実務への影響は大きいと見ています。特に、委託先の対策状況をどこまで把握し、記録として残せているかについては、個別の事情によって対応が異なるため、早めの確認をお勧めしています。
以下に1つでも該当する場合は、専門家への確認をお勧めします。
- 社外から社内システムにつなぐ仕組み(VPNなど)を、いつ誰が最後に更新したか即答できない
- 業務を任せている会社のセキュリティ対策の中身を、書面で確認したことがない
- 退職者や異動者のアカウントが残っていないか、定期的に確認できていない
- 取引先から「セキュリティの評価を取得しているか」と聞かれたことがある
- 委託先の管理状況を役員会に報告し、記録として残したことがない
本稿は2026年7月時点で公表されている情報に基づく一般的な解説であり、個別の事案に関する法的助言ではありません。制度の詳細は今後の政令・省令・ガイドライン等により変更・具体化される可能性があります。
