国家サイバー統括室「サイバーセキュリティ人材フレームワーク」を経営者・CISOはどう読むか——法的責任・AI対応・組織設計の視点から解説

はじめに——これは「IT部門の話」ではない

2026年2月9日、内閣官房国家サイバー統括室（NCO）は、サイバーセキュリティ人材フレームワーク及び手引き書（案）の最新進捗を公表した。

「人材フレームワーク」という名称を聞くと、人事部や情報システム部門の話だと思われがちだ。しかし今回の資料を読むと、その本質がまったく異なることに気づく。このフレームワークは、サイバーセキュリティをめぐる組織の意思決定構造・法的責任の所在・外部委託の限界を、整理した文書である。

経営者やCISOがこの文書を読まずに済ませることは、もはやできない。本稿では、フレームワークの全体構造を俯瞰した上で、経営・法務・AI対応という三つの視点から実務的含意を解説する。

第一部：フレームワークの全体像——13の「役割」とは何か

役割、組織、人材像の三層構造

今回のフレームワーク改訂における最大の概念整理は、「人材像」を「役割」から切り離した点にある。

フレームワーク本体は、組織のサイバーセキュリティを担う人材を13の「役割」として定義する。この13役割は、技術的側面に限らず、法務・監査・教育・研究といった非技術的領域も包含する点が特徴的だ。

各役割には、その役割を担う人材に共通して求められるタスク（Task）・知識（Knowledge）・スキル（Skill）——いわゆるTKS——が網羅的かつ汎用的に定義される。

その上で、各組織が自社の規模・業種・リスク特性に応じてTKSを絞り込み、具体化したものを「人材像」と呼ぶ。人材像の設定方法は手引き書で提示される。

つまり構造は次のように整理できる。

役割（国が定める汎用的な型）→ 組織（自社の特性でTKSを絞り込む）→ 人材像（自組織における具体的な担当者像）

この三層構造は、フレームワークを「参照基準」として使いながら、各組織が自社に合った人材設計を行うことを可能にする設計思想だ。

13役割の全体マップ

13の役割は、大きく四つの機能領域と一つの横断領域に分類される。

監督・ガバナンス領域 ①意思決定・戦略策定、②戦略推進・プロジェクト管理、⑨教育・訓練、⑩法務、⑪監査

設計・開発領域 ⑫設計開発

導入・運用領域 ③監視、⑧運用管理

保護・防御領域 ④対処、⑤情報収集・分析・共有、⑥脆弱性評価、⑦フォレンジック

横断領域 ⑬研究（全領域に関係）

外部との関係では、警察・個人情報保護委員会・NCO/IPA/JPCERT/CCなど公的機関との連携が「通報・報告・連絡・相談」という形で明示されている点も重要だ。インシデント発生時の外部通報ルートが、フレームワーク上で正式に位置づけられた。

NICEフレームワークとの対応

本フレームワークは、米国の国家標準技術研究所（NIST）が策定するNICEフレームワーク（v2.1.0、2025年12月公開版）との相互参照性が明示されている。13役割はNICEの「監督・ガバナンス」「設計・開発」「導入・運用」「保護・防御」「捜査」という五つのカテゴリーと対応関係が整理されており、グローバルな人材基準との接続が図られている。

国際的な事業展開を行う企業や、外資系企業が多く参加するサプライチェーン上の企業にとって、この相互参照性は実務上の重要な意味を持つ。

第二部：レベル設定の詳細——自組織の現状診断に使う

フレームワークは、ITSSのレベルと相互参照しながら、各役割に4段階のレベルを設定している。

レベル	定義	ITSSとの対応	経験年数の目安
1	業務に対する最低限必要な知識を有する者	レベル1（最低限必要な知識を有する）	2年未満
2	業務において指示に基づく作業を実行する者	レベル2（指導の下で遂行可能）	2〜4年程度
3	業務を独力で遂行可能であり、かつマネジメントを行う者	レベル3（独力で遂行可能）	4〜10年程度
4	業務における最終意思決定に対して責任を負う者	レベル4以上（組織内や業界内等のハイレベルプレーヤー）	10年以上

各レベルの認定条件は、「下記3点のうち2点以上を満たす者」という形式で設定されており、知識の深さ・タスクの実行能力・実務経験年数の三軸で評価される。

注目すべきは、コミュニケーション力・説明力等の非技術的スキルが、各役割のレベル設定の中に内包された点だ。従来は技術要件のみが評価対象とされがちだったが、今回のフレームワークは「組織内外の連携先と円滑な会話（説明・指導等による管理）ができる」ことをレベル3の条件の一つとして明示した。法務・経営層とのコミュニケーション能力が、技術者評価の正式な基準となったということを意味する。

第三部：経営者・CISOが直視すべき——①意思決定・戦略策定の役割

「外部委託できない」責任の所在

フレームワークにおいて、①意思決定・戦略策定の役割は、最も重い責任を持つポジションとして定義される。

主な業務は「組織のサイバーセキュリティ戦略やポリシー等を策定すること」「組織のサイバーセキュリティに係る予算を確保し、組織体制を構築すること」「組織のシステムのセキュリティ確保に対する責任を持つこと」の三点だ。

想定される役職名として明示されているのは「CISO及びその補佐役」である。

そしてフレームワークは、この役割について次のように補足説明する。

「原則として外部委託による対応はできず、自組織にて責任を負うべき人材像である。セキュリティポリシー策定等を外部委託にて実施する場合でも、ポリシー策定の責任は自組織で負う必要がある。」

この一文は重い。多くの企業では、セキュリティポリシーの作成をコンサルティング会社や法律事務所に委託している。それ自体は問題ではないが、そのポリシーの内容について最終的な説明責任を負うのはあくまで自組織のCISOであり、取締役会であるという原則が、国の人材フレームワークとして明文化されたということだ。

インシデント時の意思決定責任

同じく①の役割には、「インシデント発生時の意思決定も実施し、④対処を担う人材に指示を行う」ことが明記されている。

つまり、ランサムウェア被害が発生した時に「どう動くか」を判断するのは、外部のインシデントレスポンス会社ではなく、自社のCISO（または同等の意思決定権者）でなければならない。外部専門家はあくまで技術的支援を行う存在であり、事業継続・復旧の優先順位・対外公表の判断は内部で行う必要がある。

この点は、取締役会や代表取締役にとっても対岸の火事ではない。サプライチェーンのセキュリティ確保において、「親会社やサプライチェーンを統括する企業が子会社その他の企業のセキュリティ対策に関する戦略決定を包括的に担う場合もある」とフレームワークは述べており、グループ企業のガバナンス構造にまで射程が及んでいる。

第四部：法務機能の独立——⑩法務ロールが意味するもの

法律事務所が「アウトソース先」として明示された

今回のフレームワークで特に注目したいのが、⑩法務の位置づけだ。

この役割の「当該役割を担う人材が所属する組織」の欄には、政府機関・親会社等・子会社等に加えて、アウトソース先として**「法律事務所等」**が明示されている。

⑩法務の主な業務は以下の二点に集約される。

• 組織に対して、情報セキュリティに関する事項（個人情報保護等）に関連する法令等の助言を行う
• 組織及び従業員のコンプライアンス意識を向上させ、社内ルール等の管理を行う

求められるタスク・知識・スキルの全容

⑩法務に求められるタスクは多岐にわたる。

通常時のタスクとしては、個人情報管理・コンプライアンス等の法的リスク分析の対象とすべき情報・サービスや関連法令・社内規定の取得・整理、法的リスクの分析と評価、リスク低減策を実施するための評価結果の経営層・担当部門への説明、評価結果に基づく組織内の規程・文書の作成・見直し・管理、委託先の選定及び委託内容の調整などが挙げられる。

インシデント発生時のタスクとしては、組織外の関係者対応（訴訟対応等含む）が明記されている。

知識要件として特筆すべきは、「外国取引がある場合は当該国のサイバーセキュリティ関係法令も含む」という記述だ。国内法のみならず、取引先がある国の規制（EUのNIS2指令、中国のサイバーセキュリティ法、米国のCMMCなど）への対応が、日本のフレームワーク上で正式に要求されることになった。

また、「外部関係者対応（行政機関、証券取引所対応、訴訟（保有個人データ開示請求対応等を含む））において必要となる知識」も要件として明記されている。

スキル面では、「法的リスクに対し、深刻度や影響の大きさ等を元に重大度をスコアリングし、スコアに基づき対応の優先順位を付けるスキル」が求められる。法律の知識があるだけでは不十分で、リスクを定量的に評価して経営判断に使える形に変換する能力が前提とされている。

さらに、「法的事項や技術的事項を、専門家および非専門家に対して分かりやすく口頭で説明し、理解を促すスキル」も要件の一つだ。CISOや技術チームが理解できる形で法的リスクを伝え、取締役会レベルでも意思決定の材料を提供できる法務機能が求められている。

NICEフレームワークとの対応

⑩法務はNICEフレームワーク上の「サイバーセキュリティに関する法的助言（OG-WRL-006）」および「プライバシーコンプライアンス（OG-WRL-008）」に対応する。これは、グローバルな文脈でサイバー法務アドバイスを提供できる水準を意味しており、国内法のみに精通した法務機能では不十分であることを示唆している。

第五部：AI対応が「全役割の義務」になった

13役割すべてに共通のAI知識要件

今回のフレームワーク改訂で最も広範な影響を持つ変更は、AI関連の知識要件が13の役割すべてに追加された点だ。資料上では「AI関連箇所は赤字」として明示されており、その追加量の多さが一目でわかる。

全役割に共通して追加されたAI知識要件は以下の三点だ。

1. 外部AIサービスを利用する場合の情報保護に関する知識
2. AIが生成した情報の取り扱いにおいて留意すべき事項に関する知識
3. セキュリティ対策目的でAIを利用する際に考慮すべき事項についての知識

これは、ChatGPTやClaude等の外部AIサービスを業務に使う際の情報セキュリティリスク、AIが生成した文書・分析結果の真偽確認義務、そしてAIをサイバー攻撃検知や脅威分析に活用する際のリスク管理、という三層の課題に対応する要件として読める。

設計開発ロールへのAI固有要件

⑫設計開発については、上記三点に加えて「AI開発において考慮すべきセキュリティに関する知識」が追加されている。AI製品・サービスを開発・提供する企業では、セキュア・バイ・デザインの概念をAI開発プロセスに組み込む人材が必要とされるということだ。

日本政府がAIの安全性に関する規制整備を進めている現状を踏まえれば、この要件は今後さらに具体的な規制要件へと発展していく可能性が高い。

経営・法務への実務的含意

AI知識要件の全役割への拡張は、経営・法務の観点から次の実務課題を提起する。

第一に、AIガバナンス体制の整備。 全従業員が外部AIサービスを安全に使えるよう、情報入力のルール・禁止事項・生成物の品質管理基準を定めたポリシーが必要になる。

第二に、AI生成コンテンツの法的リスク管理。 法的文書・契約書・コンプライアンス報告書等にAI生成コンテンツを使用する場合の誤り責任の帰属、著作権・秘密情報に関する法的リスクを法務が評価できる体制が必要だ。

第三に、AIセキュリティの技術的担保。 セキュリティ対策ツールにAIを活用する際の精度・誤検知リスク・ベンダー依存リスクを運用管理・設計開発ロールが適切に評価できる知識が求められる。

第六部：手引き書の活用方法——組織規模別の実践アプローチ

5種類の利用主体別手引き書

フレームワークは、利用主体によって求める使い方が異なることを踏まえ、手引き書を分冊形式で整備する方針を示している。対象は以下の5種類だ。

①小規模組織（中小企業、小規模自治体等）——必要な体制整備の検討と、それに基づく内部人材育成・確保 ②大規模組織（中堅・大企業、政府機関等）——採用時の職務記述書の作成方法、レベルを踏まえた人事評価等 ③教育機関（大学、教育事業者等）——専門教育カリキュラムの検討・立案 ④-1個人（専門人材）——目指すキャリアの実現のために習得すべき知識・スキルの把握 ④-2個人（プラス・セキュリティ人材）——実務上最低限必要な知識・スキルの習得

中小企業・小規模組織が見落としがちな論点

小規模組織向け手引き書（案）では、三つのモデルケースが想定されている。従業員8名のネット販売業者、従業員30名の製造業者、代表者とアシスタントの2名のサービス業者——それぞれが異なるセキュリティ上の悩みを抱えており、フレームワークの活用方法も異なる。

いずれのケースにも共通する重要な論点は「外部委託との役割分担」だ。セキュリティ専門人材を自社で確保できない場合でも、①意思決定・戦略策定の役割——つまり「何をどこまで守るか」という判断——は自組織で行わなければならない。この原則は、組織規模を問わず適用される。

大規模組織向けの特有論点：サプライチェーン管理

大規模組織向け手引き書では、サプライチェーン委託先管理が独立したテーマとして設けられている。「委託先において必要最低限のセキュリティ対策を行うために求められるタスクや教育方法などのノウハウ」を示すとされており、委託先のセキュリティ水準を買い手側がコントロールするための実務ガイドとなる予定だ。

②戦略推進・プロジェクト管理ロールのTKSには「プロジェクトで使用する機器等の調達及びサプライチェーン管理」「調達先のリスクの特定、評価に関する知識」「調達先のリスクを分析し、判断するスキル」が明記されており、サプライチェーンセキュリティが人材要件として正式に組み込まれた。

第七部：他のフレームワークとの対応関係——何が新しいのか

SecBoK・ITSS+・産業横断リファレンスとの位置づけ

本フレームワークは、既存の日本のサイバーセキュリティ人材基準との対応関係も整理している。

SecBoK（セキュリティ知識分野ガイドブック）との対応では、⑩法務が「法務」ロール、⑪監査が「監査」ロール、⑫設計開発が「セキュリティ設計」「開発」ロールに対応する。ITSS+（ITスキル標準）のセキュリティ領域とも細かく対応が取られており、既存の人事評価制度との接続が意識されている。

産業横断サイバーセキュリティ研究会の人材定義リファレンスとの対応では、CISOのほかCRO（最高リスク責任者）やCIO（最高情報責任者）が①意思決定・戦略策定ロールに対応するものとして整理されている。CROが本フレームワークのスコープに明示的に含まれた点は、リスクマネジメントとサイバーセキュリティの統合という観点で重要な意味を持つ。

CSIJサイバーセキュリティプロフェッショナル人材ロールとの対応では、⑥脆弱性評価に「Web/NW脆弱性診断士」「情報システムペンテスター」「IoTデバイス脆弱性診断士」等の資格区分が対応付けられている。

第八部：経営者・CISOへの実践的チェックリスト

以上の分析を踏まえ、自組織の現状を確認するための実践的なチェックリストを提示する。

チェック1：責任の所在は明確か

• [ ] CISOまたは同等の役割を担う人材が、フレームワークのレベル4相当の権限と責任を持って機能しているか
• [ ] サイバーセキュリティポリシーの最終承認と責任が、経営層レベルで明確に割り当てられているか
• [ ] インシデント発生時の意思決定フロー（誰が何を判断するか）が文書化されているか
• [ ] 子会社・グループ会社のセキュリティ対策に関する戦略決定を包括的に担う体制があるか

チェック2：法務機能は実質的に機能しているか

• [ ] 平時の法的リスク（個人情報保護、業法規制、委託先契約）について定期的なレビューが行われているか
• [ ] インシデント発生時の外部報告（個人情報保護委員会・所管官庁・証券取引所）について、対象・期限・担当者が明文化されているか
• [ ] 外国取引がある場合、取引先所在国のサイバーセキュリティ関係法令（EU NIS2指令、中国CSL等）への対応が確認されているか
• [ ] 顧問法律事務所が、サイバーセキュリティ法務（インシデント対応・規制対応・訴訟対応）に実績を持つか

チェック3：AIガバナンスが整備されているか

• [ ] 外部AIサービスへの業務情報・個人情報の入力禁止・制限ルールが策定され、全従業員に周知されているか
• [ ] AI生成コンテンツの品質確認・事実確認プロセスが業務フローに組み込まれているか
• [ ] セキュリティ対策ツールにAIを活用する場合のリスク評価（精度・誤検知・ベンダー依存）が行われているか
• [ ] AI開発・提供を行う場合、セキュリティ・バイ・デザインの観点がAI開発プロセスに組み込まれているか

チェック4：サプライチェーンセキュリティは管理されているか

• [ ] 主要な委託先・取引先のセキュリティ水準を確認する仕組みがあるか
• [ ] 委託先との契約にサイバーセキュリティ条項（インシデント通知義務、定期的な評価等）が含まれているか
• [ ] 調達する機器・ソフトウェアの選定基準にセキュリティ要件が含まれているか

おわりに——フレームワークを「参照」から「実装」へ

国家サイバー統括室のフレームワークは、令和8年度内の公開に向けて最終調整段階にある。公開後は、大規模組織向け・教育機関向け・個人向けの各手引き書が順次整備され、具体的な活用事例をもとに継続的な改善が図られる予定だ。

重要なのは、このフレームワークを「行政が作った参照文書」として棚に置くことをしない、ということだ。フレームワークが定義する13の役割・4段階のレベル・そしてAI知識要件は、今後の規制対応・監査・訴訟において「合理的なセキュリティ体制」を判断する基準として機能していく可能性が高い。

経営者・CISOとして今すぐ着手すべきことは、まず自組織の現状をこのフレームワークに照らしてギャップ分析することだ。その上で、①意思決定・戦略策定、⑩法務、⑧運用管理という三つの役割——ガバナンスの中核を担う役割——が実質的に機能しているかを確認することから始めていただきたい。

サイバーセキュリティは、もはやITの問題ではなく、経営の問題だ。そしてこのフレームワークは、その問題に対する組織の答え方を、体系化した文書である。

質問1： サイバーセキュリティ人材フレームワークは、中小企業にも適用されますか？ 回答1： はい、適用されます。手引き書では小規模組織向けのモデルケースも示されており、組織規模を問わず「何をどこまで守るか」という意思決定責任（ロール①）は外部委託できず、自組織で負うべきであるという原則が明示されています。

質問2： フレームワークに追加された「AI知識要件」とはどのような内容ですか？ 回答2： 外部AIサービス利用時の情報保護、AI生成情報の取り扱い、セキュリティ対策へのAI活用という3点が、13の全役割に共通して追加されました。これは全従業員に一定のAIリテラシーとリスク管理能力が求められることを意味します。

質問3： CISOが外部のコンサルにポリシー策定を丸投げすることは問題ですか？ 回答3： 作業の委託は可能ですが、フレームワークでは「ポリシー策定の責任は自組織で負う必要がある」と明記されています。内容を理解せず形式的に外部へ任せることは、インシデント発生時の経営責任（法的責任）を問われるリスクを高めます。