「サイバーセキュリティー審査弁法」、6月1日より施行

国家インターネット情報弁公室、国家発展改革委員会、工業情報化部、公安部など12部門が制定した「サイバーセキュリティー審査弁法」が6月1日から施行された。2017年6月施行の「サイバーセキュリティー法」では、重要情報インフラの運営者（注1）は、ネットワーク製品・サービスを調達する場合に、国家の安全に影響を及ぼす可能性がある場合、国が実施するサイバーセキュリティー審査に合格しなければならないと規定している（2019年5月30日記事参照）。今回の審査弁法により、サイバーセキュリティー審査の申請手続などが明らかになった。

重要情報インフラの運営者は、ネットワーク製品・サービスを調達する場合に、導入後の国家安全へのリスクを事前判定しなければならず、国家安全に影響を及ぼすあるいは及ぼす可能性がある場合、サイバーセキュリティー審査弁公室（注２）に審査を申請しなければならないとしている（審査弁法第5条）。

そして、サイバーセキュリティー審査弁公室は、審査申請を受け取ってから10営業日以内に実際に審査を行う必要があるか判断し、書面で通知することとなっている（第8条）。ちなみに、ネットワーク製品・サービスは、クラウドコンピューティングサービス、高性能コンピュータ、サーバーなどが対象とされている（第20条）。

重要情報インフラの運営者については、「サイバーセキュリティー法」では対象が不透明で、その詳細な定義の明確化が望まれていた。しかし、今回の審査弁法でも依然不透明で、重要情報インフラ保護業務部門の認定したものとの記載にとどまる（第20条）。具体的な対象を判断するに当たり、今後の関連部門の解釈などが注目される。

（注1）公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子行政サービスなどの重要な産業および分野、ならびにひとたび機能の破壊、喪失またはデータの漏えいに遭遇した場合、国の安全、国民経済と民生、公共の利益に重大な危害を与え得るその他の重要情報インフラの運営者。

（注2）国家インターネット情報弁公室に設置（審査弁法第4条）。

（宗金建志）