経済安全保障推進法が5月11日に成立した。法律の第2の柱である「基幹インフラの安全性・信頼性の確保」には、基幹インフラの「特定社会基盤事業」として14業種が指定され、14業種には「金融」が含まれる。今後段階的に施行されるため詳細はこれからだが、金融事業者にとってどのような影響が想定されるか、森・濱田松本法律事務所のパートナー弁護士の梅津氏に語っていただいた。

金融ITフォーカス2022年7月号より

経済安全保障推進法案の背景・意義

堤：

経済安全保障推進法案が5月11日に、参議院本会議で可決、成立しました。まず、この法律の背景や意義について教えていただけますか。

梅津：

大事なこととして、「経済安全保障推進法」の正式名称は「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律」です。この名称が法律の背景や意義を理解する上で重要だと思っています。

幾つかポイントがありますが、一つは、経済安全保障の「推進」に関する法律ですので純粋な規制法ではないということです。もちろん規制の内容も入っていますが、アメとムチの両方の内容が入っている法律です。

もう一つのポイントは、「経済安全保障」の意味するところです。正式名称の中には、「経済安全保障」という言葉は出てきません。国会の答弁でも、岸田首相も小林大臣も「経済安全保障」という言葉について「確立した定義があるわけではない」と発言されています。この点が、おそらくこの法律のわかりにくさであり、逆に、意義を理解するポイントだろうと思います。

この法律ができる前にまず有識者会議があり、さらにその前に自民党からの提言がありました。当時から、「戦略的自律性」と「戦略的不可欠性」という2つの概念が使われています。これは、本国会の答弁でも繰り返し出てきている概念です。

戦略的自律性は、国の中に必要な物資やシステムを備えておくことです。入手できなくなった時に国が立ち行かなくなることがないようにしておく、という考え方です。

戦略的不可欠性は、日本が持っている技術や部品等がグローバルの中で優位、ひいては不可欠であることが、安全保障の観点で重要ということです。

この2つが「経済安全保障」の要諦として説明されています。

堤：

ウクライナ侵攻などが発生したこともあり、「経済安全保障」については、急に出てきた概念のようにとらえられている向きがあります。

梅津：

政府は結構前から、経済安全保障的な発想に立った施策を打っています。例えば、外国為替及び外国貿易法（外為法）や下位規範をここ何年かで改正し、対内直接投資規制や輸出管理の強化を図っています。投資比率が少なくても事前届出を義務付けたり、「みなし輸出」管理の明確化を実施したりしています。そのほか、「重要施設周辺及び国境離島等における土地等の利用状況の調査及び利用の規制等に関する法律（重要土地等調査法）」が2021年6月に公布されました。土地の取得について透明性を確保して、重要な土地については政府の目が届くようにする法律です。

これらは安倍首相、菅首相、岸田首相と受け継がれてきています。

堤：

経済安全保障推進法には4つの柱があります。それぞれについて簡単に解説いただけますか。

梅津：

1つ目が「サプライチェーンの強靱化」と言われているものです。答弁等でも、サプライチェーンの強靱化「への支援」と言われていますので、アメの部分です。国民生活・経済に影響を与える物資の安定供給を図ることを目的としたものです。

2つ目の柱が、「基幹インフラの安全性・信頼性の確保」です。安全性と信頼性を確保するための事前届け出制を導入していますので、どちらかというと規制になります。いわゆる「14業種」1）の中から、さらに、重要な設備などを保有し、かつそれが妨害されると国家や国民の安全への影響が大きいところに対しては、導入の前に一定の審査をするものです。また、第三者に維持管理等の委託をする場合にはその委託先についても事前に届出し、審査することになっています。また、これらは事後に追加的に勧告することも可能とされており、国際情勢の変化に対応できるようになっているといえます。

3つ目が、特定重要技術の開発支援に関する制度です。これは、官民の協議会を作り研究開発を支援するということで、具体的な中身はまだ見えていませんが、宇宙、海洋、量子技術、AI技術などについて、情報共有や制度面での協力をしていくというものです。

あとは、「非公開特許」と呼ばれるもので、特許出願の非公開に関する制度です。金融分野ではあまり直接的ではないかもしれません。技術は、公開して、それを活かすことで次の技術を生むことが重要という考えのもと、特許は、原則すべて公開する、その代わり20年等の期間、独占権を与える、という制度です。ですので、特許の非公開は本質的には矛盾します。けれども、軍事技術などに関しては、公開してしまうと技術の発展とは違った意味で使われてしまう可能性があるので、一部例外的に非公開にできるというものです。

金融業界へのインパクト

堤：

金融業界にとっては、どの柱の影響が大きいでしょうか。

梅津：

主に関係してくるのは1つ目と2つ目の柱で、特にインパクトがあるのは2つ目になるかと思います。

基幹インフラの「特定社会基盤事業」として14業種が法律上指定されており、その中に「金融」や「クレジットカード」が入っています。

堤：

14業種の中で、例えば「鉄道」などは、特定社会基盤事業者数が少ないと思います。金融は特殊で、信金・信組も含めますと500行を超えてしまいます。

梅津：

「特定社会基盤事業」に関しては、14業種の中から政令で絞り込まれることになっています。さらに、その中の重要な事業者について、省令で指定の基準を定めた上で主務大臣によって特定社会基盤事業者として指定されます。

金融機関の対象については、まだ「わからない」というのが正確なところです。ただ、国会答弁などでは、例えば、銀行業について「その銀行の預金残高といった指標を定めることが考え得る」といった発言などもあり、一定の指標に基づく絞り込みはなされるものと思います。

小林大臣は、「安全保障と事業者の経済活動の自由の両立を図ることが重要」「基準の策定にあたって事業者を含む関係者の意見を幅広く聴取する」という趣旨の発言を繰り返しされていますので、今後選定の議論が進んでいくと思われます。

特定社会基盤事業者になった場合には、その事業者に、事前に、設備を導入したり維持管理等の委託するときの届け出義務が発生する制度になっています。しかし、それはすべてにおいて発生するわけではなく、「特定重要設備」や「重要維持管理等」といった概念があり、外部から妨害行為を受けてしまうとわが国のシステム等の安定性・信頼性が害されるような重要なものに限っています。

堤：

金融機関が特定社会基盤事業者であり、ベンダーはその設備を担う供給者という位置づけという認識であっていますか。

梅津：

その通りです。法律上の構成は、金融機関向けベンダー自体は特定社会基盤事業者には該当しません。届け出義務は特定社会基盤事業者にあるので、ベンダーが直接届け出者になることはありません。

他方で、届け出の中身を見ていくと、法律には例えば「特定重要設備の供給者に関する事項」といった記載があり、これはまさにベンダーに関する事項です。「特定重要設備の一部を構成する設備、機器、装置又はプログラムであって特定妨害行為の手段として使用されるおそれがあるものに関する事項」となっています。ただし、いずれも詳細は主務省令に委ねられており、まだ分からない部分もあります。

ベンダーに情報提供の義務はないものの、金融機関から情報提供を依頼されて、それが出せないとなると、その設備は導入できないことになってしまいます。ですので、導入してもらうためには国が要求する情報を提供する必要があります。

堤：

「設備、機器、装置」、「プログラム」などについては、例えばアメリカでは、特定のメーカーを制裁リストに載せています。そのような「制裁リストにない」といったチェック項目などが、今後具体化されていくのでしょうか？

梅津：

正直どういう基準でこの審査がなされるかはわかりません。

審査では、「特定妨害行為の手段として使用されるおそれが大きいかどうか」が対象になります。実は、特定妨害行為については、「主務省令で定める」とか「政令で定める」といった政省令委任がなされていません。国会答弁によれば、少なくともサイバー攻撃は「特定妨害行為」に含まれることが前提になっているように思われ、また、基本指針の中で具体的な内容を示す予定とされていますが、いずれにしても、これが何を意味しているのかは、機微性が非常に高いところなので、あえて政省令等により外縁を明確化しない、という側面もあるものと思われます。

小林大臣の答弁からも一定の方針を読み取ることができます。例えば、「アメリカのように、政府が特定の国や企業を名指しする、いわゆるブラックリストの策定に関して、重要設備を供給し得るベンダーなどの数が膨大に上る中でリスクのあるベンダーなどを網羅的かつ詳細に明らかにすることは困難であり、また、リストを対外的に示すことによってかえって抜け穴として利用されるおそれもあり、そういう制度は設けない」という趣旨の回答をされています。

一方で、一定の明確化をしないと経済界が困ることも理解されているので、どうバランスさせるかについて今後、経済界との議論が活発になっていくと思います。

一点付け加えるとすると、国会答弁でも「同盟国や同志国との連携が重要」という考えも示されており、同志国と協調した動きという発想はあり得るように思います。ただ、欧米のリストも、やはり日本とは異なる国家情勢・社会情勢・歴史的経緯等をもとに作成されていたり、人権など他の観点が入っている場合もあるため、必ずしも一致するわけではない点は注意する必要があります。

堤：

今、ソフトウエア業界は、再委託、再々委託といった多層化構造になっています。多層化しているものについてもリスト化して提示する形になると考えたほうがいいですか。

梅津：

そうですね。条文上も、例えば、重要維持管理等に関する届け出の内容として、委託の相手方が、さらに再委託して重要維持管理等を行わせる場合においては、その再委託に関する事項も出す必要があるとなっています。ただ、ここは「再委託に関する事項として主務省令で定めるもの」となっていますので、どこまで提出を求められるかはわかりません。しかし、妨害行為がなされるような「抜け穴」がないかがポイントになりますので、再委託先のリスト化はしておく必要があると思います。

堤：

例えば、委託先の経営者など、公表されている情報は入手できますが、実質的株主などは聞かないとわからない場合もあります。そういう入手しにくい情報については何か一定の配慮等はあるのでしょうか。

梅津：

結論から言うと、まだわかりません。ただ、提出が要求される情報は、再委託先に聞いて確認することになる可能性はあると思われます。

施行までのマイルストーン

堤：

法案が可決した後の施行までのマイルストーンを教えていただけますか。

梅津：

法律の公布（2022年5月18日）後、6か月から2年以内にかけて徐々に施行されていくことになっています。大きな発想としては、アメの部分は早めに、ムチのほうは遅れて施行されることになっています。

第1の柱であるサプライチェーンの強靱化については、公布後9か月以内となっていますので、来年の早いタイミングで施行されることになります。

第2の柱の基幹インフラの関係では、公布後1年6月以内になっていて、一部は1年9か月以内というものもありますので、来年の後半もしくは再来年になるかもしれません。

また、基幹インフラについては、特定社会基盤事業者に指定されてから6か月間は適用しないという例外措置が設けられており、事業者の準備期間が考慮されています。

堤：

6か月の猶予があるにしても、現時点で準備できるものは進めておきたいと思うのですが、どういうことを想定しておくのが良いのでしょうか。

梅津：

遡ぼれるようにしておくことが重要だと思います。特定重要設備にどれが該当するかはまだわかりませんが、そう思われるものをお持ちの会社は、そのサプライヤーがどこまで広がっているのか、という情報の洗い出しを行い、先方の担当者と連絡を取っておくことが重要です。

堤：

法律が施行される前に導入されているものについては対象外という認識でよいでしょうか？

梅津：

小林大臣の答弁では「事業者の負担などに鑑みまして遡及適用は行わない」と明示的に述べています。また、法文上もそのように読みとれます。

ただ、既存のシステムについても、妨害行為のリスクが高まること自体はありえますので、そういうことを政府が把握するに至った場合には、事業者に対して情報提供など行う、という構成になっています。

堤：

例えばハードウエアの更改については提出しなければいけないとは思います。一方で、弊社の事業ですと、既に導入済の金融機関には情報提供をしなくて良いけれども、同じシステムでもこれから新規に導入するところには、情報を提供することになっていくかと思います。

梅津：

重要設備であれば、新規のお客様には提出する必要が出てくる可能性があります。

特定重要設備は「主務省令で定めるもの」となっています。「主務省令」となっているものは、該当の省だけで対応ができるため、改正が比較的早くできます。そのため、特定重要設備の中身は今後国際情勢・社会情勢の変動に応じて柔軟に変えていくことも想定されているように思われます。

堤：

法律の趣旨をお聞きして、非常に重要であることがわかりました。一方で、相応のコストがかかるなというのが実感です。できるだけ効率的かつ効果的な対応を考えていく必要があるかと思います。

この先もいろいろ先生に教えていただきながら、準備を進めていきたいと思います。本日はご教示いただきありがとうございました。

（2022年5月18日収録・文中敬称略）

金融ITフォーカス2022年7月号

ダウンロード

経済安全保障推進法の金融ビジネスへの影響

ファイルサイズ：2.09MB