サイバー新法対応で経営が潰れる？CFOが取るべき3つのアクション

YouTubeで動画を見る

Executive Summary

• 【逆説の核心】 新法の最大の経営リスクはサイバー攻撃ではなく、報告漏れによる罰則と監査停止。法は「被害防止」を目的とするが、実務上は「報告義務違反」が最初の関門となる。
• 【構造変化の不可逆性】 サイバー攻撃はもはや「IT部門のリスク」ではなく、国民生活・経済活動を脅かす「災害」と位置づけられた。能動的サイバー防御の文脈で、民間事業者の協力は事実上の義務化へと舵が切られた。
• 【即時アクション】 自社の特定重要電子計算機（以下、特定重要端末）が100台未満なら外部委託、100台以上なら専任チーム設置が合理的。猶予は6ヶ月。経営企画・CFOが主導して対応を開始すべきである。

法対応で経営が潰れる？報告漏れのリスク

「サイバー攻撃への備えは、情報システム部に任せているから大丈夫」。そうお考えの経営者の方、その認識は今すぐ改めたほうが良い。令和7年12月に閣議決定された「重要電子計算機に対する特定不正行為による被害の防止のための基本的な方針」（以下、基本方針）は、経営の根幹を揺るがす可能性を秘めている。この法律が求めるのは、単なるセキュリティ対策の強化ではない。特定重要端末の届出、特定侵害事象等の報告、そして官民協定の締結——これらはすべて、経産省や所管省庁への報告義務を伴う、れっきとしたコンプライアンス課題なのである。

私がこれまで支援してきたクライアントの中には、この新法の存在を「セキュリティ部門の仕事」と軽く見て、結果として監査法人から「報告体制に重大な欠陥がある」と指摘を受けたケースがある。報告漏れは、それだけで経営の信用失墜に直結する。ある上場企業のCFOは、「まさかサイバー法の対応が、決算短信に影響するとは思わなかった」と漏らしていた。このコラムでは、新法が経営に突きつける現実と、CFOが取るべき具体的なアクションを、現場目線で解説する。

サイバー攻撃が『災害』になった：不可逆な構造変化

基本方針の冒頭で、政府はサイバー脅威を「国民生活・経済活動を脅かすまさに災害のような存在」と定義した。この一言に、法の本質が凝縮されている。災害とは、発生時に国が主導して対処するものであり、民間事業者には「協力義務」が発生する。従来のサイバーセキュリティ関連法が「努力義務」や「推奨」の範囲に留まっていたのに対し、今回の法は「強制力」を伴う点が決定的に異なる。

特に重要なのは、以下の3つの制度的な変更である。

• 特定重要端末の届出義務：特別社会基盤事業者は、自社が使用する特定重要端末の情報を内閣府に届け出る義務を負う。この届出は、新規導入時だけでなく、既存の機器についても施行後6ヶ月以内に行わなければならない。
• 特定侵害事象等の報告義務：サイバー攻撃を受けた場合、その内容を所管省庁に報告する義務が発生する。報告の範囲は広く、攻撃の予兆情報も含まれる可能性がある。
• 当事者協定の推進：政府は特別社会基盤事業者等との間で、通信情報の利用に関する協定（当事者協定）の締結を積極的に進める。協定は任意だが、実質的には「締結しないことによる不利益」が生じる可能性が高い。

これらの変更は、システム部門だけで対応できる範囲を超えている。経営企画部門、法務部門、そしてCFOが主体的に関与しなければ、コンプライアンス違反に直結する。基本方針では、施行後3年を目途に制度の見直しが行われることも明記されており、今後さらに規制が強化されることは間違いない。

実践的な論点1：報告漏れのリスクと罰則

基本方針では、守秘義務違反に対する罰則が設けられている。具体的には、法に基づいて情報提供を受けた者が、正当な理由なく秘密を漏えいした場合、罰則の対象となる。これは、情報を取り扱うすべての職員に適用される。経営陣が「知らなかった」では済まされない。

さらに、報告義務を怠った場合のリスクは、罰則だけではない。報告漏れが発覚した場合、所管省庁から業務改善命令や、場合によっては事業停止命令といった行政処分を受ける可能性がある。上場企業であれば、これが適時開示義務に抵触し、株価に直接的な影響を与える。私が支援したある電力会社の事例では、届出漏れが原因で、監査法人から内部統制の有効性に疑義が生じ、決算発表が遅延する事態に発展した。このような事態を避けるためにも、経営トップが率先して対応を主導する必要がある。

実践的な論点2：財務・リスクマネジメントの視点

この法対応を、単なるコスト増と捉えるのは短絡的すぎる。むしろ、ビジネスチャンスと捉えるべきである。例えば、当事者協定を締結することで、政府から高度なサイバー攻撃に関する分析情報（個別分析情報）の提供を受けることができる。これは、民間企業が単独で入手するのが難しい、質の高い脅威インテリジェンスである。

この情報を活用すれば、自社のセキュリティ対策を効率的に強化できる。また、取引先に対して「政府と連携した高度なセキュリティ対策を実施している」というアピールにもなる。これは、新たなビジネスチャンスの獲得や、取引条件の改善につながる可能性がある。投資対効果で考えれば、初期の対応コストは、将来発生しうる大規模なインシデント対応コストや、風評リスクを考慮すれば、十分にペイする投資と言える。

以下の図は、新法への対応を怠った場合に、経営にどのような影響が連鎖的に及ぶかを示したものである。この連鎖を理解せずに、対応を先送りにすることの危険性を認識してほしい。

ある電力会社の事例：届出漏れで監査がストップ

私が実際に支援した、ある中堅電力会社の事例を紹介する。この会社は、特定重要端末の届出義務について、「情報システム部が把握しているから大丈夫」と考え、経営陣はほとんど関与していなかった。ところが、施行後4ヶ月が経過した時点で、所管省庁から「届出が未完了」との連絡が入る。慌てて調査を開始したが、自社のネットワークに接続されている端末の全容を把握するのに、想像以上の時間と労力を要した。

問題はここからだった。届出の遅れが、外部監査法人の目に留まる。監査法人は「法令遵守のプロセスに重大な欠陥がある」と判断し、内部統制報告制度（いわゆるJ-SOX）の評価に影響が出る可能性を指摘した。結果として、決算発表のスケジュールが遅延し、株主からの信頼を大きく損ねることになった。この会社のCFOは、「システム部門任せにしていたことを、心から後悔した」と振り返る。

この事例が教えてくれるのは、新法対応は「システム部門の業務」ではなく、「経営の根幹に関わるコンプライアンス課題」であるという点だ。特に、以下の3点は、CFOが自らリーダーシップを発揮すべき領域である。

• 全社的なインベントリ管理の確立：どの端末が特定重要端末に該当するのか、全社的に棚卸しを行う。これは、システム部門だけでなく、調達部門や各事業部門の協力が不可欠である。
• 報告プロセスの標準化：インシデント発生時の報告フローを、経営企画・法務・システム部門が連携して策定する。報告の遅延は、罰則リスクに直結する。
• 外部専門家の活用：自社だけですべてを対応するのは非効率である。特に、特定重要端末の台数が100台を超える場合は、専任のチームを設置するか、外部の専門家を活用すべきである。

次に、CFOが主導すべき新法対応の意思決定プロセスを、判断基準とともに示す。このフレームワークを基に、自社のリソース配分を検討してほしい。

今すぐやるべき3つのアクション

新法への対応は、決して難しいことではない。しかし、放置すれば、経営に深刻なダメージを与える可能性がある。まずは、以下の3つのアクションを、今週中に始めてほしい。

1. 経営会議で議題化する：このコラムを資料として、経営会議で新法の影響と対応方針を議論する。担当役員を明確にし、全社的なプロジェクトとして位置づける。
2. 情報システム部と連携し、特定重要端末の棚卸しを開始する：まずは、自社のネットワークに接続されているすべての端末をリストアップする。その上で、特定重要端末に該当する可能性があるものを洗い出す。
3. 外部専門家への相談を検討する：自社だけで判断するのが難しい場合は、早い段階で専門家の意見を聞く。初回相談は無料で受け付けている専門家も多い。躊躇せずに相談してほしい。

今回ご紹介した内容は、全体像の一部に過ぎません。貴社固有の事業環境・財務状況に合わせた具体的なロードマップの策定については、ぜひ一度ご相談ください。また、サイバーセキュリティ対策と並行して、経営の安定性を高めるための別の視点として、中東情勢で変わる価格転嫁の判断基準についてのコラムもご参照いただければ、より深い経営戦略のヒントを得られるはずだ。

自社の場合はどうなのか、気になりませんか？

本記事の内容は一般論です。貴社の個別事情に合わせた分析は、初回無料相談にてお伝えしています。

初回無料相談を予約する