この記事の3つのポイント

• サイバーセキュリティ・サービス事業者の“信頼性”を確認する新制度の検討が始まった
• 背景には、事業者由来の被害事例や地政学リスク、そして政府方針（「新しい資本主義」2025年改訂）がある
• 米英豪EUでも同様の制度が進展しており、日本も国際整合に向けて動き出している

統合報告書を制作する中で、今年（2025年）、改めて気づいたことがあります。
それは、サイバーセキュリティについての記述――しかも、独立項目を設けて記載されるケースが増えている、ということです。

こうした中、2025年８月18日には、経済産業省のホームページに

第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 サイバーセキュリティ・サービス事業者の信頼性強化に向けた検討会

の資料が掲載されました。

これは、既存の技術品質を確認する仕組みに加えて、事業者そのものの「信頼性」を確認しようという新たな動きです。

そこで、本日から２回に分けて、この検討の背景と国際潮流（第1回）、そしてプライム上場企業が備えておきたい実務視点（第2回）を取り上げてのご説明をいたします。サイバーセキュリティが「投資家との対話テーマ」としても浮上している今、IR・サステナビリティ担当者さまにとってのヒントとなりましたら幸いです。

“守る側”がリスクに？委託先に潜む新たな盲点

これまでセキュリティのリスクといえば、自社のシステムや人の不注意によるものが主に想定されてきました。ところが近年は、セキュリティを守るはずの事業者自身がリスクの入り口となる事例が目立ってきています。

たとえば、監視サービスの運用不備から重大なインシデントが発生したケースや、海外では特定ベンダーに対して政府が活動禁止を打ち出した例もあります。依存する外部サービスが“穴”になるリスクは、現実のものになりつつあるのです。

ここからは、ひとつの大切な示唆が得られます。「誰に守ってもらうか」自体がリスク要因になる。企業が直接制御できない領域だからこそ、制度的な後押しが必要とされつつあります。

IPA登録制度だけでは足りない理由とは

2018年から運用されているIPAの「情報セキュリティサービス審査登録制度」は、脆弱性診断、フォレンジック、監視運用など6分野で、技術的品質を満たしたサービスを登録・公開する仕組みです。現在の登録数は約370。

これは「どのサービスが一定の水準を満たしているか」を可視化する意味で、企業にとって大きな助けとなってきました。
しかし一方で、この制度がカバーしてきたのはあくまで技術品質の確認。事業者の資本構造や拠点国、データ保管先といった「信頼性」までは担保していません。

経産省が今回示したのは、これを“1階”として残しつつ、その上に“2階”として高い信頼性要件を加える構想です。これにより、「技術的に正しいだけでなく、事業者そのものが信頼できるか」を制度として確認していこう、といった方向が今、描かれつつあります。

なぜ今、制度が動き出したのか――政府方針と世界の潮流

2025年改訂の「新しい資本主義」には、「信頼性の高いサービス提供事業者の認定制度の整備」が明記されました。IoT機器のセキュリティラベル（JC-STAR）や中小企業のセキュリティ支援と並び、供給者側を「信頼できるものに限定していく」姿勢が打ち出されています。

海外を見ても、米国のCMMC、英国のCyber Essentials、EUのCRAなど、製品やサービスの安全性を制度的に担保する仕組みが広がっています。経産省資料でも、日本が国際的な整合を図る必要性が強調されています。

信頼性を脅かす“見えない関係”――FOCIという観点

近年、重要インフラや防衛産業の分野では、FOCI（Foreign Ownership, Control or Influence）という観点が重視されるようになっています。

-　役員・株主の国籍

-　データの保管国

-　海外製ソフトの利用状況

といった要素を総合的に見て、外国の影響下に置かれる可能性を判断する仕組みです。

日経の報道でも、今回の制度にこうした観点が含まれる可能性が指摘されています。政府調達で認証取得を条件にする案もあり、今後は「信頼性の確認」が調達や入札の前提になることが想定されます。

この動き、統合報告書ではどう書けばいい？

情報セキュリティは、投資家から見ても企業価値に直結するリスク要因です。
情報セキュリティやプライバシー対応は、以前からESG評価の一部として存在していましたが、近年はサプライチェーンや地政学リスクも含めて評価対象が広がり、投資家の注目度が一段と高まっています^*1。

統合報告書のリスクマネジメント章で、次のような書き方をしておくと投資家にとって理解しやすくなります。

リスク名称：「第三者依存に伴う情報資産・事業継続リスク」
特定理由：委託先由来の事象が国内外で発生しており、政府も信頼性制度の検討を開始している。
対応方針：現行制度（IPA登録）の確認に加え、将来制度の認証を選定基準に含める方向性を検討している。

“誰に守ってもらうか”が企業価値を左右する時代へ

今回の検討はまだ初期段階ですが、「技術品質を満たしたサービス」から「信頼性まで確認済みのサービス」へと選別が進む兆しを示しています。

IR・サステナ担当者さまにとっての発見は、これは単なる情報システムのテーマではなく、経営レベルのリスクマネジメントや投資家との対話テーマになりうるということです。

次回（第2回）は、ガバナンス・調達・開示といった実務の観点から、この動きをどう整理できるかをご紹介します。

－－－

本日もお読みいただき、ありがとうございます。

それではまた、次回のブログで。

執筆担当：川上 佳子

*1 主要ESG評価機関におけるサイバーセキュリティ関連評価の位置づけ

MSCI ESG Ratings：2010年代半ばから「Data Security & Privacy」をテーマとして一部セクターで評価。2021年以降はランサムウェアや地政学リスクを背景に、より幅広い産業で適用・強化。

FTSE Russell (FTSE4Good Index)：2010年代より技術系セクターを中心に「Cybersecurity」を評価。2020年代に入り、製造業や小売業など非技術系にも対象を拡大。

Sustainalytics：2010年代から全セクター共通で「Data Privacy & Security」を評価項目に設定。2020年以降はGDPRや各国の個人情報保護法制を背景に、開示水準への注目度が上昇。