昨年末、このブログでは、サイバーセキュリティをめぐる責任整理の動きについて取り上げました。

ご参考記事：
サイバーセキュリティは「ITベンダーおまかせ」で良いのか？——サステナビリティ視点でみる責任整理とガバナンス（2025年12月18日）

その際に書いたのは、「サイバー対策はITベンダーに任せておけばよい、とは言えなくなりつつある」ということでした。

前回は、2025年10月に公表されたガイドライン案を手がかりに、その流れを見ていましたが、この3月31日、経済産業省と内閣官房国家サイバー統括室は、「サイバーインフラ事業者に求められる役割等に関するガイドライン」の日本語版・英語版を正式に策定しました。

あわせて、活用促進のための評価チェックリスト等も整備されています。

ここで重要なのは、正式版が出たことで、「責任整理の方向性が示された」という段階から、では企業は何を社内に実装するのかという段階に入ったことです。

正式版で見えてきたのは、「ベンダー管理」だけではない

今回のガイドラインは、ソフトウェアの開発・供給・運用を行う「サイバーインフラ事業者」に求められる役割を整理したものです。

ただ、そこで終わってはいません。

経産省の公表文では、このガイドラインは事業者だけでなく、その顧客がサイバーセキュリティ対策の実効性を確保するための参考となる考え方を示すものだと説明されています。狙いは、ソフトウェアのサプライチェーン全体でレジリエンスを高めることです。
対象も、いわゆるパッケージソフトだけではありません。

概要資料では、ソフトウェア製品、クラウドサービス、組み込みソフトウェア、ファームウェア、システムやサービスの構成要素として組み込まれているソフトウェアなど、かなり広い範囲が想定されています。

つまり、一般の事業会社にとっても、これは決して無関係な話ではありません。

前回の記事では、「責任が明確になるほど、発注側にも”何を決め、何を了承したのか”を説明できる体制が要るのではないか」と書きました。

今回の正式版は、その見立てが大きく外れていなかったことを示しているように思います。

問われるのは、対策の有無より「判断の質」

ガイドライン本文や概要資料を見ると、整理されている論点は幅広いものです。

たとえば、セキュリティ品質を確保した設計・開発・供給・運用、ソフトウェアサプライチェーンの管理、残存脆弱性への対処、ソフトウェアに関するガバナンス、ステークホルダー間の情報連携、そして顧客経営層のリーダーシップによるリスク管理と調達・運用。そうした項目が並んでいます。

ここから見えてくるのは、サイバーセキュリティが単に「何か対策ソフトを入れているか」という話ではなくなってきている、ということです。

たとえば、重要なシステムやサービスを外部ベンダーに委ねている場合、
その契約でどこまでの責任分担が定められているのか。
再委託先を含むサプライチェーン管理をどう見ているのか。脆弱性が見つかった際に、どの程度のスピードと体制で対応することを前提にしているのか。
そして、それらをコストや利便性とのバランスの中で、誰がどう判断したのか。

これらは、技術論であると同時に、経営判断でもあります。

言い換えると、問われ始めているのは対策の数ではなく、判断の質なのだと思います。

「調達」の風景も変わっていく

今回、評価チェックリスト等が整備されたことも見逃せません。

もちろん、チェックリストがあるだけで安心できるわけではありません。
ですが、少なくとも、発注側とベンダー側が話すときの共通言語が少しずつ整い始めた、とは言えそうです。

これまで、システム調達では価格や機能、導入スケジュールが前面に出やすかったかもしれません。
けれども今後は、それに加えて、セキュリティ品質、脆弱性対応、再委託先管理、インシデント発生時の情報共有のあり方といった点が、より正面から問われていくでしょう。

そうなると、調達部門だけでも、IT部門だけでも足りません。

法務、リスク管理、経営企画、場合によってはサステナビリティ部門も含めて、「その委託先に、会社として何を期待し、何を確認し、何を引き受けるのか」を横断的に考える必要が出てきます。

サイバーセキュリティは、ここで少しずつ「専門部署の話」から、「会社としてどう発注するか」の話へ移っていくのだと思います。

統合報告書で問われるのは「守りの組織能力」かもしれない

この流れは、情報開示の世界にもじわじわ影響していくのではないでしょうか。

これまで、統合報告書やサステナビリティサイトでのサイバーセキュリティ記述は、
「対策を強化しています」
「外部専門家と連携しています」
といった表現にとどまりがちでした。

もちろん、それ自体が間違いというわけではありません。
ただ、今後はそれだけでは少し物足りなくなるかもしれません。

投資家やステークホルダーが見たいのは、対策の羅列というより、企業がどのような考え方でベンダーを選び、どう管理し、何を社内で判断しているのか、さらに言えば、そうした判断を支える人材やガバナンスがあるのか、という点だからです。

DXは、システムを導入して終わりではありません。

それを止めずに使い続け、事故が起きたときには被害を抑え、取引先や社会との信頼を守る。そうした「守り抜く組織能力」もまた、企業価値の土台の一つです。

サイバーセキュリティをめぐる今回の政府文書は、そのことを示しているように見えるのです。

ーーー

本日もお読みいただき、ありがとうございました。

それではまた、次回のブログで。

執筆担当：サステナビリティコンサルタント　川上 佳子

－－－

一次情報・参考資料

•  経済産業省「『サイバーインフラ事業者に求められる役割等に関するガイドライン』の日本語版・英語版を策定しました」（2026年3月31日）

• 経済産業省「サイバーインフラ事業者に求められる役割等に関するガイドライン」掲載ページ（ガイドライン本文、概要資料、評価チェックリスト等）

•  e-Govパブリックコメント「『サイバーインフラ事業者に求められる役割等に関するガイドライン（案）』に対する意見公募の実施結果について」