「中小企業にもサイバーセキュリティが義務化される」——最近、よく耳にする言葉です。ただ、実際に“何が”義務化されるのかは、意外と正しく整理されていません。まずは、よくある誤解からほどいていきましょう。
よくある誤解
✕「中小企業すべてに、セキュリティ対策が一律で義務化される」
→一律の”義務化法”は、いまのところありません。ただし”取引の条件”として、事実上必須になりつつあります。
✕「UTMなど、特定のセキュリティ製品の導入が義務化された」
→それは誤りです。特定ツールの導入義務や、未導入への罰則はありません。
✕「義務化は、まだ先の話」
→いいえ。個人情報の漏えい報告は、2022年からすでに義務です(会社の規模を問わず)。
結論:「一律の義務化」はまだない。でも”実質的に必須”になりつつある
全中小企業を一律に縛る「サイバーセキュリティ義務化法」は、今のところありません。ですが、別の形で”事実上の義務化”が進んでいます。全体像を、3つのレベルで整理します。
レベル1:すでに「義務」── 個人情報の漏えい報告
2022年4月の改正個人情報保護法で、個人データの漏えい等が起きて個人の権利利益を害するおそれがある場合、個人情報保護委員会への報告と本人への通知が「義務」になりました(それ以前は努力義務)。これは会社の規模を問わず適用されます。顧客名簿や従業員情報など、個人データを扱う中小企業は、すでに対象です。
レベル2:取引の「条件」── SCS評価制度
経済産業省が進める「SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)」は、2026年度末ごろの開始が予定されています。これは法律上の義務ではありません。ですが、大企業が取引の条件としてこの評価を求めることで、取引先である中小企業には”事実上の義務”として効いてきます。★1・★2は自己宣言(SECURITY ACTION)、より上の★3・★4が新設され、中小企業向けには「お助け隊サービス」での支援も予定されています。
SCS評価制度のしくみや★の水準、取得への支援については、「経産省SCS評価制度とは?中小企業への影響を解説」でくわしく取り上げています。
レベル3:基幹インフラの「取引先」として
2025年に成立した「サイバー対処能力強化法」(いわゆる能動的サイバー防御の関連法)では、電力・通信・金融などの基幹インフラ事業者に、サイバー被害時の政府への報告が義務づけられました(罰則あり)。中小企業が直接の対象になるわけではありませんが、こうした事業者の委託先・取引先として、セキュリティに関する情報提供や対応を求められる場面は増えていきます。
では、中小企業は何をすればいい?
大切なのは、慌てて高価なツールを導入することではありません。出発点は、自社の現状を「見える化」して把握することです。
- まず、自社のIT環境の現状を「見える化」する(何があり、今どんな状態か)
- SECURITY ACTION など、基本的な対策を宣言・実施する
- 取引先から求められる水準を確認し、必要な対策を段階的に整える
これからのセキュリティ対策は「コスト」ではなく、取引を続けるための「ライセンス(参入の条件)」になりつつあります。
義務化の波に備える第一歩は、自社のIT環境を「見える化」して、現状を正しく知ることです。
SOLAMILUは、その一歩を支える仕組みです。
参考リンク(公式情報)
※リンク先は外部の公式サイトです(別タブで開きます)。制度は今後更新される可能性があるため、最新情報は各公式ページでご確認ください。
あわせて読みたい | 業界動向経産省SCS評価制度とは?中小企業への影響を解説 ›
