法改正ナビ
情報・コンプラ サイバー対処能力強化法(重要電子計算機被害防止法) 公布

サイバー対処能力強化法(能動的サイバー防御)

施行日:2025年公布・施行準備中(公布から1年6月以内に施行)

かんたん要約

  • サイバー攻撃から国民生活・経済活動・国家の安全を守るための法律が成立しました(令和7年法律第42号)。
  • 「能動的サイバー防御」を実施するための枠組みで、2025年5月に成立・公布されました。
  • 重要インフラ事業者を中心に、政府への情報共有や政府からの対処調整・支援などが強化されます。

対象となる人・企業

重要インフラ事業者を中心とした事業者(情報システム部門・法務)

改正前 → 改正後(何が変わる?)

改正前(これまで)

サイバー攻撃への対処は事後対応や任意の情報共有が中心だった

改正後(これから)

能動的サイバー防御の枠組みを整備し、政府・民間の情報共有や対処を強化

※ 正式名称は「重要電子計算機に対する不正な行為による被害の防止に関する法律」。施行日は公布(2025年5月23日)から1年6月以内で政令で定める日です。

くわしい解説と実務への影響

段階的なスケジュール

  • 令和7年(2025年)5月16日・23日 サイバー対処能力強化法が成立(16日)・公布(23日)
  • 公布から1年6月以内 政令で定める日から施行

能動的サイバー防御のしくみ

サイバー攻撃

政府へ情報共有

政府が対処調整・支援

制度の全体像

サイバー攻撃から国民生活・経済活動と国家・国民の安全を守るため、「能動的サイバー防御」を実施する法律が成立しました(令和7年法律第42号。正式名称「重要電子計算機に対する不正な行為による被害の防止に関する法律」)。

主な内容

重要インフラ分野を含め、民間事業者等がサイバー攻撃を受けた場合等の政府への情報共有、政府から民間事業者等への対処調整・支援などの取組が強化されます。

誰に・どう影響するか

重要インフラ事業者を中心とした事業者の情報システム部門・法務に影響します。

注意点と実務ポイント

施行日は公布(2025年5月23日)から1年6月以内で政令で定める日です。自社が重要インフラ・関連事業者に該当するかの確認、施行日・対象範囲の継続確認、インシデント対応・情報共有の体制点検を進めましょう。最新情報は内閣官房・NISCでご確認ください。

施行は段階的に行われます

この法律は一度にすべてが施行されるのではなく、段階的に施行されます。公式資料によると、本則は一部を除き「公布の日から起算して1年6月を超えない範囲内において政令で定める日」から施行されます。ただし、通信情報の利用を監督する『サイバー通信情報監理委員会』の設置は「1年を超えない範囲内」、通信情報の利用に関する規定は一部を除き「2年6月を超えない範囲内」と、より長い準備期間が設けられています。整備法(関係法律の整備等に関する法律)は原則として強化法の施行日に合わせて施行されます。自社が対象となる事業者は、どの規定がいつ動き出すかを区別して施行政令の公表を確認することが重要です。

基幹インフラ事業者に課される届出義務とインシデント報告義務

この法律で実務上の負担が大きいのは、対象となる基幹インフラ事業者に新たに課される2つの義務です。1つ目は『資産届出』で、特定重要電子計算機(そのサイバーセキュリティが害された場合に特定重要設備の機能が停止・低下するおそれがある一定の電子計算機)を導入したときは、その製品名等を事業所管大臣に届け出る必要があります。2つ目は『インシデント報告』で、不正アクセス行為等により特定重要電子計算機のサイバーセキュリティが害されたこと、またはその原因となり得る一定の事象を認知したときは、その旨と一定の事項を事業所管大臣および内閣総理大臣に報告しなければなりません。届け出・報告された情報は、事業所管大臣を通じて内閣総理大臣にも共有されます。

義務違反には罰則があります

届出・報告の義務には罰則が定められています。公式資料によると、基幹インフラ事業者がインシデント報告等を行わず、是正命令を受けてもなお対応しない場合は『200万円以下の罰金』、インシデント報告等に関連して資料提出等を求められても対応しない場合は『30万円以下の罰金』が科され得ます。また、行政職員や協議会の構成員等が職務上知り得た秘密を不正に利用・漏えいした場合は『2年以下の拘禁刑又は100万円以下の罰金』の対象となります。情報共有の枠組みに参加する事業者側にも、共有された情報の適正な管理が求められる点に注意が必要です。

段階的な施行スケジュール(公布日を起点)

公布日(2025年5月23日) サイバー対処能力強化法・同整備法が公布
1年以内 サイバー通信情報監理委員会の設置

通信情報の利用を監督する独立機関

1年6月以内 本則を一部を除き施行

届出義務・インシデント報告等の枠組み

2年6月以内 通信情報の利用に関する規定を一部を除き施行

出典: 内閣官房 国家サイバー統括室「サイバー対処能力強化法及び同整備法について」(令和7年9月)。各期日は政令で定める日。

うちは届出・報告義務の対象?

自社は新たな届出義務・インシデント報告義務の対象になりますか?

経済安全保障推進法で『特定社会基盤事業者』に指定された基幹インフラ事業者の場合

特定重要電子計算機の導入時の届出義務と、サイバーセキュリティが害された際のインシデント報告義務の対象となります

上記以外の一般の電子計算機の使用者の場合

届出・報告の直接の義務者ではなく、内閣総理大臣による被害防止情報の公表・周知(情報提供)の対象として位置づけられます

基幹インフラ制度の対象は15事業・計257者(令和7年7月31日時点)。自社が指定対象かは主務省令の基準と所管省庁の指定状況で確認します。

経過措置・猶予

2025年5月16日成立・5月23日公布。施行は公布から1年6月以内で政令で定める日。

対応チェックリスト

自社で行う対応の一例です。チェックを入れると進捗がこの端末に保存されます(サーバーには送信されません)。

0 / 3 完了

※ 一般的な対応例です。個別の要否は専門家にご確認ください。

よくある質問

一般企業も対象?
重要インフラ分野を中心とした事業者が主な対象です。まずは自社が対象となる重要インフラ・関連事業者に該当するかの確認と、施行日(政令で決定)の動向確認が中心になります。
サイバー対処能力強化法(能動的サイバー防御)はいつから施行されますか?
2025年公布・施行準備中(公布から1年6月以内に施行)です。
対象になるのはどんな人・企業ですか?
重要インフラ事業者を中心とした事業者(情報システム部門・法務)が対象です。自社が該当するかは個別にご確認ください。
何が変わりますか?
これまで「サイバー攻撃への対処は事後対応や任意の情報共有が中心だった」だったものが、「能動的サイバー防御の枠組みを整備し、政府・民間の情報共有や対処を強化」に変わります。
注意しておくことはありますか?
正式名称は「重要電子計算機に対する不正な行為による被害の防止に関する法律」。施行日は公布(2025年5月23日)から1年6月以内で政令で定める日です。
法令の原文はどこで確認できますか?
サイバー対処能力強化法(重要電子計算機被害防止法)の条文は、e-Gov法令検索(デジタル庁)で確認できます。本ページ下部のリンクからアクセスできます。

関連する改正

情報・コンプラ 個人情報保護法の改正(課徴金制度の導入など) 2026年 改正法案(国会で審議中)

一次情報・出典

この記事は法改正の概要をわかりやすくお伝えするものであり、法律上のアドバイスではありません。 施行日・金額・要件などは変更される場合があります。実際の対応にあたっては上記の一次情報をご確認のうえ、 個別の事案は社会保険労務士・税理士などの専門家にご相談ください。

この改正情報の最終確認日:2026年5月31日