特定社会基盤事業者が求められる措置には、「サイバーセキュリティ対策や設備の安全なサプライチェーンの確保」、「設備に対する物理的攻撃への対策」、「安全な委託先選定」などがあり、自社の対応に加え、委託先および再委託先等のリスク管理措置対応の実効性の担保も特定社会基盤事業者の責務となります。届出内容に不備がある場合、必要な措置の指示もしくは計画の中止を勧告され、最悪の場合は、インフラ設備導入計画の中止や業務の停止の可能性があります。
特定社会基盤事業者が設備導入や維持管理を自社で行っていることは少なく、審査項目となる情報提供やリスク管理措置の要件への準拠を実務上求められるのは特定重要設備や重要維持管理等を供給している委託先(以下、供給者)である場合が多くあります。供給者にも、特定社会基盤事業者が審査に通過するための情報提供や、リスク管理措置の要件への準拠が求められ、サプライチェーンや提供サービスのセキュリティ水準を見直すなどの対応が必要です。
現在発表されているリスク管理項目は、不明確な点もあり、文字通りに措置を講じるだけでは審査に通過できない可能性があります。求められているリスク管理措置の導入背景を解釈し、法律の趣旨を考慮した対策が必要です。
提供サービス
EYは、経済安全保障の専門チームを擁し、日本のみならず米国や欧州をはじめとした各国におけるインテリジェンスを保有しています。サイバーセキュリティや物理対策における経済安全保障のグローバルスタンダードを参考にしながら、事前審査を通過およびその本質に対応した体制構築をサポートします。また、本審査では供給者の設置国や役員の国籍情報、特定国への売り上げ依存状況等の情報が求められており、場合によっては重要設備の構成設備等のサプライチェーンの見直しを求められる可能性もあります。今回新たに、供給者および、サプライチェーン戦略策定を支援するコンサルティングサービスの提供を開始し、対象事業者をより包括的に支援します。