- 公開日:2026年05月19日
サイバーセキュリティ基本法とは?法改正のポイントと企業が進めたい4つの取り組み
クラウドやリモートワークの普及により、企業を取り巻くサイバー攻撃のリスクは年々高まっています。そのような状況のなか、国のサイバーセキュリティ施策の土台となる「サイバーセキュリティ基本法」が2025年に改正され、企業にとってサイバーセキュリティを経営課題として捉え直すことが、これまで以上に求められています。
本記事では、サイバーセキュリティ基本法の概要を整理したうえで、企業が押さえておきたい法改正のポイント、実務で進めたい取り組みまでわかりやすく解説します。
サイバーセキュリティ基本法とは
サイバーセキュリティ基本法は、2014年11月に公布され、施行された法律です。
「基本法」という名称のとおり、国全体のサイバーセキュリティ施策の基本的な方向性を示す法律です。企業にもサイバーセキュリティの確保に努めることが求められていますが、一般の企業に対して細かな義務や罰則を直接課すものではありません。
制定の背景
法律が制定された2014年当時、日本ではサイバー攻撃の脅威が急速に深刻化していました。情報セキュリティ政策会議によると、政府機関の情報セキュリティを監視するシステム(GSOC)が2013年度に検知した脅威件数は、約508万件にのぼり、前年度の約4.7倍に急増しています。これは約6秒に1回のペースで脅威が検知されていた計算になります。
脅威は政府機関だけでなく、企業や重要インフラ、個人の利用環境にも広がっていました。加えて、特定の組織や職員を狙う標的型メール攻撃や、閲覧したWebサイトを通じて感染させる水飲み場型攻撃など、攻撃の手法も巧妙化しており、個別の対処だけでは限界のある状況となっていました。そのため、検知や監視にとどまらず、関係主体のあいだで情報を共有し、組織や分野をまたいでサイバーセキュリティ施策を進めるための共通の土台が求められるようになっていました。このような背景を踏まえ、2014年にサイバーセキュリティ基本法が制定されました。
参考:国家サイバー統括室 情報セキュリティ政策会議「サイバーセキュリティ政策に係る年次報告 (2013年度)」
概要と基本理念
この法律が定義する「サイバーセキュリティ」の範囲は広く、不正な侵入や攻撃などによる被害を防ぐことだけでなく、情報の漏えいや消失・破損を防ぐことや、情報システムやネットワークの安全性と信頼性を保つことまで含まれています。
本法の基本理念は、情報の自由な流通を確保しながら、国や地方公共団体、事業者などの多様な主体が連携して対策を進めることや、被害の防止だけでなく迅速な復旧につながる体制づくりを重視している点にあります。
つまり、この法律は国だけの責務を定めるものではなく、事業者や国民も含む幅広い主体がそれぞれの立場でサイバーセキュリティの確保に取り組むことを求めています。
関連法との関係から整理する「基本法」の役割
サイバーセキュリティに関連する法律はいくつかあります。企業の実務では、情報漏えいや不正アクセスなどのトラブルに関連して、個人情報保護法や不正アクセス禁止法が具体的に関わる場面があります。ここでは、その2つの法律と、サイバーセキュリティ基本法との違いを整理します。
| 法律 | 役割 | 罰則 |
|---|---|---|
| サイバーセキュリティ基本法 | 事業者等の責務を示し、協力や自主的取り組みを促す上位指針 | なし(努力義務) |
| 個人情報保護法 | 個人データを扱う事業者への義務を規定 | あり |
| 不正アクセス禁止法 | 不正アクセス行為そのものを禁止 | あり |
3つの法律は役割や対象とする内容が異なります。実務では、サイバーセキュリティ基本法でまず全体の方向性を押さえつつ、個人情報を扱う場面では個人情報保護法、不正アクセス行為の防止に関わる場面では不正アクセス禁止法を踏まえることになります。
2025年法改正のポイント
現在、DXの浸透により、業務システムやクラウドサービス、ネットワークの利用は事業運営の前提となっており、サイバーセキュリティ基本法の制定当時に比べ、サイバー攻撃の影響は、さらに日常業務や取引に直結しやすくなっています。
そのため、2025年7月のサイバーセキュリティ基本法改正では、第7条第2項で、情報システム等の供給者が、利用者による安全性及び信頼性の確保を支援し、必要な情報を継続的に提供するよう努めることが明記されました。
この改正をふまえ、企業実務では、自社内部の管理に加え、導入する製品・サービスやそのベンダー、委託先も含めて、サイバーセキュリティへの取り組み方を見直すことがこれまで以上に重要になっています。
サイバーセキュリティ基本法が企業に求める姿勢
ここでは、サイバーセキュリティ基本法が企業に求める姿勢のうち、実務に直結する2つの観点を解説します。
対象はすべての民間事業者
サイバーセキュリティ基本法は、国(第4条)・地方公共団体(第5条)・重要インフラ事業者(第6条)・事業者(第7条)・国民(第9条)と、対象範囲を幅広く定めています。
なかでも企業実務に直接関わるのが第7条です。ここでは「サイバー関連事業者その他の事業者」と明記されており、特定の業種のみを対象にしておらず、民間事業者を広く対象に含める趣旨が示されています。
そのため、自社も対象に含まれる前提で、事業活動に応じてサイバーセキュリティに取り組む必要があります。
直接的な罰則はないが「未実施」は経営リスクに
サイバーセキュリティ基本法では、民間企業に対して「自主的かつ積極的にサイバーセキュリティの確保に努める」よう定めています。これは努力義務であり、対応しなかったからといって直ちに罰則が科されるわけではありません。
しかし、これはもちろん対策を後回しにしてよいという意味ではありません。セキュリティ対策が不十分なまま情報漏えいが発生した場合、本人通知及び個人情報保護委員会への報告などの対応が必要になる場合や、行政指導の対象となる可能性があります。また、取引先や発注元から「セキュリティ対策の状況を教えてほしい」と求められ、対策状況が取引判断に使用されることも考えられます。
セキュリティ対策は、法令対応にとどまらず、事業継続や取引継続の観点からも経営上の重要課題だと位置づけておきましょう。
企業が進めたい4つの取り組み
ここからは、サイバーセキュリティ基本法の趣旨を踏まえ、企業が実践すべき具体的な取り組みを4つ紹介します。
経営層主導による「サイバーセキュリティ経営」の実装
サイバーセキュリティ対策は、IT担当者だけが取り組む技術的な問題ではありません。経済産業省とIPAが策定した「サイバーセキュリティ経営ガイドライン Ver 3.0」では、サイバーセキュリティ対策を、将来の事業活動や成長に必要な「投資」と位置づけています。また、サイバーセキュリティリスクを経営リスクの一環として捉え、経営者のリーダーシップのもとで対策を進めることの重要性を示しています。
また、同ガイドラインでは、経営者が認識すべき3原則として以下を挙げています。
- 原則1:経営者自らがリーダーシップを発揮してセキュリティ対策を推進する
- 原則2:委託先やビジネスパートナーを含むサプライチェーン全体に目配りする
- 原則3:平時・緊急時を問わず、関係者と積極的にコミュニケーションを取る
このように、まずは経営層がセキュリティを経営課題として認識し、対策を主導していく姿勢が求められます。
出典:経済産業省・独立行政法人 情報処理推進機構「サイバーセキュリティ経営ガイドライン Ver 3.0」
ゼロトラスト環境を見据えたネットワークインフラの刷新
サイバーセキュリティ基本法では、システムやネットワークの安全性や信頼性を確保していくことが求められています。そのため企業実務では、現在の業務環境に合った形で、ネットワークやアクセス管理を見直していく必要があります。
加えて、クラウド活用やリモートワークの普及により、社内ネットワークの内側にいるかどうかだけを基準に業務環境を守る考え方では、対応しにくい場面が増えています。つまり、社内ネットワークの安全だけでなく、システムの利用者や端末(PCやスマートフォンなど)の状態、接続先などのアクセスを監視、制御していくアプローチが重視されています。このような社内ネットワークだけでなく、あらゆるアクセスを管理しようとする考え方は、ゼロトラストと呼ばれています。
また、このような環境整備を進める際の具体策の一つとして、ネットワークとセキュリティ機能を一体的に提供するSASE(Secure Access Service Edge)などのソリューションがあります。自社の利用環境や拠点、接続先、運用体制に応じて、こうした選択肢も取り入れながらネットワークやアクセス管理を整備していくことが、安全性や信頼性の確保につながります。
SASEについては以下の記事でさらに詳しく解説しています。
関連記事:SASEとは?仕組みやメリットから導入手順まで解説
法改正をふまえたITベンダー管理の強化
前述の通り2025年の法改正では、第7条第2項により、情報システムやソフトウェアなどの供給者に、利用者による安全性及び信頼性の確保を支援し、必要な情報を継続的に提供するよう努力義務が明記されました。
そのため、製品やクラウドサービスを選ぶ企業は、価格や機能だけでなく、ITベンダーや委託先がセキュリティを意識した対応を継続的に行えるかという観点でも見極める必要があります。あわせて、利用企業側でも、リスク管理を前提に安全なソフトウェアの調達・運用を進める姿勢が重要になります。
例えば、調達・契約の実務では、確認対象として次のような点が考えられます。
- セキュリティを考慮した設計・開発・供給・運用が行われているか
- 導入後の更新や運用まで見据え、必要な情報が継続的に提供されるか
- 脆弱性が見つかった際に、修正や注意喚起を適切に受けられる体制があるか
- 人材・プロセス・技術の整備が進められているか
- 関係する事業者や取引先との連携体制が確保されているか
法改正をふまえると、ベンダー選定では「導入時に必要な機能はあるか」だけでなく、「導入後も必要な支援を受けながら安全に運用できるか」という観点で見ることが実務上のポイントになります。
公的補助金の活用と外部専門リソース(マネージドサービス)の導入
「セキュリティ対策にかける予算がない」という企業には、公的補助金の活用が有効な選択肢です。経済産業省のデジタル化・AI導入補助金(旧:IT導入補助金)では「セキュリティ対策推進枠」が設けられており、サイバーセキュリティお助け隊サービス(国認定の中小企業向けセキュリティ支援サービス)の導入費用を中小企業は最大1/2、小規模事業者は最大2/3の補助を最大150万円まで受けられます。
また、社内にセキュリティの専門人材がいない企業にとっては、外部の専門リソースを活用しながら対策を進めることも現実的な方法です。例えば、常時監視や緊急時対応に加え、相談窓口などの支援体制を活用できれば、社内だけで判断や対応を抱え込まずに済みます。必要な部分から外部の知見を取り入れることが、無理のない形での運用継続につながります。
まとめ
本記事では、サイバーセキュリティ基本法の概要、制定背景から、2025年法改正のポイント、企業が進めたい取り組みまで解説しました。
この法律には直接的な罰則がない一方で、対象は幅広い民間事業者に及びます。また、2025年の法改正で供給者の努力義務が明記されたように、この法律はデジタル化の進展やサイバー脅威の変化に応じて見直され続けています。どの企業でも自社に関わる課題として受け止め、まずは現状のセキュリティ体制を見直すことが重要です。
ゼロトラスト環境を見据えて対策を進める際は、自社に合う構成を具体的に検討することが第一歩になります。例えばオプテージの「OPTAGE SASE powered by Prisma Access」は、ネットワークとセキュリティを一体化したクラウド型サービスとして、安全な業務環境の構築を支援する選択肢の一つとなります。
サイバーセキュリティ対策をご検討の際は、オプテージまでお気軽にご相談ください。
◎製品名、会社名等は、各社の商標または登録商標です。
