「サイバーインフラ事業者に求められる役割等に関するガイドライン（案）」の日本語版・英語版を取りまとめました

1．背景

現代社会において、ソフトウェアは社会活動の基盤となっており、その重要性は増大しています。ソフトウェアの脆弱性を悪用するサイバー攻撃は社会インフラに甚大な影響を及ぼす可能性があることから、ソフトウェアの開発・供給・運用を行う事業者は、ソフトウェアのサプライチェーン全体でのサイバーセキュリティ対策に一層の責任をもって対応することが求められています。

政府機関や重要インフラ事業者等を始めとしたソフトウェアの利用顧客においても、ソフトウェアの調達先として適切なサイバーインフラ事業者を選定することが、サイバーセキュリティ上のリスク管理につながります。

国際的にも、セキュア・バイ・デザイン（ソフトウェア等が設計段階から安全性を確保されていること）やセキュア・バイ・デフォルト（顧客が追加コストや手間をかけることなく、購入後すぐにソフトウェア等を安全に利用できること）といった概念が支持を集めており、これに関連する国際文書が策定されています。

そこで、経済産業省及び内閣官房国家サイバー統括室では、2024年9月より、産学の有識者からなるワーキンググループを立ち上げ、ソフトウェアを利用する顧客等の保護を目的とし、ソフトウェアの開発・供給・運用を行う事業者に求められる責務等について検討して参りました。

我が国においては、サイバーセキュリティ基本法において、サイバー関連事業者その他の事業者に対して、その事業活動に関し、自主的かつ積極的にサイバーセキュリティを確保するという努力義務が規定されているところ（第7条第1項）、2025年7月の同法の改正により、情報システム等の供給者に対して、利用者によるサイバーセキュリティ確保に必要な支援を行う努力義務が規定されることとなりました（第7条第2項）。

今般、サイバーセキュリティ基本法第7条第1項及び第2項を踏まえ、情報システム等の供給者としてソフトウェア（※）の開発・供給・運用を行う事業者を「サイバーインフラ事業者」と称し、その具体的な役割等を整理した国内のガイドラインとして、「サイバーインフラ事業者に求められる役割等に関するガイドライン（案）」を取りまとめました。

※製品として顧客に提供されるソフトウェアのほか、クラウドサービス等のソフトウェアサービス、IT／OT／IoT機器等のハードウェア製品として提供される組み込みソフトウェア・ファームウェア、システム・サービスの構成要素として提供されるソフトウェアも含まれます。

当該ガイドライン（案）について、国内外の利害関係者から広く御意見をいただくべく、当該ガイドライン（案）の日本語版及び英語版について、本日より60日間のパブリックコメントを実施することとしました。

2．同ガイドライン（案）の概要

本ガイドライン（案）は、サイバーインフラ事業者とその顧客を対象に、ソフトウェア・サプライチェーンのサイバーセキュリティに関するレジリエンス向上のために求められる責務と、責務を果たすための要求事項（具体的取組）について、6つのカテゴリで整理しています。

サイバーインフラ事業者は、本ガイドライン（案）の要求事項をチェック項目として、自組織及びソフトウェア・サプライチェーンに関連する事業者の取組の過不足を確認することで、当該サプライチェーン上のサイバーセキュリティ対策の成熟度を向上させるツールとして活用できます。

顧客は、本ガイドライン（案）の要求事項をチェック項目として、ソフトウェアの調達先となるサイバーインフラ事業者の取組を把握したりすることで、適切な調達先の選定が可能となり、サイバーセキュリティ上のリスク管理につなげること等が期待できます。

3．意見募集の概要

意見募集の対象

• サイバーインフラ事業者に求められる役割等に関するガイドライン（案）【日本語版】
• サイバーインフラ事業者に求められる役割等に関するガイドライン（案）【英語版】

• サイバーセキュリティ基本法第7条第1項及び第2項の条文の引用
• サイバー対処能力強化法に関する内容

資料入手方法

• 電子政府の総合窓口「e-Gov」における掲載
  又は
• 経済産業省のウェブページ（本ページの「意見募集の対象」）における掲載
  又は
• 国家サイバー統括室のウェブページ「「サイバーインフラ事業者に求められる役割等に関するガイドライン（案）」に関する意見募集について」における掲載

意見募集期間

2025年10月30日（木曜日）から2025年12月30日（火曜日）必着（日本時間）

意見提出先・提出方法

電子政府の総合窓口「e-Gov」から本件の意見提出フォーム^※に進み、日本語又は英語で記入の上、ご提出ください。
※案内は日本語のみとなります。

電子政府の総合窓口「e-Gov」のご利用が難しい場合は、別紙の意見提出用紙を日本語又は英語で記入の上、下記のメールアドレス宛てにお送りください。 メールアドレス：[email protected]

（件名は「サイバーインフラ事業者に求められる役割等に関するガイドライン（案）に対する意見」とし、意見提出用紙を添付してお送りください。）

なお、電話での意見提出はお受けしかねますので、あらかじめ御了承ください。

その他

皆様からいただいた意見については、最終的な決定における参考とさせていただきます。なお、いただいた意見についての個別の回答はいたしかねますので、あらかじめ、その旨を御了承ください。

提出いただきました意見については、氏名（法人又は団体の場合は名称）、住所、電話番号及びメールアドレスを除き、すべて公開される可能性があることを、あらかじめ御承知おきください。ただし、意見中に、個人に関する情報であって特定の個人を識別しうる記述がある場合及び個人・法人等の財産権等を害するおそれがあると判断される場合には、公表の際に当該箇所を伏せさせていただきます。

意見に附記された氏名、連絡先等の個人情報については、適正に管理し、意見の内容に不明な点があった場合等の連絡・確認といった、本案に対する意見公募に関する業務にのみ利用させていただきます。

4．今後の見通し

今後、パブリックコメントでいただく意見を踏まえて、本年中を目途として当該ガイドラインを成案化すると共に、ガイドラインの活用促進に向けた付属文書としてのチェックリストの拡充等の取組を行っていく予定です。

関連資料

• 意見公募要領
• サイバーインフラ事業者に求められる役割等に関するガイドライン（案）概要資料【日本語版】
• サイバーインフラ事業者に求められる役割等に関するガイドライン（案）概要資料【英語版】
  ※英語版の資料には、以下の内容は記載しておりません。
  • サイバーセキュリティ基本法第7条第1項及び第2項の条文の引用
  • サイバー対処能力強化法に関する内容

関連リンク

• 経済産業省 産業サイバーセキュリティ研究会ワーキンググループ1サイバーインフラ事業者に求められる役割等の検討会
• 内閣官房国家サイバー統括室ワーキンググループサイバーインフラ事業者に求められる役割等の検討会

担当

• 商務情報政策局 サイバーセキュリティ課長 武尾
  担当者：橋本、大久保、関戸
  電話：03-3501-1511（内線 3964）
  メール：bzl-cyber-madoguchi★meti.go.jp
  ※［★］を［@］に置き換えてください。

• 内閣官房 国家サイバー統括室 制度・監督ユニット
  担当者：油川、竹内
  電話：03-5253-2111