【国家情報会議設置法が成立へ】企業のセキュリティ対応はどう変わるのか

2026年5月27日、「国家情報会議設置法」が参議院本会議で可決・成立する見通しとなりました。この法律は、インテリジェンス（情報収集・分析）の司令塔となる「国家情報会議」を新たに設置することを定めています。首相が議長を務め、官房長官や外務大臣、防衛大臣などの関係閣僚がメンバーとなります。

国家情報会議は、大きく2つの役割を担います。1つ目は、重要な情報活動の総合調整です。これは複数の省庁を横断し、情報収集や分析の方針を決めたり、情報収集衛星の開発、運用などの重要事項について議論したりするものです。2つ目は、外国情報活動に対応することです。具体的には、スパイ活動や情報戦に対する方針を決定します。

また、この法律の附則により、現在の「内閣情報官・内閣情報調査室」が発展的に解消され、新たに「国家情報局」が内閣官房内に設置されます。国家情報局は、各省庁の情報活動を総合的に調整する権限を持つことになります。

この法律が議論される背景には、急速に変化する国際情勢があります。日本は世界有数の技術・製造大国であり、米中両国の市場やサプライチェーンとも深く結びついています。こうした立場は経済的な強みである一方、地政学的な緊張が高まる中で、サイバー攻撃やサイバースパイ活動のリスクにもさらされやすい環境でもあります。

一方で、これまでの日本の情報収集・分析体制は、複数の省庁がそれぞれ独自に情報を保有する縦割り構造が続いており、情報を横断的に集約・活用する仕組みが十分に整っていないと長年指摘されてきました。

実際、こうした脅威はすでに現実となっています。2025年1月、警察庁が公表した「MirrorFaceによるサイバー攻撃について（注意喚起）」によると、「MirrorFace（ミラーフェイス）」と呼ばれるサイバー攻撃グループが、2024年6月頃から学術機関・シンクタンク・メディア・政治家などを標的に、情報窃取を目的とした標的型攻撃を行っていたとされています。中国の関与が疑われるこのグループの活動は、日本の安全保障や先端技術に関する情報を組織的に狙ったものとみられています。

2025年8月には、国家サイバー統括室と警察庁が米国や英国など13ヶ国と連名で公表した「「ソルトタイフーン（Salt Typhoon）」に関する国際アドバイザリーへの共同署名について」によると、中国政府が支援するサイバー攻撃グループ「Salt Typhoon（ソルトタイフーン）」が、電気通信や政府、交通、軍事インフラを含む世界規模のネットワークを継続的に侵害しており、取得したデータは中国の諜報機関による対象者の通信や移動の追跡に活用されているとされています。

こうした国家関与型の攻撃は従来のサイバー犯罪とは性質が異なります。IPAが発表した「情報セキュリティ10大脅威 2025」でも「地政学的リスクに起因するサイバー攻撃」が初めて7位にランクインし、続けて2026年の10大脅威では6位にランクアップするなど、国家の関与が疑われる攻撃への備えが企業・組織にとっても無視できない課題になってきています。

本法案は今国会の政府提出法案のうち特に重要性が高いと判断された4本の「重要広範議案」の一つに位置づけられ、高市早苗首相も本会議や委員会の質疑の一部に直接出席するなど、政権の主要政策として推進されてきた経緯があります。

今回の法案通過によって変わる重要なポイントとしては、首相が関係省庁に対して資料や情報の提供・説明を求める「アクセス権」を持つようになるという点です。この権限によって、国家情報局は情報活動の司令塔として全体を調整することができるようになります。

これまで外務省・防衛省・警察庁など各省庁は独自に情報を収集・保有していましたが、それらを一元的に集約・分析する仕組みが十分ではありませんでした。国家情報局は「橋渡し役」として機能し、政府全体のインテリジェンスの質とスピードを高めることをめざしています。

一方で懸念の声もあります。プライバシー保護への対応が十分かどうか疑問視されており、野党からは情報が政治利用される可能性があるとの指摘も出ていました。政府が収集する情報の範囲や運用方法については、今後も継続的な監視と議論が求められます。

本法案が直接規制する対象は、主に大企業や政府関係機関だと言われていますが、それでも中小企業にとっても、「自分には関係ない」では済まない状況が近づいています。

まず押さえておきたいのが、サプライチェーンを通じたリスクです。国家情報局が省庁の情報を集約・調整する体制となることで、政府調達や公共事業に関わる企業はより厳格な情報管理を求められる可能性があります。大企業と直接取引がなくても、取引先を介して間接的に影響を受けるケースも十分考えられます。

サイバー攻撃の被害という観点でも、中小企業は決して安全圏にいません。警察庁が公表した「令和７年における サイバー空間をめぐる脅威の情勢等について」によると、2025年のランサムウェア被害は226件にのぼり、被害企業・団体の約6割が中小企業でした。また、調査・復旧に1,000万円以上を要した組織が全体の5割を超えるなど、被害の長期化・高額化が続いています。

さらに、IPAが公表した「情報セキュリティ10大脅威 2026」では「サプライチェーンや委託先を狙った攻撃」が組織向け脅威の2位にランクインしており、対策が脆弱な中小企業を踏み台にして大企業のシステムへ侵入する手口が深刻な脅威として認識されています。大企業の取引先である中小企業も、攻撃の入り口として狙われるリスクがあります。

国家情報会議設置法の成立と前後して、企業のサイバー対応に直結する制度整備が2026年後半にかけて相次いで本格化します。「影響があるのは大企業だけ」と思いがちですが、サプライチェーンを通じた影響は中小企業にも確実に及びます。

まず、2025年5月に成立した「サイバー対処能力強化法」が2026年10月1日に施行されます。電力・金融・通信といった基幹インフラ事業者にサイバーインシデントの報告義務などを課す法律です。直接の対象は約260社とされますが、重要電子計算機の運用などを受託するITベンダーやグループ会社、クラウドサービス提供者にも影響が及ぶ可能性があります。つまり、「直接関係ない」と思っていた中小企業も、大企業の取引先や委託先であれば対象に含まれる可能性があります。

そして、この「サプライチェーン上のセキュリティ水準をどう担保するか」という課題に直接応えるのが、経済産業省と国家サイバー統括室が主導するサプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）です。2026年度末頃の制度開始を目指しており、サプライチェーンを構成する全ての企業のセキュリティ対策状況を★3〜★5で可視化する仕組みです。取引先から★3以上の取得を求められるケースが増えると見込まれており、義務ではないものの、取得していなければ取引条件に影響するケースが現実に出てくると考えられます。前の段落で述べたサプライチェーン攻撃のリスクと、この制度への対応は、中小企業にとって一体の問題として捉えるべきでしょう。

以下にSCS評価制度に関する対策をまとめておりますので、ぜひご覧ください。