サイバー攻撃は「ウイルス対策ソフトで防ぐ技術の話」だけではありません。いまは各国が、事故時の報告義務、製品のセキュア・バイ・デザイン、データの越境移転、捜査協力まで、法律でルール化し始めています。この記事では、世界の主要制度と日本の最新動向を、一般読者向けに争点の地図として整理します。
サイバーセキュリティと法の要点
サイバーセキュリティは、攻撃者を罰する刑法だけでなく、事故時の報告・通知、製品やサプライチェーンの安全確保、データの取り扱い、国際協力まで含む「法と制度の束」として整備が進んでいます。
EUはNIS2やCyber Resilience Actなどで、組織や製品に具体的な義務と期限を課す方向を強めています。
米国は証券市場での開示(SEC)や重要インフラの報告制度(CIRCIA)など、分野別にルールを積み上げています。
日本でも、2025年成立の「サイバー対処能力強化法」等や、ソフトウェア供給者の責務を明確化するガイドライン整備が進み、法制度が大きく動いています。
理由の第一は、サイバー攻撃が「企業の損失」だけでなく、重要インフラ停止や社会機能への影響を通じて、安全保障・経済安全保障の論点に直結しやすくなったためです。日本政府の戦略文書は、国際情勢の緊迫化やハイブリッド戦の文脈で、サイバーが国民生活・経済活動に深刻な被害を生じうるリスクを明示しています。
理由の第二は、クラウド/ソフトウェアが社会の基盤となり、脆弱性やサプライチェーンの弱点が「市場任せでは埋まらない外部不経済」になりやすい点です。日本の政策でも、ソフトウェアの供給者側に支援を行う努力義務を置き、供給側・利用側が共同で責務を果たす設計へ寄せています。
理由の第三は、「国境を越える」性質です。攻撃の発信源、データの所在、捜査協力、制裁などが絡み、国内法だけで完結しにくい一方、各国の価値観(自由なデータ流通・人権・国家主権など)で制度の形が分かれます。
用語と分析枠組み
日本の法体系では、サイバーセキュリティは「情報の適切な管理」や「安全な利用」の状態を含む概念として定義され、単なるウイルス駆除の話に閉じません。
また、政策文書レベルでも「法の支配」や国際法の適用を前提にサイバー空間の秩序を位置づけるなど、技術と同時にルール・ガバナンスの問題として扱っています。
このテーマが混乱しやすいのは、「同じサイバーでも、守る対象(データなのか、サービス継続なのか、国家安全保障なのか)が違う」からです。そこで本記事は、法律を次の4層で見ます。
第1層は「守る義務(予防)」です。安全管理措置、セキュア・バイ・デザイン/デフォルト、ベンダー管理、監査など、事故が起きる前にやるべきことを定義します。EUのCyber Resilience Actは、デジタル製品の水平的なサイバー要件としてこの領域を強く制度化します。
第2層は「起きたときの義務(対応)」です。インシデント報告・当局への届出・被害者への通知・市場への開示など、時間軸つきの義務が中心です。EUのNIS2は24時間の早期警告→72時間の通知など段階的報告を規定します。
第3層は「データの扱い(権利保護・越境移転)」です。個人情報・機微情報の保護、漏えい時の報告・通知、データの越境移転ルールなどが含まれます。日本では漏えい等で一定の場合に当局報告と本人通知が必要になる旨が明確化されています。
第4層は「攻撃への国家対応(刑事法・国際協力・安全保障)」です。サイバー犯罪の犯罪類型、捜査協力、電子証拠の国際共有、国家関与が疑われる活動への対処などがここに入ります。国連は2024年にサイバー犯罪に関する包括条約を採択し、電子証拠共有を含む国際協力の強化を掲げています。
争点が生まれる構造
サイバー領域では、強い規制は安全を高めやすい一方で、コスト増やイノベーション抑制、過剰なデータ収集や監視につながる懸念もあります。各国の制度が似ているようで違うのは、このトレードオフの置き方(何を優先するか)が異なるからです。
インシデント報告は、当局の早期把握や横展開(他組織への注意喚起)に資する一方、報告先が増えるほど現場の負荷は増えます。EUのNIS2は段階報告を制度化し、金融分野ではDORAが別の枠組みとして2025年から適用され、制度間の整合も論点になります。
米国でも重要インフラ向けにCIRCIAの最終規則が準備中で、CISAは最終規則のタイムラインをMay 2026に延長した旨を公式に示しています(2026年4月時点で最終規則の施行は未確定)。
国家が攻撃を抑止・予防するために情報収集を強めると、通信の秘密やプライバシーの保護と緊張関係になり得ます。日本の「サイバー対処能力強化法」は、重要電子計算機の被害防止を目的として、通信情報の取得や取扱い、監理機関による審査・検査などを定めています。
この種の制度は、各国で設計が分かれやすい領域であり、制度の正当性は「目的の限定」「取得範囲の最小化」「監督と透明性」「救済」の組み合わせで評価されやすい、というのが実務上の重要ポイントです。
刑事罰は確かに重要ですが、実生活・仕事で効いてくるのは、むしろ「組織側の予防義務・報告義務・説明責任」です。たとえば日本の不正アクセス対策では、不正アクセスを禁止・処罰する枠組みとともに、管理者側の防御措置や行政の援助といった防御側の考え方が説明されています。
世界の主要ルールと政策の潮流
EUはNIS2で組織のリスク管理と報告義務を強化し、Cyber Resilience Actで製品の安全性を市場に出す前から求める方向を明確化しました。
米国は市場規律(投資家保護の観点)としての開示や、重要インフラの報告制度を組み合わせ、実装を進めています。
中国は「サイバー主権」「データ安全保障」の色彩が強く、域内でのネットワーク・データ活動に広く適用される枠組みを整備してきました。
NIS2は、重要なサービスを担う主体に、サイバーリスク管理とインシデント報告を求める指令です。報告は段階的で、重大インシデントを認知してから24時間以内の早期警告、72時間以内の通知、1か月以内の最終報告などが条文上明示されています。
DORAは金融分野のデジタル・オペレーショナル・レジリエンスを対象とする規則で、2025年1月17日から適用されます。
Cyber Resilience Actは「デジタル要素を含む製品」に水平的なサイバー要件を課す規則で、原則として2027年12月11日から適用、脆弱性・重大インシデント報告など一部条項はそれより前倒しで適用されます。
一般読者向けに言い換えると、EUは「運用(組織)」「金融(セクター)」「製品(モノ)」でそれぞれ義務を積み上げ、報告と作り込みの両輪で安全性を上げようとしている、ということです。
米国の証券規制では、サイバーの重要性が投資家保護の観点から扱われています。SECは2023年に、重要(material)なサイバーインシデントのForm 8-Kでの開示や、年次報告でのリスク管理・ガバナンス開示を求める規則を公表しました。
重要インフラに関しては、CIRCIAに基づく報告制度の最終規則が準備中で、CISAはQ&Aで「最終規則のタイムラインをMay 2026に延長した」旨を示しています(2026年4月時点)。
実務上の勘所は、米国では「何が重要か(materiality)」「どの事業者が対象か(covered entity)」「どの当局への報告が必要か」が分野ごとに分かれやすい点で、複数制度の同時対応が課題になりやすい、という点です。
中国では、ネットワークの安全に関する基本枠組みとして「ネットワーク安全法(サイバーセキュリティ法)」が位置づけられ、(2025年改正を含め)サイバー空間主権や国家安全などを目的に掲げています。
個人情報については「個人情報保護法(PIPL)」、データの安全については「データ安全法(DSL)」が整備され、いずれも国家安全や公共利益の観点を含みつつ、取り扱いの原則・義務を規定します。
越境移転の手続や規制は下位規範で更新され得るため、中国関連の実務は「法律名だけ」ではなく、当局(例:規制当局)の最新ルールまで逐次確認する必要があります。
サイバー犯罪は国境を越え、電子証拠(ログ、アカウント情報など)の所在も分散します。欧州評議会のサイバー犯罪条約(いわゆるブダペスト条約)は国際協力の基盤として位置づけられ、日本の外務省も条約の概要や追加議定書(電子証拠など)に関する情報を整理しています。
さらに国連は2024年12月24日にサイバー犯罪条約を採択し、2025年10月25日に署名開始、2026年末まで署名開放といった手続が示されています。
「国際法はサイバー空間にも適用される」という点自体は、国連の政府専門家会合(GGE)報告などで繰り返し確認されてきましたが、具体論(何が武力行使か、何が許される対抗措置か等)は各国見解が一致しにくい分野です。
日本の現在地と実務インパクト
日本では、サイバー安全保障の強化を背景に、司令塔機能の再編が進み、2025年7月に国家サイバー統括室(NCO)が設置されたと説明されています。
同時期に成立した「サイバー対処能力強化法」等は、重要な電子計算機に対する被害防止を目的として、特定事象の報告制度や通信情報の取得・取扱い、監理機関の審査・検査などを定めています。
またソフトウェア供給網については、経済産業省とNCOが「サイバーインフラ事業者に求められる役割等に関するガイドライン」を策定し、セキュア・バイ・デザイン/デフォルトの国際潮流を踏まえた責務整理を提示しました。
第1層(予防)では、サプライチェーン全体での責任分担を明確化する動きが目立ちます。たとえば上記ガイドラインは、ソフトウェアの開発・供給・運用者(サイバーインフラ事業者)に求められる役割を整理し、供給側が利用者のセキュリティ確保を支援する努力義務が、サイバーセキュリティ基本法の改正で規定された旨を明記しています。
第2層(対応)では、重要インフラ級の事業者に対する報告制度が制度化されています。「サイバー対処能力強化法」は、(条文上の目的として)特別社会基盤事業者による報告制度を含む枠組みを掲げ、施行期日も「公布の日から起算して一年六月を超えない範囲」等の段階施行が定められています(すべての運用詳細は政令等で定まる部分が残ります)。
第3層(データ)では、漏えい時の報告・通知が実務に直結します。日本では、個人データの漏えい等が発生し、個人の権利利益を害するおそれがある場合に、個人情報保護委員会への報告と本人への通知が必要になる旨を同委員会が周知しています。
加えて、2026年4月7日に「個人情報保護法等の一部改正法案」が閣議決定されたことが公表されていますが、2026年4月8日時点で成立は本文作成時点で確認できません(少なくとも「閣議決定」段階であることは確認できます)。
第4層(刑事・安全保障)では、不正アクセスなどを犯罪として取り締まる枠組みが根幹になります。日本の不正アクセス禁止法は、不正アクセス行為を禁止し、罰則・再発防止の援助措置を定める趣旨が示されています。
変化の第一は、「買う側」も「作る側」も、サイバー要件が調達条件になりやすいことです。理由は、ソフトウェア脆弱性の悪用が社会インフラに影響し得るという問題意識が政策文書・ガイドラインで共有され、供給網全体でのレジリエンス向上が期待されると明記されているためです。具体例として、ガイドラインは評価チェックリスト等の整備まで行い、供給者・顧客双方が役割を確認する設計になっています。
変化の第二は、「攻撃を受けた後」に求められる行動が、より時間制約のある手続になっていくことです。理由は、国内外でインシデント報告の制度化が進んでいるからです。具体例としてEUのNIS2には24時間・72時間などの期限が条文上あり、米国でも重要インフラの報告制度(CIRCIA)が最終規則に向けて進行中です。
変化の第三は、「データの取り扱い」がサイバー対策そのものになることです。理由は、ランサムウェアなどが業務停止だけでなく情報窃取・暴露と結びつくためで、日本の警察当局のレターでもランサムウェア被害の認知件数(226件)が示されています。
具体例として、個人データが関係する事故では、技術復旧と並行して当局報告・本人通知の要否を短期間で判断する必要があり、ここに法務・広報・セキュリティが交差します。
これからのシナリオ
シナリオ1は「報告・製品要件の国際的収斂」が進む道です。EUのように期限や製品要件を明文化する制度が先行し、他地域も同等水準を意識して制度を整えていく展開が考えられます。
シナリオ2は「ブロック化(データとクラウドの分断)」が強まる道です。国家安全保障やデータ主権を強く打ち出す制度が拡張し、越境移転やサービス提供に追加コストが生じやすくなります。
シナリオ3は「相互運用性の確保(最低限の共通基盤)」に収まる道です。国連の条約や既存条約(ブダペスト条約)を通じて、捜査協力や電子証拠の枠だけは共通化し、その他は地域差が残る可能性があります。
よくある疑問Q&A
Q1. サイバーセキュリティの法律は、結局「何を守る」ためのものですか?
結論としては「社会の基盤(サービス継続)」「個人の権利(個人情報)」「市場の信頼(開示)」「国家の安全(重要インフラ・安全保障)」を同時に守るためのルール群です。範囲が広いのは、サイバー被害が経済活動から安全保障まで波及し得るという前提が、政策文書や各国法制に埋め込まれているためです。
Q2. 「個人情報保護法」と「サイバーセキュリティ法」は同じですか?
同じではありません。個人情報保護は個人の権利利益に焦点があり、漏えい等の報告・通知などが中心になります。一方、サイバーセキュリティ系の制度は、重要インフラや供給網、国家対応まで含みやすいのが特徴です。
Q3. 「報告義務」は、国内だけ守れば十分ですか?
海外に事業が及ぶ、または海外規制の適用を受ける場合は十分ではありません。EUではNIS2やDORAなど領域別規制があり、期限も明確です。米国でもCIRCIA(最終規則準備中)やSEC開示など、制度ごとに要件が違います。
Q4. EUのCyber Resilience Actは、2026年時点で何がすでに効いていますか?
2026年時点では、原則適用は2027年12月11日からで、全面適用前の準備段階にあります。ただし一部条項(報告等)は前倒し適用が規定されているため、「いつから何が義務になるか」は条文の適用日を起点に確認する必要があります。
Q5. 日本の能動的サイバー防御は、もう全面施行されていますか?
「サイバー対処能力強化法」は2025年に成立したことは確認できますが、施行日は段階的で、公布から一定期間内に政令で定める日とされています。したがって、2026年4月時点でどの条文が施行済みかは、政令等も含めて確認が必要です。
Q6. 一般の個人が今すぐできる行動は?
結論は「アカウント防衛(多要素認証)」「データの最小化(不要データを持たない)」「公式情報源をブックマーク(PPCや警察の注意喚起)」の3点です。理由は、法制度が進んでも、被害の入口(認証情報の奪取など)を減らすことが現実的に最も効くからです。政府・警察は不正アクセスの定義や対策を周知しており、一次情報にアクセスできる状態を作ること自体が防御になります。
結論
サイバーセキュリティと法の本質は、「攻撃者を罰する」だけでなく、「被害が起きる前に安全を作り込み、起きたら速く共有し、国境を越えて協力する」ことを制度として実装する点にあります。
日本は2025年以降、司令塔の再編や新法整備を通じて欧米主要国と同等以上の対応能力を掲げ、制度を動かしていますが、運用詳細(政令・ガイドライン・対象範囲)の確定が実務の成否を左右します。
企業・組織の次の行動としては、
①自社が「どの層(予防・報告・データ・刑事/国際)」のどの制度に当たるか棚卸しし、
②インシデント時の報告・通知・開示の意思決定手順を整備し、
③調達・委託先のセキュリティ責務(チェックリスト等)を契約・運用に落とす、
という順が現実的です。
参考
内閣官房(2025)「サイバー安全保障に関する取組(能動的サイバー防御の実現に向けた検討など)」内閣官房Webサイト https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/index.html (閲覧日:2026-04-08)
内閣官房(2025)「重要電子計算機に対する不正な行為による被害の防止に関する法律(サイバー対処能力強化法)」(PDF)内閣官房Webサイト https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/pdf/houritsu.pdf (閲覧日:2026-04-08)
国家サイバー統括室(2025)「概要」国家サイバー統括室Webサイト https://www.cyber.go.jp/about/overview/index.html (閲覧日:2026-04-08)
国家サイバー統括室(2025)「サイバーセキュリティ戦略(2025)」国家サイバー統括室Webサイト(PDF) https://www.cyber.go.jp/pdf/policy/kihon-s/cs_strategy2025.pdf (閲覧日:2026-04-08)
内閣官房(2022)「国家安全保障戦略について」内閣官房Webサイト https://www.cas.go.jp/jp/siryou/221216anzenhoshou.html (閲覧日:2026-04-08)
内閣官房(2022)「国家安全保障戦略(2022)パンフレット」(PDF)内閣官房Webサイト https://www.cas.go.jp/jp/siryou/221216anzenhoshou/national_security_strategy_2022_pamphlet-ja.pdf (閲覧日:2026-04-08)
経済産業省(2026)「『サイバーインフラ事業者に求められる役割等に関するガイドライン』の日本語版・英語版を策定しました」経済産業省ニュースリリース https://www.meti.go.jp/press/2025/03/20260331001/20260331001.html (閲覧日:2026-04-08)
個人情報保護委員会(2022)「漏えい等報告・本人への通知の義務化について」個人情報保護委員会Webサイト https://www.ppc.go.jp/news/kaiseihou_feature/roueitouhoukoku_gimuka/ (閲覧日:2026-04-08)
個人情報保護委員会(2026)「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」(PDF)個人情報保護委員会Webサイト https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf (閲覧日:2026-04-08)
個人情報保護委員会(2026)「『個人情報の保護に関する法律等の一部を改正する法律案』の閣議決定について」個人情報保護委員会Webサイト https://www.ppc.go.jp/news/press/2026/260407/ (閲覧日:2026-04-08)
警察庁(2026)「Cyber Police Agency Letter 2025 Vol.15(R8.3):ランサムウェア被害 多発中」(PDF)警察庁Webサイト https://www.npa.go.jp/bureau/cyber/pdf/R7_Vol.15cpal.pdf (閲覧日:2026-04-08)
Ministry of Justice, Japan(n.d. / 最終更新年はDBに依存)“The Basic Act on Cybersecurity” Japanese Law Translation Database System https://www.japaneselawtranslation.go.jp/en/laws/view/2760/en (閲覧日:2026-04-08)
Ministry of Justice, Japan(n.d. / 最終更新年はDBに依存)“Act on the Protection of Personal Information” Japanese Law Translation Database System https://www.japaneselawtranslation.go.jp/en/laws/view/2616/en (閲覧日:2026-04-08)
Ministry of Justice, Japan(n.d. / 最終更新年はDBに依存)“Act on Prohibition of Unauthorized Computer Access” Japanese Law Translation Database System https://www.japaneselawtranslation.go.jp/en/laws/view/3933/en (閲覧日:2026-04-08)
European Union(2022)“Directive (EU) 2022/2555 (NIS2)” EUR-Lex https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022L2555 (閲覧日:2026-04-08)
European Union(2022)“Regulation (EU) 2022/2554 (DORA)” EUR-Lex https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R2554 (閲覧日:2026-04-08)
European Union(2024)“Regulation (EU) 2024/2847 (Cyber Resilience Act)” EUR-Lex https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32024R2847 (閲覧日:2026-04-08)
European Union(2016)“Regulation (EU) 2016/679 (GDPR)” EUR-Lex https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng (閲覧日:2026-04-08)
U.S. Securities and Exchange Commission(2023)“SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure” SEC Press Release https://www.sec.gov/newsroom/press-releases/2023-139 (閲覧日:2026-04-08)
U.S. Federal Register(2024)“Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) Reporting Requirements (NPRM)” Federal Register https://www.federalregister.gov/documents/2024/04/04/2024-06526/cyber-incident-reporting-for-critical-infrastructure-act-circia-reporting-requirements (閲覧日:2026-04-08)
Cybersecurity and Infrastructure Security Agency(2026)“CIRCIA FAQs” CISA https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/circia/faqs (閲覧日:2026-04-08)
United Nations Office on Drugs and Crime(2024-2025)“United Nations Convention against Cybercrime (Convention at a glance / status)” UNODC https://www.unodc.org/unodc/en/cybercrime/convention/home.html (閲覧日:2026-04-08)
United Nations(2024)“A/RES/79/243 United Nations Convention against Cybercrime” UN docs https://docs.un.org/en/a/res/79/243 (閲覧日:2026-04-08)
外務省(2026)「Cybercrime」外務省Webサイト https://www.mofa.go.jp/fp/is_sc/pagewe_000001_00080.html (閲覧日:2026-04-08)
United Nations(2015)“A/70/174 Report of the Group of Governmental Experts …” UN docs https://docs.un.org/en/a/70/174 (閲覧日:2026-04-08)
Cyberspace Administration of China(2025)“Cybersecurity Law of the People’s Republic of China (revised 2025-09-27)” CAC https://www.cac.gov.cn/2025-10/28/c_1762722599672066.htm (閲覧日:2026-04-08)
Supreme People’s Procuratorate of the People’s Republic of China(2021)“Personal Information Protection Law” SPP https://en.spp.gov.cn/2021-12/29/c_691559.htm (閲覧日:2026-04-08)
Supreme People’s Procuratorate of the People’s Republic of China(2021)“Data Security Law” SPP https://en.spp.gov.cn/2021-06/18/c_634771.htm (閲覧日:2026-04-08)
コメント