METI - Ministry of Economy, Trade and Industry of the State of Japan

03/31/2026 | Press release | Distributed by Public on 03/30/2026 23:12

「サイバーインフラ事業者に求められる役割等に関するガイドライン」の日本語版・英語版を策定しました

2026年3月31日

同時発表:内閣官房国家サイバー統括室

経済産業省及び内閣官房国家サイバー統括室は、ソフトウェアの開発・供給・運用を行う「サイバーインフラ事業者」に求められる役割等について整理・解説し、当該事業者やその顧客がサイバーセキュリティ対策の実効性を確保するための参考となる考え方を示した「サイバーインフラ事業者に求められる役割等に関するガイドライン」を日本語版・英語版ともに策定しました。また、ガイドラインの活用促進に向けた付属文書として評価チェックリスト等を整備しました。今後、サイバーインフラ事業者やその顧客等が当該ガイドライン及び評価チェックリスト等の活用を通じ、セキュリティ確保のために求められる役割を互いが認識しながら共に責務を果たすことにより、ソフトウェアのサプライチェーン全体でのサイバーセキュリティに関するレジリエンスの向上が期待されます。

1.背景

現代社会において、ソフトウェアは社会活動の基盤となっており、その重要性は増大しています。ソフトウェアの脆弱性を悪用するサイバー攻撃は社会インフラに甚大な影響を及ぼす可能性があることから、ソフトウェアの開発・供給・運用を行う事業者は、ソフトウェアのサプライチェーン全体でのサイバーセキュリティ対策に一層の責任をもって対応することが求められています。

政府機関や重要インフラ事業者等を始めとしたソフトウェアの利用顧客においても、ソフトウェアの調達先として適切なサイバーインフラ事業者を選定することが、サイバーセキュリティ上のリスク管理につながります。

国際的にも、セキュア・バイ・デザイン(ソフトウェア等が設計段階から安全性を確保されていること)やセキュア・バイ・デフォルト(顧客が追加コストや手間をかけることなく、購入後すぐにソフトウェア等を安全に利用できること)といった概念が支持を集めており、これに関連する国際文書が策定されています。

そこで、経済産業省及び内閣官房国家サイバー統括室では、2024年9月より、産学の有識者からなるワーキンググループを立ち上げ、ソフトウェアを利用する顧客等の保護を目的とし、ソフトウェアの開発・供給・運用を行う事業者に求められる責務等について検討してきました。

我が国においては、サイバーセキュリティ基本法において、サイバー関連事業者その他の事業者に対して、その事業活動に関し、自主的かつ積極的にサイバーセキュリティを確保するという努力義務が規定されているところ(第7条第1項)、2025年7月の同法の改正により、情報システム等の供給者に対して、利用者によるサイバーセキュリティ確保に必要な支援を行う努力義務が規定されることとなりました(第7条第2項)。

2025年10月、サイバーセキュリティ基本法第7条第1項及び第2項を踏まえ、情報システム等の供給者としてソフトウェアの開発・供給・運用を行う事業者を「サイバーインフラ事業者」と称し、その具体的な役割等を整理した国内のガイドラインとして、「サイバーインフラ事業者に求められる役割等に関するガイドライン(案)」を取りまとめました。

※ 製品として顧客に提供されるソフトウェアのほか、クラウドサービス等のソフトウェアサービス、IT/OT/IoT機器等のハードウェア製品として提供される組み込みソフトウェア・ファームウェア、システム・サービスの構成要素として提供されるソフトウェアも含まれます。

その後、当該ガイドライン(案)について、2025年10月30日(木曜日)から12月30日(火曜日)に実施した意見公募で頂いた御意見も踏まえ必要な修正を行い、今般、策定するとともに、ガイドラインの活用促進に向けた付属文書として評価チェックリスト等を整備しました。

2.「サイバーインフラ事業者に求められる役割等に関するガイドライン」の概要

当該ガイドラインは、サイバーインフラ事業者とその顧客を対象に、ソフトウェア・サプライチェーンのサイバーセキュリティに関するレジリエンス向上のために求められる責務と、責務を果たすための要求事項(具体的取組)について、6つのカテゴリで整理しています。

サイバーインフラ事業者は、当該ガイドラインの要求事項をチェック項目として、自組織及びソフトウェア・サプライチェーンに関連する事業者の取組の過不足を確認することで、当該サプライチェーン上のサイバーセキュリティ対策の成熟度を向上させるツールとして活用できます。

顧客は、当該ガイドラインの要求事項をチェック項目として、ソフトウェアの調達先となるサイバーインフラ事業者の取組を把握したりすることで、適切な調達先の選定が可能となり、サイバーセキュリティ上のリスク管理につなげること等が期待できます。

関連資料

(評価チェックリスト等は日本語版のみとなります。)

関連リンク

担当

  • 商務情報政策局 サイバーセキュリティ課長 武尾
    担当者:橋本、大久保、関戸
    電話:03-3501-1511(内線 3964)
    メール:bzl-cyber-madoguchi★meti.go.jp
    ※[★]を[@]に置き換えてください。
    ※ 原則メールにてお問合せください。

  • 内閣官房 国家サイバー統括室 制度・監督ユニット
    担当者:油川、竹内
    電話:03-5253-2111
METI - Ministry of Economy, Trade and Industry of the State of Japan published this content on March 31, 2026, and is solely responsible for the information contained herein. Distributed via Public Technologies (PUBT), unedited and unaltered, on March 31, 2026 at 05:12 UTC. If you believe the information included in the content is inaccurate or outdated and requires editing or removal, please contact us at [email protected]