なぜ今、インシデント報告義務が経営課題になるのか
サイバーインシデントを「社内で収める」時代が終わりつつあります。EU は NIS2 指令(2022 年 12 月発効・各国法化期限は 2024 年 10 月 17 日。EU 金融機関は NIS2 Art.2(2)(a) で適用除外、DORA(Regulation (EU) 2022/2554、2025 年 1 月 17 日適用開始済み)が lex specialis として別系統で適用)、米国は CIRCIA1(最終規則策定中)で、重要インフラ事業者に対する法的な報告義務を整備しました。日本は業種別の行政報告が中心ですが、国際標準への整合は不可避な方向です。三地域の枠組みを横並びで理解しておくことが、グローバル展開企業にとって今最も急ぐべき規制対応の一つといえます。
本稿の射程と注意:本稿は2026年5月時点の公開情報をもとに整理しています。NIS2 の各国実施状況、CIRCIA 最終規則の発効、NISC の行動計画の改訂はいずれも進行中の論点で、最新の公式発表(EUR-Lex/Federal Register/NISC)を必ず併読してください。
比較対象3本の概要
EU NIS2指令(Directive 2022/2555/EU)
欧州議会が2022年11月10日に採択し、欧州連合官報(OJ L 333/80)に 2022年12月27日 掲載、2023年1月16日発効。EU 加盟国は 2024年10月17日 までに国内法化する義務を負いました。2016年の初代 NIS 指令を全面改訂した本規則は、「必須事業者(Essential Entities)」と「重要事業者(Important Entities)」の二層に分け、エネルギー・輸送・金融・医療・デジタルインフラなど18分野を対象とします。違反には最大グローバル売上高の2%相当の制裁金が科されるなど、推奨ベースだった前身と性格が大きく異なります。
適用対象の規模閾値は、原則として 従業員50名以上 かつ 年売上1,000万ユーロ超(中規模企業以上、Article 2(2))。ただし DNS サービス事業者・TLD レジストリ・通信事業者など、規模にかかわらず適用対象になる業種例外(Art.2(2)b)が定められています。各加盟国の国内法化の進捗には差があり、欧州委員会は2024年11月時点で複数の加盟国に対し非通知の遅延を理由とした手続を開始しています。最新の各国実施状況は ENISA の NIS2 Transposition Tracker で確認できます。
米国 CIRCIA(Cyber Incident Reporting for Critical Infrastructure Act)
2022年3月に連邦法として成立し、2024年4月に CISA(米国サイバーセキュリティ・インフラセキュリティ庁)が規則案(NPRM)を連邦官報に公表しました。エネルギー・水道・交通・医療など16の重要インフラセクターの「対象事業体(Covered Entities)」に対し、重大なサイバーインシデントは72時間以内、ランサムウェアの身代金支払いは24時間以内に CISA へ報告することを義務付けます。最終規則は本稿執筆時点(2026 年 5 月)でも策定段階です。2025 年以降のトランプ政権による規制緩和・DOGE 見直しの流れで、報告閾値・Covered Entity 定義・罰則内容が NPRM から実質変更される可能性が高いため、最終規則確定までは CISA 公式ページで継続確認を要します。最新状況は CISA の CIRCIA 専用ページ で公表されます。
NPRM には IT 業界団体(BSA、Cyber Threat Alliance、ITI 等)から、(1)「Covered Entity」定義が広すぎ中小企業に過大負荷、(2) 72時間という早期段階では誤報告リスクが高い、(3) 提出情報の訴訟証拠転用や情報公開請求への懸念、(4) 弁護士・依頼人特権との衝突、といった反論が複数寄せられています。最終規則ではこれらの論点が一定程度緩和される可能性があり、規制方向性は不可避としても、確定文言は最終規則確認まで保留とすべき事項です。
日本:重要インフラ行動計画+業種別報告義務
内閣サイバーセキュリティセンター(NISC2)が策定する「重要インフラのサイバーセキュリティに係る行動計画(第4次・2022年6月決定)」が現行の基盤です(最新版は NISC 重要インフラ施策ページ で要確認)。情報通信・金融・電力・ガス・医療など14分野を重要インフラとして指定し、インシデント情報の共有・報告の枠組みを設けています。ただし、NISC への情報提供は「努力義務」ベースが中心で、強制力のある報告義務は各業所管官庁の業法(銀行法・電気通信事業法・医薬品医療機器等法など)が担う構造です。サイバーセキュリティ基本法の改正議論やいわゆる能動的サイバー防御関連法案の進展に伴い、義務化強化の方向性が示されています。
横断比較表
| 観点 | EU NIS2指令3 | 米国 CIRCIA | 日本 重要インフラ行動計画 |
|---|---|---|---|
| 適用対象 | 18分野の必須・重要事業者。原則として従業員50名以上+年売上€10M超の中規模以上(Art.2(2))。規模問わず適用される業種例外あり | 16セクターの対象事業体(CISA が NPRM/最終規則で規模・業種を定義) | 14分野の重要インフラ指定事業者 |
| 適用開始 | 2024年10月17日(加盟国法化期限)。複数国で遅延・欧州委員会が手続開始 | 最終規則発効後(本稿執筆時点で確定前) | 第4次行動計画は2022年6月〜。業法ベースの報告義務は各法令による |
| 報告期限 | 早期警戒: 24時間以内 → 詳細通知: 72時間以内 → 最終報告: 1ヵ月以内(早期警戒は「重大なインシデントの疑い」段階で可、確定情報でなくても発動) | 重大インシデント: 72時間以内。ランサムウェア支払い: 24時間以内 | NISC への情報共有は努力義務。業法ベースは業種・事象ごとに異なる(金融機関では金融庁告示で速やかな報告を求めるなど) |
| 重大性の判断基準 | NIS2 Art.23(3): 深刻なサービス妨害、重大な金銭的損失、他者への重大な物質的・非物質的損害。ENISA が影響ユーザー数・継続時間等の指標例を提示 | NPRM が「significant cyber incident」を定義案で提示(業務継続への重大影響、機密システムへの無断アクセス等) | 業所管官庁が業種別に基準を定める(金融庁・総務省・経産省で個別運用) |
| 罰則・制裁 | 必須事業者: 最大1,000万ユーロ または グローバル売上の2%(高いほう)。重要事業者: 最大700万ユーロ または 1.4%。必須事業者の経営者個人の責任(職務停止を含む)も明示(Art.32(5)) | NPRM 段階で民事制裁金の枠組みを提示(最終規則で確定予定)。報告事業体への一定のライアビリティ保護規定あり(Section 2245) | 業法違反は業務改善命令・免許停止等の行政処分。NISC への不報告に直接罰則はなし |
| 他規制との重複関係 | 個人データ侵害は GDPR Art.33(72時間 DPA 通知)・Art.34(本人通知)と並立。通知先・通知内容は別管理 | OCC/FRB/FDIC 36 時間ルール、SEC Item 1.05(重要性決定から 4 営業日以内 8-K。司法長官が国家安全保障・公共安全への重大リスクと判断した場合は最大 30 日・延長で 60 日の開示遅延例外あり、17 CFR 229.106(a)(1)(i))、HIPAA Breach Notification(60 日以内)等と並立。Section 2240 で当局間調整規定あり(詳細は最終規則待ち) | 個情法第 26 条(速報 3〜5 日・確報 30 日、ただし不正アクセス等を原因とする漏えいは確報 60 日以内)と業法ベース報告が並立 |
| 域外適用 | EU 域内でサービス提供する事業者に適用(日本企業でも EU 拠点・顧客があれば対象。EU 内に法人がない場合は NIS2 Art.26 により EU 加盟国内に公認代理人 Authorised Representative を指定する義務あり) | 米国内の重要インフラに適用(日本企業の米国子会社・事業は対象候補) | 原則として日本国内の指定事業者 |
| 報告先 | 各加盟国の所管当局(CSIRT を含む) | CISA(ワンストップ報告窓口として設計) | 業所管官庁(金融庁・総務省・経産省等)+NISC への情報共有(任意) |
共通点と相違点の解説
共通する基本思想
3つの枠組みに通底するのは「インシデントを当局と共有し、社会全体の脅威知識を高める」という原則です。NIS2、CIRCIA、日本の行動計画はいずれも、単なる被害報告ではなく脅威インテリジェンスの集約と活用を目的として情報共有を位置づけています。報告対象を「重要インフラ」に絞り、社会的影響の大きいセクターを優先する設計も共通します。また、セキュリティ対策の実施義務(技術的・組織的措置)と報告義務を一体として求める方向性も三者で一致しています。
本質的な相違点
最も大きな違いは 拘束力と制裁の明確さ です。NIS2 は巨額の制裁金に加え経営者個人の責任(Art.32(5))まで明定し、加盟国当局に強制執行権を与えました。CIRCIA は連邦法として義務化し、最終規則で制裁の詳細を固めつつあります。一方で報告事業体へのライアビリティ保護規定(Section 2245)も併設され、報告を促すインセンティブ設計が組み込まれています。日本の行動計画は努力義務と業法ベースの義務が混在し、NISC への不報告に直接的な罰則がないため、報告の強制力は相対的に弱い状態です。
もう一つの相違点は 報告先の一元化度合い です。CIRCIA は CISA をワンストップ窓口として設計し、報告フォーマットの標準化を進めています。NIS2 は加盟国ごとの所管当局への報告が基本で、EU 横断の調整は ENISA4 が担います。日本は業所管官庁が分散しており、複数省庁への報告が並行するケースがあります。日米欧に拠点・顧客を持つ企業が同一インシデントを抱えた場合、NIS2/CIRCIA/GDPR/業法・個情法・SEC 4日ルールなど 複数系統の報告フローを同時並行で回す必要 が生じる点は実務上の重大な負荷となります。
業種別の影響と読み替え
記事の射程は読者の業種で具体性が変わります。主要 3 業種で押さえるべきポイントを整理します。
- 製造業(自動車・半導体・化学等): 直接 NIS2 適用にならない場合でも、欧州必須事業者の Tier-1/Tier-2 サプライヤーである場合、契約上のインシデント通知義務・同等セキュリティ水準が間接的に要求されるケースが急増しています(NIS2 Art.21(2)(d) サプライチェーン措置)。サプライヤー審査と契約条項の見直しが優先課題です。
- SaaS・クラウド事業者: NIS2 はデジタルサービスプロバイダー(DSP)として直接適用対象になりうるため、EU 顧客がいれば Essential/Important Entity 該当性を確認する必要があります。
- 金融機関(米国子会社あり): 既存の OCC/FRB/FDIC 36 時間ルール、SEC Cybersecurity Disclosure Rule(Item 1.05、4日以内)と CIRCIA 72 時間ルールが並走するため、報告フロー・期限管理を統合した一覧表を法務・コンプラと共同で作成することが急務です。
日本企業が取るべき優先対応
- 設計: インシデント分類基準(重大性の定義)を社内で統一し、NIS2 の 24/72 時間・1 ヵ月、CIRCIA の 72 時間、SEC の 4 日、GDPR の 72 時間、国内業法・個情法の各期限を、システム分類にマッピングします。報告フォームや証跡収集の仕組みを SIEM/EDR のアラートフローに組み込み、「期限内に報告可能な状態」を技術的に確保することが現実的です。重大性指標は ENISA・NPRM の例(影響ユーザー数・ダウンタイム・財務損失)を出発点に、自社の業務基準値で具体化します。
- 運用: 重大インシデント発生時の報告判断フローを Playbook 化します。「24時間・72時間の期限から逆算したタイムライン」を可視化し、初動対応チームが判断に迷わない設計にします。EU 拠点・米国事業を持つ企業は、法務・コンプラ・現地 CSIRT・外部法律顧問・フォレンジック業者の起動判断(発覚後15〜30分以内)も Playbook に記載することが欠かせません。NIS2 Art.23 の「early warning は重大性の確定情報でなくても可」という設計を理解し、不完全情報での通知を恐れずに行える運用に整えます。
- ガバナンス: 適用対象の自己評価を経営会議に報告し、EU・米国の対象可否を確定させます。NIS2 必須事業者へのサプライヤー(Tier-2 含む)である場合、契約上の間接的義務化リスクも棚卸し対象に含めます。NIS2 は経営者個人の責任を明示 しているため、D&O 保険の更新審査でこのリスクを確認することも経営層の論点に含めるべきです。NIS2 の各国法化状況と CIRCIA 最終規則の動向は継続的にウォッチし、規則確定後に報告義務が発生する部署・子会社を事前に把握しておくことが重要です。
一枚要約
EU NIS2 は2024年10月に各国法化の期限を迎え、米国 CIRCIA は最終規則策定中です。いずれも重要インフラ事業者に72時間以内の法的報告義務を課し、違反には最大数千万ユーロ規模の制裁、NIS2 では経営者個人の責任まで及び得ます。日本は業種別報告義務と NISC への努力義務が並立する段階ですが、国際標準への整合は不可避な方向です。EU・米国に拠点や顧客を持つ日本企業は、今すぐ適用対象の自己評価を行い、NIS2/CIRCIA/GDPR/SEC/国内業法・個情法を並行して回せる報告 Playbook の整備を優先してください。
報告義務をRACIに変換する
インシデント報告義務は、法令名を覚えても運用できません。発見、重大性判断、対外報告、追加報告、証跡保全の担当を先に分けておく必要があります。
| 工程 | 責任者 | 関与者 | 残す証跡 |
|---|---|---|---|
| 検知・初報 | SOC/CSIRT | システム担当、委託先 | 検知時刻、影響システム、初期ログ |
| 重大性判断 | CISOまたはリスク管理責任者 | 法務、事業責任者 | 判断時刻、判断根拠、未確定事項 |
| 当局・顧客報告 | 法務・広報・所管部門 | 経営、CSIRT | 報告先、報告内容、送信時刻 |
| 追加報告 | インシデント責任者 | 調査チーム、委託先 | 新事実、修正理由、次回更新予定 |
| 証跡保全 | CSIRT | IT運用、外部フォレンジック | ログ保全範囲、取得者、保全方法 |
時間制限より先に決めること
NIS2、CIRCIA、日本の業種別報告を比較すると、時間制限の違いに目が行きます。しかし実務で先に詰まるのは「誰が重大性を決めるか」です。初動時点では事実が不完全なので、未確定事項を明示して暫定報告できる体制を作っておく方が現実的です。
今日着手できる3アクション
- EU 拠点・顧客の有無確認: EU 域内で事業・サービスを提供している子会社・SaaS の有無を法務部門に確認し、NIS2 の適用対象(規模閾値・業種例外)を特定します。各国実施状況は ENISA NIS2 Transposition Tracker で確認します。
- 米国インフラセクター該当確認: CISA CIRCIA 専用ページ で16セクター分類と最終規則の最新状況を確認し、米国子会社・事業の Covered Entity5 該当可否を法務と共同で判断します。米国上場・ADR 発行企業は SEC Item 1.05(4日 8-K 開示)との並立も同時に確認します。
- 国内業法・個情法報告義務の棚卸し: 金融庁・総務省・経産省等の業所管官庁が定める報告義務、および 個人情報保護法第26条(速報3〜5日・確報30日)の報告フロー(担当部署・連絡先・記録様式)を一覧化し、Playbook と突合します。NISC 重要インフラ施策ページ で行動計画の最新版も併せて確認してください。
AI×セキュリティの観点
AI エージェントや LLM を組み込んだシステムが重要インフラの制御・監視に広がると、インシデント報告義務の「重大性判断」がより複雑になります。NIS2 も CIRCIA も、報告対象となる「重大なインシデント」の定義に「業務継続への重大な影響」を含みますが、AI システムのモデル汚染・推論操作・ハルシネーション誘発がこの基準を満たすかどうかは現行規制では曖昧なままです。EU AI Act は高リスク AI システム提供者に対して重大インシデント報告義務(Article 73)を課しており、NIS2 と並立して報告系統が増える方向で議論が進んでいます。日本でも AI 事業者ガイドラインで「インシデント対応」が論点化されており、規制系統の交差点を意識した設計が今後の論点です。
用語ミニ解説
- CIRCIA — Cyber Incident Reporting for Critical Infrastructure Act。2022年3月に米国で成立した連邦法で、重要インフラ事業者に対するサイバーインシデントの報告義務を定める。規則の詳細は CISA が策定中。 ↩
- NISC — 内閣サイバーセキュリティセンター(National center of Incident readiness and Strategy for Cybersecurity)。内閣官房に置かれ、日本の重要インフラ保護政策と情報共有の中核を担う機関。 ↩
- NIS2指令 — EU の Directive 2022/2555/EU。必須事業者(Essential Entities)と重要事業者(Important Entities)の二層構造を持ち、制裁上限が異なる(必須: 最大€10M/2%、重要: 最大€7M/1.4%)。監督強度も二層で差を設けている。 ↩
- ENISA — 欧州連合サイバーセキュリティ機関(European Union Agency for Cybersecurity)。NIS2 の実施支援・ガイドライン策定・EU 全体の脅威情報集約を担う。NIS2 Transposition Tracker で各国実施状況を公開。 ↩
- Covered Entity — CIRCIA の文脈で、16の重要インフラセクターのうち CISA が規則で定める規模・業種の要件を満たす事業体。全米の重要インフラ事業者が対象になるわけではなく、最終規則で閾値が確定する予定。 ↩
コメント