IT関連法改正で「IPAはこう変わる」 IT部門が押さえるべきポイントを解説：SIerはどこから来て、どこへ行くのか

情報処理の促進に関する法律（情促法）がわずか1年余りで3度も改正された。これによって企業はどのような影響を受けるのか。IT部門が押さえるべき法改正のポイントを解説する。

[室脇慶彦，SCSK株式会社]

この連載について

　ユーザー企業にとって、SIerはITシステムの導入から運用、故障時の対応や更新などに欠かせない存在です。

　しかし、その関係性はと言うと、対等なパートナーと言うよりも、ユーザー企業はSIerに対して丸投げしがちで、SIerも「お客さまであるユーザー企業の要望は断りづらい」ために、ユーザー企業のITシステム全体の最適化よりも、その場その場のニーズへの対応を重視しがちな「御用聞き体質」が指摘されてきました。

　こうした中、DX案件の増加やIT人材の慢性的な不足、ユーザー企業の内製化志向などのさまざまな環境変化によって、ユーザー企業とSIerとの関係は変わらざるを得なくなりつつあります。

　この連載を通じて、SIビジネスを取り巻く構造的な問題を掘り下げ、ユーザー企業とSIerが目指すべき関係の在り方を探っていきます。

　前回は、「なぜIT業界だけがバグがあって当たり前という認識に甘んじているのか」を製造品質の観点から掘り下げ、各機能を部品のように組み合わせて開発する「部品化」の重要性に触れた。今回は、部品化に伴って品質保証の考え方がどう変わるのかについてさらに掘り下げていく。

　その前段として今回取り上げるのは、IT部門が押さえておくべき制度面の変化だ。情報処理の促進に関する法律（情促法）はこのわずか1年余りで3度も改正された。IPAは経済産業省（経産省）の一機関から省庁横断的にIT政策を推進する政策政策執行機関へと変貌しつつある。

　「それはあくまで政府や省庁の話で企業には関係ないことだ」と思われるかもしれない。しかし、この変化は民間企業にも影響を及ぼす可能性がある。何が変わり、企業はそれにどう備えるべきか。順を追って解説する。

3度改正された「情促法」　IT部門が押さえるべきポイントは？

　実は、この1年余りの間に「情報処理の促進に関する法律」（以下、情促法）が3度も改正されている。この事実が持つ意味は極めて大きい。

　本題に入る前に、読者の皆さんにとってなじみが薄い可能性がある情促法について簡単に触れておきたい。

そもそも「情促法」とは何か？　

　情促法は1970年に制定された法律で、情報処理に関する国の施策を総合的に推進し、国民生活の向上および国民経済の健全な発展に寄与することを目的としている。

　具体的には、IPA（情報処理推進機構）の設立根拠となっている法律であり、情報処理技術者試験や情報処理安全確保支援士試験（登録セキスペ）などのｘ資格制度もこの法律に基づいている。つまり、日本のIT政策の土台となる法律だといえる。

　この情促法が、わずか1年余りの間に3度も改正されたことは、IT産業を取り巻く環境が急激に変化していることの証左であり、IT業界に携わる者として見過ごせない動きだ。

　ここから改正のポイントを具体的に見ていこう。

改正1：　IPAが全省庁のIT関連の政策政策執行機関に

　2024年5月に成立した「デジタル社会の形成を図るための規制改革を推進するためのデジタル社会形成基本法等の一部を改正する法律」により、情促法の一部が改正され、IPAが実施する主要業務の主務大臣に内閣総理大臣が追加された 。

　これまで経産省）所管の政策執行機関だったIPAは、内閣総理大臣も主務大臣となり、政府全体のIT政策を横断的に担う政策執行機関へと役割が拡大したわけだ。

　この変化の意義を具体例で説明しよう。2023年にIPAが情報通信や電力、水道といった「重要インフラシステム」の要件定義ガイドライン（重要情報を扱うシステムの要件策定ガイド）を公開した。しかし当時、経産省以外の省庁が所管する業界に対する拘束力はなかった。重要インフラとして14分野が定められているが、金融機関の所管は金融庁、通信事業者の所管は総務省だ。経産省の一政策執行機関が出したガイドラインを、他省庁が所管する業界が順守すべき理由はこの時点では存在しなかった。

　ところが、内閣総理大臣が主務大臣となったことで、IPAは政府全体のデータ標準化やシステム基盤整備において中心的な役割を担うようになった。これにより、IPAの策定する基準は事実上、政府調達や各省庁のシステム整備における重要な要件となり、産業界の標準に対しても決定的な影響力を持つことになった。

　IPAと似た組織として米国にはNIST（米国国立標準技術研究所）があり、大きな予算と専門人員を擁している。筆者もIPA参与時代に一度訪問し、権威と実力を備えた機関だという感想を持った。この2024年5月の法改正は、IPAがNISTのような機関に成長することを期待した政策決定側の思惑があるのではないかと筆者は推察している。ITに関する標準化を整備する機関が日本に本格的に誕生したことは極めて重要だ。

改正2：　半導体・AIへの政府出資機能を追加

　2つ目は、2025年4月に成立した「情報処理の促進に関する法律及び特別会計に関する法律の一部を改正する法律」により情促法の一部が改正され、従来の助成業務に加え、出資・債務保証という産業投資機能がIPAに追加された。具体的には半導体および大規模サーバに関する事業体、AIに関するソフトウェアにIPAを通じて政府が出資するというものだ。

　これはあくまで筆者の推測だが、投資先として想定されている事業はRapidus（ラピダス）による国産半導体と、さくらインターネットが開発中のいわゆる国産クラウドではないか。いずれも経済安全保障の観点から重要であり、日本のITが世界に比べて後れを取っている分野だ。

　筆者は国産クラウドに関してこの10年さまざまな活動を実施してきた。国産クラウドの必要性についての提言活動や政府の委員会への関わりを継続してきたが、最大の障壁は常にマネタイズ（収益化）、つまり国産クラウド事業が商売として成り立つかどうかだった。その意味で、政府が出資するという決定は大きな前進だといえる。

改正3：　サイバー攻撃への無害化措置

　3つ目は、2025年5月に成立した「重要電子計算機に対する不正な行為による被害の防止に関する法律」をはじめとする、サイバー攻撃に対する無害化措置（通信の遮断や無力化）に関する一連の法律（サイバー対処能力強化法及び同整備法）による改正だ。これは、重要システムに対して海外からサイバー攻撃された場合、政府の司令塔機能の下、警察や自衛隊が法的な裏付けをもって攻撃元のサーバに対する無害化措置を実施できるようにするものだ。

　例えるならば、他国からミサイル攻撃を受けた場合に、発射元のミサイル基地に反撃して無害化するようなものだ。これは相当踏み込んだ対応だが、欧州などでは既に法制化されており、日本の対応が突出しているわけではない。

　昨今、アサヒビールやアスクルなど、海外からのサイバー攻撃による被害が頻発している。重要なITシステムを守ることは、防衛の観点からも極めて重要だ。

　ただし、無害化措置を実施するためには通常時の情報収集が必要であり、個人情報保護の観点から国会でも議論になっている。実際には、個人情報などのアプリケーション層ではなく、IPアドレスレベルのネットワーク層の情報収集であり、その懸念は杞憂（きゆう）と考えられる。とは言え、正しく運営される仕組みや運営の妥当性については、専門家によるチェックが必要だ。そのため、個人情報保護委員会のような独立性の高い委員会（いわゆる三条委員会に相当する委員会）が新たに設置され、チェックする仕組みが法律に組み込まれている。

　この法律を実行するには情報収集の仕組みや無害化措置の必要性を判断する仕組み、委員会への報告体制、無害化措置の実行体制、予防措置の検討と周知徹底の仕組みなどを構築する必要がある。この中でIPAは、サイバー攻撃に関する情報の収集や分析、攻撃の手口（TTPs）の解析といった技術的な中核機能を担い、政府の意思決定や警察、自衛隊の対処を支えることになる。

IT業界に求められる覚悟

　これらの改正から、IPAがまさに国のIT関連施策の政策執行機関になったことが裏付けられる。正直なところ、IPAにこれらを全て完璧に実行できるケイパビリティ（能力）があるとは現時点では言い難いと筆者は見ている。しかし、その重要性に異論はない。IT業界がさまざまな面でIPAに協力する体制を構築する必要がある。

　他のインフラ産業並みに、官民一体となった支援体制の確立がようやく求められるようになったわけだ。IT業界の奮起を期待したい。IT業界としても、適切な規制を受けながらあるべき姿を国とともに作り上げ、安全で成長するIT産業を実現していくことが求められている。

　IT業界の皆さんには、この重い責任をぜひ認識していただきたい。

　また、2025年5月、IPA、経産省、デジタル庁が事務局となったレガシーシステムモダン化委員会の総括レポート『DXの現在地とレガシーシステム脱却に向けて』が発表されている。ここでのポイントは、デジタル庁が事務局に参加していることだ。つまりレガシーシステムに関する問題が経産省マターではなく、国全体の課題であることが明確になったということだ。本テーマに関しては次回以降、改めて取り上げたいと考えている。

ユーザー企業が押さえるべきポイントは？

　冒頭でも述べた通り、IPAに関する法改正はユーザー企業にとっても重要だ。端的に言えば、今後、IPAが出すガイドラインは、業界を問わず準拠を求められる可能性がある。

　これまで、IPAのガイドラインは「参考にすべき指針」にとどまっていた。しかし今後は、重要インフラを担う企業はもちろん、その取引先企業に対してもガイドラインへの準拠が取引先選定の条件として求められる可能性がある。

　自社が重要インフラ企業に該当するかどうかにかかわらず、IPAの動向を注視すべき時代が来たと筆者は考えている。

　次回は、「部品化」に伴う品質保証の考え方について詳しく掘り下げる予定だ。

著者紹介：室脇慶彦（SCSK顧問）

むろわき　よしひこ：大阪大学基礎工学部卒。野村コンピュータシステム（現野村総合研究所）執行役員金融システム事業本部副本部長等を経て常務執行役員品質・生産革新本部長、理事。独立行政法人　情報処理推進機構　参与。2019年より現職。専門はITプロジェクトマネジメント、IT生産技術、年金制度など。総務省・経産省・内閣府の各種委員等、情報サービス産業協会理事等歴任。著書に『SIer企業の進む道』（日経BP）、『プロフェッショナルPMの神髄』（日経BP）など。