政府は2021年10月をめどに国の情報セキュリティー戦略の改定を閣議決定する。今後3年前後のセキュリティー政策を方向付けるもので、行政から中小企業まであらゆる組織でDX(デジタル変革)とセキュリティー対策を両輪で取り組む重要性を強く打ち出す。
民間企業にその浸透を図るため、投資促進策などの「アメ」を企業に与える基準にセキュリティー要素を盛り込む。例えば、IT投資の優遇制度は、企業の経営層が率先してセキュリティー対策に取り組むことを適用の条件に加える。
中小企業には自社が遭遇する可能性のあるサイバー攻撃を可視化する製品の導入を支援して、対策の必要性を知るきっかけにしてもらう。セキュリティー対策が不十分なまま官民ともにDX投資が先行する傾向に政府として歯止めをかけ、両輪での対策を促す内容だ。
DX投資減税、経営者主導のセキュリティー対策が条件に
戦略は、内閣官房の内閣サイバーセキュリティセンター(NISC)が「次期サイバーセキュリティ戦略」として2021年7月に案を公表した。2018年7月に閣議決定したサイバーセキュリティ戦略を3年ぶりに更新する。8月に意見募集を終えており、「9月中に最終版を公表、10月をめどに閣議で正式決定する見通しだ」(NISC)。
戦略案でたびたび強調している言葉が「DX with Cybersecurity」(サイバーセキュリティーを伴うDX)、「Cybersecurity for All」 (誰も取り残さないサイバーセキュリティー)の2つである。組織での対策のほか一般国民向けの情報教育でもセキュリティーのリテラシー向上も施策の一つに盛り込んだ。
民間では、まず企業の経営層へセキュリティーに対する意識改革を促すほか、中小企業や地域社会にセキュリティー対策を根付かせる政策を打ち出した。重要性を説くだけでなく、省庁の連携で具体的に民間を動かす「アメ」も準備した。
具体的には、企業のIT投資減税の審査の条件にセキュリティーを加えた。2020年に始まった経済産業省が認定する「DX認定制度」に基づく投資減税である。経産省からDX認定を受ける条件として、経営者が実践すべき「デジタルガバナンス・コード」に、経営者が戦略の実施の前提となるサイバーセキュリティー対策を推進していることを条件に加えた。企業は実際にガイドラインなどに基づいて対策を採り、セキュリティー監査を実施していることを説明する文書の提出が必要になる。
DX認定を受けた企業は、DXに関わる投資額に対して最大で5%の税額控除か、投資額の30%を特別償却ができる優遇が受けられる。減税の割合は2018年〜2021年3月と直前まで実施していたIoT税制(コネクテッド・インダストリーズ税制)と同等の内容だ。2021年6月に可決された産業競争力強化法改正に基づき、現時点での適用期間は法施行から2023年3月末までとなる。
