【完全解説】銀行システムが無防備に？ 金融庁注視「量子による暗号崩壊シナリオ」とは(3/4)

量子技術と法規制動向「サイバーセキュリティ」「安全保障」

　量子コンピューターに関する法規制は、急速な状況の変化を見せている。現在のところ量子技術を直接の対象とする一般法は存在しないため、既存の法律による規制やガイドライン、そして当局の実務上の対応に注意する必要がある。

　量子技術をめぐる法規制のポイントとなるのは、サイバーセキュリティと安全保障である。そして目下のところ大きな論点となり得るのは、やはりサイバーセキュリティ分野におけるPQC移行の問題である。

　また、安全保障分野では輸出管理が主要な論点となり得る。以下では、サイバーセキュリティと安全保障をめぐる法律上の議論を取り上げたい。

サイバーセキュリティと量子技術に関する法規制の動向
　サイバーセキュリティの観点では、サイバーセキュリティ基本法を受けた「重要インフラのサイバーセキュリティに係る行動計画」（注5）において、金融を含む重要インフラの脆弱性対応が要請されている。

　サイバーセキュリティ基本法や同行動計画では明示的に量子技術についての言及はないものの、将来的に、脆弱性対応の重要な課題としてPQC移行が射程に入る可能性もある。


　さらに、金融庁が2024年10月に公表した「金融機関におけるサイバーセキュリティに関するガイドライン」（注6）では、脅威情報や脆弱性情報を収集・分析する際の「対応が望ましい事項」として、量子コンピューターへの留意が記載された。

　さらに、当局の実務レベルの動きは極めて活発になっている。金融庁は、前述の報告書で2030年代半ばという時期を示してPQC移行を促したことに続き、2025年3月～4月の地銀・第二地銀との意見交換会、6月の新形態銀行との意見交換会において、冒頭に述べたように「PQCへの移行に要するリソースを考慮すると、まだ先の問題と捉えて準備への着手を先送りすることは不適切であり、直ちに取り組んでいただきたい」といった強いメッセージを発している。

　このように、サイバーセキュリティをめぐる議論は、法令レベルでの量子コンピューターへの言及はないものの、ガイドラインレベルでは明示的な言及がなされる段階に至り、さらに当局の実務レベルでは活発な動きを見せている状況にあると言える。

安全保障と量子技術に関する法規制の動向
　次に安全保障については、外為法による輸出管理が急速に強化されている。2024年9月と2025年5月の政省令改正により、量子コンピューターや量子技術の開発に不可欠な関連品目（極低温冷凍機や量子コンピューター用の特殊基板など）が輸出管理の対象に追加されている。

　典型的なデュアルユース技術であることを背景に、まさに足もとで規制が強化されつつあると言えよう。

　安全保障に関する他の論点として、経済安保推進法では基幹インフラの開発・維持管理の外部委託にあたって事前審査が必要であるところ、金融機関のPQC移行に関するITベンダーへの委託についても、システムの重大な変更として事前審査の対象になる可能性がある。

　さらに2025年施行の重要経済安保情報保護活用法により、政府保有の量子関連情報などはセキュリティクリアランス制度の下で取扱要件が課される可能性がある。

　量子技術と法律の問題は、まだ十分な議論がなされていない分野だが、PQC移行、輸出管理、個別法規制との関係など、すでに現実的な課題が生まれ始めている。状況は目まぐるしく変化しており、量子分野のプレーヤーは法令の状況や当局の動向を常に注視する必要がある。 【次ページ】金融業界全体でのPQC移行への取り組みが急務