サイバーセキュリティ事業に必要な許認可
セキュリティ対策・コンサルティング
サイバーセキュリティ事業の許認可の全体像
サイバーセキュリティ事業そのものには、開業に必須となる業種特有の免許はありません。診断・コンサル・監視サービスは無資格でも開始でき、最初の手続きは個人なら個人事業の開業届、法人化するなら法人設立登記です。許認可の本質は「法律上の参入規制」ではなく、顧客と官公庁が取引条件として求める認証・登録にあります。ここがこの業種の特殊性で、届出を怠ると違法というより「受注できない」という形で効いてきます。
取得すべき順序と依存関係
まず事業形態を確定し開業届または設立登記を済ませます。次に、扱う情報資産に応じた基盤認証へ進みます。社内の情報管理体制を示すISMS認証(ISO/IEC 27001)、個人データを取り扱うならプライバシーマーク認定が代表格で、いずれも第三者審査を経るため申請から取得まで半年前後かかります。これらは登記直後に着手し、並行して内部規程を整備するのが効率的です。
官公庁案件を狙うなら、IPAが運用する情報セキュリティサービス基準適合認定(情報セキュリティサービス審査登録)が実質的な入口になります。脆弱性診断、デジタルフォレンジック、マネージドセキュリティサービス(SOC運用)などサービス区分ごとに審査されるため、提供メニューを先に決めてから申請します。ペネトレーションテスト事業者として信頼を示す場面でも、この適合リストへの掲載が指標になります。
サービス内容で追加される届出
提供範囲が広がると、別法令の手続きが連鎖します。
- 自社網でVPNや常時接続を顧客に提供する場合は、電気通信事業の届出(VPNサービス提供事業届出に相当)が必要です。
- 物理的なネットワーク配線・機器設置まで請け負うなら電気通信工事業者登録と工事担任者の確保が要ります。
- 電子証明書を発行するCA事業(SSL/TLS証明書発行、電子署名認証業務、特定認証業務、デジタル認証業務)は電子署名法に基づく認定の対象で、設備・運用要件が厳格です。
- マイナンバーを扱う業務では特定個人情報保護評価書の提出、個人データ管理事業に関する体制整備が前提になります。
- サイバー保険を代理販売するなら損害保険代理店(サイバー保険代理店)登録が別途必要です。
費用の目安とスケジュール
ISMS・Pマークは審査費用と外部コンサル費を含めおおむね数十万〜百数十万円規模、年次更新費も発生します。IPA適合認定は審査区分ごとに費用が変わり、所管・審査機関により異なります。電気通信事業の届出自体は登録免許税等が中心で比較的安価です。全体像としては、登記直後にISMS・Pマークへ着手し、半年で基盤認証を取得、そこからサービス別の届出を積み増す半年〜1年の設計が現実的です。
よくあるつまずき
最大の落とし穴は「VPN提供=電気通信事業届出が必要」「証明書発行=電子署名法の認定対象」という連鎖を見落とし、サービス開始後に届出漏れが発覚することです。生体認証サービスや脆弱性情報取扱いなど、扱う技術ごとに別途のガイドライン遵守が求められる点も見逃しやすく、各認証の費用・要件は所管庁・審査機関により異なるため、提供メニュー確定の段階で個別に確認してください。