国家情報会議設置法が5/27成立へ — AIモデル時代に「束ねる」体制が問うもの、企業実務への影響を整理
「国家情報会議設置法」が 2026年5月27日に成立する見込みです。首相を議長とする「国家情報会議」と、その事務局である「国家情報局」を新設し、政府の情報活動の縦割りを束ねる司令塔を作る——というのが法案の骨子です。一見すると企業のセキュリティ実務とは距離があるように映りますが、本質的な問題はその先にあります。Claude をはじめとする大規模言語モデルの普及で、従来の国家安全保障の枠組みでは捌けない事象が急増している——本記事は法案の概要を整理しつつ、この AI が突きつけた論点と、企業が今のうちに置くべき備えを論じます。
背景:政府の情報体制を「束ねる」流れ
日本の情報機関は、警察庁公安、外務省(在外公館・対外情報)、防衛省情報本部、内閣情報調査室など各省庁にまたがり、横断的な集約と分析が課題とされてきました。安全保障の意思決定を担う NSC(国家安全保障会議)/NSS(国家安全保障局) は 2014 年に整備されたものの、その判断材料となるインテリジェンスは縦割りのままでした。2025 年 7 月には NISC を改組した 「国家サイバー統括室(NCO)」 が約 240 人規模で発足し、能動的サイバー防御の司令塔に位置づけられました。今回の国家情報会議は、この流れを補完し、サイバーを含むあらゆる情報活動を集約する機能として置かれます。
法案の中身:「国家情報局」が司令塔に
法案は、首相を議長とする国家情報会議で安全保障・テロリズムを対象とする「重要情報活動」の基本方針と、外国勢力による影響工作への対処方針を審議・決定する設計です。事務局の国家情報局は内閣官房に置かれ、現行の内閣情報官を格上げした「国家情報局長」がトップに就きます。各省庁の情報機関に対する総合調整権を持ち、政府全体の情報サイクル(収集→分析→評価→共有)を統括します。NSC/NSS が政策決定、国家情報局が情報集約、国家サイバー統括室がサイバー防御——という三層体制の輪郭が固まる形です。野党の懸念に応じ、付帯決議でプライバシー配慮と、選挙関連情報の収集禁止が明記されました。
AI モデルの台頭が、従来の安全保障に突きつけた難題
ここからが本題です。Claude や GPT のような大規模言語モデル(LLM)の普及は、国家安全保障の世界で「想定外」と呼べる事象を急速に増やしています。法的・組織的な対処枠組みが、技術の進化に追いつかない領域が広がっているのです。具体的には、次の 3 つで質的な変化が起きています。
① サイバー攻撃の「激化」ではなく「民主化」
これまで国家レベルのサイバー攻撃は、専門家集団による高コストの作戦でした。LLM はその参入障壁を一気に下げます。脆弱性の解析、コード生成、フィッシング文面の自動パーソナライズ、内部偵察スクリプトの作成——いずれも対話で完結します。攻撃者は「高度な人材」ではなく「高度な道具」を手に入れたことになり、結果として攻撃の量・質・速度が同時に押し上げられる状態が常態化しています。従来の「国家アクターか否か」という線引き自体が崩れ、能動的サイバー防御の対象を量で凌駕する局面が現実化しています。
② SNS 影響工作の「機械化」
かつての影響工作(FIMI: Foreign Information Manipulation and Interference)は、翻訳・現地化・タイミング調整に莫大なコストがかかりました。今は LLM と画像/音声生成モデルで、多言語・パーソナライズ・大量・即応を低コストで実現できます。ディープフェイク動画、合成音声による電話なりすまし、AI 生成のニュースサイト、ボットアカウントの群——これらが「本物」と区別できない品質で量産される世界で、選挙・株式市場・国際世論を狙う作戦が現実に観測されています。「事後に検証する」では遅いのが本領域の特徴で、伝統的な情報機関の検証サイクルでは追いつかない速度差があります。
③ 機微情報の「無意識の流出」
もう一つの厄介な変化は、防衛側の自家中毒です。業務効率化のために LLM へ入力された情報が、意図せず外部のモデル提供者・データ処理基盤・第三者の API 経由でモデル学習や出力ログに残るリスク——いわゆるシャドー AIです。情報機関や重要インフラ事業者、サプライチェーン上の中小企業まで含めて、機微情報が「正規の業務遂行のなかで」流出する経路が増えました。国家インテリジェンスの観点では、この「無意識の流出」こそが、敵対勢力にとって最も低コストで活用できる入手経路になっています。
つまり、国家情報会議の枠組みは「情報を束ねる」体制を整える話ですが、束ねるべき情報の質と量が AI によって根本から変わっているのが現実です。法整備と並行して、企業側でも従来の「サイバー対策」では捉えきれない領域への備えが必要になります。
セキュリティ実務との接続点:4 つのレイヤー
企業実務には次の 4 レイヤーで波及します。
- ① サイバーインテリジェンス共有:重要インフラ・防衛産業・国立病院などを対象とする能動的サイバー防御は、攻撃の事前察知のために民間からの情報入力を前提とします。指定事業者は脅威情報の共有・通信記録の提供要請に向き合うことになります。
- ② 外国影響工作(FIMI)への対処:ディスインフォメーション、AI生成のディープフェイク、選挙・世論への介入。SNS/メディア/広告事業者は協力要請や運用変更を求められる可能性。
- ③ AI 利活用と情報統制の交差:政府の OSINT は AI 抜きに成立せず、企業の 生成 AI 利用ルールに、機微情報・国家安全保障関連情報の入力禁止を明記することが事実上の標準に。シャドー AI の棚卸しが急務になります。
- ④ プライバシー・コンプライアンス:付帯決議でプライバシー配慮、選挙関連情報収集の禁止が明記。企業は個人情報保護法との接続を再確認する局面になります。
企業が確認すべきチェックリスト
- 自社が 重要インフラ/防衛・国立病院・通信・金融 等の指定対象事業者に該当するか、改めて棚卸しできているか
- サイバー攻撃の脅威情報の社外共有(NCO・JPCERT/CC・ISAC 等への通報)について社内手続が決まっているか
- SNS/広告/メディア運用がある場合、影響工作・ディープフェイクへの社内ガイドラインを整備しているか
- 生成 AI 利用ルールに、機微情報・国家安全保障関連情報の入力禁止が明記されているか(→ 用語集 のシャドー AI 項参照)
- 情報照会・捜査協力依頼が来た際の法務エスカレーション経路が整理されているか
打ち手の優先順位
優先度①:自社の対象事業該当性を法務・経営で確認し、情報共有窓口(CSIRT・法務)の役割分担を明文化する。優先度②:能動的サイバー防御の運用本格化に備え、脅威情報の取り扱いポリシー(外部共有可能な情報・社外秘の線引き)を策定する。優先度③:生成 AI 利用ルールに国家安全保障関連の機微情報を加え、シャドー AI の棚卸しを実施する。優先度④:影響工作・ディープフェイク対応として、SNS 運用担当向けの判断基準とエスカレーション経路を整える。
AI が動かす攻撃と影響工作は、もはや「情報機関の問題」ではなく「経営の問題」になった。
Omamori AI の結論
- 事実:国家情報会議設置法は 2026/5/27 に成立見込み。首相直下の国家情報会議と国家情報局が、政府の情報活動の縦割りを束ねる司令塔となる。2025 年発足の国家サイバー統括室(NCO)、NSC/NSS と合わせて三層体制の輪郭が固まる。一方でClaude 等の大規模言語モデルの普及は、サイバー攻撃の民主化・影響工作の機械化・機微情報の無意識流出という質的変化を、法整備の速度を超えて生み出している。
- 判断軸:本法は政府機関の再編であり、企業を直接規制するものではない。しかし「協力を求められる側」「AI 由来のリスクの当事者」として、企業の現場対応の重みは着実に増す。従来のサイバー対策フレームに AI/影響工作の軸を加えるのが現実的な拡張方向。
- 打ち手:対象事業の該当性確認、情報共有窓口の整備、AI 利用ルールへの機微情報の明示、SNS 影響工作対応の判断基準整備、法務エスカレーションの動線確認。いずれも法施行に合わせて準備する性質ではなく、今のうちに枠組みを置く性質の打ち手。
経営者視点で考えるべきこと
本法は、企業に直接の義務を課す規制ではありません。しかし政府がインテリジェンスをサイバー・AI と束ねていく方向性は明確で、対象事業者かどうかに関わらず、「協力を求められる側」としての準備は経営判断に値します。とりわけ、生成 AI が経営アジェンダの中心に来ている今、機微情報・国家安全保障関連情報の取り扱いを AI 利用ルールに明文化していない企業は、法務・レピュテーション・国家安全保障の三方向に穴を抱えています。CISO /法務/広報を巻き込んだ「情報協力対応ハンドブック」の整備、そして AI 利用ガバナンスを年内のロードマップに置くこと——これが、AI 時代の経営にとって現実的な打ち手です。「サイバーは情シスの問題」から「サイバー × AI × 影響工作は経営の問題」へ、認識の段差を埋めるタイミングが来ています。
関連記事
👉 セキュリティ用語集 ― シャドー AI /インシデント/脆弱性ほか
👉 連載「はじめてのセキュリティ」第7回 会社で守る ― ルールとインシデント対応の初歩
👉 規制・法令カテゴリ 一覧
