【完全解説】銀行システムが無防備に？ 金融庁注視「量子による暗号崩壊シナリオ」とは

　PQCへの移行は、単純に暗号アルゴリズムを入れ替えるだけでは済まない。従来の暗号技術とPQCでは、データサイズや処理速度などに大きな違いがあり、既存システムとの互換性確保が重要な課題となる。また、段階的移行期間中は、従来の暗号とPQCが混在する「ハイブリッド運用」が必要になる。この期間中のセキュリティ管理は複雑となり得るため、新たな脆弱性を生み出すリスクも存在する。 　人材面での課題も深刻となるだろう。開発を担うITベンダーにおいてはPQCに関する専門知識を持つエンジニアの確保が急務となる。また金融機関では、技術的な知識だけでなく、リスク評価や優先順位付けができる人材の確保が鍵となるだろう。 　コスト面では、システム全体の改修費用が膨大になる可能性がある。特に地方銀行や信用金庫など、IT投資に制約がある金融機関にとって、PQC移行は経営上の重要な判断を伴うと予想される。 　暗号技術評価委員会（CRYPTREC）は2025年3月に「暗号技術ガイドライン（耐量子計算機暗号）2024年度版」（注4）を公表し、各種PQCの技術解説や評価、導入ガイダンスを提示した。こうした材料を用いながら、金融機関はPQC移行を迅速に進めていく必要がある。

　量子コンピューターに関する法規制は、急速な状況の変化を見せている。現在のところ量子技術を直接の対象とする一般法は存在しないため、既存の法律による規制やガイドライン、そして当局の実務上の対応に注意する必要がある。 　量子技術をめぐる法規制のポイントとなるのは、サイバーセキュリティと安全保障である。そして目下のところ大きな論点となり得るのは、やはりサイバーセキュリティ分野におけるPQC移行の問題である。 　また、安全保障分野では輸出管理が主要な論点となり得る。以下では、サイバーセキュリティと安全保障をめぐる法律上の議論を取り上げたい。 サイバーセキュリティと量子技術に関する法規制の動向 　サイバーセキュリティの観点では、サイバーセキュリティ基本法を受けた「重要インフラのサイバーセキュリティに係る行動計画」（注5）において、金融を含む重要インフラの脆弱性対応が要請されている。 　サイバーセキュリティ基本法や同行動計画では明示的に量子技術についての言及はないものの、将来的に、脆弱性対応の重要な課題としてPQC移行が射程に入る可能性もある。 　さらに、金融庁が2024年10月に公表した「金融機関におけるサイバーセキュリティに関するガイドライン」（注6）では、脅威情報や脆弱性情報を収集・分析する際の「対応が望ましい事項」として、量子コンピューターへの留意が記載された。 　さらに、当局の実務レベルの動きは極めて活発になっている。金融庁は、前述の報告書で2030年代半ばという時期を示してPQC移行を促したことに続き、2025年3月～4月の地銀・第二地銀との意見交換会、6月の新形態銀行との意見交換会において、冒頭に述べたように「PQCへの移行に要するリソースを考慮すると、まだ先の問題と捉えて準備への着手を先送りすることは不適切であり、直ちに取り組んでいただきたい」といった強いメッセージを発している。 　このように、サイバーセキュリティをめぐる議論は、法令レベルでの量子コンピューターへの言及はないものの、ガイドラインレベルでは明示的な言及がなされる段階に至り、さらに当局の実務レベルでは活発な動きを見せている状況にあると言える。 安全保障と量子技術に関する法規制の動向 　次に安全保障については、外為法による輸出管理が急速に強化されている。2024年9月と2025年5月の政省令改正により、量子コンピューターや量子技術の開発に不可欠な関連品目（極低温冷凍機や量子コンピューター用の特殊基板など）が輸出管理の対象に追加されている。 　典型的なデュアルユース技術であることを背景に、まさに足もとで規制が強化されつつあると言えよう。 　安全保障に関する他の論点として、経済安保推進法では基幹インフラの開発・維持管理の外部委託にあたって事前審査が必要であるところ、金融機関のPQC移行に関するITベンダーへの委託についても、システムの重大な変更として事前審査の対象になる可能性がある。 　さらに2025年施行の重要経済安保情報保護活用法により、政府保有の量子関連情報などはセキュリティクリアランス制度の下で取扱要件が課される可能性がある。 　量子技術と法律の問題は、まだ十分な議論がなされていない分野だが、PQC移行、輸出管理、個別法規制との関係など、すでに現実的な課題が生まれ始めている。状況は目まぐるしく変化しており、量子分野のプレーヤーは法令の状況や当局の動向を常に注視する必要がある。