【サウジアラビア】国家サイバー庁、セキュリティ職全員をサウジ人化。従業員6人超の日本進出企業も対象に

NCA、サイバーセキュリティ職を全員サウジ人化。対象は従業員6人超の私企業

サウジアラビアの国家サイバーセキュリティ庁（NCA, National Cybersecurity Authority）が、私企業のサイバーセキュリティ担当者の国籍要件を一気に締めた。これまでは上級職（CISOクラス）のみがサウジ人限定だったところ、改訂版の必須サイバーセキュリティ統制「ECC 2:2024」では、サイバーセキュリティ機能に属する全ポストをサウジ人で埋めるよう求めている。NCAの規制適用範囲は2026年1月の「NCNICC-1:2025」で従業員6人以上の私企業すべてに広がっており、駐在日本人エンジニアでサイバー対応をしている日本企業の現地法人も、人員計画の組み直しを迫られる。

元ネタ：BSA Law（2026年1月1日）、CMS Law（2026年3月27日）、Out2Sol（2026年4月28日）

元ネタ：Kingdom of Saudi Arabia issues new Cybersecurity Controls for the Private Sector（CMS Law / 2026年3月27日）／補助：BSA LAW (2026年1月1日)、Out2Sol (2026年4月28日)

Cybersecurity Saudization: All cybersecurity roles must now be filled by qualified Saudi nationals — expanded from previous versions that only applied this to senior positions.

（訳：「サイバーセキュリティのサウジ化：上級職のみだった旧版から拡張され、現在はすべてのサイバーセキュリティ職が有資格のサウジ国民で埋められなければならない」）

ECC 2:2024とNCNICC-1:2025が同時に効くため、日本企業に「採用」と「委託」の二択しか残らない

制度の構造を整理すると、NCAは2024年改訂の「ECC 2:2024」と2025年制定の「NCNICC-1:2025」を二段ロケットで効かせている。ECCは「人材の国籍」を、NCNICCは「企業の規模と統制内容」を縛る。

• ECC 2:2024：4ドメイン・28サブドメイン・約110統制。Cybersecurity Saudizationの対象を「上級職のみ」から「全サイバー職」へ拡張。CISO、SOCアナリスト、脆弱性管理担当、インシデント対応担当を含む。
• NCNICC-1:2025：従業員250人以上または年商SAR 2億（約80億円）以上の「カテゴリA（大企業）」に65統制を、6〜249人または年商SAR 300万〜2億の「カテゴリB（中小）」に26統制を課す。

サウジで6人以上の現地法人を抱える日本企業は、自前でサイバーセキュリティ担当を雇うならその全員をサウジ人にしなければならず、そこを避けるならサウジ拠点のマネージドセキュリティサービスプロバイダー（MSSP）に委託するほぼ一択に近い構造になる。サウジ国内のサイバー人材プールは限られており、Cyfirmaなどの現地調査会社が指摘してきた人材不足の問題が、規制側から逆に固定化された格好だ。

🌏 サウジ現地の論調：罰金SAR 2,500万に加え操業停止を裁量で命じられるリスク

サウジの現地ITメディア・法律事務所の記事を横断的に読むと、Saudization拡張に対する論調は「Vision 2030の人材育成路線として当然」というトーンが基本だ。一方、企業側のリスクは法律事務所の警告のほうがはるかに具体的で、CMS Lawはカテゴリ判定→ギャップ分析→政策・契約・クラウド条項の更新までを段階的にやらないと間に合わない、と書く。Aramis Solutionsの2026年5月19日記事は「コンプライアンスは1回の文書整備で終わる話ではなく継続的なマネジメント」と繰り返し、Out2Solは違反時の罰金上限をSAR 2,500万（約10億円）と明示している。NCAは罰金に加えて業務停止を裁量で命じられるため、操業継続を望むなら「採用かMSSP委託か」を早めに固める必要がある、というのが現地法律事務所の総意になりつつある。

SDAIA（Saudi Data and AI Authority）が監督する個人情報保護法PDPLとの接続点も外せない。NCAの統制が満たされていない状態で個人情報漏洩を起こすと、SDAIAは「そもそも基礎統制を実装していなかった」と判断する材料に使う。CMS LawはECC/NCNICCを「PDPL対応の足場」と位置づけている。

🇯🇵 日本企業の現地法人、サイバー人材は「サウジ採用かMSSP委託か」の二択

サウジには日本の自動車メーカー、商社、エンジニアリング各社が現地法人を持つ。トヨタ系のAbdul Latif Jameel経由の販売網、三菱商事や住友商事のリヤド拠点、JGC（日揮）の石化プロジェクト出向者など、現地法人で6人以上の規模はざらにある。これらの企業は2026年以降、自前で情シス・SOCを置くなら「日本人駐在員にIT・サイバーを兼任させる」モデルが取れなくなる。

選択肢は二つ。ひとつは現地でサウジ人のサイバー人材を採用する経路。STC（Saudi Telecom Company）、SITE（Saudi Information Technology Company）、ハニウェル中東などの大手が同じ人材プールを取り合うため、給与水準は上がる方向に動く。もうひとつはサウジ国内に拠点を持つMSSPに委託する経路で、こちらは契約とSLAで「サウジ人スタッフによる運用」を担保させる構図になる。NEC、富士通、NTTデータ、トレンドマイクロといった日系のサイバー事業者がサウジ進出を強める動機もここにある。

もうひとつ見落とせない論点は「日本本社からのリモート対応では足りない」という点だ。Saudizationは「サウジ国内に居住する有資格のサウジ国民」が職務に就くことを求める。本社の東京SOCから24時間監視している、では役職充足の要件を満たさない読みが強い。サイバー業務の現地化は、サウジ進出時の労務コストを「実工数×単価」ベースで見直すフェーズに入った。

サウジ進出の参入障壁が「労務」から「IT人事」に拡張された

これまでサウジ進出の労務リスクといえばニタカット（民間Saudization）の数値達成が中心で、IT人事は対象外という整理が通用した。NCNICC-1:2025とECC 2:2024の組み合わせは、その整理を根本から崩した。従業員6人以上の日本企業はサウジで「サイバーセキュリティ機能のサウジ人化」を経営計画に組み込まないと、操業の前提が成り立たない。Vision 2030の表向きのメッセージである「サウジ人雇用の創出」は、サイバー領域では「外資企業の駐在員ITモデルの実質禁止」というオペレーション制約として現れた。

情報セキュリティの敗北史 脆弱性はどこから来たのか