【サウジアラビア】民間全社にサイバー65項目を義務化、違反で罰金最大10億円——日本進出企業も対象

📝 サウジ当局、民間全社に65項目のサイバー義務化、違反で罰金最大10億円

サウジアラビアの国家サイバーセキュリティ庁（NCA）が2026年1月12日付で「NCNICC-1:2025」を発行した。重要インフラ（CNI）以外の民間企業を対象にした新しい強制規制で、違反すれば最大でサウジ・リヤル2,500万（約10億円）の罰金が科される。これまでNCAの強制力は政府機関とCNI企業に限られていた。それが今回、王国内で操業するほぼすべての民間企業に広がった形だ。

📰 CMS Law解説：「全私企業は最低限のサイバー要件を実装する義務を負う」

元ネタ：Kingdom of Saudi Arabia issues new Cybersecurity Controls for the Private Sector（CMS Law / 2026年3月27日）

“These Controls set out minimum cybersecurity requirements that private sector organisations across the Kingdom (whether small, medium or large) are required to implement across the Kingdom.”（CMS Law、2026年3月27日）

BSA Law（2026年1月12日付速報）は「NCAが非CNI民間企業向けの強制的なベースラインを確立した」と報じた。Class A（大企業）とClass B（中小企業）の二段階で適用範囲を切り分けたところがポイントだ。

🔥 ECC-2:2024（CNI向け）と並列、3要素・22項目・65コントロールの構造

NCNICC-1:2025は、政府機関とCNI企業向けに先行適用されているECC-2:2024（4ドメイン・28サブドメイン・約110コントロール）の私企業版と位置づけられる。Class A（従業員250人以上または年商SAR2億超）に課されるのは、ガバナンス・防御・レジリエンスの3要素と22のサブコンポーネント、そして65の必須コントロールだ。多要素認証、データ暗号化、定期バックアップ、インシデントログ、第三者リスク管理、独立監査。どれもCNI向けECCで見慣れた項目が並ぶ。

Class B（従業員6〜249人または年商SAR300万〜2億）は1要素・13サブコンポーネント・26コントロールに圧縮された。監査や複雑なガバナンス機構の一部は「推奨」扱いで法的義務にはならない。サウジ経済活動の99%超を占めるとされる中小企業の負担を抑えつつ、Class A大企業にはCNI向けECCに近い負荷をかける。これがNCAの設計意図だ。

🇯🇵 サウジに進出する日本の商社・プラント・化学企業もClass A対応の対象に

サウジに製造・建設拠点を持つ日本企業の多くは、現地法人の従業員数か年商の基準でClass A該当となる公算が大きい。住友化学が出資するペトロ・ラービグ（Petro Rabigh）、JGCホールディングスや千代田化工建設の現地法人、トヨタや小松の販売会社、丸紅・三井物産・伊藤忠などの商社拠点が代表例だ。Vision 2030のメガプロジェクトに関わる各社は、本社のグローバル基準（ISO 27001相当）に加えて、NCAが指定する65コントロールを現地拠点に落とし込まなければならない。Class Aの場合、年次の独立監査もNCA承認監査人で受ける必要がある。さらにサウジ個人情報保護法（PDPL、SDAIA管轄）の技術・組織措置とも整合させなければならない。本社CISO配下のグローバル統制と現地統制を並走させる二重ガバナンス体制を組むこと。これが2026年の在サウジ日系現地法人にとって避けて通れないコンプライアンス課題だ。

🏁 罰金SAR2,500万を回避する最低条件は「3要素・22項目・65コントロール」

NCNICC-1:2025のコンプライアンス期限は明示されていない。だがCMS Lawは「公表時点から実質的に適用が始まっている」と解釈する。Class A該当の現地法人がやるべきことは2つ。3要素（ガバナンス・防御・レジリエンス）・22項目・65コントロールの実装と、NCA承認監査人による年次独立監査だ。SAR2,500万（約10億円）の罰金と業務停止リスクを避けるには、本社のグローバル・ポリシーとNCAの現地要件を並走させる二重統制が、Vision 2030時代の在サウジ日系企業の必修科目になる。

サイバーセキュリティの教科書