――山崎行政書士事務所事件簿

山崎行政書士事務所に届く封筒は、たいてい茶色い。

戸籍の写し。委任状。契約書の原本。役所からの通知。たまに、さくらが頼んだお茶菓子の請求書。

だから、その日届いた青い封筒は、やけに目立った。

深い青。海外郵便の白いバーコード。差出人は、ドイツの製造業グループ、Blautal Industries GmbH。

所長の山崎は、封筒を見て言った。

「青い封筒なのに、黒船の気配がするね」

みおは封筒を受け取り、宛名を確認した。

「山崎事務所宛ではありません。相談者さんが持ち込んだものですね」

そのとき、引き戸が開いた。

入ってきたのは、地元の化学メーカー「駿河ファインマテリアル」の常務、相良だった。

顔色は、青い封筒より青い。

「助けてください。欧州からNIS2が来ました」

山崎はまばたきした。

「人のように言いましたね」

相良は封筒を机に置いた。

「弊社は欧州企業との取引を始めるところです。樹脂添加剤の原料を供給します。ところが、先方からこの封筒が届いて……」

封筒の中には、英語の質問票と、青い表紙の別紙が入っていた。

タイトルは、

NIS2 Supply Chain Cybersecurity Readiness Questionnaire

さくらが横からのぞき込んだ。

「読めませんが、怖そうです」

みおは静かにページをめくった。

「サプライチェーン、委託先管理、インシデント報告、アクセス制御、BCP。取引先からのセキュリティ確認ですね」

ゆいも資料を覗いた。

「化学メーカーとしては、操業継続リスクも見られています。ITだけの話ではありません」

相良は、机に両手をついた。

「NIS2に違反したら、欧州で罰金なんでしょう？　うちは日本の中小メーカーです。もう取引は終わりですか？」

みおは、はっきり言った。

「そこは今の資料だけでは確認できません。御社にNIS2が直接適用されるかは、EU域内の拠点、対象国の国内法、業種、規模、契約関係を確認する必要があります」

相良は息を呑んだ。

「では、何をすれば？」

みおは青い封筒を指で押さえた。

「まず、怖がるのをやめます。この封筒は黒船ではなく、地図です」

山崎がうなずいた。

「青い地図ですね」

さくらが小声で言った。

「でも、地図なら迷子になりますよ。先生みたいに」

山崎は聞こえないふりをした。

１　封筒の中の赤い文字

質問票は、よくできていた。

しかし、よくできた質問票ほど、答える側には怖い。

「貴社はサイバーインシデントを24時間以内に初期通知できますか」「重大インシデント時、72時間以内に初期評価を提出できますか」「重要委託先を棚卸ししていますか」「多要素認証を導入していますか」「特権アカウントを管理していますか」「BCPとDR訓練記録はありますか」「操業停止が化学品の安全、保管、廃棄、出荷へ与える影響を評価していますか」

相良は頭を抱えた。

「全部、はいと書けばいいですか？」

みおの目が細くなった。

「書けることだけ書きます」

「でも、いいえが多いと取引が……」

「“はい”と書いて証跡がなければ、次に壊れるのは取引ではなく信用です」

ゆいは、質問票の端に赤い付箋を貼った。

「操業継続リスクは、私が見ます。製造レシピサーバ、原料秤量システム、排水処理、危険物保管、出荷ラベル。サイバー事故で止まった時に、どこが安全上の問題になるかを整理しましょう」

相良は驚いた。

「NIS2って、パソコンの話じゃないんですか」

ゆいは微笑んだ。

「パソコンが止まると、化学工場ではポンプも帳票もラベルも止まります。すると、製造だけでなく保管量、廃棄、出荷、顧客への納期まで影響します」

みおはホワイトボードに書いた。

サプライチェーン委託先管理インシデント報告アクセス制御BCP操業継続リスク

山崎がそれを眺めて言った。

「なるほど。青い封筒は、会社の弱いところを青写真にするんだね」

その瞬間、相良が封筒から最後の紙を取り出した。

青い表紙の裏に、赤い文字で書き込みがあった。

相良の顔が凍った。

「冷却ライン……三時十四分……」

ゆいの表情が変わった。

「実際に事故があったんですか？」

相良は、ゆっくり首を振った。

「三時十四分は、うちのBCP訓練シナリオの時刻です。外には出していないはずです」

会議室が静かになった。

青い封筒は、会社の中だけの訓練を知っていた。

２　青い封筒はどこから来たか

駿河ファインマテリアルの会議室には、青い封筒のコピーが何枚も広げられた。

情報システム課長の沼津は、額に汗を浮かべていた。

「冷却ライン03:14は、去年のランサムウェア訓練で使った架空シナリオです。実事故ではありません」

製造部長の片倉が低い声で言った。

「だが、欧州の取引先がそれを知っている。誰かが漏らしたんじゃないのか」

みおはすぐに言った。

「犯人探しの前に、資料の流れを確認します」

山崎がうなずいた。

「封筒にも旅路がありますからね」

みおは、取引開始までの流れを聞いた。

営業部が、欧州企業へ会社紹介資料を送った。品質保証が、監査資料の一部を添付した。情報システムが、セキュリティ体制図を送った。総務が、BCP訓練記録を「参考資料」として共有した。そして、欧州企業が質問票を返送した。

みおは止まった。

「BCP訓練記録を共有したのは誰ですか」

総務の若手、南條が手を上げた。

「私です。BCPがあることを示したくて……」

「訓練記録には、“訓練シナリオ”と明記しましたか」

南條は、青ざめた。

「表紙には書いたと思います。でも、PDFを分割して……」

みおは資料フォルダを確認した。

そこにあったPDF名は、

Cooling-Line-Incident_0314.pdf

表紙なし。中身には、こう書かれていた。

訓練とは、どこにも書かれていなかった。

相良が椅子に沈んだ。

「漏えいじゃなくて、うちが送った……？」

みおは静かに言った。

「少なくとも、この資料は御社から送られています」

片倉は南條を見た。

南條は泣きそうだった。

ゆいが穏やかに言った。

「悪意ではありません。BCPがあることを示そうとしたんですよね」

南條は小さくうなずいた。

山崎が言った。

「地図を見せようとして、訓練中の遭難写真だけを送ってしまったわけですね」

みおは青い表紙を閉じた。

「だから、取引先は“本当に事故があったのか”“あったなら報告手順はどうなっているのか”と聞いています。青い封筒は、攻撃ではなく確認です」

３　見えない委託先

みおは次に、委託先管理台帳を確認した。

そこには、主要取引先が並んでいた。

原料商社。物流会社。クラウド会計。メールサービス。保守ベンダー。

しかし、ゆいが製造現場を歩くと、台帳にない名前が次々に出てきた。

冷却ラインの遠隔監視をしている設備会社。排水処理システムの夜間保守会社。製造レシピサーバのバックアップを見ている地元IT業者。

ゆいは戻ってきて言った。

「未登録委託先が3社あります」

沼津は驚いた。

「でも、あれは昔からの付き合いで……」

みおは即座に言った。

「“昔から”は、委託先管理台帳の分類ではありません」

山崎が小さく笑った。

「“昔から株式会社”ではないからね」

みおはホワイトボードに書いた。

誰が何に触れるか

設備会社：冷却ライン遠隔監視。排水保守会社：排水処理端末。地元IT業者：バックアップ設定。物流会社：出荷データ。クラウドベンダー：メール・ファイル。欧州顧客：注文・仕様情報。

「サプライチェーンは、物の流れだけではありません。システムに触る人、データを見る人、障害時に連絡する人も含めて整理します」

ゆいは、化学メーカーとしての操業継続リスクを追加した。

「冷却ラインが止まると、反応工程の安全停止判断が必要です。レシピサーバが止まると、製造指図の確認ができません。ラベル発行が止まると、誤出荷防止のため出荷を止める判断が必要です。排水処理端末が止まると、処理能力と保管容量を見ます。物流が止まると、危険物・化学品の保管量が増えます」

相良は、初めてメモを取り始めた。

「NIS2の質問に答えるため、というより、うちが止まった時のためですね」

みおはうなずいた。

「はい。取引先のためだけではありません。御社の地図です」

その時、会議室のプリンターが突然動いた。

全員が振り向く。

排紙トレイから、一枚の紙が出た。

南條が涙目で言った。

「また封筒が……」

山崎が紙を見た。

「すみません。私が昨日のメモを印刷予約していました」

みおは苦笑した。

「でも、今日の標語としては採用です」

４　二つの共有アカウント

沼津は、アクセス制御の資料を出した。

「VPNはあります。管理者アカウントもあります。パスワードは複雑です」

みおは聞いた。

「多要素認証は？」

「事務系には入れています。ただ、製造系は止まると困るので……」

ゆいが顔を上げた。

「止まると困るからこそ、入れる場所を考える必要があります」

沼津は小さくうなずいた。

みおはアカウント一覧を確認した。

そこに、二つの共有アカウントがあった。

plant-adminbackup-maint

沼津は言い訳するように言った。

「現場で交代制なので、個人アカウントだと引き継ぎが面倒で」

みおは言った。

「インシデント時に“誰が操作したか確認できない”方が、もっと面倒です」

山崎がうなずいた。

「共有のお茶碗で誰が食べたかわからない、みたいなものですね」

さくらなら何か言いそうだったが、この場にはいない。

ゆいが続けた。

「製造現場では、操作の責任を追えることが安全にもつながります。誰かを責めるためではなく、同じ操作を繰り返さないためです」

みおは対策を書いた。

共有アカウントの廃止計画。特権アカウントの申請・承認。遠隔保守アカウントの有効期限。多要素認証の対象拡大。緊急時アカウントの封印管理。ログ保管期間。委託先アクセスの棚卸し。

相良は言った。

「これ、全部すぐできますか？」

みおは正直に答えた。

「全部すぐには確認できません。だから、回答では“完了済み”と“対応中”と“期限付き改善予定”に分けます」

「いいえを書いても？」

「はい。いいえを放置しないことが大事です」

青い封筒は、少しずつ怖いものではなくなっていった。

ただし、楽なものにもならなかった。

５　24時間の時計

最大の難所は、インシデント報告だった。

質問票には、こうあった。

相良は言った。

「24時間以内に欧州へ報告なんて、うちには無理です」

みおは、白い紙を出した。

「“完璧な報告”を24時間以内に出すのではありません。初期通知で何を言うかを決めます」

ゆいが続けた。

「化学メーカーの場合、サイバー事故でも、安全・品質・納期への影響を分ける必要があります」

みおは、報告の型を作った。

一、発生または認知時刻。二、影響範囲の暫定評価。三、供給・品質・安全・個人情報への影響有無。四、現時点での対策。五、次回報告予定時刻。六、未確認事項。七、連絡担当者。

相良は眉を上げた。

「未確認事項も書くんですか」

「はい。“確認できません”を残すことで、あとから説明できます。確認できないのに確認済みと書く方が危険です」

山崎が言った。

「わからないことを、わからないと書く勇気ですね」

ゆいは操業継続の報告欄を足した。

反応工程停止の有無。冷却ラインの状態。排水処理の状態。保管量の変化。出荷ラベル・SDS添付の可否。代替手順の発動有無。

「サイバー事故でも、現場で見るべき安全項目があります。これをBCPに入れましょう」

片倉は、ゆいの欄を見て言った。

「これなら製造部も参加できます。今までは、サイバーは情シスだけの話だと思っていました」

沼津は苦笑した。

「情シスだけで冷却ラインは見られません」

みおはうなずいた。

「NIS2の質問票は、部署をつなぐきっかけになります」

６　青い封筒への回答

三日後、駿河ファインマテリアルは、Blautal Industriesへ回答案を送る準備を整えた。

みおが作った表紙には、こう書かれていた。

NIS2 Supply Chain ResponseCurrent State and Improvement Roadmap

日本語の社内版タイトルは、山崎が勝手に書いた。

青い封筒への正直な地図

みおは削ろうとしたが、相良が止めた。

「社内版はそれでいいです。みんなに伝わります」

回答は、背伸びしていなかった。

NIS2の直接適用については、現時点で判断中。ただし、欧州顧客のサプライチェーン要求として対応する。委託先台帳は更新中。未登録3社を追加。共有アカウント2件は廃止計画を設定。インシデント初期通知の24時間体制は、暫定連絡網を整備。72時間報告用テンプレートを作成。BCPは、冷却ライン、レシピサーバ、排水処理、ラベル発行、出荷停止判断を追加。BCP訓練記録のPDFは、訓練資料であることを明記して再提出。欧州顧客への障害連絡先を登録。

そして、問題の赤い書き込みへの回答。

相良は、その英文をじっと見た。

「謝るんですね」

みおは頷いた。

「はい。悪いことをしたというより、誤解を招いたことを正直に説明します」

南條は小さく言った。

「私のせいで……」

ゆいがやさしく遮った。

「南條さんのおかげで、訓練記録の出し方が変わります。失敗を仕組みに変えれば、会社の財産になります」

南條は、泣きそうな顔でうなずいた。

翌日、Blautalから返信が届いた。

件名は、

Re: NIS2 Supply Chain Response

本文は短かった。

相良は、画面を見て肩の力を抜いた。

「取引、続けられますか」

みおは言った。

「少なくとも、この返信では前に進めます」

山崎が笑った。

「青い封筒は、入港許可をくれたわけですね」

ゆいは首を振った。

「まだ航海中です」

相良は笑った。

「でも、地図はできました」

７　黒船ではなく地図

数週間後、駿河ファインマテリアルでは、初めての「NIS2サプライチェーン対応会議」が開かれた。

情シス、製造、品質保証、総務、営業、購買が同じ机についた。

議題は、難しかった。

委託先管理。アクセス制御。インシデント報告。BCP。操業継続。欧州顧客への定期報告。

しかし、会議の空気は、最初のような恐怖ではなかった。

片倉が言った。

「冷却ライン停止時の安全確認表、現場で使えます」

沼津が言った。

「共有アカウント廃止は、まずバックアップ系から始めます」

南條が言った。

「訓練資料には、表紙、目的、想定、実事故ではないことを明記します」

相良が、青い封筒を会議室の中央に置いた。

「この封筒、最初は怖かった。でも今は、取引を守る地図に見えます」

山崎事務所へ報告に来た相良は、青い封筒のコピーを持っていた。

山崎はそれを見て言った。

「黒船ではなく、青い地図」

みおは、完成したチェックリストをファイルに綴じた。

NIS2取引先回答チェックリスト

サプライチェーン。委託先管理。再委託。インシデント初期通知。72時間報告。アクセス制御。特権ID。BCP。操業継続。訓練記録。改善予定。証跡。

ゆいは、その最後に一行を書き足した。

止まった時、化学品はどこで安全に待つか。

山崎は、しみじみと言った。

「いいですね。サイバーの地図なのに、現場の温度がある」

みおはうなずいた。

「国際規制は、遠くの大砲の音みたいに聞こえることがあります。でも、実際にすることは、取引先に説明できるよう、自分たちの仕事を見える化することです」

ゆいが続けた。

「そして、化学メーカーでは、操業を続けることだけでなく、安全に止めることもBCPです」

山崎は青い封筒を見た。

「止まる地図も、進む地図も必要なんだね」

そのとき、さくらが静岡茶を運んできた。

「青い封筒なので、青い湯飲みにしました」

山崎が湯飲みを見て笑った。

「封筒より、こっちの方が怖くない」

みおはお茶を受け取り、静かに言った。

「怖さを消すのは、言葉と手順と証跡です」

青い封筒は、もう机の上で威圧していなかった。

それは、一枚の地図になっていた。

欧州の取引先へ続く道。工場の冷却ラインへ続く道。委託先へ続く道。インシデント報告へ続く道。そして、会社の中で、部署同士が初めて同じ方向を見るための道。

山崎行政書士事務所に、穏やかな湯気が立った。

青い封筒は、海の向こうから来た。

けれど、その中に描かれていたのは、遠い国の怖い規制ではなかった。

駿河ファインマテリアルが、自分たちの取引と現場を守るための、すぐ足元の地図だった。

実務背景・確認日

確認日：2026年5月13日。

NIS2 Directiveは、EU全体でネットワーク・情報システムのサイバーセキュリティ水準を高めるための枠組みで、欧州委員会は「18の重要セクター」を対象とする統一的な法的枠組みと説明しています。加盟国は2024年10月17日までに国内法化する期限があり、NIS1は2024年10月18日からNIS2に置き換えられたと欧州委員会は説明しています。

欧州委員会FAQは、NIS2の対象分野に「化学」「食品」「製造」などを含めています。また、NIS2はサプライチェーンとサプライヤー関係のセキュリティリスクを各社が扱うことを求める方向で整理されています。作中の「欧州企業から日本の化学メーカーへ質問票が届く」展開は、直接適用の断定ではなく、取引先からのサプライチェーン要求として描いています。

NIS2のインシデント報告について、欧州委員会FAQは、影響を受ける企業がインシデントを認識してから24時間以内に早期警告を出し、72時間以内にインシデント通知、1か月以内に最終報告を行う流れを説明しています。ENISAも、NIS2では24時間以内の早期警告と72時間以内の本通知が求められると説明しています。作中のみおが「完璧な報告ではなく、初期通知の型を決める」とした背景です。

欧州委員会FAQは、NIS2がインシデント対応、サプライチェーンセキュリティ、脆弱性対応、暗号化などを含む基本的なセキュリティ要素を求めると説明しています。作中のみおが委託先管理、アクセス制御、BCPを横断して整理したのは、この要求を日本企業の取引先回答に落とし込むためのフィクション上の構成です。