第6号 令和7年3月19日(水曜日)
令和七年三月十九日(水曜日)午前九時開議
出席委員
委員長 大岡 敏孝君
理事 黄川田仁志君 理事 國場幸之助君
理事 西銘恒三郎君 理事 今井 雅人君
理事 本庄 知史君 理事 山岸 一生君
理事 市村浩一郎君 理事 田中 健君
石原 宏高君 井野 俊郎君
江渡 聡徳君 尾崎 正直君
神田 潤一君 岸 信千世君
栗原 渉君 高木 啓君
田中 良生君 西野 太亮君
平井 卓也君 平沼正二郎君
深澤 陽一君 宮下 一郎君
山際大志郎君 山口 壯君
市來 伴子君 梅谷 守君
おおたけりえ君 下野 幸助君
橋本 慧悟君 藤岡たかお君
馬淵 澄夫君 水沼 秀幸君
山 登志浩君 伊東 信久君
三木 圭恵君 石井 智恵君
菊池大二郎君 河西 宏一君
山崎 正恭君 上村 英明君
塩川 鉄也君 緒方林太郎君
…………………………………
国務大臣
(サイバー安全保障担当) 平 将明君
内閣府副大臣 穂坂 泰君
内閣府大臣政務官 西野 太亮君
内閣府大臣政務官 岸 信千世君
防衛大臣政務官 金子 容三君
政府参考人
(内閣官房内閣審議官) 市川 道夫君
政府参考人
(内閣官房内閣審議官) 小柳 誠二君
政府参考人
(内閣官房内閣審議官) 飯島 秀俊君
政府参考人
(内閣官房内閣審議官) 門松 貴君
政府参考人
(内閣官房内閣審議官) 佐野 朋毅君
政府参考人
(内閣官房内閣審議官) 中溝 和孝君
政府参考人
(警察庁サイバー警察局長) 逢阪 貴士君
政府参考人
(外務省大臣官房サイバーセキュリティ・情報化参事官) 斉田 幸雄君
政府参考人
(経済産業省大臣官房サイバーセキュリティ・情報化審議官) 西村 秀隆君
政府参考人
(経済産業省大臣官房審議官) 奥家 敏和君
政府参考人
(防衛省大臣官房サイバーセキュリティ・情報化審議官) 家護谷昌徳君
内閣委員会専門員 田中 仁君
―――――――――――――
委員の異動
三月十九日
辞任 補欠選任
石原 宏高君 高木 啓君
栗原 渉君 深澤 陽一君
同日
辞任 補欠選任
高木 啓君 石原 宏高君
深澤 陽一君 神田 潤一君
同日
辞任 補欠選任
神田 潤一君 栗原 渉君
―――――――――――――
三月十八日
重要電子計算機に対する不正な行為による被害の防止に関する法律案(内閣提出第四号)
重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案(内閣提出第五号)
は本委員会に付託された。
―――――――――――――
本日の会議に付した案件
政府参考人出頭要求に関する件
重要電子計算機に対する不正な行為による被害の防止に関する法律案(内閣提出第四号)
重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案(内閣提出第五号)
――――◇―――――
○大岡委員長 これより会議を開きます。
内閣提出、重要電子計算機に対する不正な行為による被害の防止に関する法律案及び重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案の両案を一括して議題といたします。
順次趣旨の説明を聴取いたします。平国務大臣。
―――――――――――――
重要電子計算機に対する不正な行為による被害の防止に関する法律案
重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案
〔本号末尾に掲載〕
―――――――――――――
○平国務大臣 おはようございます。
重要電子計算機に対する不正な行為による被害の防止に関する法律案及び重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案につきまして、その提案理由及び内容の概要を御説明申し上げます。
まずは、重要電子計算機に対する不正な行為による被害の防止に関する法律案につきまして御説明を申し上げます。
この法律案は、インターネットその他の高度情報通信ネットワークの整備、情報通信技術の活用の進展、国際情勢の複雑化等に伴い、そのサイバーセキュリティーが害された場合に国家及び国民の安全を害し、又は国民生活若しくは経済活動に多大な影響を及ぼすおそれのある国等の重要な電子計算機のサイバーセキュリティーを確保する重要性が増大していることに鑑み、重要電子計算機に対する特定不正行為による被害の防止のための報告の制度や通信情報の取得等の措置等について定めることにより、重要電子計算機に対する不正な行為による被害の防止を図ることを目的とするものであります。
次に、この法律案の内容につきまして、その概要を御説明申し上げます。
第一に、特別社会基盤事業者が特定重要電子計算機を導入したときの特定重要電子計算機の製品名及び製造者名等の届出の義務を規定するとともに、特別社会基盤事業者が特定重要電子計算機に係る特定侵害事象等の発生を認知したときの報告の義務を規定することとしています。
第二に、内閣総理大臣は、特別社会基盤事業者その他の事業電気通信役務の利用者との間で当該利用者を通信の当事者とする通信情報のうち外内通信情報に該当するものを用いて必要な分析を行うこと等を内容とする協定を締結し、それにより通信情報の提供を受けることができることとしております。
第三に、内閣総理大臣は、国外通信特定不正行為に関係する外外通信、外内通信又は内外通信が電気通信事業者により媒介される国外関係通信に含まれると疑うに足りる場合において一定の要件を満たしたときは、サイバー通信情報監理委員会の承認を受けて、当該国外関係通信の通信情報の一部が複製され、内閣総理大臣の設置する設備に送信されるようにするための措置を講ずることができることとしています。
第四に、内閣総理大臣において取得した通信情報の中から一定の要件を満たす機械的情報のみを選別する措置を講ずる等、取得した通信情報の取扱いについての所要の規制を設けることとしております。
第五に、特別社会基盤事業者による報告等により得た情報、選別された通信情報、協議会を通じて得た情報その他の情報が重要電子計算機に対する特定不正行為による被害の防止に有効に活用されるよう、内閣総理大臣が当該情報の整理及び分析を行うこととした上で、整理又は分析した情報について、国の行政機関、特別社会基盤事業者、電子計算機等供給者等に提供する等の所要の規定を設けることとしております。
第六に、内閣総理大臣は、内閣総理大臣及び関係行政機関の長により構成される重要電子計算機に対する特定不正行為による被害の防止のための情報共有及び対策に関する協議会を組織するほか、当該協議会に、重要電子計算機を使用する者等の必要と認める者をその同意を得て構成員として加えることができることとし、被害防止情報を共有するとともに、所定の事項について協議を行うこと等としております。
第七に、いわゆる三条委員会としてサイバー通信情報監理委員会を設置することとし、その任務として、国等の重要な電子計算機等に対する不正な行為による被害の防止のための措置の適正な実施を確保するための審査及び検査を行うこととしております。
そのほか、所要の規定の整備を行うこととしております。
なお、この法律案の施行期日は、一部の規定を除き、公布の日から起算して一年六月を超えない範囲において政令で定める日としております。
続きまして、重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案につきまして御説明申し上げます。
この法律案は、重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴い、重大な危害を防止をするための一定の警察官又は自衛官による電子計算機の動作に係る措置に関する規定を整備するとともに、サイバーセキュリティ基本法その他の関係法律について所要の規定の整備等を行うものであります。
次に、この法律案の内容につきまして、その概要を御説明申し上げます。
第一に、警察官職務執行法を改正をして、警察庁長官が指名する一定の知識及び能力を有すると認められる警察官は、サイバーセキュリティーを害することその他情報技術を用いた不正な行為に用いられる電気通信等又はその疑いがある電気通信等を認めた場合であって、そのまま放置すれば人の生命、身体又は財産に対する重大な危害が発生するおそれがあるための緊急の必要があるときは、そのいとまがないと認める特段の事由がある場合を除いてサイバー通信情報監理委員会の承認を得た上で、当該電気通信等の送信元等である電子計算機の管理者その他関係者に対し、危害防止のための通常必要と認められる措置であって電気通信回線を介して行う電子計算機の動作に係るものを取ることを命じ、又は自らその措置を取ることができることとしております。
第二に、自衛隊法を改正して、内閣総理大臣は、重要電子計算機に対する不正な行為による被害の防止に関する法律に規定する重要電子計算機のうち一定のものに対する同法に規定する特定不正行為であって、本邦外にある者による特に高度に組織的かつ計画的な行為と認められるものが行われた場合において、これにより重大な支障が生ずるおそれが大きいと認められ、かつ、その発生を防止をするために自衛隊が有する特別の技術又は情報が必要不可欠であること等により自衛隊が対処を行う特別の必要があると認めるときは、自衛隊の部隊等に当該特定不正行為による当該重要電子計算機への被害を防止するために必要な電子計算機の動作に係る措置であって電気通信回線を介して行うものを取るべき旨を命ずることができることとしております。また、当該措置を取るべき旨を命ぜられた部隊等の職務の執行及び自衛隊又は日本国にあるアメリカ合衆国の軍隊が使用する一定の電子計算機をサイバーセキュリティーを害することその他情報技術を用いた不正な行為から職務上警護する自衛官の職務の執行について、警察官職務執行法の必要な規定を準用することとしております。
第三に、サイバーセキュリティ基本法を改正して、サイバーセキュリティ戦略本部について、本部長は内閣総理大臣、本部員は本部長及び副本部長以外の全ての国務大臣をもって充てる組織とするとともに、その所掌事務について、重要社会基盤事業者等におけるサイバーセキュリティーの確保に関して国の行政機関が実施する施策の基準の作成及び当該基準に基づく施策の実施の推進並びに国の行政機関等におけるサイバーセキュリティーの確保の状況の評価を追加することとしております。
第四に、内閣法を改正して、内閣官房に、内閣官房の事務のうちサイバーセキュリティーの確保に関するもの等を掌理する内閣サイバー官一人を置くこととしております。
そのほか、重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴い、情報処理の促進に関する法律、国立研究開発法人情報通信研究機構法、内閣府設置法等について、関連する事務の追加等関係規定の整備を行うこととしております。
なお、この法律案の施行期日は、一部の規定を除き、重要電子計算機に対する不正な行為による被害の防止に関する法律の施行の日とすることとしております。
以上が、重要電子計算機に対する不正な行為による被害の防止に関する法律案及び重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案の提案理由及びその内容の概要であります。
何とぞ、慎重御審議の上、速やかに御賛同あらんことをお願い申し上げます。
○大岡委員長 これにて両案の趣旨の説明は終わりました。
―――――――――――――
○大岡委員長 この際、お諮りいたします。
両案審査のため、本日、政府参考人として、お手元に配付いたしておりますとおり、内閣官房内閣審議官市川道夫君外十名の出席を求め、説明を聴取いたしたいと存じますが、御異議ありませんか。
〔「異議なし」と呼ぶ者あり〕
○大岡委員長 御異議なしと認めます。よって、そのように決しました。
―――――――――――――
○大岡委員長 これより質疑に入ります。
質疑の申出がありますので、順次これを許します。尾崎正直君。
○尾崎委員 どうも、高知二区選出の尾崎正直でございます。
平大臣及び金子政務官及び関係者の皆様方に、本法案によってしっかりと我が国のサイバーセキュリティーが守られるか、そして安全保障が守られるのか、他方、表現の自由がしっかりと、守ることができるのか、守られるのか、こういう観点から御質問をさせていただきたいと思います。どうぞよろしくお願いをいたします。
それではまず、第一問として、今般の法案提出に至った背景、法案の意義、これはもうるる御説明いただいておるところでございますが、かいつまんで、改めてこちらについて分かりやすく御説明をいただきたいと思います。よろしくお願いいたします。
○平国務大臣 ありがとうございます。尾崎委員にお答えを申し上げます。
国家を背景とした高度なサイバー攻撃への懸念の拡大や社会全体におけるデジタルトランスフォーメーションの進展を踏まえると、我が国のサイバー対処能力の強化はまさに喫緊の課題であります。
本法案は、官民連携の強化、通信情報の利用、攻撃者のサーバー等へのアクセス・無害化の三つを取組の柱とする能動的サイバー防御を導入するものであります。
サイバー安全保障分野における情報収集、分析能力を強化するとともに、今回の制度整備を実現することによって、官民が連携をし、より早期かつ効果的にサイバー攻撃を把握をして対応することが可能になると考えております。また、重要なサイバー攻撃の未然防止等のため、アクセス・無害化措置の実施が可能になります。
これらの取組は、国家安全保障戦略で掲げた、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させるという目標の実現に不可欠なものと考えております。
○尾崎委員 どうもありがとうございました。
先ほども大臣言われましたように、国家安全保障戦略では、サイバー安全保障分野の対応能力を欧米主要国と同等以上に向上させるとの目標を掲げているわけであります。
今般の法案で、先ほどもお話ありましたように、官民連携、通信情報の利用、アクセス・無害化措置といった取組が行われるということになっておるわけでありますが、欧米主要国と同等以上というこの目標に向けて、これらの取組について、欧米主要国でもこのような取組が同じように行われているんでしょうか。ちょっとそのことについてお伺いしたいと思います。
○平国務大臣 ありがとうございます。
米国、英国、あとオーストラリア、豪州を中心に、政府からの情報提供や重要インフラ事業者による報告の義務化などの官民連携や、国家安全保障等の目的のための独立機関の監視の下での通信情報の利用といった取組が行われております。アクセス・無害化についても、欧米主要国の一部の国では実際に取組を行ったと公表をしています。
今般のサイバー対処能力強化法案は、これら欧米主要国の取組や制度も参考としながら作成をさせていただきました。
○尾崎委員 欧米主要国との連携ということが非常に重要になってくる中、欧米主要国と同等以上の能力を持とうとするこの法案は極めて重要な法案だろう、そういうふうに思います。
そういう中で、今回の法案でありますが、国家安全保障戦略によりますと、いわゆる武力攻撃に至らない状態というものを対象としたものだというふうに記述をされているわけであります。
一点、ちょっと御質問なんですが、では、今般のこの法案に従った一連の措置というのは、いわゆる武力攻撃事態に至っても維持されるんでしょうか。その対応のスピードを上げるために、例えば、武力攻撃事態になると道路交通法の一部が緩和されるとか、そういうふうな特例を設けられる場合があるわけでありますが、今般の法律の場合はどうなのか。特例等を設けなくても十分に対処できるのか、お伺いをさせていただきたいと思います。
○金子大臣政務官 お答え申し上げます。
武力攻撃事態におきまして、防衛出動を命ぜられた自衛隊は、武力行使の三要件に従いまして武力の行使をすることができるほか、必要に応じ、公共の秩序の維持のために行動することができます。そのための権限につきましては、自衛隊法第九十二条において警察官職務執行法の関連規定を準用しておりますが、同条の改正により、アクセス・無害化措置に係る権限も行使できるようにしております。
防衛出動時におきまして公共の秩序の維持を目的としたアクセス・無害化措置の実施に当たる場合には、武力攻撃に至らない状況下で行う場合と同様に、サイバー通信情報監理委員会の事前承認や国外のサーバー等に実施する際の外務大臣との協議といった必要な手続を取った上で権限を行使することになります。
この手続について申し上げますと、サイバー通信情報監理委員会は、法律や情報通信技術に関して専門的知識等を有する者が委員となることから、原則である事前の承認は迅速かつ的確に行われるものと認識しております。また、外務省とは平素から緊密に連携することで、外務大臣との協議を適切かつ迅速に行うことができるように取り組んでまいります。
このように、措置の実施に当たっては、危害防止のために迅速に対処できる体制を整えております。
以上です。
○尾崎委員 確かに、通信の秘密を守るとか、非常に、人権にも関わる重要な事項も多々あるわけですから、しっかりとこの法案の内容を武力攻撃事態に至っても維持していくということは大変大事なことだろう、そういうふうに思います。ただ、先ほど政務官が言われましたように、確かに、武力攻撃事態でありますから、スピード感を持って対処するということが極めて大事ということかと思います。
また後でもお伺いをさせていただきたいと思いますけれども、そういう中にあって、やはり、独立機関の承認を事前に義務づけるとかいうことであるわけでありますが、それがいかにスピーディーに行われるような体制を取れるか、そこらあたりが非常に重要になってくるんだろう、そういうふうに思うところです。その点、また後でお伺いをさせていただきたい、そのように思います。
続いてもう一問、関連でありますが、我が国の安全保障の確保に向けては、同盟国、同志国との連携を強化していくということが非常に重要になってくるというわけであります。撃ち落とすことのできないミサイルも増えてきているのではないかという懸念もある中で、我が国としても反撃能力をしっかり持っていこう、そういうことを今回新たに方針として定めることとなったわけであります。
この反撃能力でありますけれども、はっきり申し上げて、例えば、ターゲティングをどうするかとか、そういうことについては、それは諸外国の情報、特に、アメリカとの情報交換とかが非常に重要になってくるんだろうと思います。瞬時にそのような情報交換をしなければならないということからいけば、日米のシステムの密な連携というのが必要になってくるんだろう、そういうふうに思うわけであります。
今般の法案でありますけれども、このような同盟国、同志国との連携強化という観点からいって十分な対応を図る内容になっていると考えておられるか、このことについてお伺いしたいと思います。
○金子大臣政務官 お答え申し上げます。
厳しい安全保障環境の中で、もはやどの国も一国では自国を守ることが困難な状況であることを踏まえますと、我が国の安全を確保していくためには、おっしゃるとおり、同盟国や同志国との連携が不可欠でございます。そして、同盟国、同志国との連携に際しましては、サイバーセキュリティーの体制整備を含む実態面における信頼関係の構築が必要でございます。
特に日米同盟におきまして、サイバーセキュリティーはその基盤の一つでございます。今回のサイバー対処能力強化法案及び整備法案によって、国家安全保障戦略に定めた、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させることに向けた制度や体制の整備に一定のめどがつくものと考えておりまして、極めて大きな意義がございます。
強化されるサイバーセキュリティーを基礎に、引き続き同盟国、同志国との連携強化に努めてまいります。
○尾崎委員 どうもありがとうございました。
今回は法制度として整うということかと思いますが、この後も御質問をさせていただきたいと思いますけれども、様々な体制整備そのものも、人員の確保とかシステムの確保とか、そういうことも非常に重要になってこようかと思います。
是非、防衛省の皆様も、各関係の皆様と連携をして御対応いただければ、そのように思うところでございます。
どうもありがとうございました。もうお帰りいただいても結構です。お世話になりました。
○大岡委員長 では、金子政務官、退席していただいて結構です。
○尾崎委員 それでは、先ほどの、官民連携、通信情報の利用、そしてアクセス・無害化措置という、この大きな三つの要素それぞれについて、少し細かい点も含めまして御質問をさせていただきたい、そのように思います。
まず、官民連携についてということでございますが、法案では、官民連携の強化の観点から、基幹インフラ事業者に、特定重要電子計算機の届出と、そしてインシデント報告等を義務づける一方で、情報共有、対策を行っていくための新たな協議会を設置をして、政府側からも一定の情報を提供するという仕組みを想定をしているところでございます。基幹インフラ事業者には情報提供を義務づける、他方、協議会において有益な情報を政府側からも提供する、そういう形になっています。
これは、速やかに、非常に実効性ある形で情報交換がなされるようにするためには、特に民間側からなされてくるようにするためには、今回のような法的な義務づけにとどまらず、情報提供する民間側の負担を極力減らす、他方で、情報提供のインセンティブをもたらすような有益な情報を政府側から提示するという、よい形でのエコシステムをつくっていくということが非常に重要ではなかろうかと思うわけでございます。
この観点からお伺いをさせていただきたいと思いますが、まず、基本的な事項であります。
基幹インフラ事業者は、事業所管大臣及び内閣総理大臣に報告をするとされているところでありますが、複数の窓口に複雑な内容を連絡するということでありますと、負担が大きいですし、時間もかかるだろうと思われます。
昨日の本会議での質問でも出ておりましたけれども、窓口の一元化を図ったり、更に言えば、負担軽減に資するフォーマットを整備するとか、そういうことも必要になってくるのではないかと思うところでございますが、お伺いをします。
○門松政府参考人 お答えいたします。
先生御指摘のとおり、サイバー攻撃が発生した場合における被害組織の負担軽減、そして政府の対応迅速化は極めて重要でございます。有識者会議からも、インシデント報告先の一元化、また報告様式の統一化等を進めることが必要である旨の御提言をいただいたところであります。
こうした中で、サイバー対処能力強化法案においては、まず、基幹インフラ事業者によるインシデント報告を、内閣総理大臣及び特別社会基盤事業所管大臣、これに同報する旨を規定をしております。
その上で、政府といたしましては、本法案におけるインシデント報告に限らず、個人情報保護委員会に基づく個人データの漏えい等に係る報告、また警察への相談についても、事業者からのニーズを踏まえ、順次、様式の統一や報告窓口の一元化をしっかり進めてまいります。
具体的には、まず、件数が多く、初動対応中の報告となることから、被害組織による負担が大きくなりますランサムウェア事案またDDoS事案について、法案施行までの可能な限り早い段階から、業法と個人情報保護法に基づく報告や警察への相談に共通して使えるような様式の統一を先行実施いたします。
また、法案成立後は、システム整備により新法の報告窓口を一本化し、報告を受けた情報を関係府省にも共有できるような環境を整備したいと考えているところでございます。
○尾崎委員 ここは本当に大事なところだと思うのでありまして、本当に、報告のためにコスト、手間を取られてしまって、実際のサイバーセキュリティーへの対処、そのことへ十分手が回らなくなってしまうとかいうことになってしまうと、まさに本末転倒でございまして、先ほど大変心強いお話をいただきましたけれども、様式の統一を行うと。これは、個人情報保護委員会宛てのものも含めてということですか。重要な点ですから、もう一回お願いします。
○門松政府参考人 お答えいたします。
個人情報保護委員会のものも、この様式一元化、窓口一元化に想定しております。
○尾崎委員 是非そのようにお願いをできればと思います。
続きましてでありますが、この法案では、基幹インフラ事業者の皆さんに、インシデント情報に加えて、いわゆるその原因となり得る事象を報告せよということとなっているわけであります。この内容がどのようなものかということについてお伺いしたいと思います。
この原因となり得る事象ということでありますと、多分、早め早めに情報提供をということだろうと思います。この早め早めに情報提供していただくということは非常に有意義だろうと思いますが、他方で、幅広くあらゆる事象を報告するということになると負担が大きい。ですから、ここらあたり、どのあんばいでいくのがちょうどよいのかというバランスが非常に重要になってくるんだろう、そういうふうに思うところでございます。
どの程度の確度ある事象を対象とするのかということについてお伺いをさせていただきたいと思います。
○門松政府参考人 お答えいたします。
先生御指摘のとおり、迅速な報告、そして事業者負担、このバランスは非常に重要であるというふうに承知をしているところでございます。
その上で、サイバー対処能力強化法案におきましては、特定重要電子計算機に係る特定侵害事象又は当該特定侵害事象の原因となり得る事象として主務省令で定めるものの発生を認知した場合には、インシデント報告を行わなければならない旨定めておるということでございます。
このうち、御指摘の、特に特定侵害事象の原因となり得る事象でございますが、例えば、特定重要電子計算機に保管されているシステム管理者等のID、パスワードが窃取され、システム全体への広範な攻撃が可能になったことが判明した、こういった場合であったりとか、特定重要電子計算機において、マルウェア自体は見つかっていないという中でもその実行された痕跡が残されているといったようなことが判明した場合などについて報告を求めることを現在想定しているところでございます。
いずれにいたしましても、御指摘のとおり、事業者の負担が過大にならないようにすること、これが極めて重要だと思っておりまして、省令において報告基準を明確にするなど、事業者の御意見も踏まえながら適切な制度設計を行ってまいりたいと考えております。
○尾崎委員 本当に、先ほどおっしゃられましたように、ここらあたり、余りあやふやですと、どんどんどんどん幅広く提供しようとされる余りにコストが非常に大きくなってしまって、結果として情報が目詰まりになってしまうということになってしまっては大変いけませんので、是非ここらあたりクリアカットに、どういう情報を提供すべきなのかということをお示しをいただければ、そのように思うところでございます。
では、他方、政府側において有益な情報が提供されるのかということについてお伺いをさせていただきたいと思うんです。
政府側は、いわゆるこの新法に基づいて設立されることとなる協議会において、通信情報は含まないが秘密は含み得る提供用総合整理分析情報、この法案はいろいろ定義が難しいのでありますけれども、提供用総合整理分析情報を提示することとされているわけであります。いわゆる政府側から情報を提供していく、一定の秘密も含み得るというものを提供するということであります。
この情報について、時間をかけて過去の事象を十分に分析して今後の対策を明示するような情報、これも非常に重要だろうと思いますが、有益だろうと思いますが、他方で、不確かさは残ったとしてもリアルタイムの対策に資するような情報、これを提示するということも大事だろうと思います。
しっかり分析して、しっかりと傾向と対策というのを示した情報、これも大事でしょう。でも、不確かですが、そういうことがあり得るかもしれないというような情報、これもリアルタイムの対処に非常に有用だろう、そういうふうに思うところでございます。
これもバランスが大事だと思いますが、どのような情報を提供しようと考えておられるか、お伺いをさせていただきます。
○門松政府参考人 お答えいたします。
御指摘のとおりでございまして、官民連携の強化に向けては、事業者における迅速な対策に資する情報、一方で、それを政府から適切なタイミングで提供することが重要だと承知をしております。
そのような中で、今回の法案においては、情報共有及び対策に関する協議会において、その構成員に対して、内閣総理大臣が整理、分析した被害防止のための情報を共有する旨を明確に定めているというところでございます。その上で、本協議会では、構成員における被害の防止を図るため、政府から、サイバーの専門家が求める技術情報、また経営者の判断に必要な攻撃目的等に関する情報、これを積極的に提供していくということを想定をしているところでございます。
それで、この情報提供に当たってでございますが、中長期的な対策に必要な情報、それと、即応性を重視した短期的な対処に必要な情報、この双方共に非常に重要だというふうに承知をしております。構成員に対して、その双方を適時適切に情報を共有できますように、協議会における情報共有の在り方について、しっかりと検討を進めて、適切に対応したいというふうに思っております。
○尾崎委員 本当に、中長期的な対策に資する情報と、即応性のある情報と両方大事だとおっしゃいました。そのとおりだろうと思います。
そういう意味で、どのような情報が有用かということについて、是非官民でよく意思疎通をしていただいて、どういう情報が大事かということについて、多分、民間の皆さんが思っておられること、官の皆さんが思っておられること、すり合っているところもあるでしょうが、いろいろ事態の状況、推移に合わせて、そこらあたりは変わってくるところもあるんだろうと思うんですね。
私も、いろいろ党の中でサイバーセキュリティーとかの勉強をさせていただいておったりしますと、是非意見交換をよくさせてもらいたいというお声を多々いただくところでございます。是非その点を心がけてやっていただきたいと思うんですが、いかがでしょう。
○門松政府参考人 お答えいたします。
御指摘のとおりだと思っておりまして、経済団体等の意見交換、何度も繰り返しておりますが、それだけではなくて、この法律に関しては、特定重要設備所管の省庁さんとその業界とは、業界ごとに相当、持っている設備も違ったりとか、設備も違いますし、具体的な事業も違うという中で、個々によく御相談しなきゃいけないと思っています。それを繰り返しながら実効性のある制度をしっかりつくってまいりたいというふうに思っていますので、よく意見交換を続けてまいりたいと思います。
○尾崎委員 どうもありがとうございました。是非そのようにお願いを申し上げたいと思うところであります。
続きまして、通信情報の利用、この部分についてお伺いをさせていただきます。
法案では、サイバー攻撃の実態を把握するために、通信情報を利用し、分析を行うこととしており、その際には、独立機関がチェックをして、通信の秘密に十分配慮するとされているところでございます。十分有益な情報を取ることができるということも大事ですし、当然のことながら、通信の秘密に大いに配慮する必要があるだろう、そのように思うところでありまして、これもバランスが非常に重要な問題だろう、そういうふうに思います。
この点について、まずお伺いします。
基幹インフラ事業者等との協定、いわゆる同意に基づく通信情報の取得と情報提供について、こちらについてまずお伺いをさせていただきます。
まずは、できるだけ多くの事業者の同意を得ることを目指すべきだろうと思います。そのためにも、先ほどの話にも関連しますが、その事業者の方においてメリット、すなわち事業者に有益な情報提供がなされることを明示していくことが大事だろうと思います。協定に基づく場合には、どのような情報を提供しようとしているのか、それこそリアルタイムな対処にも役立つような情報を提供しようとしておられるのか。この情報が有益であればあるほど、同意しよう、協定を結ぼうということになってくるんだろうと思うのでありますが、ここのところはいかがでしょうか。
○小柳政府参考人 お答えを申し上げます。
基幹インフラ事業者等との間の同意による協定でございますが、御指摘のとおり、政府だけではなくて双方がそのメリットを認めて初めて締結がなされるものというふうに理解をしてございます。
通信情報の分析結果の提供につきましては、協定当事者との協議を踏まえまして、協定の中で方法を定めていくということになりますけれども、例えば、提供する情報として、通信情報を分析したことで得られた内容に加えまして、可能であれば、検出されたサイバー攻撃に対してどのような対策を講じればよいかといったような情報も含めることも想定をしてございます。
また、情報提供のタイミングあるいは頻度につきましても、できる限り有用なものとなるように配慮してまいりたいというふうに考えてございます。
○尾崎委員 是非この点についてもよく事業者の皆さんと対話をしていただいて、よい内容となりますように心がけていただければ、そのように思います。
それでは、より細かい内容について、特に同意によらない場合についてお伺いをさせていただきたい、そのように思います。
ちょっと基本的なことで恐縮ですが、まず、外外通信の分析、外内通信又は内外通信の分析を行うのはなぜか、それぞれの目的を教えていただきたいと思います。
○小柳政府参考人 お答え申し上げます。
外外通信、内外通信又は外内通信の分析につきまして、まず、外外通信の分析をすることにつきましては、攻撃用のインフラを構成するボットでありますとかC2サーバーなどの設備は主として国外に所在すると考えられますことから、国外の設備から国外の設備に送信される外外通信によりまして、国外のそうした攻撃インフラの実態を把握しようとするものでございます。
その上で、外内通信の分析でございますが、既に把握した国外の攻撃用インフラから国内への攻撃を捉えるために、内外通信の分析につきましては、マルウェア等に感染した国内の設備から国外の設備に対し不正に情報を漏えいするなどの攻撃に関係する通信がなされていると疑われる場合に、例えばその実態を把握するためにそれぞれ必要となるものというふうに考えてございます。
○尾崎委員 ありがとうございます。
ちなみに、本法案では、この外外通信の情報取得と、外内通信、外からの攻撃ですね、そして内外通信、どういうものが漏れていっているのかとか、そういうことを把握しようということだろうというふうに思うところでございますが、念のためお伺いしますが、内内通信、こちらは分析しないことになっているんですが、それで十分なんでしょうか。
○小柳政府参考人 お答えいたします。
御指摘の点でございますが、例えば、サイバー攻撃関連通信の九九・四%は国外からというデータもございまして、サイバー攻撃が国外に所在する攻撃用のインフラから行われることが多いというふうに考えられることを踏まえますと、国内のみで閉じた通信の分析を行う必要は現時点では必ずしもないというふうに考えてございます。
○尾崎委員 九九・四%ということでございます。現時点ではないということだろうと思いますけれども、是非、しっかりとサイバー攻撃に対処できるような、そのような仕組みということに、今後とも継続的に心がけて改善もしていっていただければと思いますが、現段階では必要ないと考えておられるということかと思います。
それで、外内通信、内外通信の分析について、外外ではありません、外内通信と内外通信の分析については二つ要件を課しておられる。サイバー攻撃に用いられていると疑うに足りる状況のある特定の外国設備と送受信し、又は他の方法ではこれらの通信の分析が著しく困難である場合に行うとされているわけであります。疑うに足る状況にある特定の外国設備と送受信するということ、しておるようだ、その場合にこの情報の収集を行っていくということでございますが、要するに、これは、事前の情報収集等によってある程度目星をつけて、その目星をつけた上で、この情報収集を行って確定をしていくということを目指しておられるということかと思います。
要するに、目星をつけるということが非常に重要で、この目星をつけるための情報が重要になってこようかと思います。目星をつけるためにどのような情報収集体制を構築していこうとされているか、このことについてお伺いしたいと思います。
○小柳政府参考人 お答え申し上げます。
御指摘の特定外内通信目的送信措置あるいは特定内外通信目的送信措置でございますけれども、一定の不正な行為に用いられていると疑うに足りる状況のある特定の国外設備を送信元とし、又は用いられていると疑うに足りる状況のある特定の機械的情報が含まれているものを分析しなければ被害を防止することが著しく困難であるといった要件を満たす場合に行うこととしておりまして、こうした要件を満たしていることを判断するための情報があらかじめ必要であることは御指摘のとおりでございます。
その上で、それに必要な情報でございますけれども、例えば、本法律案に基づく同意によらない外外通信の分析、それから、本法律案に基づきますインシデント報告の規定による事業者からの情報提供、それから、本法律案に基づく当事者協定により取得した通信情報の分析、さらには外国政府からの情報提供等により得ることが想定されるところでございます。
○尾崎委員 要するに、この法案で情報収集が新たに可能となろうとしています、これを目指そうとされておられるわけでありますけれども、結局は、それに至るまでの様々な情報をしっかりと実効性ある形で取得できるかどうかというのが、この法案の、ある意味魂を入れるといいますか、そういうことにつながるんだろうと思います。
先ほどもお話しさせていただいたところでありますけれども、是非、民間の事業者さんともよく、密に意見交換もしていただきながら、コストを下げてインセンティブを上げる形で、有益な情報がどんどんどんどんお互いの間で行き交っていくようなこととなりますように、よい形で速やかに目星がつけられていくこととなりますように、そういう環境の整備ということに是非心がけていただきたい、そのように思うところでございます。またどうぞよろしくお願いいたします。
続いて、通信の秘密についてお伺いをさせていただきます。
言うまでもないことでありますが、通信の秘密が守られることへの国民の関心というのは大変に高いわけであります。
法案では、人による知得を伴わない自動的な方法によって意思疎通の本質的な内容ではない情報、機械的な情報を選別し、そして、それ以外のものを直ちに消去する、いわゆる意思疎通の本質的な内容に関わるものは消去をするということとされているわけであります。
これはまず、機械的な処理によるということで、できるだけ人を関与させない、そういうことで恣意的な盗み見などを防止するという趣旨だろう、そのことは非常に大きいことだろうと思います。
ですが、この選別、消去を行うためのプログラム設定がどうなるかということが、逆に言うと非常に重要になってくるわけでありまして、このプログラム設定が非常に恣意的に行われてしまったら、通信の秘密というものは十分に守られないということになろうかと思います。
この機械的選別、自動的選別に当たってのプログラム設定において、恣意性を排除するためにどのような措置を取ろうとしているか、これは非常に重要な点だと思いますので、大臣、よろしくお願いいたします。
○平国務大臣 本法律案では、取得した通信情報については、閲覧その他の人による知得を伴わない自動的な方法により不正な行為に関係があると認めるに足りる機械的情報のみを選別して記録をし、それ以外のものは終了後直ちに消去するように明確に定めています。今おっしゃられたとおりであります。
それで、ルールをどう担保するのかということだと思います。この自動的な方法による選別については、その選別の条件を設定するための基準が適切であるかどうかを独立機関であるサイバー通信情報監理委員会が事前に審査をしており、これにより恣意的な選別が行われないことを確保をしています。
また、選別をした後についても、選別の基準を遵守して適切に選別の条件が設定されたかどうかは、委員会の指定職員等により継続的な検査の対象となります。その検査の結果及び状況は委員会に報告をされ、もし違反をしていると認められる場合には、委員会から内閣府に通知をされ、内閣府は是正等の措置を講じなければならないとされています。
加えて、万が一、職員が通信情報の取扱いに関する事務を通じて得た通信情報の秘密を盗用した場合には、罰則の対象となることとしています。
したがって、自動的な方法による選別における恣意的な選別による通信の秘密の侵害は十分に防止をされているものと考えております。
○尾崎委員 要するに、そういうことになってきますと、独立機関の役割というのは、いわゆるサイバー通信情報監理委員会の役割というのは非常に重要になってくるということかと思います。ここが、要するに実効性ある形で先ほどのお話の仕事ができるかどうか。
情報取得に当たっての承認だとか継続的な検査を行う、サイバー通信情報監理委員会がこのような承認、検査を行うということでありますが、承認に当たっては、サイバー攻撃を防いでいくためにスピードが必要だということかと思います。他方で、継続的な検査のためには、膨大なデータを的確に処理をしていくということも必要だろうと思いますし、プログラムがどうなっているかとか、そういうこともしっかり見ていかないといけないということになるんだろうと思います。一言で言うと相当の専門性と規模も必要だと思われます。
これは、委員会そのものは三条機関として、委員長がおいでになって、法律の専門家、さらに、サイバーセキュリティー、サイバーの専門家である、そのような皆さんで委員会は構成されるということでありますが、一言で申し上げると、それをサポートする事務局体制もしっかりと置いておかないと、これは通信の秘密を守るということに資することができませんし、また、サイバー攻撃も防げないということになろうかと思います。
このような、相当の専門性と規模も必要だと思いますが、どのような体制整備をこの委員会及び委員会周りで行っていこうとされているかについてお伺いをさせていただきます。
○平国務大臣 独立機関であるサイバー通信情報監理委員会は、その所掌事務として、同意によらず通信情報を利用するための承認の求めに対する審査や、通信情報の取扱いに関する本法律案の規定が遵守されているかどうかの継続的な検査を実施することとしております。
これらの審査に当たっては、委員には高い専門性が求められることから、委員会の委員長と委員は、法律あるいはサイバーセキュリティー等のいずれかに関して専門的知識及び経験並びに高い識見を有する者から任命することと法律上定めております。
また、実際の審査については、この専門性のある委員会が、同意によらない通信情報の利用について、承認の求めが法律に定める要件を満たしていると認めるときは、遅滞なく承認するものとしています。
継続的な検査については、必ずしも膨大なデータをずっと処理するという必要があるものではありませんが、いずれにせよ、適正に検査を行う必要があるものであります。
これらの承認が遅滞なく行われ、また継続的に適正な検査が行われることを確保するため、委員会事務局の体制については、適切な専門性を有する職員により必要な規模の体制が確保できるよう、しっかり取り組んでいきたいと考えております。
○尾崎委員 データそのものを見るというより、プログラムとかそういうのを見たりとか、そういうことなんでしょうかね。
ですから、それほどの規模ではないのかもしれませんが、いずれにせよ、ここの、独立機関の実効性がしっかりしていないと通信の秘密が守られないということになりますので、是非、この独立機関が、形式的なもので形骸化するということのないように、実効性をしっかり発揮できるような、事務的なスタッフ、専門的なスタッフもつけていただいて、このような体制整備を図っていただきたい、そのように思うところでございます。是非、非常に重要なことでありますから、要請をさせていただきます。
それでは、その次の点ですが、本法案では、必要がある場合には外国の政府等に対して分析した情報を提供するということとされていますが、これはどのような場合を想定されているかということについてお伺いをさせていただきたいと思います。
これは恐らく、逆に外国政府からも情報提供を当然受けるということになるんだろうと思いますが、これも、いい情報のやり取りができるようにしていくためにも、相互の、例えば保秘レベルのすり合わせとか手続のすり合わせとか、そういうことも非常に重要になってこようかと思います。
今後どのように情報交換体制を整えていこうとされているかについてお伺いしたいと思います。
○小柳政府参考人 お答えいたします。
本法律案第二十八条でございますが、我が国の重要な電子計算機等に対するサイバー攻撃の被害の防止に必要な場合において、一定の要件を満たす外国政府等に対し、選別後の通信情報を提供することができることといたしております。
具体的なケースといたしましては、例えば、日本の重要電子計算機に対する攻撃に用いられていると考えられる国外の攻撃インフラの実態把握を行うために、本法律案の規定を満たす外国政府に通信情報を提供し、連携して分析を行うことでより網羅的な把握ができるようになる場合でございますとか、攻撃インフラが所在すると考えられる外国政府に情報を提供して対応を依頼する場合が想定されるものでございます。
御指摘のとおり、外国政府との連携においては、相互に情報を提供することが想定をされるところでありますが、その場合には、例えば、それぞれの政府が講ずる保護措置に相当する措置が提供先の政府でも講じられることを当該外国政府との間で相互に確認するというふうになると想定をしてございます。
○尾崎委員 済みません、念のためお伺いしますが、相互に確認するというのは、何らかの形で、例えば条約を結ぶとか、そういうことをするんですか。そこまではいかないんでしょうかね。ちょっとお伺いしたいと思います。
○小柳政府参考人 お答え申し上げます。
ケース・バイ・ケースのことはあろうとは思いますけれども、例えば文書等で確認をしたりとか、そういうような形できっちりと保護措置が講じられているかというのをお互いに確認した上で、安心して情報提供をできるようにするということを考えてございます。
○尾崎委員 どうもありがとうございました。
そして、要するに、インシデント報告とか、さらには、通信情報の取得によって得られた、それこそこれは膨大な情報になろうかと思いますけれども、これらの膨大な情報をスピード感を持って十分に整理、分析できるような仕組みというのを整えることが大事だろうと思います。
これは、いわゆる新しいNISC、新NISCさんの、法律的に言えば新NISCの中の内閣府のパーツということになるんだろう、多分兼務の体制になられるんでしょうけれども、この新NISCの内閣府パーツにおいて、このような情報を十分にスピード感を持って整理、分析をすることが必要になってくる、そのためには、専門人材の質と人数、高性能なシステムというものを十分に備えていくということが重要になってこようかと思います。
国家安全保障戦略では、欧米主要国と同等以上のレベルを目指すとされているわけでありまして、すなわち、欧米主要国と同等以上の仕事ができるだけの人材システムを確保すべきだ、そのように思うところでございますが、今後、この点についてどのような方針をお持ちか、お伺いをさせていただきます。
○佐野政府参考人 お答え申し上げます。
委員御指摘のとおり、国家安全保障戦略における、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させるとの目標を実現するためには、優秀な専門人材の確保に加えまして、高性能なシステム整備等を含む情報分析体制の構築が必要であると考えてございます。
本法案におきましては、インシデント報告等の対応も含め、関係行政機関や専門機関との協力が定められているほか、セキュリティーベンダー等の協力も得ながら、迅速に情報の整理、分析を行っていくことを想定してございます。
また、通信情報の利用に当たりましては、巧妙化、複雑化していく攻撃にも有効に対処をしていけますよう、官民双方からの高度なサイバー人材の確保でございますとか、高性能なシステムの導入、こういったものを通じまして分析能力の向上を図りつつ、防衛省を始めとする関係省庁の人的、技術的協力も得まして、自動選別や選別後通信情報の分析を行うということとしてございます。
このような観点を踏まえまして、政府において必要な体制整備を進めまして、サイバー攻撃による被害の防止のためにしっかりと対応してまいりたい、このように考えてございます。
以上でございます。
○尾崎委員 冒頭お伺いしましたときに、今回の法案によるこの仕組み、いわゆる官民の連携、通信情報の利用、そしてアクセス・無害化措置、これを法的に可能にするということは、欧米主要国と同等以上ということについて十分これを満たすものだ、そういうお話がありました。これは仕組みの問題としてそうだということでありますが、他方、実際にどれだけの能力を持てるかというのは、端的に言って新NISCさんがどれだけしっかりとした体制になるかということにかかっているんだろうと思います。
これは、しっかりとした専門人材をたくさん確保しなければならない、質と量両方が必要だろうと思いますし、それから、システム整備も極めて重要。AIもしっかりと装備したような立派なシステムをお持ちになることが大事。そうでなければ、この法案、いわゆる、法案で枠組みはつくって魂入らずみたいなことになってしまうと思います。是非、そこのところを頑張っていただきたいと思います。
教えていただきましたところでは、アメリカのサイバーセキュリティー・インフラストラクチャーセキュリティー庁、これは、職員数は何と三千三百名であられるということでございます。アメリカの場合は、全世界を見渡していって対応していく中においてこれだけの職員がいるということなのかもしれませんが、日本においても、端的に申し上げて、相当数の職員数がおいでにならなければ対処できないということになろうかと思いますので、是非、このところを頑張っていただきたいと思いますが、もう一回、御決意のほどをお願いします。
○佐野政府参考人 先生今御指摘いただきましたように、人材、これは極めて重要なものだというふうに考えてございます。今いただきました点も踏まえまして、しっかりと、しっかりと取り組んでまいりたいというふうに考えてございますので、ひとつよろしくお願いいたします。
以上でございます。
○尾崎委員 しっかりとが二回出ましたので、是非頑張っていただきたい、そのように思います。
それでは、三つ目の項目につきまして、アクセス・無害化措置についてお伺いをさせていただきます。
今回、サイバー攻撃による重大な危害を防止するために、警察、自衛隊によるアクセス・無害化措置、こちらについて、これは恐らく適正性を確保するためということでありましょうが、一連の措置が事前に義務づけられています。
ただ、これで本当に十分なスピードが確保されるかということもちょっと心配だったりもするということでありまして、ここのところについて少しお伺いをさせていただきたいと思います。
まず、警察についてでありますが、今回のこの措置の実施については、警察庁長官又は本部長の指揮を受けるとしています。このような、かなり専門的な取組について、一々警察庁長官、本部長の指揮を受けていて大丈夫なのかという話は、ちょっと素人目にはそのように見えるところであります。
また、自衛隊についてでありますけれども、こちらも防衛大臣の指揮を受けるとしているわけでありますけれども、一々そんなことをしていて大丈夫なのかと、あえて法律に書いてあるものですからね。
ちょっとここのところ、一般に心配される向きもありますものですから、どのように対処されるかについて教えていただければ幸いでございます。
○逢阪政府参考人 まず警察からお答えさせていただきます。
サイバー危害防止措置執行官がアクセス・無害化措置を講じるに当たっては、組織的に権限行使の適正性を判断することを制度的に担保するため、警察庁長官等の指揮を受けなければならないこととしております。
他方、アクセス・無害化措置は、危害防止のため緊急の必要があるときに行うものでありますから、御指摘のとおり、スピード感を持って対処する必要があるものと認識しております。
この点、アクセス・無害化措置を実施するサイバー危害防止措置執行官には高度な専門的知識や判断能力を有する者を指名するとともに、平素から対処のための教養訓練を実施することにより、それぞれの事案ごとに措置の適正性を確保しつつ、迅速な意思決定を行うことができるものと考えております。
○家護谷政府参考人 防衛省からお答えいたします。
これまで防衛省・自衛隊は、今般の法案が成立した場合に認められるアクセス・無害化措置を実施する権限は有しておりませんでしたが、防衛省・自衛隊において高度なサイバーセキュリティーを実現すべく、防衛大臣の指揮の下での迅速な対処を含め、能力の強化に取り組んでまいりました。
こうしたこれまでに培ってきた能力を基礎としつつ、自衛隊によるアクセス・無害化措置が防衛大臣の指揮の下で十分なスピード感を持って適切になされるよう、平素から体制の整備、人材の育成、訓練といった各種施策に取り組み、万全を期す所存でございます。
サイバー通信情報監理委員会は、法律や情報通信技術に関して専門的知識等を有する者が委員となることから、原則である事前の承認は迅速かつ的確に行われるものと認識しています。また、外務省とは平素から緊密に連携することで、外務大臣との協議を適切かつ迅速に行うことができるように取り組んでまいります。
法案をお認めいただいた場合に、政府全体で迅速かつ的確な対応ができるよう、引き続き実効性確保のための検討を進めてまいります。
○尾崎委員 どうもありがとうございます。
防衛省さんは非常に包括的にお答えをいただきまして、ありがとうございました。まだ聞いていないところもお答えいただいて、ありがとうございました。
ですけれども、独立機関の事前承認についてです。一言で言うと、事前承認は大事だろうと思いますが、ただ、アクセス・無害化措置を取ろうとするときに、事前承認というと、これは間に合うのかどうかということが非常に心配でありまして、事前承認を取ろうとするがゆえにタイミングを逸するとか、若しくはタイミングを逸して甚大な被害をもたらすとか、そういうことがないかということを心配をいたしております。
そのようないとまがあるんでしょうか。事実上、事後承認が普通となってしまうんじゃないでしょうか。こういう場合なら事前承認がしっかりできるが、こういう場合なら難しいとか、いろいろあるのかもしれません。是非お聞かせをいただきたいと思います。
○飯島政府参考人 お答えを申し上げます。
今、警察と防衛省から答弁ありましたが、それぞれしっかりした対応を取っているというところでございますが、警察、自衛隊がアクセス・無害化措置を行う要件でございます緊急の必要があるときというのは、いつでもサイバー攻撃が敢行されてもおかしくないという状況にあるという状況でございます。
このようなアクセス・無害化措置の実施の必要性というのは個別の事案に応じて判断されますので、一概に申し上げることはなかなか難しいところなのでございますが、例えば、サイバー攻撃に用いられるマルウェアに感染したIoT機器を発見した場合に、マルウェアはいまだ発動はしていないものの、当該マルウェアとC2サーバーが定期的に通信を行っているというようなことが認められるため、攻撃者の意図次第でいつでもまさにサイバー攻撃が行えると認められる場合には、このアクセス・無害化を行う緊急の必要があると判断いたしまして、事前承認を得るいとまがないと認める特段の事由がない限り、あらかじめサイバー通信情報監理委員会の承認を得るということとなるものでございます。
先ほど防衛省からもありましたが、このサイバー通信情報監理委員会は、法律や情報通信に関して専門的知識等を有する者が委員となることから、承認は迅速かつ的確に行える、あと、先ほどございましたが、事務局の体制もしっかり整えて対応していくということも考えておるというところでございます。
なお、事前承認を得ることが原則でございますが、サイバー攻撃により現に重大な障害が発生している場合など、事前の承認を得るいとまがないと認める特段の事由が生じれば、当該承認を得ることなくアクセス・無害化措置を取ることができるとしておりますので、真に必要な場合には、遅きに失することなく必要な措置を講ずることが可能であると考えております。
○尾崎委員 要するに、今まさに攻撃が行われているとかいう状況だと独立機関の承認を得ることはできないんですが、いわゆるマルウェアが仕込まれていて、それがどうもアクティブのようだというような場合というのは、事前の承認を得るいとまがあるということですよね。できる限り、承認、行う場合、行わない場合、よくめり張りもつけていただきながら、しっかりとした手続を踏みながら、他方で、確実にサイバー攻撃から日本を守る、そういう形で頑張っていただきたい、そのように思うところでございます。
その上で、今回のアクセス・無害化措置、この取組というのは、決してサイバーの世界だけで閉じるものではないはずでありまして、実際、諸外国は、サイバー攻撃をした後に、その後武力攻撃に至るということが多々見られるわけでありまして、この武力攻撃との連動ということも意識した上で対策を講じていくということが、制度設計をしていくということが重要だろう、そういうふうに思います。
今回の自衛隊によるアクセス・無害化措置については、いわゆる事態認定の制度にはよらず対応することとされております。スピード感という点では大変に評価をしますが、逆に言うと、予期せぬエスカレーションを招くことは防がなければなりません。相手の反応に応じて烈度が急激に上昇して、意図することなく相手国に、我が国から先制攻撃を受けたとみなされ、武力による反撃を受ける事態に至るなどといった予期せぬエスカレーションは防がなければならないところであります。
したがって、アクセス・無害化措置について、国家安全保障の観点から整合性の取れた形で行われる必要があって、内閣官房に設置する新組織が国家安全保障局と連携しつつその司令塔機能を発揮する、政府からの説明であればそうされているわけでありますが、この点は大変重要なところだと思います。この措置について、NSSともしっかり連携していきながら、NISCさんともしっかり連携していきながらやっていくんだということ、これは非常に大事なことだろうと思います。
この司令塔機能について、この場合の司令塔機能として具体的にどのような機能が発揮され得るかということについて教えていただきたいと思います。
○飯島政府参考人 お答えを申し上げます。
今回のアクセス・無害化措置は、公共の秩序維持の観点から、警察権の範囲内で、比例原則に基づきまして、重大な危害の発生を防止するために、攻撃サーバー等にアクセスして不正プログラムを無害化する必要最小限度の措置を取るというところでございます。
例えば、このアクセス・無害化措置によって、対象となるサーバー等に対し物理的被害や機能喪失等、その本来の機能に大きな影響を生じさせるようなことは想定しておらず、状況をエスカレートさせるようなものにはならないというふうに考えているというところでございます。
その上で、このアクセス・無害化措置が我が国の国家安全保障の観点から整合の取れた形で行われますよう、内閣官房に設置する新組織が、国家安全保障局と連携しつつ、その司令塔機能を発揮をしていくということを考えているというところでございます。
具体的に申し上げますと、まず、国家安全保障会議におきまして、発生したサイバー攻撃の実態を踏まえ、アクセス・無害化措置を実施するに当たっての方針等について審議を行います。その上で、審議された対処方針に基づきまして、サイバー安全保障担当大臣が新組織を指導し、国家安全保障局と連携しつつ、個々の措置について警察、自衛隊の役割分担等を検討、決定し、警察及び自衛隊に対し強力な総合調整を行うということで、このようにして司令塔機能を発揮していくということを考えているというところでございます。
○尾崎委員 今の御答弁の中で、いわゆる相手に対して無害化措置を取ります、そのことは相手のサーバーに重大な侵害をもたらすものとはならない、そういうお話でございました。
そのところをもうちょっと詳しく御説明をいただきたいと思うんですけれども、ただ、こっちがアクセス・無害化措置を取りますよね、すると、当然それで終わりじゃなくて、もし相手が特定の国であったとした場合、しかも軍事侵攻の前段階としてやろうとしている場合、必ずや反撃をしてくるだろうと思います。その反撃してきたことにまたこっちも対処をしていかないといけない、そういう形でエスカレーションしていくんじゃないかということを心配をしているわけですが、いかがですか。
○飯島政府参考人 お答えを申し上げます。
先ほど御説明させていただいたとおり、アクセス・無害化措置というのは、対象となるサーバー等に対しまして、物理的被害や機能の喪失等、その本来の機能に大きな影響を生じさせるようなことは想定しておりません。まさに状況をエスカレートさせるようなものにはならないというふうに考えておりますし、まさにこの措置というものが我が国の安全保障の観点から整合性の取れたもの、まさに今委員御指摘のような状況にならないように、まさに司令塔が総合調整機能を発揮してアクセス・無害化措置を取っていくということになるというふうに考えております。
○尾崎委員 物理的な攻撃に至るわけじゃないですからね、サーバーの。それはよく分かるんですけれどもね。ただ、プログラムが無効になるということも重大なことなので、それに伴って相手国は、これはやられたと思って怒っちゃうということもあるかもしれませんから、是非、しっかりと総合調整機能を発揮していただき、今回はまず法案ということですから、その後の制度設計というのをしっかり行っていっていただきたい、そのように思うところであります。
最後の最後であります。最後の最後でありますけれども、もう一回、繰り返しになりますが、今回のアクセス・無害化措置というのは、いわゆる事態認定の制度は取っていません。
ただ、サイバー攻撃と無害化措置とのやり取りの烈度の高まりに応じて、もっと言うと、サイバー攻撃に続いて武力攻撃が行われるなんということは、ウクライナなんかでも当たり前、今や世界の常識というか、ほとんどそういう形でいつも攻撃が行われてきているわけであります。ですから、リアルの世界でもサイバー攻撃が行われてきていることの事態をしっかりと見て、リアルの世界においても速やかに、例えば武力攻撃予測事態等の事態認定を行っていくとか、そういうことも重要になってこようかと思います。
問題は、サイバー上のやり取りというのは烈度が急激に上がっていったりすることもあったりして、リアルの世界とはちょっとスピード感も違ったりするんだろうと思います。是非、しっかりと連携をしていただきまして、サイバー攻撃の烈度の上昇に応じて、また、その他の情報も勘案していただいて、速やかに、予測事態認定とか、そういうことを行っていただく、そういうことが非常に重要になろうかと思うところでございます。
これはあくまで念のためということでありますが、その点についての体制はしっかりできているか、お伺いをさせていただきたいと思います。
○市川政府参考人 お答え申し上げます。
今先生御指摘になられました武力攻撃予測事態あるいは武力攻撃事態等の認定につきましては、実際に生起しました、発生しました事態の個別具体的な状況に即しまして迅速かつ適切に行うべきものであり、これは我が国へのサイバー攻撃等により事態を認定する場合においても同様であるというふうに考えてございます。
政府としましては、平素から、関係省庁としっかりと連携をしまして、様々な事態への対応を想定して、各種の検討、訓練を行っておるところでございます。
今後とも、サイバー空間の状況を含めまして、様々な情報を総合して迅速に判断できることが可能となるよう、不断に検討、訓練を行っていきたいというふうに考えております。
○尾崎委員 どうもありがとうございました。
今回の法案の枠組みそのものは非常に重要なものだろう、そういうふうに思います。ただ、それに本当に実効性をもたらしていくためにも、重要なこと、冒頭盛んに申し上げさせていただきましたが、情報共有がしっかりできるように、民間の皆様方との対話にしっかり心がけていただきたいと思いますし、また、NISCさんの体制強化が非常に重要になってくる。そして、独立機関がしっかりとした体制を持つことが非常に重要になってきます。是非この点についてもしっかりとやっていただきたい、そのことをお願い申し上げまして、質問を終わらせていただきます。
どうもありがとうございました。
○大岡委員長 次に、平沼正二郎君。
○平沼委員 おはようございます。自由民主党の平沼正二郎でございます。
今日は、質問の機会をいただきまして、誠にありがとうございます。
尾崎委員の方からかなり網羅的に、そして詳細に質問をされましたので、なるべくかぶらないような形で質問をいたしたいと思いますけれども、少々似通った質問が出た場合、失礼をいたします。
私、先週末、国会のお許しも得て、超党派議連である日華議員懇談会の方で台湾の方に実は伺わさせていただきました。その際に、御承認をいただいた皆様方に感謝を申し上げるとともに、訪台中には、頼清徳総統、蕭美琴副総統、蔡英文前総統、韓國瑜立法院長等にもお会いして、意見交換等もさせていただきました。フォーラムもあったんですけれども、法の支配による、やはり民主主義と同じ目線というか、連携が取れる、国々の連携というのは非常に必要であるということを改めて再認識をさせていただきました。
今回のこの法案につきましても、まさにこの知見を持っている政府の一つが私は台湾であると思っております。サイバーテロと日々闘っておりまして、昨日の登壇の中でもありましたけれども、台湾政府機関に対する昨年のサイバー攻撃が一日平均二百四十万回となっておりまして、前年の平均の百二十万回から倍増しているという、こういった発表もあるわけでございます。我が国もまさに同様でして、日々、サイバーテロとの闘いというのが非常に増えているというわけでございます。
この法案に基づくようなサイバー防御に関する知見の交換というのも、やはりこういった同志国としっかりしていく、これは尾崎委員の方からもありましたけれども、連携していくのが今後ますます重要になってくるんだろうと改めて認識をしております。
また、台湾の話ばかりで恐縮ですけれども、台湾では、今、政府監修というか、政府も協力して「零日攻撃(ゼロデイ)」というドラマが制作されて、公開をされて話題となっております。
ちなみに、これは日本の俳優も出演をしておりますけれども、まだ日本語版が残念ながらないんですけれども、ユーチューブで粗筋が公開されておりまして、私も見ました。どういう内容かと申しますと、今回のまさに法案の対象であるグレーゾーンから、サイバーテロからスタートして、国家の機能が麻痺に陥って、海峡封鎖をされ、台湾有事がエスカレーションしていくという、こういった内容になっておりまして、まさに非常にリアルな作りになっていると私も有識者の方からも聞いております。
まさに他人事ではないというような台湾の危機意識の高さがうかがえる内容になっておりますけれども、今回、我が国もようやく、サイバーテロ対策、そして有効な事前的防御体制を整えることができる法整備が本案で進むことが、私は大変期待をしております。
そこで、質問に入らさせていただきます。
本法は、通信の秘密に配慮するということが前提で、基本としては、基幹インフラ事業者との協定、同意に基づく通信情報の取得となっておりますけれども、外外通信の分析において、国外の攻撃インフラ等の実態把握のために必要があると認められる場合には、独立機関の承認を受け、通信情報を取得できるとなっておりますけれども、実態把握に関しては緊急性のあるものが非常にあるのではないかと私も思っておりまして、独立機関、いわゆる三条委員会の承認に関して、これは尾崎委員からも質問がありましたけれども、やはりスピード感、非常に重要になっておりますけれども、このスピード感の確保というのはどうなっているのか、お伺いをいたします。
○小柳政府参考人 お答え申し上げます。
本法律案では、同意によらない通信情報の利用につきまして、承認の求めが法律に定める要件を満たしていると認めるときは遅滞なく承認をするものというふうに規定をしてございます。
この点、先ほど来出ておりますが、サイバー通信情報監理委員会は、法律や情報通信技術に関して専門的知識等を有する者が委員となっているということで、承認は迅速かつ的確に行われるというふうに認識してございますし、さらに、遅滞なく承認が行われることを確保するために、同委員会事務局の体制につきまして、適切な専門性を有する職員により必要な規模の体制が確保できるよう、しっかりと取り組んでまいりたいというふうに考えてございます。
○平沼委員 ありがとうございます。
いろいろと御準備をされて、想定もされているということでありますけれども、やはり実際の現場になったときに、しっかりとこのフローが確認されて、迅速に確認が取れるという状況をつくっておかないと、どういった混乱に陥っているかという状況もありますので、しっかり遅滞なく対応していただきたいなと思います。
また、取得した情報に関して、これも、通信の秘密に配慮しながら、取得した情報内において機械的情報の判別を行うと今回ありますけれども、この機械的情報というのは何かということを改めて分かりやすく教えていただけますでしょうか。そしてまた、この自動選別において重要な情報がドロップをすることがないのかという点についても教えていただけますでしょうか。
○小柳政府参考人 お答えいたします。
まず、機械的情報でございますけれども、通信情報のうち、IPアドレスやコンピューターへの指令情報など、コミュニケーションの本質的な内容に当たらない情報を意味しているものでございます。
より具体的に申し上げますと、IPアドレスと指令情報のほか、例えば、通信が送受信された時刻、通信で送信されたデータの量、ソフトウェアの種類などの情報が機械的情報に当たるものでございます。
一方で、メールの本文あるいは通話の内容など、人と人との間のやり取りの内容を示す情報は、コミュニケーションの本質的な内容でございまして、機械的情報には当たらないものでございます。
本法律案では、サイバー攻撃の実態を把握するためにコミュニケーションの本質的な内容は特に分析する必要があるとまでは言えないというふうに考えられますことから、コミュニケーションの本質的な内容でない情報として機械的情報という概念を設けまして、実際の分析の対象とするものでございます。
それから、取得した情報の機械的選別を行っていくわけでありますが、選別により重要な情報が落ちることはないのかという点についてでございます。
本法律案におきましては、取得した通信情報について、自動選別により対象不正行為に関係があると認められる機械的情報のみを選別した後、それを分析することといたしております。
このため、御指摘のような、重要な情報であっても選別時に対象不正行為に関係があると認められないような情報というのは削除されてしまうという可能性も排除されないところでございますが、機械的情報のみを選別することは、通信の秘密との関係から、分析する情報の範囲を限定し明確化するために不可欠な措置だというふうに考えてございまして、そのような可能性が排除されないことはやむを得ないものだというふうに考えてございます。
今後、この法律の運用を進めまして、また、外国の関係機関からの情報提供を受けて自動選別に活用することにもよって、対象不正行為に関係があると認めるに足りる機械的情報の精度を上げていきまして、重要な情報の捕捉をしっかりとできるように努めてまいりたいというふうに考えてございます。
○平沼委員 ありがとうございます。非常に重要な答弁をいただいたのかなと思っております。
情報といっても、例えばメールもあればSNSもあれば、非常に多種多様。また、将来的にはいろいろまたこういった情報のやり取りのツールというのも変わってくるという可能性があるわけであります。
そういった中において、一義的な機械的情報だけをやっていくと、ともすると、やはり、先ほどありましたように、ドロップする可能性もあり得るということがありますので、是非、関係機関ともしっかりと連携を強化をしていただいて、そこの、機械的情報は何なのかというところの情報の更新みたいなところもしっかりやっていっていただきたいなと思います。
そして、この自動選別に関してもう一つお問いをしたいんですけれども、要らないデータというのがやはり出てきて、削除されると思うんですけれども、この削除の処理というのは、適切に削除されるのかというところを教えていただけますでしょうか。
○小柳政府参考人 お答えいたします。
消去の方法につきましては、選別後に選別元の情報を次々と必要のない別の情報で完全に上書きしてしまうということを想定をしてございます。そして、復元できないように消去していることにつきましては、独立機関でございますサイバー通信情報監理委員会が継続的に検査をいたしまして、実際に遵守されていることを確保することといたしてございます。
○平沼委員 ありがとうございます。
データを上書きして消去を随時していくということでございます。なかなか、データというのは完全消去できていない場合というのも間々あるということがありますので、先ほどのフローも含めて、しっかりと遵守をしていただいて、万全の配慮をいただきたいなと思っております。
この自動判別なんですけれども、大量のデータを扱うということが想定されているため、必ず実施をしていかないとならないものと私も考えておりますけれども、現在、大量に扱うデータの中には、やはりAIによって大量に生成される、自動生成されて送信されるようなデータも当然増えてくると認識をしております。
このように大量にAIなどで生成される、送信されるデータが、大量の偽情報というのも含まれるというのが想定をされるわけでありますけれども、この偽情報の判別に関しての方策をお伺いいたします。
○平国務大臣 偽情報の判別は、今回のこの法律のスコープには入っていません。というのは、偽情報というのはコンテンツなので、先ほど申し上げたコミュニケーションの本質に関わるところですので、それは見ない。ただ一方で、今の生成AIは、ソースコードとかを読んで脆弱性を勝手に見つけて、それを攻撃をするマルウェアとかを作っちゃうので、今後は、サイバーセキュリティーの世界はAI・VS・AIの世界になっていくと思います。
日本は、アジアで初めて、AISI、AIセーフティ・インスティテュートをつくった国でありますが、昨年行われたパリのAIのサミットでは、AIセーフティーなのか、セキュリティーじゃないのかということになって、AISIも、イギリスやフランスは、セーフティーからセキュリティーに変えていこうという動きが直近の動きでもありますので、こういった同盟国、同志国とよく連携をしながら、サイバーセキュリティーの分野でAIの活用というものを常に念頭に置いて取り組んでまいりたいと思っております。
済みません、所管外です。AIは城内大臣でした。
○平沼委員 さすが詳しい平大臣、所管外も的確にお答えいただいて、大変ありがとうございます。
まさしく大臣おっしゃるとおり、今、AIによる攻撃はやはりAIで防ぐしかないんじゃないかという話もありますし、今、ほぼ全てのプログラムはやはりAIが書く可能性が高いとも言われております。当然、こうした悪質なプログラミングを書けるというのも想定をされておりますので、しっかり緊密連携して、この辺の情報共有もしていただいて、対策を万全にしていただく必要があるのかなと思っております。
続いて、人員関係に関してお伺いをいたします。
本法案に関わる人員には高度な知識や見識が必要なのはもちろんでありますけれども、当然、様々な情報を扱う以上、一定以上のやはりセキュリティー要件を満たす人材でなければならないと考えております。
現在、重要経済安保情報保護活用法、いわゆるセキュリティークリアランス法が制定をされているわけでございますけれども、今回の法案により、情報の取得、そして管理、確認等に関わる対処人員はセキュリティークリアランスホルダーになるのかというところについて、お伺いをいたします。
○小柳政府参考人 お答えいたします。
本法律案を実施するために通信情報を取り扱う内閣府等の職員でございますけれども、選別後通信情報のほか、他の行政機関あるいは諸外国からもたらされた機微な情報など、秘匿性の高い情報を取り扱うことも想定されるところでございます。
その上で、例えば、内閣府が特定秘密又は重要経済安保情報の提供を受ける場合、それから特定秘密又は重要経済安保情報を自ら指定する場合、こういった場合には、当該取扱いの事務を行うことが見込まれる職員につきまして、必要な適性評価を実施してまいります。
○平沼委員 ありがとうございます。
今回、通信の秘密への配慮も重要であるのは当然ですけれども、情報利用の適正の確保のために、サイバー通信情報監理委員会、いわゆる三条委員会を置くこととなっております。
冒頭の質問でも取り上げましたけれども、同意によらない国外関係通信の取得に対して審査、承認、検査を行う権限等を付与することになっておりますけれども、その審査や承認のためには、判断する情報の中には安全保障上に関わるようなやはり機微な情報も含まれるのではないかと考えております。
先ほど、対処人員のセキュリティークリアランスの話もしましたけれども、独立機関の委員に関してのセキュリティークリアランスというのは必要要件となっているのでしょうか。
○小柳政府参考人 お答えいたします。
例えば、重要経済安保情報保護活用法におきましては、合議制の機関の長に対しましては適性評価を受けることを要しないとされているところでございまして、サイバー通信情報監理委員会の委員長につきましては適性評価を実施する必要はないというふうに理解をしております。
また、同法は、職務の特性その他の事情を勘案し、政令で定める者につきましては適性評価が不要というふうにされておりまして、この政令におきましては、国家公安委員会委員、公安審査会委員、原子力規制委員会委員、都道府県公安委員会委員が規定されているところでございます。
サイバー通信情報監理委員会の委員をこの政令の対象とするかどうかにつきましては、本法の成立以降、重要経済安保情報保護活用法の所管である内閣府と協議の上、検討してまいりたいと考えておりますが、いずれにいたしましても、委員長及び委員につきましては適切な者が内閣総理大臣より任命されるというふうに考えているところでございます。
○平沼委員 ありがとうございます。
委員長は当然対象になるという話もレクでは伺っておりますけれども、委員はその限りではないということもありまして、今、ほかの三条委員会の委員もそうという話でありますけれども、今回の法案の対象というところはなかなかほかの部分と少し違う部分もやはりあると思っておりますので、適正な人材をやはりしっかりと任命をしていくというのが非常に私は重要であると思っております。
レクの中では聞いておりましたけれども、委員に国籍の条項はあるのかというと、特にないというお話も聞いたりもしておりますので、やはりそこら辺も含めて、適正な人材配置というのはしっかりと留意をしていただきたいなと思っております。また、判断するということは、当然、先ほども申し上げましたとおり、機微な情報も含まれる可能性が高いことも想定されますので、引き続き留意をいただきたい。
そして、引き続き、能動的サイバー防衛を含む各種取組を実現、促進するために、内閣サイバー官の設置が今回予定をされております。総合調整のリーダーとなり得る存在と思いますけれども、内閣サイバー官の専門的なやはり知識の保有というのは私は必要だと思っておりますけれども、この内閣サイバー官の知識保有の、いわゆる専門性の有無確認というのは、内閣サイバー官に関しては問うのかどうかというところをお伺いをいたします。
○小柳政府参考人 お答えいたします。
内閣サイバー官につきましては、時の内閣総理大臣がその任にふさわしい者を多角的、総合的な観点で機動的に登用することができるよう、今般の整備法におきまして国家公務員法を一部改正し、特別職として設置をするものでございます。
内閣サイバー官につきまして、専門的な知識の確保を考慮するか、あるいはどのような基準で専門性の有無を確認するかといったことにつきましては、その登用に当たって内閣総理大臣が適切に判断するものでございまして、予断を持ってお答えすることは困難でございます。
○平沼委員 ありがとうございます。
予断を持って判断するのは困難ということでございますけれども、なかなか、これは結構、専門的なやはり知識を持っていないといろいろ判断を実際に下せないと私は思いますので、ここはやはりしっかりと留意をしていただきたいと思います。内閣総理大臣が任命するということではございますけれども、総理大臣自体に専門性の有無というのが判断できるかという部分もあります。やはり周りの方を含めてチームが判断基準をしっかりと提示していただくというのが大変重要であると思っておりますので、実際の運用になった際は御留意をいただきたいなと思っております。
続きまして、実際にサイバー攻撃を防止する段階に入った場合に関しての質問に移りたいと思います。
サイバー攻撃といっても、様々なものがございます。よく知られているものがDDoS攻撃で、大量のデータ送信で過大な負荷をサーバーにかけてシャットダウンをさせてしまうものであります。また、ランサムウェアの攻撃、トロイの木馬やスパイウェアなどのマルウェア攻撃、SQLインジェクションなど多種多様でありまして、侵入経路やアプローチの方法というのも様々でありまして、この手法というのも日々進化をしているという状況であります。
そのような中、やはりこういった対処能力を向上しておくためには、アクセス・無害化の措置に関して、やはり平時からのシミュレーションだったり、いわゆる模擬演習、訓練などが私は必要であると考えておりますけれども、現状のこういった部分の取組に関してお伺いをさせていただきます。
○飯島政府参考人 お答えを申し上げます。
アクセス・無害化措置については、その主体がまさに警察及び自衛隊になりますが、運用の実効性を確保する観点から、両者が緊密に連携するということは重要であると考えております。
このため、アクセス・無害化措置については、司令塔たる内閣官房の総合調整の下、警察及び自衛隊が相互に密接に連携して措置を行うことが可能となるよう、運用上の工夫を行っていくということが重要と考えております。
具体的には、両者が有する情報を平素から司令塔組織を含め相互に十分に共有すること、司令塔組織の役割分担等の調整を踏まえ、両者が有機的に連携すること、両者が実施する措置の内容を相互に十分に認識した上で措置を実施し、措置の結果についても直ちに司令塔組織を含め共有することなどが必要になると考えております。
このような運用の実効性が確保できるよう、これまでも、内閣官房、警察庁、防衛省・自衛隊を中心とした関係機関におきまして必要な検討を行ってきているというところでございますが、委員御指摘のとおり、実効的な運用を確保するため、共同演習、訓練などを行うことによって、政府内、関係機関の連携を深めていけるよう、更に検討を行ってまいりたいと思っております。
○平沼委員 ありがとうございます。
やはりこれは私は非常に重要だと思っておりまして、先般、災害の対応もしておりましたけれども、災害もそうなんですけれども、やはり平時からいろいろ想定して対処能力を向上させておくとおかないとでは相当スピード感が違いますので、こういったサイバー防御に関しても、日々進化をしているものではありますし、いろいろなシミュレーション、そして連携機関の連絡体制とか、改めて再確認をするとか、そういうのも含まれますので、しっかりと引き続き検討していただいて、対処能力向上に是非とも努めていただきたいと思っております。
続きまして、対処に関してはやはりスピード感が特に重要であると思います。インフラの種類によっては、機能不全に陥った場合に、やはり国民の生命に直結する可能性もありますので、しっかりとシミュレーションも含めてやっていただきたいと思います。
アクセス・無害化措置に関して引き続きお伺いをいたします。
これも先ほど尾崎委員の方からありましたけれども、承認を得るいとまがないと認める特段の事由、理由がある場合には、この限りではないとありますけれども、ここの判断はサイバー危害防止措置執行官が行うのか。また、警察庁長官又は都道府県警察本部長の指揮を受けるとありますけれども、いとまがないという場合、いわゆる緊急時の場合に関して、想定すると、意思決定の速度に、やはり警察庁の長官とか都道府県という確認が入るとスピード感は落ちるんじゃないかなと私は思っているんですけれども、これは支障がないものと考えていいものでしょうか。
○逢阪政府参考人 お答えいたします。
サイバー通信情報監理委員会の承認を得るいとまがないと認める特段の事由がある場合とは、サイバー通信情報監理委員会の承認を得るのを待っていたのでは、すなわち、その時点でアクセス・無害化措置を取らなければ人の生命、身体又は財産に対する重大な危害の発生を防ぐことはできない状況ということでございます。
こうした状況にあるか否かは個別具体の事案に応じて判断することとなりますが、例えば、サイバー攻撃により基幹インフラ事業者に現に重大な障害が発生している状況等が判明すれば、承認を得るいとまがないと認める特段の事由がある場合と判断することとなるものと考えております。こうした判断は組織的に慎重になされることが適当であることから、サイバー危害防止措置執行官が警察庁長官等による指揮を受けて行うこととしております。
御指摘のとおり、こうした状況にある場合には迅速な対処が必要となることから、サイバー危害防止措置執行官には高度な専門的知識や判断能力を有する者を指名するとともに、平素から対処のための教養訓練を実施することにより、それぞれの事案ごとに措置の適正性を確保しつつ、迅速な意思決定を行うことができるものと考えております。
○平沼委員 先ほど尾崎委員の話もありましたけれども、なかなか、最終的な権限のところはどうなるかというのは引き続き議論になるのかなと思います。
続きまして、官民連携についてお伺いいたします。
今回、基幹インフラ事業者との連携が主にフォーカスをされておりますけれども、この基幹インフラ事業者というのは、経済安全保障で規定している事業者とイコールになると考えてよいでしょうか。イコールの場合、病院や、例えばサーバーの事業者、救急、消防、道路網管理をしているところだったり、生活インフラに支障を来す可能性があるいろいろなところもありますけれども、基幹インフラ事業者と現在なっていない分野に対する対応に対して、お伺いをいたします。
○門松政府参考人 お答えいたします。
先生御指摘のとおり、経済安全保障推進法における基幹インフラ事業者と本法案の届出やインシデント報告の対象となる事業者は同様であるというふうに考えております。御指摘の病院やサーバー事業者、救急、消防、道路網管理については、現行経済安全保障推進法の基幹インフラ事業者ではないわけでございまして、本法案の届出やインシデント報告の対象には含まれておらないということでございます。
一方で、本法案では、基幹インフラ事業者に限らず、必要な者に対し、被害防止に必要な情報提供を行うこととしておりまして、具体的には、内閣総理大臣が整理、分析した結果や脆弱性への対応方法について、必要に応じて、公表その他適切な方法により周知することができるというふうにしておるところでございます。
その上で、委員御指摘の病院等についても、情報共有及び対策に関する協議会の構成員、これになることは可能でございます。協議会の構成員となった場合には、インシデント報告を求めるとともに、秘密を含む必要な情報の提供を行うということとしておるという構成になっております。
○平沼委員 ありがとうございます。
当然、この基幹インフラ事業者に含まれないにしても、経済安全保障上、非常に重要なインフラを支えているところがありますので、しっかりと協議会等にも入っていただいて対処をしていく必要が私もあると思いますし、しっかり御努力をいただきたいなと思っております。
最後に、一般の国民の皆さんに対する対応に対してお伺いをいたします。
現在、あらゆる機器がネットワークにつながる時代となりました。家庭内にある、あらゆるものがネットワークに今つながっております。例えば、テレビはネットワーク対応が当たり前になりましたし、白物家電と言われる今までネットワークにつながっていなかったような冷蔵庫や洗濯機、照明、エアコンみたいなものもネットワークに今つながっております。
日本全体で考えると、何万というこういう機器がネットワークにつながっておりまして、一方、先ほどのサイバー攻撃の例で挙げたようなDDoS攻撃みたいなものは、こうした多量の機器を踏み台にして、大量のデータ送信を行ってサーバーをダウンさせてしまうということもあります。このように、踏み台になる機器が今無数にある中において、そこでの対策はどうなっているのか、教えてください。
○西村政府参考人 お答えさせていただきます。
委員御指摘のとおり、近年、インターネットに接続されるIoT製品の数は急速に増加をしており、その脆弱性を狙ったサイバー脅威も高まってきております。他方、一般の企業や消費者がIoT製品にセキュリティー対策が備わっているかどうかを判断することは困難であり、こうした製品を容易に選定できる環境を構築していくことが必要だと考えております。
このため、経済産業省では、これまで一定のセキュリティー基準を満たすIoT製品にラベルを付与するJC―STAR制度の具体化を進めてきております。今月中に制度の運用を開始する予定としております。ベンダーに対してラベルの取得を促すとともに、政府機関、地方公共団体、重要インフラ事業者の製品調達で活用されるよう、関係省庁とも連携して適切に対応してまいります。
○平沼委員 ありがとうございます。
これは結構重要だと私は思っていまして、踏み台になる機器は非常に多いんですけれども、自由競争とか、いわゆる販売の自由みたいなところもあるので規制するというのは難しいんですけれども、やはり理解の醸成を図っていくというのが非常に重要でありまして、一般の方にもサイバーセキュリティーに関してしっかりと理解を醸成していくというのが非常に根本的ないわゆる対策の一つに私はなると思っております。
やはり一般の方向けにもサイバー情報の提供が非常に重要だと思っておりますので、注意喚起なども重要でありますけれども、現在の取組に関して、最後にお伺いをいたします。
○中溝政府参考人 お答え申し上げます。
委員御指摘のとおり、サイバー攻撃が高度化、巧妙化する状況においても、まずは、国民一人一人の基本的なサイバーセキュリティー対策の徹底が重要であるというふうに認識してございます。
政府におきましては、毎年二月一日から三月十八日までの期間をサイバーセキュリティ月間というふうに位置づけまして、産官学民を巻き込んで普及啓発活動を実施してございます。
例えば、本年は、家や職場で話し合い、見直したいセキュリティー対策をテーマとして、ファミリー層と中小企業をターゲットに、例えば、全国の都道府県警察による民間企業等とタイアップしたイベントでありますとか、NISCにおける中小企業向けのセミナーなど、百八十件に上る普及啓発活動を行ったところでございます。
政府といたしましては、国民一人一人がセキュリティーに対する意識を持って具体的な行動に移っていただけるように、引き続き普及啓発に取り組んでまいりたいと考えてございます。
○平沼委員 以上で終わります。ありがとうございました。
○大岡委員長 次に、山崎正恭君。
○山崎(正)委員 公明党の山崎正恭です。
本日は、内閣委員会での質問の機会をいただきまして、大変にありがとうございます。貴重なお時間ですので、早速質問に入らせていただきます。
まず初めに、官民連携における情報の分析についてお伺いしたいというふうに思います。
有識者会議においても、重要インフラの機能停止や破壊等を目的とした重大なサイバー攻撃は、国家を背景とした形でも日常的に行われるなど、安全保障上の大きな懸念となっており、デジタルトランスフォーメーション、DXの進展を踏まえると、官のみ、民のみでのサイバーセキュリティー確保は困難であるとして、政府が率先して情報提供し、官民双方向の情報提供を促進すべきだとの指摘がありました。
本法案では、内閣総理大臣は、基幹インフラ事業者、その他の電気通信役務の利用者との協定に基づき、当該利用者が送受信する情報提供を受ける、そして、その後、サイバーセキュリティー確保のための分析を行うとともに、当該利用者のサイバーセキュリティーの確保のため、必要な分析結果を提供することとするとあります。
また、今回の法案においては、新法の第五章第二十七条に、内閣総理大臣は、自動選別又は選別後の通信情報の分析をするために必要があると認めるときは、防衛大臣その他の関係機関の長に対し必要な協力を要請できることとし、要請を受けた関係行政機関の長は、その所掌事務に支障が生じない限度において協力を行うものとあります。
例えば、アメリカなんかにおいては、二〇二一年につくられた官民の枠組み、JCDCで未公開情報を官民で共有し、起こり得る危機のシナリオを共同で研究しており、二〇二二年にメンバーに加わった日本企業さんからは、JCDCにおけるアメリカ政府からの情報は圧倒的に多く、民間企業のメリットが大きいとの指摘がされています。
また、情報共有に当たっては、提供側の政府にもアナリスト、分析官が必要であり、例えばイギリスのNCSCは、専門の三十名ほどの分析チームを有するプラットフォームを構築していると指摘されておりますが、情報の分析が非常に重要であるということです。
そこで、まず、情報の分析については、先進的に取組を行っている他国のそういった取組も参考にして行うのかどうか、お伺いいたします。
○門松政府参考人 お答えいたします。
国家安全保障戦略におきまして、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させるとうたわれておりまして、サイバー対処能力強化法案の策定に当たっては、先生御指摘の情報の分析の在り方、これも含めて、欧米主要国の取組を参考にさせていただいております。
現状、個別企業のみ、若しくは民間のみ、官のみでのサイバーセキュリティー確保は困難となる中で、欧米主要国では、政府全体、社会全体でサイバーセキュリティー確保に取り組むべきとの方針、これが明確に規定されているところでございます。
こうした方針を踏まえまして、情報の分析に関する欧米諸国の具体的な取組を見ますと、分析等を担う関係省庁間での情報交換を法定化する取組、また、民間組織との分析面も含めた協力を促す官民枠組みの設置などが行われているものと承知をしております。
今回、こうした諸外国の状況も踏まえつつ、本法案では、関係行政機関や独立行政法人情報処理推進機構、また国立研究開発法人情報通信研究機構といった専門機関との協力が定められているほか、協議会では、セキュリティーベンダー等の協力も得ながら、具体的な対策を官民で検討し対処していくということを想定しているということでございまして、こうした一連の取組を通じて、サイバー攻撃による被害の防止のための効果的な分析に努めてまいりたいと考えております。
○山崎(正)委員 ありがとうございます。
情報の分析の精度が上がっていくことが非常に重要であると思いますので、よろしくお願いいたします。
次に、中小企業に対する支援についてお聞きします。
先日の本会議での質疑において、我が党の河西議員からも言及がありましたが、経済産業省のIPA調査によれば、過去三年間にサイバー攻撃の被害に遭った中小企業のうち約七割が取引先にも影響の及ぶサイバードミノが発生し、中小企業の約七割が組織的なセキュリティー体制が整備されていないとの状況があります。
サイバー被害の拡大を防止するには、先ほども平沼先生からも御指摘がありましたけれども、やはり、いわゆる踏み台にもなりやすいとの指摘がある、我が国で数の上では九〇%以上を占める中小企業等の支援が必要不可欠でありますが、資金や人材等が限られている中小企業が自らのみでセキュリティー対策を進めていくことは困難であるとの指摘が有識者会議でもありました。
そこで、中小企業のサイバーセキュリティー対策は、資金援助だけではなく技術的支援が必要であり、例えば自治体のガバメントクラウドのように、国がシステムを提供していく等も必要ではないかと考えますが、中小企業の具体的対策についてお伺いします。
○奥家政府参考人 お答え申し上げます。
中小企業が自ら必要なセキュリティー対策を実施できるよう、二〇一九年度から二年間、中小企業向けのセキュリティーサービスの実証事業を行いまして、二〇二一年から、中小企業に必要な対策を安価かつワンパッケージにまとめたサイバーセキュリティお助け隊サービスを開始しています。
こちら、具体的なサービスの中身ですけれども、不審な挙動やサイバー攻撃の検知、緊急時の対応支援、駆けつけサービスなど必要な技術的支援、さらに、保険も合わせた形のサービスを提供しています。二〇二二年以降は、IT導入補助金において、中小企業がこちらのサービスを導入する際の費用の支援も行っているところです。お助け隊サービスの利用につきましては、昨年九月時点で約七千件にも上っています。
今後も、更なる普及、展開を含めて、中小企業に寄り添った施策の推進に取り組んでまいりたいと考えております。
○山崎(正)委員 ありがとうございました。
先ほどありましたように、サイバーセキュリティお助け隊サービスの方で、いわゆる検知したりとか駆けつけたりとか、さらには保険も含めたそういったワンパッケージでシステム、技術支援をしてくださっている、さらには、IT導入補助金で資金援助もしていただいているということで、非常に手厚い内容となって、七千件ということですけれども、これがもっともっとスピード感を持って広がっていくことが非常に重要であると思いますし、技術的な援助については、もちろん、どんどんとこれから蓄積されていって、それがバージョンアップされていくというふうに思います。
是非ともこの中小企業の支援につきまして、更に充実した、スピード感を持った支援になっていくことを期待しております。どうかよろしくお願いいたします。
次に、有識者会議でも、サイバー防御に必要な情報を政府に提供した企業が社会の安全のために貢献していると肯定的に評価される方向を目指すべきだという指摘があります。本法案を実行していくに当たり、このような国民意識の醸成は非常に重要であると考えます。
また、個人情報の取得など、国民の監視強化につながるのではないかとの不安等の声は、昨日の本会議等でも様々な御指摘がありました。そういった声を払拭するためには、本法案の意義を国民に対してしっかり説明していくことが必要と考えますが、その点についてどのように取り組んでいくのか、お伺いいたします。
○穂坂副大臣 お答えさせていただきます。
委員御指摘のとおり、有識者会議からは、サイバー防御に必要な情報を政府に提供した企業が社会の安全に貢献しているとして肯定的に評価されるべき、その旨の提言をいただいております。
実際、巧妙化、深刻化するサイバー攻撃による被害を防止するためには、民間事業者からの情報提供が不可欠であります。本法案においては、インシデント報告、通信情報、協議会など、民間事業者からの情報提供を大いに期待しております。
その上で、本制度により情報提供に貢献した民間事業者に対しては、政府の側から積極的にフィードバックを行い、情報提供を行うことにメリットを感じることができる制度とするとともに、積極的に情報提供を行った企業をサイバーセキュリティーの向上に貢献しているとして評価する環境を整備する、そういったことをするなど、結果として、官民双方向のより有用な情報共有、それによる我が国全体のサイバーセキュリティーの対策強化という好循環を実現できる仕組みとしていきたいと考えております。
また、本法案の通信情報の利用につきましては、一定の機械的な情報のみを自動的な方法により選別して分析をし、コミュニケーションの本質的な内容については分析をしないこと、また、メールアドレス等の一定の情報については、他の情報と照会しない限り特定の個人を識別できないようにする非識別化措置を講じることなど、プライバシーの保護にも十分配慮をしております。
また、重大なサイバー攻撃による被害を防止する目的以外の利用を原則として禁止をしております。そういったことから、一般の国民に対する監視を強化するようなことはないということで今進めさせていただいております。
法案成立の暁には、こうした今回のサイバー対処能力強化法案の制度の意義や制度趣旨、こちらについて、あらゆる機会を捉えて国民の皆様に広く分かりやすく周知してまいりたいと考えております。
○山崎(正)委員 ありがとうございます。
今後、サイバー防御の考え方は、先ほどの中小企業の支援の話と関連しますが、先ほど平沼先生からの指摘があったように、やはり国民の皆様全体に知らせていくことも、非常にこれが防御の形になっていくと思います。
国民の皆さん方が、自分自身のことはもとより、周りを守るためにも非常に重要であり、そういった観点からは、私は、一つ、小さいときから全員がこのことに学んでいくということも重要ではないかなというふうに思います。DXの進展がますます予想される中では、非常に重要かと思います。
様々な教育が学校現場に降ってくるというふうに教育現場で怒られることもあるんですけれども、優先順位でいうと、このことについては、やはりこれからの時代を生きていく子供たちがこのことを知っておくということは非常に重要だと思います。例えば技術の教科の中の「情報」の中でしっかりこういった視点を学んでいくということは重要だと思いますので、文科省との連携を通してなど、そういった視点からの国民への周知についても是非検討していただけたらというふうに思いますので、どうかよろしくお願いいたします。
次に、アクセス・無害化措置について御質問いたします。
アクセス・無害化措置について、誤って無害化してしまったときの対処についてお伺いします。
他国では、そのようなトラブルになった前例はないのか。もしあった場合に、他国ではどのように対応しているのか。もし把握できていれば、そのことについて聞かせていただきたいと思います。お伺いいたします。
○飯島政府参考人 お答えを申し上げます。
アクセス・無害化措置については、サイバー攻撃により重大な危害が発生するおそれがある場合等において、攻撃に使用されるサーバー等に対し、ネットワークを介して、危害防止のために必要な措置を取るものであります。
こうした措置は、公共の秩序の維持の観点から、比例原則に基づき、危害の発生の防止という目的を達成するために必要最小限度において実施されるものであり、措置の対象となるサーバー等に物理的被害や機能喪失等、その本来の機能に大きな影響が生じることはないというふうに想定をしているというところでございます。
また、警察及び自衛隊がアクセス・無害化措置を実施するに当たりましては、措置の適正性を確保するため、サイバー攻撃に利用されているサーバー等であると認めた理由や、サイバー攻撃による危害の防止という目的を達成するために取り得る措置の内容等をサイバー通信情報監理委員会に示し、委員会は、その承認の求めが改正後の警察官職務執行法等の規定に照らし適切かを判断するということになるというところでございます。
アクセス・無害化措置を実施した結果については、一義的には措置を実施した行政機関が責任を負うものと考えておりますが、万が一にでも誤ったアクセス・無害化措置が行われることのないよう、適切に制度を運用していくという考えでございます。
なお、諸外国のアクセス・無害化措置の具体的内容については、明らかになっていないものが多いため、誤った場合の対応についても、必ずしも明らかになっていないというふうに承知をしているというところでございます。
○山崎(正)委員 ありがとうございました。
次に、昨日も今日もかなり質問が出ていましたけれども、アクセス・無害化措置の事前協議についてお伺いします。
第六条の二に、警察庁長官が指名する警察官は、サイバー攻撃又はその疑いがある通信等を認めた場合、そのまま放置すれば人の生命、身体又は財産に対する重大な危害が発生するおそれがあるため緊急の必要があるときは、そのサイバー攻撃の送信元などである電子計算機の管理者その他関係者に対し、危害防止のため通常必要と認められる措置を命じたり、自らその措置を取ることができるとあります。
そして、サイバー危害防止措置執行官が先ほどの措置を取る場合には、あらかじめ、サイバー通信情報監理委員会の承認を得なければならない。ただし、サイバー通信情報監理委員会の承認を得るいとまがないと認める特段の理由がある場合にはこの限りではないとし、当該処置後、速やかにサイバー通信情報委員会に通知しなければならない。
さらに、サイバー危害防止措置執行官は、措置の実施について、警察庁長官又は都道府県警察本部長の指揮を受けなければならないとありますが、アクセス・無害化措置の事前協議等はなかなか行われにくいというか、緊急性が高いときには、迅速な協議、意思決定を可能にするには、当該処置後に報告するパターンが増えるのではないかと思いますが、その辺りの想定はどうなっているのか、お伺いいたします。
○飯島政府参考人 お答えを申し上げます。
警察、自衛隊がアクセス・無害化を行う要件でございます緊急の必要があるときとは、いつでもサイバー攻撃が敢行されてもおかしくない状況にあるというところでございます。
アクセス・無害化措置の実施の必要性というのは個別具体的事案に応じて判断されるというところでございますが、例えば、サイバー攻撃に用いられるマルウェアに感染したIoT機器を発見した場合でも、マルウェアはいまだ発動されていないものの、当該マルウェアとC2サーバーが定期的に通信を行っていると認められるため、攻撃者の意図次第でいつでもサイバー攻撃が行われると認められる場合、こういう場合は、まさにアクセス・無害化を行う緊急の必要がある場合と判断して、事前承認を得るいとまがないと認める特段の事由がない限り、あらかじめサイバー通信情報監理委員会の承認を得るというところになるというところでございます。
なお、このように事前承認を得ることが原則ではございますが、サイバー攻撃により現に重大な障害が発生している場合など、事前承認を得るいとまがないと認める特段の事由が生じれば、当該承認を得ることなくアクセス・無害化措置を取ることができるということになっておりまして、こういう場合、まさに真に必要な場合には、遅きに失することなく必要な措置を講ずることが可能になるというふうに考えておるというところでございます。
○山崎(正)委員 昨日もかなり指摘がありました。先ほども、ほとんどそうなるんじゃないかというふうな御指摘があるんですけれども。
緊急性のある場合は事後報告も仕方ないということで、どうしても、内容上、事件で言う現行犯逮捕ではないですけれども、まさに目の前で行われているときには、そういった緊急的措置が多くなるというふうなことが想定されるというふうな理解でよろしいんですね。はい。
では、次に、国外の攻撃関係サーバー等へのアクセス・無害化措置に際しては、国際法上の適法性を担保するため外務大臣との事前協議が義務づけられていますが、外務大臣との事前協議については、具体的にどのような協議をするのか、また、事前協議はどのような方法で行われるのか等、気になることがたくさんありますが、ここでお伺いしたいのは、アクセス・無害化措置は他国の主権侵害にならないのでしょうか。
国際法の解釈は国によって幅があり、例えばフランスは、自国のネットワークに影響をもたらす全ての外国のサイバー行動は主権侵害になり得ることを示唆しているとも言われていますが、もし主権侵害だと指摘された場合の正当性は何を根拠にどのように主張するのか、お伺いします。
あわせて、他国から日本へのアクセス・無害化措置は今までにどれぐらいあったんでしょうか。また、その場合、どのように具体的に対応されていたのかも含めて、併せてお伺いいたします。以上、よろしくお願いいたします。
○穂坂副大臣 お答えさせていただきます。
アクセス・無害化措置が主権侵害に当たり得るかは、当該措置の性質や個別具体的な状況に照らして判断する必要がありますので、一概にお答えすることは困難であります。
その上で申し上げれば、我が国によるアクセス・無害化措置が仮にサーバー所在国の領域主権の侵害に当たり得るとしても、例えば、国際違法行為に対して一定の条件の下での対抗措置を取ること、あるいは緊急状態を援用することは、サイバー空間における国際法の適用についても認められていると考えております。
なお、他国が我が国と同種のアクセス・無害化措置を我が国に対して行ったと公表している事実は承知をしておりません。
○山崎(正)委員 なかなかその辺は公表しづらいものなのかもしれませんので。
では、次に行きたいと思います。
先ほどのような課題も踏まえ、悪質なサイバー攻撃への対策は各国共通の課題です。監視や無害化の措置は一国ではなかなか完結しづらく、国家間の協力が不可欠であります。例えば、着手前にサーバー管理者に攻撃者の機能停止を依頼したりするなどの協力を訴えかけることも有効な手段となると考えますし、防御力を高めるためにも国際連携が進むことが望まれます。
そこで、国家間での衝突が生じないよう、アクセス・無害化措置には国際的なルールを作る必要性があると思いますが、認識をお伺いいたします。
○斉田政府参考人 お答え申し上げます。
現在、国連憲章全体を含む既存の国際法、これにつきましてはサイバー行動にも適用される、こういうことが国連における議論を通じて確認されておるところでございます。
その上で、武力攻撃に至らないものの、国や重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、また、そのような重大なサイバー攻撃が発生した場合に、これを未然に防止するため、又は被害の拡大を防止するため、我が国がその攻撃元となっている国外に所在するサーバー等に対して必要なサイバー攻撃を取る、こういうことは、国際法上、一定の場合において許容されている、そういうものと認識しております。
我が国がアクセス・無害化措置を行うに当たっては、国際法上許容される範囲内で行うということは当然でございまして、これを確保する観点から、措置の実施主体が警察庁長官又は防衛大臣を通じてあらかじめ外務大臣との協議を行うということにしているところでございます。
○山崎(正)委員 次に、サイバー被害の防止に必要な情報の公表の仕方についてお伺いします。
サイバー対処能力強化法案の第二章第五条には、基幹インフラ業者は、不正アクセス行為等により特定重要電子計算機のサイバーセキュリティーが害されたこと又はその原因となり得る一定の事象を認知したときは、その旨及び一定の事項を事業所管大臣及び内閣総理大臣に報告しなければならないとあります。
また、第九章には、情報共有、対策のための協議会の設置が定められていて、内閣総理大臣は、サイバー攻撃による被害の防止のため、関係行政機関の長により構成される情報共有及び対策に関する協議会を設置するとあり、その協議会には、基幹インフラ事業者、電子計算機等のベンダー等もその同意を得て構成員として加えるとあり、構成員に対しては、守秘義務を伴う被害防止に関する情報を共有するとともに、必要な情報共有を求めることが可能とあります。
実は、このときに、事業者側から見たときに、自分のところの企業がサイバー攻撃を受けたとします。脆弱性が見つかった。そうしたら、今でもそうであるようですが、当然、国からは速やかに報告するようにという指示があるんですけれども、当然、国はそうなんですけれども、事業者側からすると、脆弱性が見つかったまま何も対策を打たずに報告して、その情報が共有された場合には、そんなことがあってはなりませんが、それが悪用されて更に自分のところの被害が広がるのではないか、攻撃されてしまうのではないか、そういうふうに恐れる、そういう心境に陥るというふうに言われていました。それはそうだと思うんですけれども。
そこで、サイバー攻撃による被害の防止に必要な情報を公開、周知する際には、公表、周知した内容を悪用されることも考えられることから、悪用されないための周知内容の公表の仕方に工夫が必要であると思いますが、そういった対策は具体的にどのように行っていくのか、お伺いいたします。
○門松政府参考人 お答えいたします。
まず、サイバー攻撃による被害を防止するために、政府として、サイバーの専門家が求める技術情報や経営者の判断に必要な攻撃目的等に関する情報、これは積極的に提供していく考えでございますが、先生御指摘のとおり、こうした情報の中には、攻撃者の詳細な活動状況であったりとか、インフラ設備の具体的な脆弱性、こんなものも含まれるということなど、秘匿性の高い情報も含まれ得るということでございまして、本法案では、国の行政機関や、一定の情報管理や守秘義務が義務づけられる協議会構成員などに限って、こうした人たちに限って、こうした秘匿性の高い情報も含めて提供できるということとしておりまして、ここの制度設計をきちっと具体化して、しっかり問題のないようにしていきたいと思っております。
その上で、サイバー攻撃による被害の範囲が広範であるなど、より多くの関係者の周知が必要な場合においては、秘匿性の高い情報を取り除く、そういうことによって悪用の可能性を最大限排除した上で、公表その他の適切な方法によって広く周知してまいりたいというふうに考えておるということでございます。
○山崎(正)委員 ありがとうございました。
これからの具体的な制度設計においては、必ず事業者の方としっかりとやり取りをしていただいて、事業者の方が提供するんじゃなかったというような形にならないような制度設計をお願いしたいと思います。
最後になります。
最後、先ほどから皆さん方からお話があるように、今回、警察と自衛隊の方もこの措置に当たっていくということなんですけれども、その自衛隊の措置内容の中に、自衛隊及び日本に所在する米軍が使用する電子計算機をサイバー攻撃から職務上警護する自衛官が、緊急の必要性があるときに無害化措置を実施するとあるんですけれども、これは、国内の通信業者の方から、アメリカのそういったものも日本の自衛隊が守るんだというふうに純粋に驚かれていたというか、そういった声が上がっておりました。
今回、日本に所在する米軍が使用する電子計算機をサイバー攻撃から日本の自衛隊が守ることの根拠になっているものは何なのか、お伺いしたいと思います。よろしくお願いします。
○家護谷政府参考人 お答えいたします。
昨今、重大なサイバー攻撃が生じる可能性が高まっていることを踏まえ、新設する自衛隊法第九十五条の四は、我が国の防衛力を構成する重要な物的手段である自衛隊が使用する特定電子計算機とともに、日米安保条約に基づき我が国に所在する米軍が使用する特定電子計算機について、サイバー空間において武力攻撃に至らない侵害から警護するため、極めて受動的かつ限定的な必要最小限の措置を講ずる権限を自衛官に付与することとしました。
これは、現行の自衛隊法第九十五条において、自衛隊の武器等という我が国の防衛力を構成する重要な物的手段を防護するために武器の使用が認められているという考え方を参考にしたものでございます。
特に、日米安全保障条約に基づき我が国に所在する米軍が使用する特定電子計算機の使用が阻害された場合には、米軍の運用が妨げられることとなり、ひいては、日米の共同運用能力の低下につながり、我が国の防衛に支障が生じることになりかねません。
その上で、サイバーセキュリティーは平素から確保されることが極めて重要であることを踏まえ、我が国に所在する米軍が使用する特定電子計算機は、我が国の防衛力を構成する重要な物的手段に相当するものと評価し、新設する自衛隊法第九十五条の四における警護の対象とすることといたしました。
○山崎(正)委員 時間となりましたので、質問を終わりたいと思います。
ありがとうございました。
○大岡委員長 次回は、来る二十一日金曜日委員会を開会することとし、本日は、これにて散会いたします。
午前十一時十二分散会