第7号 令和7年3月21日(金曜日)
令和七年三月二十一日(金曜日)午前九時開議
出席委員
委員長 大岡 敏孝君
理事 黄川田仁志君 理事 國場幸之助君
理事 西銘恒三郎君 理事 今井 雅人君
理事 本庄 知史君 理事 山岸 一生君
理事 市村浩一郎君 理事 田中 健君
石原 宏高君 井野 俊郎君
大空 幸星君 神田 潤一君
岸 信千世君 栗原 渉君
坂本竜太郎君 田中 良生君
西野 太亮君 丹羽 秀樹君
平井 卓也君 平沼正二郎君
広瀬 建君 宮下 一郎君
山際大志郎君 山口 壯君
市來 伴子君 おおたけりえ君
下野 幸助君 橋本 慧悟君
馬場 雄基君 平岡 秀夫君
藤岡たかお君 馬淵 澄夫君
水沼 秀幸君 山 登志浩君
山田 勝彦君 伊東 信久君
三木 圭恵君 石井 智恵君
菊池大二郎君 河西 宏一君
山崎 正恭君 上村 英明君
塩川 鉄也君 緒方林太郎君
…………………………………
国務大臣
(サイバー安全保障担当) 平 将明君
総務副大臣 阿達 雅志君
外務副大臣 藤井比早之君
防衛副大臣 本田 太郎君
内閣府大臣政務官 西野 太亮君
内閣府大臣政務官 岸 信千世君
外務大臣政務官 生稲 晃子君
政府参考人
(内閣官房内閣審議官) 室田 幸靖君
政府参考人
(内閣官房内閣審議官) 市川 道夫君
政府参考人
(内閣官房内閣参事官) 片桐 義博君
政府参考人
(内閣官房内閣審議官) 小柳 誠二君
政府参考人
(内閣官房内閣審議官) 飯島 秀俊君
政府参考人
(内閣官房内閣審議官) 門松 貴君
政府参考人
(内閣官房内閣審議官) 中溝 和孝君
政府参考人
(内閣府大臣官房審議官) 米山 栄一君
政府参考人
(警察庁サイバー警察局長) 逢阪 貴士君
政府参考人
(総務省総合通信基盤局電気通信事業部長) 大村 真一君
政府参考人
(外務省大臣官房サイバーセキュリティ・情報化参事官) 斉田 幸雄君
政府参考人
(厚生労働省大臣官房審議官) 森 真弘君
政府参考人
(経済産業省大臣官房サイバーセキュリティ・情報化審議官) 西村 秀隆君
政府参考人
(経済産業省大臣官房審議官) 奥家 敏和君
政府参考人
(海上保安庁警備救難部長) 山戸 義勝君
政府参考人
(防衛省大臣官房サイバーセキュリティ・情報化審議官) 家護谷昌徳君
内閣委員会専門員 田中 仁君
―――――――――――――
委員の異動
三月二十一日
辞任 補欠選任
江渡 聡徳君 丹羽 秀樹君
尾崎 正直君 神田 潤一君
西野 太亮君 坂本竜太郎君
山際大志郎君 広瀬 建君
市來 伴子君 平岡 秀夫君
梅谷 守君 馬場 雄基君
同日
辞任 補欠選任
神田 潤一君 大空 幸星君
坂本竜太郎君 西野 太亮君
丹羽 秀樹君 江渡 聡徳君
広瀬 建君 山際大志郎君
馬場 雄基君 山田 勝彦君
平岡 秀夫君 市來 伴子君
同日
辞任 補欠選任
大空 幸星君 尾崎 正直君
山田 勝彦君 梅谷 守君
―――――――――――――
本日の会議に付した案件
政府参考人出頭要求に関する件
参考人出頭要求に関する件
重要電子計算機に対する不正な行為による被害の防止に関する法律案(内閣提出第四号)
重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案(内閣提出第五号)
――――◇―――――
○大岡委員長 これより会議を開きます。
内閣提出、重要電子計算機に対する不正な行為による被害の防止に関する法律案及び重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案の両案を一括して議題といたします。
この際、お諮りいたします。
両案審査のため、本日、政府参考人として、お手元に配付いたしておりますとおり、内閣官房内閣審議官室田幸靖君外十五名の出席を求め、説明を聴取いたしたいと存じますが、御異議ありませんか。
〔「異議なし」と呼ぶ者あり〕
○大岡委員長 御異議なしと認めます。よって、そのように決しました。
―――――――――――――
○大岡委員長 質疑の申出がありますので、順次これを許します。藤岡たかお君。
○藤岡委員 イチゴ王国の栃木県第四区から参りました、立憲民主党・無所属の藤岡たかおと申します。
まず冒頭、地元の栃木県第四区の皆さんに心から感謝を申し上げ、そして、質問の機会をいただきました先輩、関係各位に感謝を申し上げまして、質疑に入らせていただきたいと思います。
私も、サイバー防御の強化というのは本当に必要であるし、喫緊の課題であるとも思っております。そして、こうした法整備も重要であるというふうにも思っております。
一方で、同時に、るる言われておりますように、通信の秘密が侵されるのではないか、あるいは、政府による通信情報の監視が歯止めが利かなくなるのではないか、こうした懸念に対して、やはりこれを確認をしていく必要があるというふうに思っております。今日はそういうふうな視点から質疑をさせていただきたいと思っております。
まず初めに、よく、外外通信とか、国外から国内への通信とか、国内から国外へ、そうしたものを分析するというふうに言われておりますが、国内間の通信の情報についても取得されることがある、そして、それは包括的、常時取得ということになる可能性があるということでよろしいんでしょうか。平大臣に確認したいと思います。
○平国務大臣 おはようございます。よろしくお願いします。
同意による通信情報の取得においては、事業者等との協定により内閣総理大臣が提供を受ける通信情報の範囲並びに提供の方法及び期間に関する事項等を定めることとしており、御指摘のように一律に内内通信情報を含めた通信情報が包括的、常時取得されることはありません。
一方で、効果的な分析を行うために必要な場合には、当事者の合意を得た上で一定量の通信情報を継続して取得することも想定され、また、その際取得する通信に内内通信が含まれる場合もあると考えております。
ただし、そういう場合であったとしても、本法律案で内閣総理大臣が分析を行うことができるのは、当事者協定により提供を受けた通信情報のうち、人による閲覧等の知得を伴わない自動的な方法により選別された外内通信情報に限定されるということになりまして、内内通信情報を分析をすることはありません。
○藤岡委員 あくまで、よく分析という切り口で、外内とか外外とかという話があるんですけれども、国内間の通信情報も取得されることはあるということは、一つやはり重要なことだと思うんですよね。今おっしゃったように選別をされるということであるんですけれども、包括的、常時取得はないんだけれども継続的に取得されることはあり得るということだと思うんですけれども、こうした国内間の通信情報をまさに分析をしないこと、今選別の話がありましたけれども、じゃ、この実効性はどのように担保されていくんでしょうか。
○小柳政府参考人 お答えいたします。
分析の対象につきましては、外外通信あるいは特定の外内通信、内外通信等と法律で定められておりまして、それについての分析を行って、それが適法に行われているかどうかの確認は、サイバー通信情報監理委員会が継続的に検査等を行うということで担保をしてまいりたいというふうに考えてございます。
○藤岡委員 具体的にどういうふうな確認になるんでしょうか。この内内と外内、分析は外内だけに限定されるということだと思うんですけれども、具体的にどうやって外内だけに限るということが確認をされるんでしょうか。
○小柳政府参考人 お答えを申し上げます。
サイバー通信情報監理委員会でございますけれども、いわゆる三条委員会として設立をされまして、委員会は、外外通信あるいは特定外内、特定内外の通信の情報の取得に当たりまして、当該委員会の承認を受けることとなっております。
まず、承認を受ける際に、法に基づいた要件に従って外外通信あるいは特定の外内、内外について取得をしようとしているかどうかということをしっかりと確認をいたします。その上で、取得等が実施された後は、内閣総理大臣あるいは通信情報を保有している機関に対して継続的な検査を行うこととされております。
その際には、委員会は、必要な資料の提出の要求あるいは実地調査等も行うことができることとされておりまして、それらを通じまして、適法な分析が行われているかということを常時確認をしていくということとされております。
○藤岡委員 更に関連して確認したいんですけれども、外内を分析ということで、内内を分析しないということであるので、それは実地検査だとどういうふうな確認のイメージになるんでしょうか。
○小柳政府参考人 お答えをいたします。
例えば実地検査におきましては、必要な資料等を確認をさせていただきまして、例えば、国外あるいは国内の通信設備から国内あるいは国外の通信設備に対する受信に関するものを確認していて、国内―国内間の通信設備間でやり取りをされている情報というのが分析をされていないというようなことを資料等によって、あるいは職員から聞き取ること等によって確認するということでございます。
○藤岡委員 資料と、ちょっと今、不明確だったのかなというふうに思います。
もう少し、この点、やはりしっかり、どういうふうに確認されて、どういうふうに選別されるのかということを改めてはっきりさせていただきたいということを指摘をさせていただきたいというふうに思います。
続きまして、例えば、協定によって国内間の通信情報を政府に提出されることがあるということでございますが、事業者側においては、ユーザーから訴訟を受けたりするリスクというのはあるんじゃないんでしょうか。これはどういうふうに考えるんでしょうか。
○小柳政府参考人 お答え申し上げます。
本法律案第十五条では、当事者協定に基づきまして、協定当事者を当事者とする通信情報の提供を内閣総理大臣が受けることができるという旨を規定をしておりまして、この通信情報につきましては、御指摘のとおり、内内通信の情報も含まれるものでございます。
一方で、当事者協定で取得をいたしました通信情報につきましては、自動的な方法によって、外内通信に限定をいたしますとともに、不正な行為に関係があると認めるに足りる機械的情報のみが選別をされ分析対象となるほか、独立機関でありますサイバー通信情報監理委員会の検査等の対象となるものでありまして、内内通信の分析がなされることはないということは確保されております。
したがいまして、裁判を受ける権利はあくまで憲法に定められた権利でございまして、これを制限するものではございませんけれども、協定に従って内内通信を含む通信情報を提供したことで協定当事者が法的責任を問われることは通常想定されないというふうに考えてございます。
○藤岡委員 当然、事業者側の御判断ということもありますし、一方で、もちろんサイバー防御をしっかりしていかないといけないということが当然あって、外内と内内を切り分けることは、事業者側でやってもらうのはそれは大変難しいという事情も分かります。
ただ、やはりこういうところをきちんと、事業者側がリスクを負わないように、やはり政府の方としてもきちっと配慮をしていただきたいということは強く申し上げておきたいなということを思います。
続いて、新法の、機械的情報とよく言われることでございますが、機械的情報として、第二条八項、いわゆる規定する機械的情報、この機械的情報の定義次第で、実際に個人が識別されるものがどこまで入るのかとか、こういうものが入ってくると思いますが、この機械的情報というのは一体どういうものなんでしょうか。
○小柳政府参考人 機械的情報でございますけれども、IPアドレスやコマンドといった、コミュニケーションの本質的内容に当たらないと考えられる情報の類型を定義したものでございます。
○藤岡委員 機械的情報の中で、三号の話に行く前に、第一号に、いわゆるIPアドレス、通信日時その他の通信履歴に係る情報というふうに定義がされておりますけれども、この通信履歴に係る情報に、メールアドレス、こうしたものが、いわゆる個人が識別される情報が含まれるということでいいんでしょうか。
○小柳政府参考人 御指摘のとおりでございます。
○藤岡委員 そうすると、この通信履歴に係る情報の解釈によって、例えばメールアドレスや、あるいはLINEやフェイスブックや、いろいろなものの個人が識別される情報があって、それがつなぎ合わされると、何らかのプライバシーが侵害される懸念ということも当然出てくると思うんですけれども、この通信履歴に係る情報というのは一体どういう範囲のものになるんでしょうか。
○小柳政府参考人 お答え申し上げます。
通信履歴の範囲でございますけれども、今申し上げたもののほか、例えば通信が行われた日時でありますとかそういったものが含まれるということになります。
○藤岡委員 日時以外で、メールアドレスやそういうものはどういうものなんでしょうか。
○小柳政府参考人 お答え申し上げます。
送信者、受信者に関する情報、あるいは通信日時等が含まれるものとなります。
○藤岡委員 送信者、受信者に係る情報というのはどういうものになるんでしょうか。
○小柳政府参考人 お答え申し上げます。
例えば、先ほど出ましたメールアドレス、あるいはIPアドレス等といったものが該当してまいります。
○藤岡委員 メールアドレスやIPアドレス以外に、例えば携帯電話の番号だとか、ショートメールを特定するためには携帯電話の番号だとか、あるいはLINEのアカウントの名前だとか、そういうものが含まれるということなんでしょうか。
○小柳政府参考人 お答えいたします。
そういったものも含まれることになります。
○藤岡委員 やはり、そうしたものをたどっていったときに、きちんと、個人が識別される情報が特定されて何らかの通信の秘密が侵されるというふうな懸念が深まることがないように対応していく必要が当然あると思うんです。
その中で、例えば、これを選別していったり、非識別化とかということを行っていくと思うんですけれども、外外通信選別条件設定基準だとか、特定外内通信選別条件設定基準だとか、特定内外通信選別条件設定基準などを定めていく、必要があるときということかもしれませんが、法案に規定されていると思いますが、これはどういうふうなものになるんでしょうか。また、形式はどういうふうな、告示や何かで定めるんでしょうか。
○小柳政府参考人 お答えいたします。
自動選別のための選別条件設定基準でありますが、それにのっとりまして自動的な方法による選別の条件が設定されることにより、対象となる不正な行為に関係があると認めるに足りる機械的情報が選別をされることとなることを確保するものでございます。
この選別条件設定基準でありますが、同意によらない通信情報の利用の措置の申請ごとに個別にその内容を定めるものでありまして、公表することは想定しておりませんけれども、サイバー通信情報監理委員会による事前の審査の対象として適正性を確保するといったものでございます。
○藤岡委員 公表されないということでありますので、きちんとこの選別基準についてやはり適切に定めていただかないと、場合によっては通信の秘密が侵されるとか、そういうことにもなりかねません。
今、第三者委員会でということがありましたけれども、この基準について、中身、一個一個、それぞれごとに定めるというふうに今おっしゃったと思うんですけれども、では、それぞれごとにこれはきちんと検査をして、それが適切なものになっているのかということを確認するということですね。
○小柳政府参考人 お答えいたします。
御指摘のとおり、申請のごとに提出をされまして、確認をされるというものでございます。
○藤岡委員 その実効性や、あと、検証について、ちょっと後ほどまた取り上げさせていただきたいと思うんですけれども。
続いて、第二十四条の方に、いわゆる非識別化、今度は、個人が特定される情報が実際に選別された後も残ってくるというふうに法案ではなっていると思うんですけれども、そのなってくるものとして、電子メールアドレスその他の特定の個人を識別することができることとなるおそれが大きいと認められる情報とあるんですが、さっきの通信履歴に係る情報と重なるんですけれども、これは、実際に選別後も残ってくる個人が特定される情報として、メールアドレス以外にどんなものがあるんでしょうか。
○小柳政府参考人 お答えいたします。
今御指摘のあったものとしては、メールアドレスがまず第一に想定されますが、それ以外には、例えばURLにあるドメイン名でございますけれども、これにその氏名が含まれているといったものが該当してまいります。
○藤岡委員 何か常にメールアドレスだけにこだわられるんですけれども、携帯電話とかLINEだとか、そういうものもこれは残るということでいいんですかね。必ずいつもメールアドレスだけの話になっちゃうんですけれども。
○小柳政府参考人 お答えいたします。
メールアドレスのほか、先ほど申し上げました、ドメイン名にその氏名が含まれる場合ということもありました。それから、SNSのアカウント情報でございますけれども、これは一律に判断することはできませんけれども、仮に、その機械的情報に該当いたしまして、氏名等の文字列を含むなど特定の個人を識別することができることとなるおそれの大きい情報であれば、非識別化措置の対象になってくる。
非識別化措置は、あくまでも特定の個人を識別することができることとなるおそれが大きいかどうかというところで判断をしていくということでございます。
○藤岡委員 そうすると、選別後もこうした情報が残ってくるということで、やはりきちんと非識別化措置というのも今度やっていかないといけないと思うんですけれども、その非識別化措置をされた後に、もちろんこれは復元されたりとか、こういうこともできるようになっていると思うんですけれども、このいわゆる個人を識別することができることとなるおそれが大きいと認められる情報、これをやはりどう管理し、安全を確保し、また漏えいが行われないようにするということが当然必要だと思うんですけれども、そうした対応についてはどのように行っていくんでしょうか。
○平国務大臣 まず、機械的情報で個人が特定されるイメージがなかなか湧きにくいと思いますが、メールアドレスで、文字列だったら分からないと思うんですが、例えば、tairamasaaki@何たらというと、個人が識別されるので非識別化しなければいけないとか、www.tairamasaaki.comというと、それは普通の文字列ならいいんですが、名前が特定しやすいので、そういったところには配慮が必要だということであります。
そういった非識別化措置を、名前が分からないように、非識別化措置を行う対象である、今おっしゃった特定記述という定義がございます。この特定記述というのは、電子メールアドレスその他の特定の個人を識別することができることとなるおそれが大きいと認められる情報を指していますが、それ自体が通信情報に該当するものです。通信情報に該当します。
本法律案においては、第二十六条において、選別後通信情報の取扱いの業務を行わせる職員の範囲を定めることなど、行政機関が保有する通信情報の安全管理措置を定めておりますが、特定記述等についても通信情報として確実な安全管理措置が必要となるものと考えております。
具体的な方法については、法案成立後に、施行までの期間において、他の制度における安全管理措置の例も参考にしながら慎重に検討していきたいと考えております。
○藤岡委員 非識別化されたものがある意味復元をされたりとか、あるいは、取得した通信情報を全て消去するということなども規定されておりますけれども、例えば別のところに移されていて消去されていないだとか、消去されたんだけれども何か別のところに移されているとか、当然そういうふうな懸念もあると思うんですけれども、これはどういうふうに確認していくんでしょうか。
○小柳政府参考人 お答えいたします。
自動選別では、取得した通信情報について、自動的な方法によって、不正な行為に関係があると認めるに足りる機械的情報のみが選別されて分析対象となることを法律において定めているところでございます。それから、非識別化措置についても、同様に、識別ができないようにきちんと置き換えること等を行うことといたしております。
こういった措置につきましては、サイバー通信情報監理委員会による検査の対象というふうになるものでございまして、委員会は、検査のために、資料提出の要求あるいは実地調査、それから必要な場合の情報システムへのアクセスも可能となっておりまして、実効的な調査がなされるというふうに考えてございます。
加えまして、検査により、もし違反していると認められた場合には、委員会は内閣府に通知をしなくてはならず、内閣府は是正等の措置を講じなければならないということとされております。
加えまして、万一、故意にルールを守らずに不正に利用した場合には、取得通信情報の秘密の盗用に当たる場合もございまして、そういう場合には罰則の対象となるという可能性もあるものでございます。
こうしたことから、こういった情報の消去等の管理は確実に行われるものであるというふうに考えてございます。
○藤岡委員 本当にいろいろな、第三者委員会の実効性を高めていかないといけないだとか、そういうことを改めて指摘をさせていただきたいと思いますし、間違って、そうした万一のことが起こらないように、やはり更に詰めていただきたいなということを思うんです。
そして、今質疑をさせていただいて、やはり機械的情報の通信履歴に係る情報などのところが少し曖昧なのかなと。それから、先ほどの選別基準のところが非公開になるということで、少しそこが不透明になってくる面があるのかなということを感じることもあります。
改めて、なし崩し的に通信情報の取得の対象範囲が広がったり、記録される、分析される情報の対象が広がるという懸念が当然あるんですけれども、こういう懸念に対して、どういう歯止めというのを、やはり大臣、考えていくんでしょうか。
○平国務大臣 本法案においては、政府が選別して記録する情報を機械的情報のみに限定をしています。そして、機械的情報の定義としては、電気通信の送信元又は送信先である電気通信設備を識別するIPアドレス、通信日時その他の通信履歴に係る情報、指令情報、いわゆるコマンド、又は、電子計算機の動作の状況を示すために当該電子計算機が自動的に作成した情報その他のそれによって通信の当事者が当該通信により伝達しようとする意思の本質的な内容を理解することができないと認められる情報として内閣府令で定める情報のいずれかに該当するものと法案において明確に規定をしていることから、御指摘のような懸念はないと考えております。
なお、今申し上げたとおり、機械的情報の一部は内閣府令で定めることにしておりますが、その範囲はもう明確に、それによっては通信の当事者が当該通信により伝達しようとする意思の本質的な内容を理解することができないと認められる情報の具体的内容に限定をされております。
また、内閣府令の制定に当たっては、行政手続法の規定に従いパブリックコメントの募集が行われるほか、本法案においては、サイバー通信情報監理委員会の協議をすることも必須としています。
このようなことから、政府が内閣府令の内容を恣意的に定めて、分析の範囲をいたずらに拡大することはないと考えております。
○藤岡委員 一定程度理解をするんですが、通信履歴に係る情報のところや選別基準のところで、やはり歯止めが利かなくなる懸念は残るということは指摘をさせていただきたいというふうに思います。
そして、ちょっと今度は逆の視点になるんですけれども、取得した通信情報を分析したときに、例えば武力攻撃事態に該当するような情報があったというときに、これは、話を聞いていると、逆に目的外利用になるから利用できないというふうな話を聞いているんです。そうすると、逆にシームレスな対応にならないような感じも受けるんですけれども、これはどういうふうな見解なんでしょうか。
○平国務大臣 いわゆる有事と平時でどういうふうに対応が分かれるかという御質問だと思います。
この法律においては、ここに定められたことは、有事においても平時においても淡々と法律に定めたとおりやるということでございますので、有事になったからといってやり方が変わるということもありませんし、情報を提供する、この法律の枠組みで取得した情報を第三者へ提供するということも、この法律の枠組みを超えてすることはございません。
○藤岡委員 では、目的外利用として活用できないということではないということなんですか。例えば、原発を攻撃される、あるいはダムの、例の決壊を招くかもしれないというふうなことが来たときに、それは武力攻撃事態に該当する懸念やあるいはグレーゾーン事態、いろいろなことがあると思うんですけれども、そうした対応に対して、レクのときには、目的外利用として、できませんという話だった。これはできるということなんですかね。
○平国務大臣 できません。
○小柳政府参考人 お答えを申し上げます。
選別後通信情報は、一定の重大なサイバー攻撃による被害を防止する目的である特定被害防止目的ということで利用できるというふうに定められておりまして、基本的にはその目的以外の利用については原則として禁止をされているところであり、今般の法整備により実現する能動的サイバー防御は、国家安保戦略に基づいて、武力攻撃に至らないものの、国や重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃、こうしたもののおそれがある場合等に、これを未然に防止すること等を目的に導入するものであって、通信情報の利用についても、武力攻撃に至らない状況下における対処を念頭に制度整備を行ったものでございます。
その上ででありますけれども、委員御指摘のように、武力攻撃事態においても重大なサイバー攻撃が発生するおそれがあるということでありますので、こうした攻撃から重要電子計算機に対する被害を防止することは政府として重要な任務であるというふうに認識をしてございます。
こうしたことから、武力攻撃事態におきましても、新法が規定する特定被害防止目的の範囲内で選別後通信情報を利用するといったことは当然許容されるというふうなところでございます。
○藤岡委員 特定被害防止目的のため。要するに、大臣は、利用できませんと、私はそれが正しいと思うんですけれども、何かいろいろ長々と答弁されたんですけれども、あくまで特定被害防止目的のために利用できるのであって、武力攻撃事態に直接対応することには利用できないということですよね。そこだけ確認させてください。
○小柳政府参考人 お答えいたします。
特定被害防止目的の範囲内であくまでも活用することができるということでございます。
○藤岡委員 特定被害防止目的というのは、武力攻撃事態への直接の対応ということじゃないということですね、その範囲。
○小柳政府参考人 お答え申し上げます。
直接の対応ではございませんが、武力攻撃事態におきましても特定被害防止目的の範囲で活用するということはあり得るということでございます。
○藤岡委員 直接な対応はできないと。逆にこれは、個人的に、ちょっと疑問形で聞くんですけれども、必要な規定を置かなくていいんでしょうか、逆に、対応できるように。
○小柳政府参考人 お答え申し上げます。
武力攻撃事態に至った場合には、例えば、自衛隊法に基づいて、防衛省・自衛隊において必要な対応ができるというふうにされておりますので、私どものこの法律案としては、そういうことは規定をしていないということでございます。
○藤岡委員 だから、原発が襲われるとかあるいはダムの何とかというときに、この情報で把握したとしても、結局使えないということだと思うんですけれども、それで必要な規定を置かなくていいんですか。それは、だから、その見解はいかがですか、その見解は。
○小柳政府参考人 お答えを申し上げます。
特定被害防止目的というのは、通信情報の利用の範囲の話でありまして、例えば、武力攻撃事態において、我が国に対して武力攻撃を行う相手国が、武力攻撃の一環として重要電子計算機に対する重大なサイバー攻撃といったものを敢行する場合には、例えば、自衛隊が当該攻撃を阻止するために選別後通信情報を利用するということは、新法が規定する特定被害防止目的の範囲内であれば当然許容されるということで、範囲内であるということもあり得るということでございます。
○藤岡委員 これ以上やってもあれなので、よくまた検討をしていただきたいな、どういうふうな対応が必要か、必要じゃないのかということを検討しておいていただきたいということだけは申し上げておきたいということを思います。
続きまして、いわゆるアクセス・無害化措置に関してお伺いいたします。
これもるるやり取りが本会議や先日の内閣委員会でもあるんですけれども、緊急だと言うんだけれども、承認は、緊急性のあるときに当然承認を求めていくと思うんですけれども、緊急性の要件があるということだとすると、緊急のときにやるということだってありますので、結局、事後通知になってしまうのではないか、承認を求めるいとまが結局ないのではないかというふうなやり取りが当然これまでもあります。
その中で、事後通知になるということだけじゃなくて、事実上、この緊急性の要件で行うので、第三者委員会の承認が、追認、形骸化したりするということも当然あると思うんですけれども、実際、これは申請から承認までというのはどのぐらいの期間で今やることを考えていらっしゃるんでしょうか。
○平国務大臣 アクセス・無害化措置を取る場合には、原則、あらかじめサイバー通信情報監理委員会の承認を得なければなりません。
委員会は、法律や情報通信技術に関して専門的知識等を有する者が委員となることから、承認は迅速かつ的確に行われるほか、承認が遅滞なく行われることを確保するため、委員会事務局の体制については、適切な専門性を有する職員により必要な規模の体制が確保できるようにすることから、委員御指摘のように事後追認を行うことが通例となることはないものと認識をしております。
その上で、委員会による審査に要する時間については、個別具体の事案により異なることが想定されることから、あらかじめ予断を持ってお答えをすることは困難であります。
いずれにせよ、サイバー攻撃への対処には迅速な対応が求められるところで、施行に向けて、委員会の事務が適切かつ遅滞なく処理される体制が構築されるよう取り組んでまいりたいと考えております。
○藤岡委員 事後通知ということではなくて、この承認自体が、追認したり形骸化したりする、そういう懸念というのも出てくると思うんですけれども、そういう懸念に対してはどうお考えでしょうか。
○平国務大臣 今申し上げたように、専門家から成る通信情報監理委員会が承認をする、それも遅滞なく承認をする体制をしっかり整えてまいりたいと思います。
この手の攻撃は、どうも何かサーバーに侵入された痕跡があるとか、これがまだアクティブに動いているという状態で承認を取りに行くわけで、決して、それがすぐ、被害が顕在化をしている状態ではないということで、緊急は要しますが、その承認を取るいとまがないとは言い切れないケースが多いんだろうというふうに認識をしておりますので、委員の懸念は当たらないし、ちゃんと、そのような懸念にならないように体制を整備することが重要であると考えております。
○藤岡委員 本当に、緊急な中でもいとまがないことはないというふうな話だったと思うんですけれども、実際、本当にそうならないように、きちっとした体制整備等を行っていただきたいということは申し上げておきたいと思います。
その中で、実際に無害化措置をしたときに、結果的に予期せざる事態が生じるということもあると思います。
いわゆる有識者の、サイバー安全保障分野での対応能力の向上に向けた提言において、「仮に、結果的に関係のないサーバ等を無害化の対象にしてしまった場合、不正プログラムを消去したことによってそのサーバ等自体が使用できなくなってしまった場合など、意図せず、措置を行うことで達成しようとしていたものとは異なる結果に至った場合の対応についても十分検討しておく必要がある。」というふうにされていると思います。
これは、どういうふうな検討をして、どういう対応がこの法案に反映されているんでしょうか。
○平国務大臣 アクセス・無害化措置については、サイバー攻撃による重大な危害が発生するおそれがある場合等において、攻撃に使用されるサーバー等に対し、ネットワークを介して、危害防止のために必要な措置を取るものです。
こうした措置は、公共の秩序の維持の観点から、比例原則に基づき、危害の発生の防止という目的を達成するために必要最小限において実施するものであり、措置の対象となるサーバー等に物理的被害や機能喪失等、その本来の機能に大きな影響が生じることは想定をしていません。
また、警察及び自衛隊がアクセス・無害化措置を実施するに当たっては、サイバー攻撃に利用されているサーバーで、これがサイバー攻撃に利用されているサーバーだというふうに認めた理由、また、サイバー攻撃による危害の防止という目的を達成するために取り得る措置の内容等をサイバー通信情報監理委員会に示し、委員会は、その承認の求めが改正後の警職法等の規定に照らし適切かを判断することとし、措置の適正性を確保することとしています。
さらに、アクセス・無害化措置については、一義的には警察庁長官等又は防衛大臣が指揮をすることとしており、万が一にでも誤ったアクセス・無害化措置が行われることのないように、適切に制度を運用していきます。(藤岡委員「前置きが長い」と呼ぶ)済みません、前置きが長くて。
その上で、仮に誤って実施したアクセス・無害化措置によって対象サーバー等の管理者等に損失が生じた場合には、個別具体的に判断する必要があり、一概にお答えすることは困難でありますが、国家賠償法による損害賠償責任の問題として考えることになります。
また、国外に所在するサーバー等に対して誤った措置を行った場合には、個別具体的に対応する必要があり、一概にお答えすることは困難でありますが、一般論として申し上げれば、国家責任条文の関連する規定等を踏まえて対応していくものと考えています。
○藤岡委員 これはもうちょっと詰めたいんですけれども、時間もないので。本当に、是非、この対応を十分検討しておく必要があるというふうに、提言もありますので、もう少し具体的にこれは詰めていただきたいということを思います。
続いて、まさに、では海外のサーバーにアクセス・無害化措置等をやるので、当然国際法との関係というのが生じると思いますけれども、例えば、承認を求めるいとまがないときも、外務省との協議は必要という理解でいいんでしょうか。
○飯島政府参考人 お答えを申し上げます。
たとえサイバー通信情報監理委員会の承認を得るいとまがない場合でありましても、国外サーバー等に対するアクセス・無害化措置は、外務大臣との協議を要します。
○藤岡委員 では、外務省との協議が調い、外務大臣の同意がない限りはアクセス・無害化措置を実施しないという理解でいいんでしょうか。
○飯島政府参考人 お答えを申し上げます。
国外サーバー等に対するアクセス・無害化措置は、外務大臣との間で協議が調わない限り、実施されることはございません。
○藤岡委員 その協議が調うというのは、同意が得られないとということまで含まれるんでしょうか。(発言する者あり)
○飯島政府参考人 お答え申し上げます。
委員御指摘のとおり御理解いただいて差し支えございません。
○藤岡委員 今、本庄委員からも、いとまがない限りとあって、それも聞きたいんですけれども、時間もないので。もっとこれも詰める必要があると思うんですけれども。
では、国際法に照らして、これは外務省にお伺いしたいと思うんですけれども、外務副大臣にお伺いしたいと思うんですけれども、協議を受けた外務大臣、外務省としては、国際法に照らして違法であり、あるいは違法であったとしても違法性が阻却されない場合は同意を与えないということでいいんでしょうか。
○藤井副大臣 我が国が外国に所在するサーバー等に対してアクセス・無害化措置を行うに当たりましては、国際法上許容される範囲内で措置を行うことは当然でございます。これを確保する観点から、措置の実施主体が警察庁長官又は防衛大臣を通じてあらかじめ外務大臣との協議を行うこととしております。
したがいまして、国外のサーバー等に対するアクセス・無害化措置は、外務大臣との間で協議が調わない限り、実施されることはないということでございます。
○藤岡委員 協議が調わない限りというその中身を聞いているんですけれども、今の質問は。その中で、要は、国際法に照らして、例えば、違法であっても違法性が阻却されない場合は同意を与えないということでいいんですかという質問です。済みません。
○藤井副大臣 アクセス・無害化措置の実施に関する事前協議につきましては、国際法の解釈及び実施に関する事項を所掌する立場から、外務省として、国際法上の評価をしかるべく行っていくということでございます。
サイバー行動の国際法上の評価につきましては、個別具体的な状況に応じて判断されるため一概にお答えすることは困難ではございますけれども、そもそも国際法上禁止されていない合法的な行為に当たる場合や、サーバー所在国の領域主権の侵害に当たり得るとしてもその違法性を阻却できる場合があると考えておりまして、こうした違法性阻却事由の要件に合致するか否かについて、個別具体的な状況を踏まえて、適切に判断してまいりたいと考えております。
○藤岡委員 ちょっと今、お答えになっていないので、委員長にこれはお願いしたいんですけれども、要するに、これは事実関係の確認です、実際に日本の重要インフラが被害を受けてもいけないので。国際法に照らして違法であっても違法性が阻却されない場合は同意を与えないということでいいのかどうかという事実関係だけ、後ほど委員会にちょっと資料の提出を、政府からの、お願いしたいと思います。
○大岡委員長 後刻、理事会で協議をさせていただきます。
○藤岡委員 時間も押してきました。海底ケーブルのことを、済みません、総務副大臣がいらっしゃっていて、お聞きしたいんですけれども。
海底ケーブル、重要なインフラだと思うんです。よく、海底ケーブルから盗聴をされるんじゃないかとか、いろいろなことが報道等でも指摘をされておるんですけれども、技術的にはこれは難しいとか、いやいや、中を製造する過程でつけておけばできるんだとか、いろいろなことがあるわけなんですけれども、日本の近海にある大変重要な海底ケーブルからの盗聴や切断などが行われている実態というのは確認されているんでしょうか。
○阿達副大臣 海底ケーブルの盗聴や切断リスクについて様々な報道があるというのは承知をしております。
日本に陸揚げされている海底ケーブルについて申し上げますと、まず、盗聴については、そのような事例は承知しておらず、通信事業者からは、海底ケーブルからの盗聴は技術的に難しいと聞いております。
また、海底ケーブルの切断については、電気通信事業法に基づき通信事業者から報告を受けており、令和五年度に二件の切断事例があったと承知しているところです。
海底ケーブルは、我が国の国際通信の九九%を担う重要な社会インフラであり、引き続き、その安全、信頼性の確保にしっかり取り組んでまいります。
○藤岡委員 海上保安庁にもお聞きしたいんですけれども、もし、今は技術的に難しいですけれども、海底ケーブルにおいて盗聴器がつけられていたりとか切断されている場合に、海上保安庁はどのようにこれに対応するんでしょうか。
○山戸政府参考人 お答え申し上げます。
海上保安庁では、平素から、巡視船艇、航空機等により、我が国周辺海域の監視、警戒を実施しております。
また、関係省庁や関係事業者等から、国際海底ケーブルが敷設されている周辺海域において不審な船舶がいるといった情報があった場合には、これらの関係機関と緊密に連携を図りつつ、適切に対応することとしております。
その上で、海上保安庁の巡視船艇、航空機等により海面下にある国際海底ケーブルを監視することは容易ではない、このように考えております。
○藤岡委員 容易ではないということでありますので、政府としてはどうやって海底ケーブルを守っていくんでしょうか。実際、海上保安庁は、潜っていって現場を確認することはなかなか困難、できない、今、潜水艦もないのでと聞いているんですけれども、政府はどのようにこれに対応していくんでしょうか、海底ケーブル。
○片桐政府参考人 お答え申し上げます。
海洋に四方を囲まれた我が国にとって、海底ケーブルは欠かすことのできない重要なインフラであり、この安全の確保は極めて重要と考えております。
海底ケーブルの防護については、現在、海底ケーブルを敷設、管理する電気通信事業者等において、海底ケーブルの状況の監視や陸揚げ局の警備、障害発生時の体制の構築等が行われています。また、冗長性を確保するため、海底ケーブルの多ルート化も進められております。
政府においても、関係省庁が連携して、電気通信事業者等の取組の支援や国際連携の強化等、海底ケーブルの防護に必要な取組を実施しているところです。
今後とも、社会活動、経済活動の基盤である通信が途絶えることのないよう、引き続き、官民連携の下、政府全体で海底ケーブルの防護にしっかりと取り組んでまいります。
○藤岡委員 質疑を終わります。ありがとうございました。
○大岡委員長 次に、平岡秀夫君。
○平岡委員 立憲民主党の平岡秀夫でございます。
今日は、質問の機会をいただきましたので、しっかりと質問していきたいと思うんですけれども。
まず、内容に入る前に要望があります。
今回の法案、新法案では、政令事項が八つ、省令事項が十一、基本的事項が六つ、整備法案では、政令事項は一つ、準用による省令事項が四つあります。これについては、審議をする前提として、どういう内容になるのかということを、現在の状況を踏まえて提出をしていただきたいと思うんですけれども、平大臣、いかがでしょうか。
○平国務大臣 今議員御指摘いただきました、大まかに、サイバー対処能力強化法においては、政令で定めることとしている事項は、施行期日に関するものを含めて十五、省令等に定めることとしている事項は十五、基本方針において定めることとしている事項は七の合計三十七あり、また、整備法案においては、政令で定めることとしている事項は二、省令等で定めることとしている事項は五の合計七つございます。
本法案においては、施行日のほか、サイバー攻撃の傾向など専門的、技術的知見を踏まえつつ、状況の変化に即応して、迅速かつ臨機応変に対応すべき事項であったり、基幹インフラが十五業種ありますので、画一的な基準にすることができませんので、業種ごとの特性を踏まえるようにしなければいけない、こういった事項であったり、安全管理措置の詳細や具体的な届出方法、地方支分部局への権限移譲や事務の委託など、運用の細目に関する事項について、その具体的な内容を政省令等で定めることとしております。
なので、それなりの合理性を持って、このレイヤー構造で対応させていただいているというふうに我々は考えておりますので、何か御懸念があれば、国会で御質問いただければしっかり答弁をさせていただきたいと思っております。
○平岡委員 そういう事項で重要な国会審議の時間を使うのはいかがなものかと思うんですけれども。
私の質問は、さっき申し上げました、現時点において想定されるものを出していただければいいので。今後、省令とか政令が事態の推移によって変わってくるというのは私も分かっていますよ。そんな将来のことまで踏まえて書けといって聞いているわけじゃなくて、現時点において、どういうことが考えられるのかということを整理して出してほしいというふうに言っているんです。
だから、この問題に時間を取っても仕方がないので、理事会で、私の要望についてしっかりと協議していただきたいと思います。
それから、ちょっと済みません。数え間違いをしていました。私、一人しかいないものですから、数え間違いをしたのは訂正していただいたので、それは感謝申し上げますけれども、是非我々の要望にお応えいただきたいと思います。
委員長、よろしいでしょうか。
○大岡委員長 後刻、理事会で協議をいたします。
○平岡委員 それでは、中身に入りたいんですけれども、先ほど藤岡委員の方から質問をしていたことで、聞いていて、どうなのかなと思ったことについて、先にちょっと質問をさせていただきたいんですね。
というのは、一つは、武力攻撃事態に至ったようなときのサイバー防御というのはどうあるべきなのかという話で、先ほど審議官も含めて答弁がありました。審議官の答弁を聞いていると、この法律の目的の範囲内であればこの法律が適用されるというふうに言っていたんですけれども、ということは、武力攻撃事態のときにおいても、外務大臣との協議あるいは三条委員会の承認というものを得なければサイバー防御はできないということを意味しているんですか。
○小柳政府参考人 お答えを申し上げます。
先ほど来出ております外務大臣への協議とかあるいは委員会の承認は、改正警職法の規定を適用するに当たっての要件とされているものでありまして、それは武力攻撃事態におきましても、その権限を行使する場合には、その手続を自衛隊あるいは警察において実施していくものでありますが、武力攻撃事態におきましては、自衛隊法に基づいて、自衛隊が必要な措置を別途できるということがございますので、それはそれとして対処をしていくということになろうかというふうに思います。
○平岡委員 ということは、あれですか、今、防衛出動したときに警職法の六条の二を準用する規定が置かれていますけれども、その規定ではなくて、別の根拠に基づいてサイバー防御をするということを意味しているんですか。
○小柳政府参考人 お答えを申し上げます。
それは自衛隊法に基づくものでございますので直接の所管ではないのですけれども、自衛隊法に基づく武力攻撃事態における必要な行動の中に必要な対処ができるということがございますので、そうしたものも別途行われていくんだろうというふうに理解をしてございます。
○平岡委員 これは私が通告している質問とはちょっと違うので。
防衛副大臣、今、何か防衛省所管の問題だからちょっとお答えしにくいようなことを言われたんですが、防衛省は何か御見解ありますか。
○大岡委員長 平岡先生、もう一回、防衛副大臣に対して質問していただけますか。
○平岡委員 先ほどの議論の中で、武力攻撃事態、防衛出動をしているようなときにサイバー攻撃があったときも、警職法六条の二を準用している、防衛出動時における準用規定があるんですけれども、それでは外務大臣協議とかあるいは三条委員会の承認とかが必要とされているんだけれども、そういう手続を経た上で出動することになるのかと聞いたら、審議官の方から、いや、自衛隊法の問題だから防衛省がお答えする話かもしれませんけれども、適切な行動が取れるというふうになっているから、それに基づいて行動できるのではないかという答弁があったということなんですけれども、防衛省もそういう見解でいいのかということを聞いたんです。
○飯島政府参考人 お答え申し上げます。
先ほど御説明させていただいたものというのは、今回の法律、改正自衛隊法九十二条に基づきまして、防衛出動が発令されている、命令されている部隊がこのアクセス・無害化措置を行うことができるというのが今回の法案に載っているというところでございます。ですから、そういう場合でございましたら、武力攻撃に至らない状況で行う場合と同様に、公共の秩序の維持のためにアクセス・無害化措置を防衛出動下でも部隊が行うことができるというところでございます。
そういう状況におけるものにつきましては、措置の内容とか、委員御指摘のとおり、サイバー通信情報監理委員会の承認手続を取るということは変わらないというところでございますが、それに加えまして、後ほど防衛省の方から御説明させていただくということになると思いますけれども、これとは別に、まさに防衛出動の一環としてサイバーに関連する行動をすることがあり得ると思います。そこは、今回の法律とは別の規定に基づいて行われるというところでございます。
○平岡委員 飯島さん、ちょっと、そんな答弁を私は期待して聞いているんじゃないんだから、時間を無駄に使わないでくださいよ。
防衛省に聞いているんですから。防衛省はどうですか、見解は。
○大岡委員長 誰か答えられる人はいますか。
では、通告していないので答えられないなら、その旨を答えてください。
○本田副大臣 御質問にお答えいたします。
通告にないということで、私の方からは明確にはあれなんですけれども、通信防護措置の規定であるのは、警職法第六条の二の準用によって行い得るわけでありますけれども、しかし、おっしゃった武力攻撃事態等々における、何だったか……(平岡委員「防衛出動」と呼ぶ)防衛出動に関しては、別の規定に基づくものでございますので、そこは別個のものだと御理解いただければよい、おっしゃるとおりだと理解しております。
○平岡委員 通告していないというのは、さっきの質問に関連してだったので通告ができていないんだけれども、今の答弁では、ちょっと全体像がよく見えませんでした。政府の中で整理をした上で、また改めて説明をしていただきたいというふうに思います。
それともう一つ、さっきのやり取りの中で気になったのは、外務大臣の協議の話なんですね。
これは私の質問の中にも入っているので改めて聞きますけれども、先ほど、外務大臣はどういう判断基準に基づいて協議に応じるのかというようなことの議論が行われていましたけれども、皆さん、この法案を見たら、警察庁が措置を取るときに、やはり外務大臣協議があるんですよね。警察庁の措置は国内で行うことを念頭に置いて作られている規定であって、国際的な観点、国際法に基づく違法性阻却事由みたいなことについては全く何も書いてないんですよ。全て外務大臣協議に委ねられているというのが、この法律の仕組みになっているんですよね。
私は、やはり、そういう仕組みであるならば、外務大臣はどういう根拠に基づいてどういう判断をすることが求められているのかということを法律に明定すべきだというふうに思うんですけれども、どうですか。これは通告してあるので、外務大臣、答えてください。
○大岡委員長 平国務大臣が答えます。
○平国務大臣 外国に所在する攻撃サーバー等へのアクセス・無害化措置を行う場合には、措置の実施主体は、警察庁長官又は防衛大臣を通じてあらかじめ外務大臣と協議をしなければならないということとしております。これは、当該措置が国際法上許容されている範囲で行われていることを確保する観点から行われるものです。
この外務大臣との協議の内容については、個別具体的な状況によるため一概にお答えすることは困難ですが、いずれにしましても、当該措置が国際法上許容される範囲内で措置が行われることを確保する観点から協議を行います。
そもそも国際法上禁止されていない合法的な行為に当たる場合や、仮にサーバー所在国の領域主権の侵害に当たり得るとしてもその違法性を阻却できる場合に限って措置を行うことになります。
○平岡委員 今答弁したことがどれだけ整理されているのか分かりませんけれども、今大臣が答弁されたようなことを、特に、警察が行う無害化措置については、国際法の視点というのは全く欠けているんですよ、ないんですよ。
だから外務大臣協議に係らしめられているんだから、外務大臣はどういう根拠に基づいて判断するのか、すべきなのかということをしっかりと法定すべきではないかというふうに思いますので、重ねて答弁する必要はありませんけれども、私としては、是非法定すべきだということで要請をしておきたいというふうに思います。
それでは、私が通告した順番に基づいて質問をしていきますけれども、済みません、時間が限られているので、質問の順番が変わる場合があることはお許しください。
まず最初に、これはサイバーセキュリティに関する国連政府専門家会合、GGEですけれども、その最終会合で、日本政府は次のような見解を述べております。これは二〇二一年のことですけれども、ちょっと読み上げますと、国連憲章第三十三条に従って、サイバー行動が関わるいかなる紛争でもその継続が国際の平和及び安全の維持を危うくするおそれのあるものについては、その当事者は、第一に、交渉、審査、仲介、調停、仲裁裁判、司法的解決、地域的機関又は地域的取決めの利用その他当事者が選ぶ平和的手段による解決を求めなければならないという考え方を示しています。
ちょっと技術的なことをまず聞きます。この考え方の中で、「サイバー行動が関わるいかなる紛争でも」というふうに書いてありますけれども、サイバー攻撃とか、あるいは能動的なものも含めてサイバー防御というのは、国連憲章三十三条に言う紛争に含まれていると理解してよろしいんでしょうか。
○生稲大臣政務官 お答えいたします。
国連憲章全体を含む既存の国際法がサイバー行動にも適用されるということは、国連における議論を通じて確認をされています。
こうした国際社会における議論を踏まえ、サイバー行動に適用される国際法に関する日本政府の基本的立場として、国連憲章全体を含む既存の国際法はサイバー行動にも適用されるとの認識を示しました。その上で、紛争の平和的解決に関しては、サイバー行動が関わるいかなる国際紛争も、国連憲章第二条3及び第三十三条に従って、平和的手段によって解決されなければならないとの考えを示しました。
どのような状態が国際紛争に該当するか否かは、個別具体的な状況に応じて判断されるものであるため一概にお答えすることは困難でありますが、その上で申し上げれば、今般のアクセス・無害化措置は、重大なサイバー攻撃による被害の未然防止又は拡大防止を目的とするものであって、危害を防ぐために必要最小限度にとどまる措置として行うものであるところ、紛争の平和的解決の義務は、このような措置までも一概に妨げる趣旨ではないと考えられます。
いずれにせよ、我が国がアクセス・無害化措置を行うに当たっては、国際法上許容される範囲内で措置を行うことは当然であります。
○平岡委員 長い説明だったけれども、私の質問について言えば、当然含まれていますよ、だから、この法案を適用するに当たっても、そういうことをちゃんと配慮しながらやってくださいねということを言われたんだろうと思うんですね。
その考え方は、二〇二一年当時じゃなくて現在でも通用している、考え方は変わっていないということだと思うんですけれども、その考え方を今回の法案の中にしっかりと、新法になるのか整備法になるのか、その辺はちょっと難しいですけれども、しっかりと規定していくべきだというふうに思うんですけれども、大臣、いかがでしょうか。
○平国務大臣 今の趣旨を法案に規定すべきではないかというお尋ねです。
国際紛争は平和的手段によって解決されなければならないとの考えは、サイバー行動に関しても、引き続き政府の基本的な立場であります。
警職法改正案によるアクセス・無害化措置は、公共の秩序の維持の観点から、危害の発生の防止という目的を達成するために必要最小限度において実施されるものであります。ほかに取り得る手段を勘案した上で実施をすることとなります。
また、外国に所在する攻撃サーバー等へのアクセス・無害化措置を行う場合には、措置の実施主体は、警察庁長官又は防衛大臣を通じてあらかじめ外務大臣と協議をしなければならないこととしており、国際法上許容される範囲内で措置を行うことを確保することになります。
したがいまして、平和的手段による解決を求めることと軌を一にするものであると考えられますので、御指摘のような規定を設ける必要はないと考えております。
○平岡委員 逆に、いろいろ心配している人がいるわけですから、今大臣が言われたことが正しいとするならば、念のため、そういうふうに考えていますよ、これはあくまでも平和的手段なんですよ、それを超えちゃいけないんですよということを規定しておくということは、国民の皆さんにも安心を与えることになると思うので、是非規定していただきたい。また聞いてもまた同じことを答えられるので、もうそれ以上は言いませんけれども、要望しておきたいというふうに思います。
次に、通信情報の利用について御質問いたします。
実は、せんだっての本会議で、同僚議員である山岸委員の方から質問をして、石破総理も答弁をしているところがあるんですけれども、若干それよりも膨らみます。
どういうことかというと、第十一条一項の当事者協定というのは、協議に応じる義務を定めていますけれども、協定締結の義務を課していない。他方、十二条一項に基づく当事者協定については、協議に応じる義務も、当然のことながら協議に応じる義務はないので、締結する義務も定めていないんです。
このように、当事者協定を締結すること、あるいは当事者協定締結の協議をすることを事実上強制しないということについては石破総理も言っているんですけれども、そういうことで一応大丈夫なんですか、法目的は達成できるんですか。
○平国務大臣 本法律案の当事者協定の制度では、通信の秘密との関係も踏まえて、あくまで通信の当事者の同意に基づきその通信情報を取得をし、その上で、協定当事者のサイバーセキュリティーの確保のために必要な分析をし、その結果を協定当事者に提供することとしております。
サイバー攻撃の脅威に直面している基盤インフラ事業者等に対しては、政府から当事者協定を締結するメリットを丁寧に説明をさせていただくなどして、協定締結が促進されるように努めていきたいと考えております。
○平岡委員 メリットを説明することによって協定締結を促していきたいという趣旨だと思うんですけれども、裏返して言えば、石破総理が言われたように、協定締結とか、あるいは事業電気通信役務の利用者に対しては協定締結の協議に応じることを無理強いをしないということを意味しているわけでありまして、やはりいろいろ心配している人がいますから、ここは、やはりそういう協定締結に応じないとか、あるいは協定締結協議に応じないということによって不利益は与えないんだということについても、しっかりと法律に明定していただきたいと思うんですが、いかがでしょうか。
○平国務大臣 仮に不利益な取扱いを背景として協定の締結が得られたとしても、同意に基づく当事者協定とは言えず、この協定に基づく通信情報の取得は、通信の秘密との関係で問題が生じる可能性があるものと考えております。
したがって、政府としては、協定を締結をしなかった事業者に対して不利益な取扱いをすることはございませんし、この法律の趣旨から、明定をすべき必要もないと考えております。
○平岡委員 この法律の趣旨からする必要がないというのは、全然説明になっていないと思うんですよね。
私が言っているのは、この法律によって通信の秘密が侵害されるのではないかということを心配している人たちがたくさんいるんですから、いや、そういうことじゃありませんよ、強制的にやることはしませんよ、あくまでも任意でやるんですよということをはっきりとさせるために法律に書いてくれと言っているんですから、その質問に対してちゃんと答えてください。
○平国務大臣 そもそも強制をすれば同意に基づかないので、通信の秘密といわゆる公共の福祉のバランスの上に成り立っている法律の趣旨からいきまして、いわゆる強制をすることはあり得ないということであります。
更に言うと、今、本当に、大企業といえども、一社のみでサイバーセキュリティーはできませんので、メリットの方は十分御説明をして、共有ができるのではないかと思っております。
○平岡委員 時間がないのでこれ以上は言いませんけれども、協定を結ぶと、協定を結んだ民間の人以外に、協定を結んだ民間の人と通信をしている相手方の人たちの通信情報も、内閣総理大臣、政府が握ることができるようになっちゃうんですよね。
だから、やはりそういう相手方の人のことを考えると、いや、これは、皆さんの通信の秘密はちゃんと守られるということを前提にして協定を結んでいるんですから安心してくださいというふうに、説明できるような内容のものでなければいけないと思うんですよね。そういう点がこの法律には欠けていると思うので、是非、不利益な取扱いをしないんだ、協定を締結しなくても不利益な取扱いはしないんだということについては明定をしていただきたいというふうに思います。
時間がないので、要望だけさせていただいて、次の質問に移ります。
自衛隊による通信防護措置の問題にちょっと飛びます。
自衛隊が自衛隊法八十一条の三に基づいて通信防護措置を取る要件については、法文には、「本邦外にある者による特に高度に組織的かつ計画的な行為と認められるものが行われた場合において、」というふうになっているんですけれども、実は、皆さんのお手元にお配りさせていただいた資料、これは内閣官房が説明用に作った資料なんですけれども、これの右側の防衛省・自衛隊の2のところ、「外国政府を背景とする主体による高度な攻撃と認められるものが行われ」というふうに書いてあって、法文に書いてあることと文言的には違っているんですけれども、防衛省の見解としてはどっちなんですか。
○本田副大臣 お答えいたします。
防衛省といたしましては、新設する自衛隊法第八十一条の三において、「本邦外にある者による特に高度に組織的かつ計画的な行為と認められるものが行われた場合」を、内閣総理大臣による通信防護措置の発令要件の一つとして規定しているところでございます。
その上で、自衛隊法第八十一条の三において念頭に置いているサイバー攻撃の実施主体を説明するものとして用いている国家を背景とする主体とは、あくまで、本邦外にある者による特に高度に組織的かつ計画的な行為の趣旨を簡潔に説明しているものであると考えております。
その上で、本邦外にある者による特に高度に組織的かつ計画的な行為に当たるサイバー攻撃として念頭に置いている国家を背景とした主体による高度なサイバー攻撃とは、例えば、国家のリソースを投じることなどによって、最適な攻撃機会を狙って対象システム内に長期間にわたり潜伏できる高い組織性や計画性を有し、高度な堅牢性を備えた攻撃インフラを構築し、未知の脆弱性やマルウェアなどの高度な手法を用いるなどの特徴を有していると考えており、こうしたサイバー攻撃に対処するためには自衛隊の特別な能力を用いるほかない場合が存在いたします。
通信防護措置においては、このような主体による高度なサイバー攻撃を念頭に置いて対処することとしているところ、自衛隊法第八十一条の三においては、「本邦外にある者」と規定することによって、攻撃主体が我が国に所在するものではないということを明確にし、さらに、「特に高度に組織的かつ計画的な行為」と規定することによって、個人や活動家、また犯罪組織、民間団体が通常行い得るものではなくて、先ほど述べましたとおり、国家のリソースを投じるなどにより実現されることが想定される高度な行為が対処の対象であることを明確にしたものでございます。
このように、自衛隊法第八十一条の三における本邦外にある者による特に高度に組織的かつ計画的な行為という要件は、自衛隊が対処すべき主体による行為を適切に表現していると考えておりますことから、条文を修正する必要はあるとは考えていないところです。
○平岡委員 何か今、トートロジーみたいな感じですよね。自衛隊が対処すべきと思われるものを当然書いているんだけれども、それは自衛隊が対処すべきと思うものについて規定していますというような説明でとどまっているということで、客観的基準として、どういうものに対して自衛隊が出ていくのかということについては何も説明がされていないという状況になっているというふうには思います。
それはそれとして、政府が作った説明資料で説明をしたということについては、この説明資料が不十分であったということはお認めになるわけですか。誤解を招くものであったというふうにはお認めになるんでしょうか。
○本田副大臣 御質問にお答えいたします。
先ほど申し上げたとおりでございますが、説明資料で用いております国家を背景とする主体とは、あくまで、冒頭申し上げたとおり、本邦外にある者による特に高度に組織的かつ計画的な行為の趣旨を簡潔に説明させていただいたものであると考えております。
○平岡委員 簡潔に説明するといったって、もっと幅広い人も当たり得るんだということであるならば、その簡潔に説明したことが間違っているということを意味しているんじゃないですか。どうですか。
○本田副大臣 お答えいたします。
大変申し訳ないですけれども、簡潔に説明をしているものでありまして、間違っているとは考えておりません。
○平岡委員 それなら、この資料に基づいて、外国の政府を背景としていないけれども、特に高度に組織的かつ計画的な行為と認められるものに対しては、この自衛隊による通信防護措置は取らないということでいいんですか。
○小柳政府参考人 国家を背景とするということは、これを念頭に規定をしているものでございますけれども、先ほど来出ております特に高度に組織的かつ計画的にということに該当すれば、そういうものは適用されるということは排除されないものでございます。
○平岡委員 いや、排除されないということであるならば、この資料は間違っているということですよね。どうですか。
○小柳政府参考人 お答えを申し上げます。
簡潔に示したということでございまして、間違っているということではないというふうに理解をしてございます。
○平岡委員 だって、これに限らないのにこれに限るように書いたら、ああ、そうか、やはり外国政府を背景とする、あるいは国を背景とするものについては自衛隊は出ていくけれども、それ以外のものは出ていかないんだなというふうに、説明を受けた国会議員とか国民の皆さんはそういうふうに理解するじゃないですか。それは、誤解した上でこの法律を通そうとしているんですか。どうですか。
○小柳政府参考人 お答えを申し上げます。
国家を背景とするものを念頭に規定をしているものでありまして、それを簡潔に示すために資料上そういうふうに書かせていただきました。
ただ、御答弁申し上げているように、国家ではないものの適用が排除されるというわけではございません。
○平岡委員 国家を背景とするものを念頭に置いたけれども、国家を背景としないものも排除されないという、ちょっと説明がよく分からないんですが、国家を背景とするものを念頭に置くのなら、国家を背景とするものに限定するように法律上規定すべきじゃないんですか。
私が何でこんなことを質問しているかというと、やはり自衛隊が出ていく場面というのは非常にある意味ではセンシティブな場面であって、むやみやたらと自衛隊が出ていくべきではない、やはり警察権の行使でできるところは警察権の行使でやるべきだと思っているから、自衛隊の出る場面をできるだけ明確にすべきだという意味で聞いているんですよ。どうでしょうか。
○大岡委員長 分かりやすく具体的に答えてください。
○小柳政府参考人 お答えいたします。
自衛隊が出動を命ぜられるための要件というのは、法文上、自衛隊が対処を行う特別の必要があるとき、あるいは対象となるコンピューター等も限定をされていて、自衛隊が必要な場合に真に出動を命ぜられるということは法律上担保されているというふうに考えてございます。
○平岡委員 ここでやり取りしてもすれ違い答弁みたいな話ばかりになっちゃうので、端的に要求します。
政府の説明のように、外国政府を背景とする主体についてだけ自衛隊が出るということを念頭に置いているのであれば、それに応じた法案修正をすることを私として要求いたします。検討してください。
これについては、多分、ここでこう言っても、そんなことできませんと言われるだけの話なので、もうこれ以上言いませんけれども、国会議員やあるいは国民をだますようなやり方でこの法案を通すことだけはやめていただきたい、このことをまず申し上げておきたいというふうに思います。
それでは、また質問の順番を元に戻していきます。
先ほど私の質問の中でもちょっと触れましたけれども、今回の当事者協定によって通信情報を取得しようとするのは、特別社会基盤事業者とかあるいは事業電気通信役務の利用者を通信の当事者とする通信情報ということになっていて、当然それは、特別社会基盤事業者や事業電気通信役務の利用者が関わっていれば、それと通信をしている市民の情報も含まれるということになると思うんですけれども、そういう理解でいいんでしょうか。
○平国務大臣 当事者協定については、協定を締結した特別社会基盤事業者等が送信をし又は受信をする通信情報を取得することとなっております。このため、この通信情報の中には、協定を締結をした事業者と通信を行う相手方に関する通信情報は含まれます。
○平岡委員 ということは、結論的に言うと、さっき言ったような事業者と通信をする市民については、彼ら彼女らの同意もなく内閣総理大臣が通信情報を取得することになることを許すことになるわけでありますけれども、それは、それらの市民にとってみれば憲法二十一条の通信の秘密が侵害されるということになるわけで、同意もなく取得されるということで、許されないんじゃないかというふうに思うんですけれども、どうでしょうか。
○平国務大臣 本法律案では、当事者協定に基づき通信情報を取得した場合であっても、同意によらずに通信情報を取得した場合と同様に取扱いをすることとしています。
具体的には、取得した通信情報については、閲覧その他の人による知得を伴わない自動的な方法によって、不正な行為に関係があると認めるに足りる機械的情報のみを選別をし分析の対象とすることとしています。また、これによる選別後の通信情報については、一定の重大なサイバー攻撃による被害の防止をする目的以外の利用を原則として禁止するなどとしています。さらに、これらの取扱いに関する規制については、独立機関による継続的な検査の対象となり、その適正な遵守を確保することとしています。
したがって、当事者協定による利用は、協定を締結した事業者の通信の相手方にも十分に配慮するものとなっており、問題となるものではないと考えております。
○平岡委員 何かバランスに欠けますよね。事業者が当事者協定を結んでいなかったら、当然その通信情報は取得できない、当然その相手方となっている市民の情報も取得できないということになるのに、通信事業者が協定を結んでいたら、その相手方となっている市民の情報については、さっき言われたように、選別をするというような対象になってくる。何かバランスがおかしいんじゃないですか。
○平国務大臣 先ほど申し上げたとおりですが、今、重要インフラに対するサイバー攻撃が激化していく中で、これをしっかり防御すること自体、国民の皆さんの利益に沿うものだというふうに考えております。
○平岡委員 私もそれを否定するものじゃないんですよ。今、サイバー防御をしなければいけないという事態は、多分、サイバー犯罪の特殊性からいってもあるんだろうと思うけれども、通信の秘密とのバランスをどう考えるかという問題であって、この前から説明されているのは、当事者の同意があるものと、それから外外通信とか外内通信とか内外通信とか、外との関わりがあるものについてはいろいろ選別していきますよ、そういう話なんだけれども、そういう同意がないものについては、だから、やらないという前提に立っているんだろうと思うんですけれども。
だけれども、その前提に立てば、先ほど言った、通信事業者とかが当事者になっている場合であっても、その相手方が同意をしていなければ、その情報は選別の対象にしてはいけないんじゃないか。これは当然の理屈のような気がするんですけれども、どうですか。
○平国務大臣 先生御指摘の、内内、内外、外内という場所による区別と、同意、不同意という区別のほかに、いわゆる通信の秘密に配慮をするために、人の知得を伴わない自動的な方法とか機械的情報のみとか、又は第三者委員会による検査など、いろいろな措置を講じて、総合的に高い公益性があるというふうに思いますので、それをもって御理解をいただきたいと思っております。
○平岡委員 とても理解できないんですけれども。私が言った趣旨がよく理解できていないのかもしれませんけれども、同意をしていない人の通信を取得して、内内通信だと思いますけれども、政府が情報を収集して活動するのは、通信の秘密を侵害するものであるということを指摘して、時間が来ましたので、質問を終わりたいと思います。
○大岡委員長 次に、塩川鉄也君。
○塩川委員 日本共産党の塩川鉄也です。
いわゆる能動的サイバー防御法案について質問いたします。今日は、通信情報の取得、利用に関してお尋ねをいたします。
最初に大臣にお尋ねしますが、憲法に規定される通信の秘密、表現の自由にも関わる重要な規定でありますけれども、この通信の秘密の範囲について、政府はどのように説明をしてきておられるんでしょうか。
○平国務大臣 御指摘の通信の秘密についてのこれまでの政府の説明は、通信の秘密の考え方として、通信の秘密は、個人の私生活の自由やプライバシーを保護するとともに、通信が人間の社会生活にとって必要不可欠なコミュニケーションの手段であることから、憲法上の基本的人権の一つとして憲法第二十一条第二項において保護されている旨の説明があったものと承知をしております。
また、通信の秘密を制約できる範囲として、通信の秘密の保障も、絶対無制限ではなく、公共の福祉の制限の下に立つものであり、公共の福祉の要請に基づき必要最小限の範囲でこれを制約することは許される旨の説明があったものと承知をしております。
○塩川委員 通信の秘密の範囲についてお尋ねしたんですけれども、総務省のホームページでは、「通信内容だけでなく、通信当事者の住所、氏名、通信日時、発信場所等通信の構成要素や通信の存在の事実の有無を含む」、これが通信の秘密の範囲ということはよろしいですね。
○平国務大臣 はい。結構でございます。
○塩川委員 守られるのはその通信の内容だけではないということであります。メールの送受信やウェブサイトの閲覧、SNSの投稿など、広くネット回線を用いて行われる行為に関して、いつ、どこから、誰が閲覧や書き込みといった行為を行ってきた、そういう種別、そういった行為をしたということについても、守られる秘密の範囲内ということになります。
政府が必要と判断したものについては、一旦は全ての通信情報が丸々複製、コピーをされるのではないかと思いますが、その点について確認します。
○小柳政府参考人 お答えいたします。
まず、同意によらない通信情報の取得につきましては、サイバー通信情報監理委員会の承認を受けまして一定の要件を満たす通信情報を取得することが前提でございまして、全ての通信情報を政府が取得するというものではございません。条件が満たされているものについて取得をし、そうした条件が満たされているかどうかの判断のために全ての通信情報を取得するというものではございません。
○塩川委員 要するに、政府が必要と判断したものについては、通信の内容も含め、全ての通信情報を複製、コピーをするという仕組みになっていますよね。
○小柳政府参考人 取得につきましては、量的に全てのものを取得するわけではございませんけれども、通信の内容に該当する部分も含めて、要件に該当するものを取得をするということでございます。
○塩川委員 通信の内容も含めて、必要があるものという前提ですけれども、複製、取得をするということであります。
政府が必要と判断すれば、通信の秘密はもちろん、個人特定につながるような情報やプライバシーに関するものも含めた情報を取得するということであります。サイバー攻撃対処という名目や、ふるいにかけられるからという言い訳があったところでも、そもそもこのような通信の秘密を侵害する重大な行為だということを指摘しなければなりません。
その上で、確認ですけれども、選別後通信情報というのは、機械的情報のみということでしょうか。
○小柳政府参考人 お答えいたします。
選別後通信情報は、機械的情報のみで構成されるものでございます。
○塩川委員 選別後通信情報以外については削除するということですけれども、本当に削除されるのかといった点での疑念があるところであります。
この機械的情報というのは、具体的にどのような情報を含むんでしょうか。
○小柳政府参考人 お答え申し上げます。
選別後通信情報でございますが、不正な行為に関係があると認めるに足りる状況のあるものとして自動的方法によって選別された機械的情報でございまして、コミュニケーションの本質的な内容には当たらない機械的情報でございます。
○塩川委員 そういった機械的情報であっても、それは通信の秘密の保護対象に当たる、そういう情報ではありますね。
○小柳政府参考人 お答えいたします。
機械的情報でありましても、通信の秘密の保護を受けるものでございます。
○塩川委員 機械的情報について、法の規定、二条八項三号では、コミュニケーションの本質的でない情報として内閣府令で定める情報としておるわけで、その指定の範囲が不透明だ。先ほども質疑にもありましたように、政省令等々が多いといった中身についても、是非とも明らかにしていただきたい。それの中身についての疑念があるということを申し上げておくものです。
それで、取得された通信情報について、自動選別されたもの以外は削除するということですけれども、その選別条件は政府が決めるとしております。そこに、結局、政府の方の恣意性が働くようなことがないのか。恣意的な選別につながりはしないのか。この点についてはどうでしょうか。
○小柳政府参考人 お答えいたします。
本法律案でございますけれども、取得した通信情報について、閲覧その他の人による知得を伴わない自動的な方法により、不正な行為に関係があると認めるに足りる機械的情報のみを選別して記録し、それ以外のものを、その選別の終了後直ちに消去するように明確に定めてございます。
この選別につきましては、不正な行為に関係があると認められる機械的情報のみが選別されるようにする選別の条件に関する基準が適切であるかどうかを独立機関であるサイバー通信情報監理委員会が事前に審査をすることといたしておりまして、これにより恣意的な選別が行われないことを確保いたしております。
また、選別をした後につきましても、規定を遵守して適切に選別がされたかどうかは、委員会の指定職員等による検査の対象となってございまして、その結果や状況は委員会に報告をされまして、もし違反していると認められた場合には、委員会から内閣府に通知がなされまして、内閣府は是正等の措置を講じなければならないということとされております。
加えまして、万一、職員が通信情報の取扱いに関する事務を通じて得た通信情報の秘密を盗用した場合には、罰則の対象となることといたしております。
したがいまして、恣意的な選別がなされるようなことは十分に防止ができるものというふうに考えてございます。
○塩川委員 対象不正行為に関係があると認めるに足りる状況、こういった判断がどうなのかといった点などについても不分明なところがあるということは申し上げなければなりません。
選別条件として、具体的にIPアドレスや指令情報、コマンドなども挙げられておりますけれども、選別の条件として設定することで特定のサイバー攻撃に関係する機器などの探査が容易になると認めるに足りる状況のある情報、これはどういうものに当たるんでしょうか。
○小柳政府参考人 お答えを申し上げます。
機械的情報を選別する自動選別につきましては、法案の第二十二条二項等におきまして、IPアドレス、それからコマンド又はその他関係があるデータ等の探索が容易になる情報を条件とするというふうに設定をされてございまして、それらを二つ以上設定をするということでございますので、そういった情報を選択をしながら自動選別を行っていくというものでございます。
IPアドレス、コマンド又はその他の関係があるデータでありますので、例えば通信の履歴等が該当するということでございます。
○塩川委員 この三号のところについて、探査が容易になると認めるに足りる状況のある情報という点についての、曖昧さの点について十分な回答がなかったと思います。
その上で、先ほどの質疑の中でも、基幹インフラ事業者との協定、同意に基づく通信情報の取得について、内内も入るということがありました。加えて、同意によらない場合でも、検索サービスやSNSを始めとして、インターネット上の通信は国内で完結しないものが多くある中で、実質的に国内同士のやり取りを取得する可能性というのも排除されていないんじゃないでしょうか。
○平国務大臣 委員の御指摘のとおり、インターネットでの通信の経路はその途中で国境を越えることがあり得ることから、例えば、外内通信というふうに見られても、実際には送信者又は受信者の両方が日本国民であったり、日本国内にいる外国人であったりという可能性はあると考えています。
ただし、本法律案においては、自動的な方法により、不正な行為に関係があると認めるに足りる機械的情報のみを選別して分析をし、独立性の高いサイバー通信情報監理委員会の継続的な検査の対象ともするなど、通信情報の利用による通信の秘密に対する制約が公共の福祉の観点から必要やむを得ない限度にとどまることを確保した内容としております。
○塩川委員 ですから、内内という場合でも内外内と実際なっていて外内が対象になるという点でも、要するに、同意に基づく通信情報の取得でも内内もあるわけですが、広く国民の通信を取得をするということ、それを前提にしている仕組みだということであります。
一方で、同意があると政府が言う通信情報の取得についてお尋ねをいたします。
法案では、政府が、基幹インフラ事業者などと通信情報を提供させる協定を結ぶことができるとしています。基幹インフラ事業者との協定について、基幹インフラ事業者から提供される情報はどのような内容のものとなるのか。そのインフラを利用している人の情報、例えば、住民の住所や電話番号やメールアドレス、そのインフラの使用料や支払い情報、こういうのも含まれるということではないでしょうか。
○小柳政府参考人 お答えいたします。
協定を締結した基幹インフラ事業者等から提供されることとなる通信情報の内容でございますが、その事業者の個別の事業内容や協定の内容によって変わり得ると考えられるため一概にお示しすることは困難でございますけれども、例えば、事業者のウェブサイトにおいて送受信される通信情報の提供を受ける場合には、当該ウェブサイトにユーザーから入力された住所、電話番号等が含まれる可能性はございます。
しかしながら、本法案におきましては、内閣総理大臣が通信情報を取得したときは、閲覧その他の人による知得を伴わない自動的な方法によって、不正な行為に関係があると認めるに足りる機械的情報のみを選別して分析することとし、それ以外のものを消去する措置を講じなければならないこととされているところであります。そのため、提供を受けました情報に通常のユーザーが入力した住所、電話番号等が含まれていたとしても、それらが分析の対象となることは想定されていないものでございます。
○塩川委員 広くコピー、取得されるということです。重要インフラということであれば、ほぼ全ての国民がその利用者に当たると言っても過言ではありません。
経済安保推進法によって特定社会基盤事業者として指定された者として、水道においては、埼玉県やさいたま市のような自治体も含まれているわけであります。この法案における協定も自治体が対象に含まれていることになるんでしょうか。
○小柳政府参考人 基幹インフラ事業者をまずは対象としておりますので、自治体が該当する場合には、法律上、適用の対象となるところでございます。
○塩川委員 自治体も対象になる。
さらに、法案の第十二条では、電気通信役務の利用者とも同じ協定を結ぶことができるとしておりますが、基幹インフラ事業者に限らず、ネット回線を利用していれば誰でも対象となり得るのではないのか。IoTの家電メーカーですとか自動車メーカーなどと協定を結び、政府に通信情報を提供させる、そういう仕組みにもなり得るのではありませんか。
○小柳政府参考人 お答えをいたします。
法文上は、役務の利用者であれば対象となり得るというものでございますが、実際の運用におきましては、協定を締結して、通信情報を送信していただき、政府で受信するといったところは、数に限り等もございますし、必ずしも利用している方全て、全員が適用を現実にされるというものではないというふうに考えてございます。
○塩川委員 広く読めるような仕組みになっているという点でも、通信の秘密の侵害に当たる、そのことが強く危惧されるということを申し上げて、質問を終わります。
○大岡委員長 次に、伊東信久君。
○伊東(信)委員 日本維新の会の伊東信久でございます。
まず、大臣に、この法案の立法事実について確認させていただきたいと思っております。
実際に、地政学リスクが高まってサイバー攻撃が増えているのは事実でございます。資料一、二に示してありますように、近年、このリスクが増えているのは共通していると思うんですけれども、その中でも、国家を背景にするサイバー攻撃が増えてきており、有事に直結するおそれがありまして、受動的な対応では防げないということなんです。
資料一に「情報セキュリティ」とありますように、サイバー安全保障なんですけれども、サイバー空間を守るんじゃなくて、まさに情報を守るものであると私は認識しているわけなんですけれども、この法案が成立しますと、サイバー安全保障に関して、これまでとどのような違った対応が可能になるか、大臣からお教えください。
○平国務大臣 伊東委員にお答え申し上げます。
国家を背景とした高度なサイバー攻撃への懸念の拡大や社会全体におけるデジタルトランスフォーメーションの進展を踏まえると、我が国のサイバー対処能力の強化はまさに喫緊の課題であります。
本法案は、官民連携の強化、通信情報の利用、攻撃者のサーバー等へのアクセス・無害化の三つを取組の柱とする能動的サイバー防御を導入するものであります。
サイバー安全保障分野における情報収集、分析能力を強化するとともに、今回の制度整備により、基幹インフラ事業者からのインシデント報告や通信情報を収集し、分析することが可能となり、より早期かつ効果的にサイバー攻撃を把握をし、対応することができるようになると考えられます。また、重大なサイバー攻撃の未然防止等のため、アクセス・無害化措置の実施が可能となります。
これらの取組は、国家安全保障戦略に掲げた、サイバー安全保障分野の対応能力を欧米主要国と同等以上に向上させるという目標の実現に不可欠なものと考えております。
○伊東(信)委員 おっしゃるとおりですし、この法案の趣旨を改めて述べていただいたとは思うんですけれども、やはり、サイバー攻撃は高度化、複雑化しているのも事実でして、多様な対応を考えなければいけないと思っております。
マルウェアとかでも、本当に潜伏型になりまして、ぽんと落として、そのまま置いたままにしているわけなんですね。だから、本当に気づきにくい。それで、何かしら有事であったりとか攻撃するときに、一斉に攻撃される。また、DDoS攻撃も、ほぼ武器化されていると言っても過言じゃない。
このような状況の中で、確かに、NOTICEという取組、資料四にもあるんですけれども、それは承知しているんですけれども、やはりこのことは一般の皆さんにもしっかりと認識していただかなければならないし、逆に、残念ながら現時点では、しっかりとこのことが認識されているとは思えません。
能動的にやっていかなければいけないのは事実なんですけれども、例えば、いろいろな、民間への影響も考えなければいけないんです。先ほどDDoS攻撃の話をしましたけれども、ヨーロッパでは本当に深刻に捉えられておりまして、資料三にありますように、スウェーデンでは、二〇二四年に改定した国民保護のブックレットの方に、この黄色いやつなんですけれども、「グッド トゥー ハブ」と。「イナフ キャッシュ フォー アット リースト ワン ウィーク」ということで、「イン ケース オブ クライシス オア ウォー」の中に入っています。金融機関が停止することに備えて、一週間ぐらい、現金を保有するように呼びかけたりとかしているんです。
この海外の事例を参考に、サイバー攻撃により、例えば電気であったり医療機関であることもあるんですけれども、ここだったら金融機関が停止することに備えて、一般の皆さん、民間の方に対して何かしらの対応をすることは、政府としては想定していないでしょうか。これは参考人の方からお願いします。
○中溝政府参考人 お答え申し上げます。
委員御指摘のとおり、サイバー攻撃が高度化、巧妙化する中におきましても、国民一人一人のセキュリティー意識を向上させ、基本的なサイバーセキュリティー対策を徹底いただくことが重要と考えてございます。
政府では、毎年二月一日から三月十八日の期間をサイバーセキュリティ月間と位置づけまして、産官学民を巻き込み、フィッシング詐欺などの身近なサイバー被害やその対策に関するイベントなど、百八十件に上る普及啓発活動を実施しているところでございます。
政府としましては、国民一人一人のサイバーセキュリティーに対する意識の向上を促し、具体的な行動に移っていただけるよう、引き続き普及啓発に取り組んでまいりたいと考えてございます。
○伊東(信)委員 国民の皆さんにとって、自分のコンピューターであったり、自分のところのIoT、監視カメラであったりとか、ああ、攻撃されたなということしか分からないわけですよね。
この能動的サイバー防御というのは、これに携わる政府機関としては、平時の段階でも、二十四時間三百六十五日実用が必要となっております。攻撃の主体の特定が重要であることから、逆に攻撃者側に侵入して、いざとなれば相手のコンピューターを無害化する、プログラムを無害化することは今大臣おっしゃったんですけれども、さて、問題となるのは、これが適法かということです。
特に、国際法上適法かつ正当な行為になり得るかどうかというのが大事で、このアクセス・無害化の措置は日本では警察権に基づいて行われまして、警察官職務執行法と自衛隊法も併せて改正しますけれども、自衛官が対応する場合も警察法に準ずる形を取ることになっておるので、多くの制約というのはもちろんあります。自衛権の行使であれば、警戒監視などかなり自由にできますけれども、警察権によるアクセスや無害化は、果たして国際法上大丈夫なんだろうかということですね。
警察権の行使は、緊急状態など、国際法上からはやはり限られたものになりますし、緊急状態は、重大かつ緊迫した危険から不可欠の利益を守るための唯一の手段でありまして、当該行為が相手国又は国際共同体の不可欠の利益を深刻に侵害せずに状態の発生に寄与していない場合には違法性阻却が認められるという考え方があり、平時の偵察行為は国際法上認められるとはやはり思えないんですけれども、今回の法案について、この整合性についての危惧はございませんでしょうか。
○平国務大臣 武力攻撃に至らないものの、国や重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、又はそのような重大なサイバー攻撃が発生した場合に、これを未然に防止するため、又は被害の拡大防止をするために、我が国がその攻撃元となっている国外に所在するサーバー等に対して必要なサイバー行動を取ることは、国際法上、一定の状況においては許容されるものと認識をしています。
また、警察法において権限を及ぼすことができる区域は、我が国の領域に限られず、外国の領域も含まれると解されており、警察官職務執行法に基づいた権限も含め、いわゆる警察力の外国における行使は国内法上否定されているものではないと考えております。
したがって、現行法上、外国の領域においても、国際法上許容される限り、その職務に必要な限度で権限を行使することができるところであり、今般の警職法改正案において必要な権限等を整備することとしても問題はないと考えております。
なお、今般の新たな法案の検討は我が国が主体的に行ってきたものでありますが、その検討に当たっては、能動的サイバー防御の取組と類似する諸外国の法制度等について調査等を行っているところであります。
○伊東(信)委員 恐らくこの法案が通ってからの課題にもなると思うんですけれども、大筋この法案が通ったとしても、警察官職務執行法と自衛隊法とのつなぎをどうするのかということですね。やはり、サイバー攻撃が有事に関連してくることを想定すると、もう少し自由度を持たせた方がいいのではないかということを指摘させていただきたいと思います。
無害化措置に対しての担保について先にお聞きしたいんですけれども、警察庁長官等や防衛大臣の指揮でサイバー攻撃の無害化措置が行われる、この歯止めをどういう具合にかけていくのかが、法文上、余り書かれていないと思います。
資料の五を見ていただくと、この無害化についての説明が、政府の説明資料には書かれているわけなんですけれども、条文上、外務大臣との事前協議は想定されていますけれども、他国から武力行使と解釈されない、行為を実行する可能性があるということを、それはやはり懸念しています。
まず、確認させていただきたいのは、この資料にあります、まずは、国家安全保障会議、NSCが出てくるわけなんですけれども、NSCにおいてアクセス・無害化措置について方針を決めるということは明確に明示することが必要ではないかなと思うんですけれども、大臣、どう思われますでしょうか。
○平国務大臣 まず、国家安全保障会議、NSCの四大臣会合について申し上げれば、我が国の国家安全保障政策の司令塔としての機能を果たしてきており、国家安全保障会議設置法に基づき、国家安全保障に関する外交、防衛及び経済政策の基本方針並びにこれらの政策に関する重要事項について、議長である総理を中心に関係閣僚が平素から戦略的視点を持って審議をし、国家安全保障政策に関する基本的な方向性を示す場であります。
このNSC四大臣会合の審議事項には、国家安全保障に関するサイバー分野も当然含まれています。事実、平成二十五年にNSCが設置されて以降、これまで七回、サイバー安全保障を議題にNSC四大臣会合で議論を行っています。アクセス・無害化措置を含めた能動的サイバー防御についても現行のNSCの所掌事務に既に含まれており、NSC四大臣会合で審議することが可能であります。
石破総理からも御答弁しているとおり、本法案の成立後、外国に所在する攻撃サーバー等へのアクセス・無害化措置を実施する場合、NSC四大臣会合において速やかに議論し、対処方針等を定めることとしています。その上で、内閣官房に設置をする新組織が、サイバー安全保障担当大臣の指導に基づき、国家安全保障局と連携をして総合調整機能を発揮をし、統一した方針の下で、警察と自衛隊が緊密に連携をして対処をすることとなります。
加えて、新設される内閣サイバー官は、我が国のサイバーセキュリティーの確保を担う司令塔となるべく、強力な企画立案、総合調整を行う権限を有する者として置かれるものです。内閣サイバー官が国家安全保障局の次長も兼ねるということであり、内閣官房に置かれる新組織と国家安全保障局の緊密な連携の実現を図ることができます。
このように、NSCが主導し、アクセス・無害化措置を含む能動的サイバー防御を適切に実施をしてまいります。
○伊東(信)委員 大臣に御答弁いただいたように、もう既にNSCにそれらしきことは書いているわけですよね、それらしきことは。今回、アクセス・無害化措置について踏み込んでやっていくということなんですけれども、やはりここは、無害化措置を実施する際の緊急事態の定義を明確にしておくべきではないかなとは思います。
警職法の中で、「そのまま放置すれば人の生命、身体又は財産に対する重大な危害が発生するおそれがあるため緊急の必要があるとき」、そういう要件を満たしたときに措置ができるとの想定になっていますけれども、「緊急の必要」とは具体的にどういったことかはやはり不明なままです。
アクセスは自由度を持たせないといけないが、無害化措置の対象は、やはり武力攻撃の一歩手前の行為が想定されます。無害化措置も相手国にとっては武力攻撃の一歩手前と捉えられる可能性がありますので、やはりその正当性は担保されるべきではないかなと思うんですけれども、これは参考人から、よろしくお願いいたします。
○逢阪政府参考人 お答えいたします。
警職法の改正案における「緊急の必要があるとき」ということでございますけれども、これは、いつサイバー攻撃が敢行されてもおかしくない状況にあることということでございまして、その判断については個別具体の事案に応じて行いますので、一概に申し上げることは困難でありますけれども、例えば、サイバー攻撃に用いられるマルウェアに感染したIoT機器を発見した場合で、マルウェアはまだ発動していないものの、当該マルウェアとC2サーバーが定期的に通信を行っていると認められるため、攻撃者の意図次第でいつでもサイバー攻撃が行われ得ると認められる場合には、この要件に該当し得るものと考えております。
○伊東(信)委員 本当に、いろいろな判断が求められることになると思いますし、新たなる組織をつくられるようなんですけれども、やはりその手腕というか能力というのが問われることとなります。
そこで、委員会を設置するということなんですけれども、サイバー対処能力強化法案の第六十一条において、委員会は、毎年、内閣総理大臣を経由して国会に対しての所轄事務の処理状況を報告するとともに、その概要を公表しなければならないと想定されています。
独立機関のサイバー通信情報監理委員会が行う報告内容は、アクセス・無害化に限らず、通信情報を利用する際の承認とかも行うこととなると思いますので、これはとても重要な役割を果たすものと考えているんですけれども、この報告について、報告を受ける機会はどのように想定されていますでしょうか。大臣、お願いいたします。
○平国務大臣 サイバー対処能力強化法案では、サイバー通信情報監理委員会が、毎年、内閣総理大臣を経由して国会に対して所掌事務の処理状況を報告をするとともに、その概要を公表しなければならない旨の規定を第六十一条で設けております。
現時点では、この規定によれば、例えば、同意によらない通信情報の取得や、アクセス・無害化措置に関する承認の申請や承認をした件数のほか、勧告の件数とその概要、違反の通知や懲戒処分要求の件数とそれらの概要等も報告することを想定としています。
法律の施行の状況や運用の適正性を確認をしていただく観点から、委員会の所掌事務の処理状況としてどのような内容を報告をするか、引き続き検討をしていきたいと思っております。
○伊東(信)委員 引き続き検討ということですけれども、本当に、この内容に関して、国会が受ける報告はどのような形で、具体的にどのような形になって、また、委員会の委員の皆さんの意見はどのように反映されるかということをもっと深く聞きたいんですけれども、大臣に今御答弁いただいたので、もし政府から御答弁あれば、お願いいたします。
○小柳政府参考人 お答えを申し上げます。
御指摘のとおり、第六十一条で国会への報告が定められております。
繰り返しになってしまいますけれども、同意によらない通信情報の取得、アクセス・無害化に関するその承認の申請あるいは承認をした件数、勧告の件数、概要、違反の通知、懲戒処分の要求の件数、それらの概要等も報告をするということを想定しております。
施行の状況あるいは運用の適正性を確認いただく観点から、委員会の所掌事務の処理状況としてどういった内容を報告するか、引き続き検討を深めてまいりたいと考えてございます。
○伊東(信)委員 この法案が大筋通ったとしても、やはりこれはもう本当に、あくまでも始まりでしかありません。欧米にキャッチアップということなんですけれども、追いつくか追いつかないの状況であればやはり安全保障というのは守られませんので、しっかりと国会においてもチェックしていきたいと思うんです。
通告でいえば四に当たるところをもう少し詳しく、今、問いの五をお聞きしたんですけれども、同意に基づかない通信情報の取得について更に詳しくお聞きしたいと思います。
通信の秘密との関係で、通信の秘密に対する規約を必要最小限にするために、四つの安全弁が設けられると承知しています。
一つ目は、基幹インフラ事業者との協定。これは、同意に基づいて通信情報を取得するということがまず一つ目なんですけれども、まず、この一つ目、通信の秘密は、通信当事者の片方の同意があれば制約できると考えられると思いますけれども、その法的根拠を、政府参考人、教えてください。
○小柳政府参考人 お答えを申し上げます。
サイバー対処能力強化法案におきまして、内閣総理大臣は、特別社会基盤事業者等との間で当事者協定を締結すれば、その定めるところに従い、その事業者を通信の当事者とする通信情報を取得することができる旨を法案第十五条に規定をしておりまして、当事者協定と通信の秘密との関係の明確化を図っております。
その上で、当事者協定で取得をした通信情報につきましては、自動的な方法によって、不正な行為に関係があると認めるに足りる機械的情報のみが選別され分析対象となりますほか、独立機関であるサイバー通信情報監理委員会の検査等の対象となるというものでございまして、協定当事者の通信の相手方の権利にも十分配慮することといたしてございます。
○伊東(信)委員 今のは同意に基づいての話であって、まあ、要は、民と、企業側が契約の上に成り立っているから、その同意に基づいている場合片方でいいという解釈だと思うんですけれども、では、同意に基づかない通信情報の取得は、外外通信、外内通信、内外通信が対象であって、内内通信に関しては実施しないことということが書かれていますけれども、今回は国内間の通信が取得、分析の対象外であるとしても、同意に基づかない通信情報の取得が憲法上の通信の秘密の保障に抵触しないというのはどのような理屈によるものか、それを確認させてください。
大臣、行けますか。
○平国務大臣 国外からの重大サイバー攻撃の被害防止のため、攻撃の実態を把握するためには、外内通信及び内外通信のほか、国内の電気通信設備を経由して伝送される外外通信の分析は必要となるのに対し、国内のみで閉じた内内通信の分析を行う必要は現時点では必ずしもないと考えております。
その上で、本法案の通信情報の利用は、同意によらずに利用する場合であっても、国家及び国民の安全の確保などの観点から重要な電子計算機について、それに対して行われる犯罪に当たる不正な行為による被害を防止をするという高い公益性があるものであり、また、他の方法によっては実態の把握や分析が著しく困難である場合に限り行うものであるとともに、自動的な方法によって、不正な行為に関係があると認めるに足りる機械的情報のみが選別され分析されるものであり、独立機関であるサイバー通信情報監理委員会による検査によってこれらの条件が遵守されることを確保するなど、様々な措置が講じられているものであります。
したがって、憲法第二十一条の通信の秘密との関係でも、公共の福祉の観点から必要やむを得ない限度の制約にとどまるものであり、憲法違反になるものではないと考えております。
○伊東(信)委員 政府の解釈としては憲法には抵触しないというところなんですけれども。
そういう意味での安全弁でも、再三質問の方があったんですけれども、安全弁の三つ目が、機械選別を行い中身に係る情報を自動的に取り除き分析する情報を、IPアドレス、指令情報、機械的情報に限定することとなっています。
これも再三質問があったんですけれども、そのとおり行われているかをどのように証明するかということですね。サイバー通信情報監理委員会、いわゆる三条委員会が信頼に足る運営がされていることをどのように、担保されていることを改めて確認させてください。
○小柳政府参考人 お答えを申し上げます。
本法律案では、取得した通信情報につきまして、閲覧その他の人の知得を伴わない自動的な方法によって、不正な行為に関係があると認めるに足りる状況のある機械的情報のみを選別し分析することといたしておりますが、この自動的な方法による選別につきましては、サイバー通信情報監理委員会による検査の対象となることといたしております。
この検査につきましては、選別を行う行政機関である内閣府が協力をしなければならない義務を定めておりまして、また、委員会は、必要があると認めるときは、資料の提出を求め、又は実地調査を行うことなども可能としております。
さらに、検査の結果、もし違反していると認められた場合には、委員会から内閣府に通知がされ、内閣府は是正等の措置を講じなければならないとされているところでございます。
加えまして、万一、職員が通信情報の取扱いに関する事務を通じて得た通信情報の秘密を盗用した場合には、罰則の対象となることとされております。
こうしたことから、機械的情報に当たらないコミュニケーションの本質的な内容が分析対象とならないといったことは十分に担保されているものと考えてございます。
○伊東(信)委員 本当に、通信の秘密に対する制約ですので、しっかりとその辺りは担保していただきたいと思います。
安全弁の四つ目としては、同意によらない通信情報の取得に当たっては、独立機関が事前に承認を必ずしなければならないこととなっています。
もう時間が差し迫っているので、最後の質問になると思うんですけれども、ちょっとまた戻っちゃいますけれども、いわゆる警察権の話をしました。警察が主体となっての対応に関しても、警察庁長官や都道府県本部の指揮を受けて実施され、サイバー攻撃に関係するという疑いがあり、そのまま放置すれば重大な危害、そういう緊急の必要がある場合はアクセス・無害化するということなんですけれども、このプロセスに関して、やはり余り安全弁がないんですね。国外のサーバー等に対して実施する際は、外務大臣と事前に協議することが定められ、実施には独立機関の承認が必要とされていますけれども、承認を得るいとまがないときは事後通知でよいとなっています。抑制措置にはなっておりません。
事後通知で本当にいいのか、また、外務大臣との事前協議を行うこととしていますけれども、果たして迅速な対応ができるか心配なんですけれども、大臣、最後にこれをお願いいたします。
○平国務大臣 アクセス・無害化措置を含むサイバー行動の国際法上の評価については、個別的、具体的な状況に応じて判断されるため一概にお答えをすることは困難ですが、そもそも国際法上禁止されていない合法的な行為に当たる場合や、サーバー所在国の領域主権の侵害に当たり得るとしてもその違法性を阻却できる場合があります。今般の法案においては、アクセス・無害化措置が国際法上許容される範囲内で行われることを確保する観点から、措置の実施主体は、あらかじめ外務大臣と協議を行うこととしています。
一方、サイバー通信情報監理委員会に対しては、事前の承認を得ることが原則ではあります。事前承認を得るいとまがないと認める特段の事由が生じれば、事後通知を行うこととしています。
当該通知を受けた委員会は、実施された措置が適切かどうかを確認し、必要に応じて勧告をすることができることとされており、このような手続を設けることにより、権限の濫用の抑止を図り、措置の適正性を十分に確保することができると考えております。
また、事後通知を行う場合であっても、措置の実施主体は、外務大臣との協議が調った後に措置を実施することには変わりがありません。
こうした点で、差し迫った危害に対処をする上で、外務大臣との協議を迅速に行うことは極めて重要であり、平素から、内閣官房、警察、防衛省及び外務省の間で緊密に連携をし、協議を適切かつ迅速に行うことができるように取り組んでまいります。
○伊東(信)委員 時間ですので、終わります。
○大岡委員長 次に、石井智恵君。
○石井委員 国民民主党・無所属クラブの石井智恵です。
私からは、この法案に関わる事業者の現場の声をお聞きし、課題点について質問をさせていただきたいと思いますので、よろしくお願いをいたします。
まず初めに、官民連携についてですが、我が国の重要なインフラを支えている基幹事業者である電力会社で働いている労働者の団体、全国電力関連産業労働組合総連合、略して電力総連の方から現場の声をお聞きしました。
電力会社では、電力の供給に直接影響する電力制御、略してOTに関しては、インターネットを利用せず独自のネットワークを構築しているため、攻撃者の侵入を防止する仕組みになっています。しかし、国内外の取引先、海外子会社などを経由するサプライチェーンのリスクが顕在化しているという問題があり、情報セキュリティーリスクは電力会社としても最重要課題として取り組んでおられます。
今回の法案では、基幹事業者が特定電子計算機、いわゆるネットワーク空間に接続しているコンピューターを導入する場合、その製品名を届出し、また、インシデント報告を行っていかなければなりません。怠ると罰則が科せられるということでありますので、特に実際に業務に携わる方からは、その負担がないようにしてほしいという要望や、聴取した情報は徹底して管理してほしいとの要望をお聞きしました。
インシデント報告を行っていく際、共通のフォーマットを使っていくということですが、手順、内容、そして、インシデントが発生してから報告するまでの期限を設けているのか、また、通信情報提供コストの負担はどうするのかなど、事業者の負担を最小限に、スピーディーに実施できるのか、持続可能な制度設計になっているのか、現場としては懸念をされています。
この事業者への配慮をどうするのか、簡潔に教えていただけますでしょうか。
○門松政府参考人 お答え申し上げます。
本法案では、基幹インフラ事業者に対し特定重要電子計算機の届出や特定侵害事象の報告を義務づけるところでございますが、先生御指摘のとおり、事業者にとって過度な負担とならないように制度設計していくということが極めて重要だというふうに承知をしているところでございます。
このため、これらの具体的な運用方法を規定する主務省令、これを定めるに当たっては、事業者や専門家などの御意見を丁寧に伺わせていただきたいと思います。また、業界ごとのシステム特性、これも極めて違いますので、考慮をしながら検討を進めてまいりたいと考えております。
また、先生御指摘のとおり、民間事業者から提供いただいた情報については機微なものも含み得ることから、本法案では、適切な管理が行われるように安全管理措置や守秘義務等を規定しておるというところでございます。
○石井委員 ありがとうございます。しっかりとお願いをいたします。
この法案は、重要インフラを支えている基幹事業者、特に現場で働いている方の声というのが非常に重要だと思っております。今回の法案は重要法案でもあり、実務に携わる産業界や労働界、特に現場で働いている方の声を十分聞いていただきたいと思います。また、インシデント対応や人的リソースなどの現場の実態を踏まえて制度をつくってほしいとの要望を直接伺っております。
いかにして今回の法案の仕組みづくりに現場の実態を把握し反映していかれるのか、平大臣のお考えをお聞かせください。
○平国務大臣 石井委員にお答えいたします。
委員御指摘のとおり、制度設計に当たっては、実務に携わる現場の方の御意見を踏まえることが重要であると考えております。
このため、本法案を策定するに当たっては、有識者会議や個別の意見交換の場を通じて、専門家や事業者などからの様々な御意見を頂戴をしてきました。また、昨年の七月には、内閣サイバーセキュリティセンターに新たに対処・外部連携ユニットを設け、外部の方々との連携体制を強化をしたところであります。
こうした取組により、中小企業を含む経済団体からは、本法案について経済界の意見も踏まえた内容となっていると評価をいただいているところでありますが、今後、運用の詳細を検討していくに当たっても、引き続き専門家や事業者などの意見を丁寧に伺ってまいりたいと考えております。
今回、この官民協力はウィン・ウィンの関係が築くことができなければ機能しませんので、担当大臣としてもしっかり配慮をして取り組んでまいります。
○石井委員 ありがとうございます。心強いお言葉、本当に感謝しています。特に働いている方々、現場の声に耳を傾けていただいて、課題があれば常にアップデートしていただきたいと思いますので、よろしくお願いをいたします。
次に、サイバーセキュリティー人材について、特にセキュリティークリアランスに関することについてお伺いをいたします。
工場やプラントなどの制御システム、いわゆるOT領域を狙ったサイバー攻撃が世界で増加していることが問題となっています。二〇一〇年、イランの核燃料施設に対するサイバー攻撃によって、施設内約八千四百台の遠心分離機のうち約一千台が稼働不能となり、イランの核燃料施設を狙ったサイバー攻撃は、世界初の制御システムを標的とするサイバー攻撃、サイバー兵器とも言われておりました。
制御システム、OTへのサイバー対策は、我が国にとっても重要な課題であります。このOTのセキュリティー対策についても、そこに携わるための人材が必要です。重要な情報を扱える人材を育成するため、能動的サイバー防御を行う際には国家機密情報を扱っていく必要もあり、セキュリティークリアランス制度を活用していくべきだと考えております。
官民連携の中で、今後、民間事業者のセキュリティークリアランス制度をどのように活用していくべきなのか、教えていただけますでしょうか。
○門松政府参考人 お答えいたします。
まず、先生御指摘のように、政府が情報を集めて分析し、その結果を率先して必要な関係者に提供していくというのは極めて重要だと思っておるんですが、情報提供に関しては、政府として、具体的には、サイバーの専門家が求める技術情報であったりとか、経営者の判断に必要な攻撃目的等に関する情報、これを積極的に提供していくことになるのです、この法案では。それで、このうち、攻撃者の詳細な活動状況といった秘匿性の高い情報、こういうものも、一定の情報管理が義務づけられる協議会構成員などに限って提供していくということになります。
ここで先生御指摘のクリアランス制度が関係するわけでございまして、一定の機微な情報についても適切な情報管理の下で事業者が取り扱えるようにするために、セキュリティークリアランス制度の活用、これも考えていきたいと思いますので、今後、必要な検討をしっかり進めてまいりたいというふうに思っております。
○石井委員 ありがとうございます。
セキュリティークリアランス制度の活用やOTシステムのセキュリティー対策については、民間サイドが効果的にその人材を育成できる育成機関などの新設なども是非お願いをしたいと思います。こちらは要望とさせていただきます。
次に、サプライチェーンリスク対策についてお伺いをいたします。
サプライチェーンリスクとしてよくあるのは、セキュリティーが強固である大企業ではなく、セキュリティーが脆弱である下請企業、中小企業や国内外のグループ企業に対する対策であります。特に中小企業のセキュリティー対策が重要でありますが、日本損害協会が発表した中小企業経営者のサイバーリスク意識調査二〇一九では、中小企業の経営者の約半数がサイバー攻撃をイメージできない、自社がサイバー攻撃の対象となり得ることを認識している中小企業は一割未満という結果でありました。
私の地元愛媛県においても、中小企業の経営者の団体にお聞きしましたが、DX化をしていくだけで精いっぱいで、サイバー攻撃への対策はほとんどできていないということをお聞きいたしました。先日の本会議で石破総理が答弁された中小企業のサイバーセキュリティお助け隊サービスも知らなかったというふうに言われておりまして、経済産業省では分かりやすいガイドブックを作成されていると思いますが、国内での浸透が課題ではないかと思います。
特に企業のセキュリティー対策では、定期的なOSのアップデートや、外部から侵入してくる不正アクセスなどから守るためファイアウォールの脆弱性のチェック、そして、サイバー攻撃が行われる可能性のある攻撃対象領域、アタックサーフェスを把握しセキュリティーの強化に取り組むこと、また、バックアップを取り、サイバー攻撃を受けてもすぐに回復できるようにしていくことが必要であると思います。また、ITベンダーの強化なども進めていかなければなりません。
先ほどの電力総連の方からお聞きした内容によりますと、電力会社においては、海外電力分野において、サプライチェーンリスクに関して罰則規定を設けサプライチェーンリスク管理を行っているということであり、関係諸国との連携も求められております。
そして、何より重要なのは、中小企業の経営者の方に危機感を持っていただくことではないでしょうか。自分の会社が知らないうちにサイバー攻撃を受けていたことが、結果的にほかの会社まで被害が及ぶことになることを認識していただくことが必要です。サイバー攻撃の脅威を認識してもらうための意識改革が必要だと考えます。
サプライチェーンのセキュリティー対策を強化していくためにも、中小企業へ広く啓発していく方法についてどのように考えておられるのか、教えていただけますでしょうか。
○西村政府参考人 ありがとうございます。お答えいたします。
まず、委員御指摘のとおり、サプライチェーンを考える中で、中小企業についても対策を取っていくことは非常に重要だと思っております。その中で、一方、中小企業はセキュリティー対策に十分なコストをかけられないといった課題もございます。
このため、中小企業が必要なセキュリティー対策を自ら実施する、こういったことができるように、二〇二一年から、言及いただきましたサイバーセキュリティお助け隊サービスというのも開始してございます。また、二〇二二年以降、IT導入補助金において、中小企業が本サービスを導入する際の費用も支援させていただいております。
現在、お助け隊サービスについては約七千件の御利用をいただいているということでございますが、委員御指摘のとおり、まだまだ浸透ができていないという点もあると思っております。更なる普及、展開に向けて、中小企業に寄り添って施策を進めてまいりたいと思っております。
○石井委員 ありがとうございます。セキュリティー対策、特に中小企業の対策は非常に、この要だと思いますので、是非よろしくお願いをいたします。
次に、能動的サイバー防御のアクセス・無害化措置が国際法上違法な行為にならないのかという懸念点についてお伺いをいたします。
二〇二四年に行われた有識者会議の資料によれば、早稲田大学の酒井教授が、能動的サイバー防御は、その措置により生ずる被害の程度等に応じて、国際法上適法とされる場合もあれば、国際法上違法行為とされる場合もあると書かれています。
この能動的サイバー防御が国際法上違法行為とされる場合はどのような行為であると認識されているでしょうか、外務省の方にお聞きをいたします。具体的な事案について教えてください。
○斉田政府参考人 お答え申し上げます。
武力攻撃に至らないものの、国や重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、又はそのような重大なサイバー攻撃が発生した場合に、これを未然に防止するため、又は被害の拡大を防止するために、我が国がその攻撃元となっている国外に所在するサーバーに対して必要なサイバー行動を取る、こういうことは、国際法上、一定の状況において許容されるというものと認識しております。
サイバー行動の国際法上の評価につきましては、個別具体的な状況に応じて判断されるため一概にお答えすることは困難でございますけれども、そもそも国際法上禁止されていない合法的な行為に当たる場合、また、サーバー所在国の領域主権の侵害に当たり得るとしましてもその違法性を阻却できる場合ということがございます。
○石井委員 ありがとうございます。
やはり、国際法上違法なのか適法なのかという区別が明瞭になっていないということがそもそも問題だというふうに思っております。国民の生命に甚大な影響を及ぼすサイバー攻撃、武力攻撃になり得ることも考えられます。
改めて、政府として、日本が受けたサイバー攻撃について、これは武力攻撃だと認定する事案は具体的にどのようなことを想定しておられますでしょうか。それに対して政府としてどのように対応されていくのか決めていますでしょうか。事態の認定、手続など、定めておかなければならないと思いますが、いかがでしょうか。平大臣にお伺いいたします。
○平国務大臣 まず、ちょっと済みません、私、質問通告もレクもいただいていないんですが、いわゆる、今現時点で、重要インフラに対して国家が背景と思われるサイバー攻撃が現にされています。また、世界各国でそういった事例に対して国家が無害化をしたことに対して、それが武力行使だとか自衛権の行使だと言われている事例はないものと思われます。
ですから、そういった中で、今回、重要なことは、この法律に関しては、そういう有事に至る前から、しっかりと通信情報を活用して基盤インフラを守るための体制を整え、必要があれば外国にあるサーバーにアクセスをして無害化をしていくということ自体が我が国の守りをしっかり固めていくことになるんだろうというふうに思います。
有事の対応については、防衛委員会で聞いていただければと思います。
○市川政府参考人 お答えいたします。
どのようなサイバー攻撃が我が国に対する武力攻撃に当たるかにつきましては、その時点の国際情勢、相手方の明示された意図、攻撃の手段、態様などを踏まえまして個別の状況に応じて判断すべきものであると考えておりまして、あらかじめそれがどういう想定かということを申し上げることは困難でございますが、一般論として申し上げますれば、サイバー攻撃のみであっても、物理的手段による攻撃と同様の極めて深刻な被害が発生し、これが相手方により組織的、計画的に行われる場合には武力攻撃に当たり得ると考えております。
その上で、政府としましては、武力攻撃に当たるという場合には、武力攻撃事態対処法等の法律に基づきまして、政府事案として対応するということになっております。
○石井委員 令和二年の四月七日の衆議院の安全保障委員会の当時の河野防衛大臣の答弁では、例えば、アメリカの国防省の資料によれば、武力の行使とみなされるものの中に、原子力発電所のメルトダウンを引き起こすもの、人口密集地域の上流ダムを開放し決壊をもたらすもの、航空機の墜落につながるものなどが含まれていると言っております、このような考え方は我が国にとっても一つの参考になるというふうに考えているところでございますという答弁をされています。五年たっている今、やはりしっかりとその事案についての認定はしておく必要があるというふうに思います。
その中で、やはりルール作りが必要だと私は思っています。能動的サイバー防御において、世界各国と共通認識の下、国際連携を図って、国際平和に向けて日本がリーダーシップを発揮してルール作りを行っていく必要があると思います。
国際的なサイバーセキュリティー対策、サイバー外交を積極的に推進すべきだと思いますが、平大臣、いかがでしょうか。
○平国務大臣 サイバーセキュリティーの分野においては、今までも、例えば、日・ASEANにおいては日ASEANサイバーセキュリティ政策会議などを開催をして、その成果物として日ASEANサイバーセキュリティ能力構築センターも開設をし、サイバー人材、既に二千五百人が受講をしているとか、あとは、同盟国、同志国との効果的な国際連携、国際協調を通じたサイバーセキュリティーを強化していくことが重要であると思いますが、例えば、安全な製品、サービスの提供を促進する観点から、セキュアバイデザイン・セキュアバイデフォルト原則に関する文書に同盟国、同志国とともに共同署名し、公表するなどの取組を進めているところであります。
また、有識者会議からも、我が国が目指すアクセス・無害化の制度導入とその執行は、我が国の国家実行として国際法規則の形成に影響を与える事項であることから、サイバー行動に係る国際法の議論に我が国として積極的に参画、貢献していくべきという提言をいただいているところであります。
今後とも、同盟国、同志国との連携を深めるとともに、多国間の議論にも積極的に貢献をし、国際連携及び国際協調の強化にしっかり努めていきたいと考えております。
○石井委員 ありがとうございました。この日本を守るためにも、あらゆる想定をして是非取り組んでいただきたいと思います。
終わります。本当にありがとうございました。
○大岡委員長 次に、上村英明君。
○上村委員 れいわ新選組の上村英明です。
今日は、中小企業それから中小組織の情報セキュリティーの対策強化について、手短にお尋ねいたしたいと思います。
三月十八日の本会議で質疑を行いましたが、私の質疑の中の四点目に、能動的サイバー防御の前にやるべき課題が山積みだという話をしました。政府が掲げている深刻なサイバー攻撃の事例には、基本的なサイバーセキュリティーの対策の欠如としか言えないものがあるからです。サイバー攻撃による被害の拡大は、むしろ被害者サイドの責任とも言える人災の側面が強いと報告されています。また、その最大の理由として、経済不況の影響で、サイバーセキュリティー対策を行う経済的余裕は、規模が小さい組織になればなるほどないということが分かっています。
独立行政法人情報処理推進機構、IPAが先月発表した、二〇二四年度、先ほどは二〇一九年というのがありましたけれども、二〇二四年度の中小企業等実態調査結果によれば、六九・七%の中小企業が情報セキュリティーを組織的に行っていない、また、六二・六%の中小企業がこの三年間に情報セキュリティー対策に全く投資をしていないというふうに回答しています。後者の数字については、前回の調査が二〇二一年度で三三・一%でしたから、やっていないという回答が二倍に増加しているということになります。
政府委員にお尋ねしますが、この結果をどのように受け止められているでしょうか。
○奥家政府参考人 お答え申し上げます。
情報処理推進機構、いわゆるIPAが昨年実施した調査では、委員御指摘のとおり、約七割の中小企業において組織的なセキュリティー体制が整備されていない、約六割の中小企業が過去三年間にセキュリティー対策投資を行っていないなどが把握されています。必要性を感じていない、費用対効果が見えないなどの割合につきましては、これも御指摘ありましたとおり、二〇二一年度調査から余り大きな変化はないという、御指摘のとおりであります。
一方、セキュリティーに対する認識が少しずつ拡大しているということを示すような、中小企業向けのセキュリティー支援政策の利用も進んでいると認識しています。
例えば、セキュリティー対策に自分が取り組んでいるということを宣言するセキュリティーアクション、こちらにつきましては、二〇二一年度末時点から先月時点で、それまでの間に約二十一万件宣言数が増えています。また、サイバーセキュリティお助け隊の利用につきましても、二〇二一年度末時点では利用実績は数百件であったものが、昨年九月末時点では約七千件にも上っています。
今後、更にサイバーセキュリティー対策を定着させていくためには、まだその必要性を感じていない中小企業、リソースに限りのある中小企業への細やかな対応が不可欠であると認識しています。
このため、経済産業省といたしましては、産業界や関係省庁、支援機関とも連携しながら、中小企業に必要な対策を安価かつワンパッケージにまとめたサイバーセキュリティお助け隊サービスの周知のために、リーフレット作成や政府広報の実施、サプライチェーン・サイバーセキュリティ・コンソーシアムなどを通じた中小企業団体等への強化……(上村委員「済みません、手短にお願いします」と呼ぶ)はい。あと、中小企業とセキュリティー専門家のマッチングなどに取り組んで、今後もこうした取組をしっかり進めてまいりたいというふうに考えています。
○上村委員 原因に関してもお答えいただいたので、改めて確認いたしますけれども、そういうふうなサイバーセキュリティー対策を中小企業あるいは中小組織が行っていない理由は、その調査によりますと、必要性を感じていない、四四・三%、費用対効果が見えない、コストがかかり過ぎる。必要性を感じていないというのは、別に小学生のアンケートではないので、企業家が必要性を感じていないということは、二番目と三番目、つまり、費用対効果が感じられない、あるいはコストがかかり過ぎということがあると思います。
今、サイバーセキュリティお助け隊サービスの話もありましたし、実はITの導入補助金もあるんですけれども、例えばどういうふうなことをやっているかというと、ITの導入補助金というのは五万円から百五十万円です。一人の人間のパソコンにセキュリティーソフトを入れるのであれば五万円で足りるかもしれませんが、一つの組織、一つの企業にセキュリティー対策をやろうと思えば、百五十万円では足りません。物すごいお金が必要なわけです。しかも、それに対して政府の補助率というのは二分の一から三分の一であって、自分たちで賄えということを推奨しているということがあります。それから、これに関して、提出する書類が非常に多いということと、実績の報告書と効果の報告書を提出しないとこれが受けられないという、手続が非常に煩雑ではないかなということを危惧しています。
先ほど、効果は上がっているんだというふうにおっしゃっていましたけれども、サイバーセキュリティお助け隊ができたのが二〇二一年、それから三年後のこの時点でこの数字しかないということの深刻さはとても大変なものではないかなというふうに思います。
もう一件、実はこの補助金に関しては、中小企業というカテゴリーの中に、病院や医療機関、それから学校法人なども対象とされています。私があの質問の中で出した岡山とか大阪の病院の場合は、これは常勤の職員が三百人以下の基準に対してこうしたサイバーセキュリティーの支援制度を適用するということが書かれているわけですけれども、岡山も大阪の病院も三百人を超える常勤職員を持っています。つまり、この制度では適用されないということです。
この辺に関して、厚生労働省の政府委員の方、いかがでしょうか。
○森政府参考人 医療機関のサイバーセキュリティー対策についてでございます。
先ほど委員からも御指摘がありましたように、近年、病院がサイバー攻撃を受けるという事例が幾つか発生しておりまして、私どももセキュリティーの強化を図っていくことが非常に重要だというふうに考えているところでございます。
厚労省におきましては、法令において医療機関の管理者に対してサイバーセキュリティー確保の措置をまずは義務づけた上で、ガイドラインを策定し、研修の実施やバックアップの確保など、医療機関が具体的に取るべき措置というのを現在定めているところでございます。
あわせまして、こうした措置を行っている医療機関の財政上の支援ができるように対応を行っておりまして、具体的には、中規模以上の病院も含めまして、医療機関に専門家を派遣し、外部ネットワークとの接続の安全性の検証、検査、オフラインバックアップ体制の整備支援、インシデント発生時の初動対応の支援などを行っているところでございます。
さらに、今年度の診療報酬改定におきまして、複数の方式で医療情報システムのバックアップを取っている場合、それから非常時におけるBCPの策定を行っている医療機関について、新たな加算措置を講じたところでございます。
○上村委員 ありがとうございました。
最後になるんですけれども、平大臣にお尋ねしたいと思いますが、このやり取りをお聞きになったように、中小規模の情報セキュリティー対策は、石破総理は自信を持って、このシステムが動いているんだというふうなことをおっしゃられたんですけれども、どう考えても後手後手で不十分であることは明らかだと思います。
ある意味では、積極的な財政支援をもっと組み込まない限り、このセキュリティー対策が底抜けになってしまう状態にあるということが言えますし、手続の簡素化の部分の改善、あるいは、医療機関というのは、今、御存じのように、様々な医療機関が本当に赤字状態で、なかなかこういうものを組み込む余裕がないという状況の中で、私が先ほど言いましたように、規模の問題をどう考えていくのか。これは病院だけではありません。中小という組織の中にはいろいろな状況にある組織があるので、そうしたものをもっと細かくチェックし、こうした制度を再検討すべきではないか。
中小企業・組織も、サプライチェーンを通じて基幹インフラ事業者に実はつながっているわけです。つまり、ここで問題にしている、何というんでしょうね、空中戦での能動的サイバー防御の地面の部分にはこういう人たちがたくさんいるということを前提にして、政府の政策を抜本的にある意味では考え直していくべきだというふうに思っているんですけれども、平大臣のお考えをお願いいたします。
○平国務大臣 私も三十年前から中小企業の経営をしておりましたし、またサプライチェーンにつながっていたので、サイバーセキュリティーに取り組まないとサプライチェーンから排除されてしまうというような状況の中で、中小企業ではありましたけれども、サイバーセキュリティーに取り組んだ経験があります。
そういった中で、先ほど御指摘いただいたお助け隊の政策は本当にいい政策だと思います。ただ、まだ広告不足というか、一般の方には広がっていない。私も、商工会議所とか商工会に行って、お助け隊、知っていますかと言うと、ほとんどの方が知らないというのが今現状だと思いますので、こういったものはしっかり使っていただきたいというふうに思っています。
さらに、病院については、いわゆるランサムウェア攻撃をされて病院の機能が停止をしたという事例がありました。ただ、病院の規模とあと数というものが非常に様々、レイヤー構造によって様々あるものですから、これに対しては、今回の法律においてどの部分を重要インフラとして捉えて守っていくのかというところを今、議論を加速をしているところであります。
その上で、中小企業若しくは病院については、中小企業庁、厚労省がまずはしっかりと政策をつくっていただくことが必要だと思いますが、今回の法律案においては、サイバーセキュリティ基本法を改正して、全ての大臣をサイバーセキュリティ戦略本部の本部員として、いわゆる関係省庁の連携は強化をし、さらに、いわゆる重要インフラを所管する各省庁がベースラインとして統一的に実施をすべき施策の基準といったものを定め、サイバーセキュリティーの確保を図ることとしております。
いずれにしても、サイバーセキュリティー、今後ますます深刻化をしていく、また、防御に対してはいろいろな政策を打っていかなければいけないというふうに思っておりますので、各省庁、よく連携をして取り組んでまいりたいと思っております。
○上村委員 大臣の御認識を、各省庁が連携して、確実な、ある意味での制度設計のやり直しを含めて御検討いただきたいと思います。
先ほど七千件というお話があったんですけれども、中小企業あるいは中小組織が何百万あるのかというのは、皆さん、ちょっと考えれば、七千件というのは実は大した数字ではないということがあります。この深刻な状況を、ベースにあるということを踏まえてこうした法案の議論をやっていただきたいと思い、私の質問をこれで終わりたいと思います。
どうもありがとうございました。
―――――――――――――
○大岡委員長 この際、参考人出頭要求に関する件についてお諮りいたします。
両案審査のため、来る二十八日金曜日午前九時、参考人の出席を求め、意見を聴取することとし、その人選等につきましては、委員長に御一任願いたいと存じますが、御異議ありませんか。
〔「異議なし」と呼ぶ者あり〕
○大岡委員長 御異議なしと認めます。よって、そのように決しました。
次回は、来る二十六日水曜日委員会を開会することとし、本日は、これにて散会いたします。
午前十一時四十九分散会