第8号 令和7年3月26日(水曜日)
令和七年三月二十六日(水曜日)午前九時開議
出席委員
委員長 大岡 敏孝君
理事 黄川田仁志君 理事 國場幸之助君
理事 西銘恒三郎君 理事 今井 雅人君
理事 本庄 知史君 理事 山岸 一生君
理事 市村浩一郎君 理事 田中 健君
石原 宏高君 井野 俊郎君
江渡 聡徳君 尾崎 正直君
岸 信千世君 栗原 渉君
田中 良生君 西野 太亮君
平井 卓也君 平沼正二郎君
宮下 一郎君 山際大志郎君
山口 壯君 山本 大地君
市來 伴子君 梅谷 守君
おおたけりえ君 下野 幸助君
橋本 慧悟君 藤岡たかお君
馬淵 澄夫君 水沼 秀幸君
山 登志浩君 伊東 信久君
三木 圭恵君 石井 智恵君
菊池大二郎君 河西 宏一君
山崎 正恭君 上村 英明君
塩川 鉄也君 緒方林太郎君
…………………………………
国務大臣
(サイバー安全保障担当) 平 将明君
法務副大臣 高村 正大君
防衛副大臣 本田 太郎君
内閣府大臣政務官 西野 太亮君
内閣府大臣政務官 岸 信千世君
総務大臣政務官 川崎ひでと君
外務大臣政務官 松本 尚君
政府参考人
(内閣官房内閣参事官) 片桐 義博君
政府参考人
(内閣官房内閣審議官) 小柳 誠二君
政府参考人
(内閣官房内閣審議官) 飯島 秀俊君
政府参考人
(内閣官房内閣審議官) 門松 貴君
政府参考人
(内閣官房内閣審議官) 中溝 和孝君
政府参考人
(内閣府大臣官房審議官) 佐々木啓介君
政府参考人
(警察庁警備局長) 筒井 洋樹君
政府参考人
(警察庁サイバー警察局長) 逢阪 貴士君
政府参考人
(総務省国際戦略局次長) 野村 栄悟君
政府参考人
(総務省総合通信基盤局電気通信事業部長) 大村 真一君
政府参考人
(法務省大臣官房審議官) 吉田 雅之君
政府参考人
(外務省大臣官房審議官) 大河内昭博君
政府参考人
(外務省大臣官房審議官) 濱本 幸也君
政府参考人
(外務省大臣官房サイバーセキュリティ・情報化参事官) 斉田 幸雄君
政府参考人
(防衛省大臣官房サイバーセキュリティ・情報化審議官) 家護谷昌徳君
内閣委員会専門員 田中 仁君
―――――――――――――
委員の異動
三月二十六日
辞任 補欠選任
山際大志郎君 山本 大地君
同日
辞任 補欠選任
山本 大地君 山際大志郎君
―――――――――――――
本日の会議に付した案件
政府参考人出頭要求に関する件
重要電子計算機に対する不正な行為による被害の防止に関する法律案(内閣提出第四号)
重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案(内閣提出第五号)
――――◇―――――
○大岡委員長 これより会議を開きます。
内閣提出、重要電子計算機に対する不正な行為による被害の防止に関する法律案及び重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案の両案を一括して議題といたします。
この際、お諮りいたします。
両案審査のため、本日、政府参考人として、お手元に配付いたしておりますとおり、内閣官房内閣参事官片桐義博君外十四名の出席を求め、説明を聴取いたしたいと存じますが、御異議ありませんか。
〔「異議なし」と呼ぶ者あり〕
○大岡委員長 御異議なしと認めます。よって、そのように決しました。
―――――――――――――
○大岡委員長 質疑の申出がありますので、順次これを許します。山登志浩君。
○山委員 おはようございます。立憲民主党、山登志浩でございます。
およそ三十分間時間をいただきましたので、よろしくお願いいたします。
早速質問させていただきます。
今回は、サイバー空間と憲法の関係に絞ってお聞きをいたします。
新法案は、通信情報の利用について定めております。通信情報の利用については、憲法第二十一条の通信の秘密との関係性において慎重な対応が求められます。そこで、この新法案と憲法第二十一条、通信の秘密との関係について幾つか確認をいたします。
二十一条第二項、「通信の秘密は、これを侵してはならない。」と規定をされております。これはもう皆さん御存じのことでありますが、関係法令として、電気通信事業法第四条第一項は、「電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。」と規定しています。通信傍受法第一条においても、「電気通信の傍受を行う強制の処分に関し、通信の秘密を不当に侵害することなく」と規定しています。サイバーセキュリティ基本法第三条第六項では、「サイバーセキュリティに関する施策の推進に当たっては、国民の権利を不当に侵害しないように留意しなければならない。」と明記をされております。
今申し上げたように、憲法や関係の法律では通信の秘密を侵さない旨の規定が明文化されていますし、サイバーセキュリティ基本法では国民の権利を不当に侵さない旨の規定がございます。しかしながら、今回の新法案にはそれが明記されておりませんが、なぜでしょうか。理由を端的にお答えください。
○平国務大臣 本法案には類似の記載がないから条文上明記をすべきではないかというお尋ねというふうに理解をしております。
憲法第二十一条に規定する通信の秘密については、憲法上規定されている権利であることから、条文上明記せずとも、当然のこととして、本法律案により通信の秘密が不当に侵害されることを許容されるものではありません。
この点、本法律案においては、通信の秘密との関係に十分配慮して、同意によらずに通信情報を利用する場合であっても、国家及び国民の安全の確保などの観点から重要な電子計算機について、それに対して行われる犯罪に当たる不正な行為による被害を防止をするという高い公益性があるものであり、他の方法によっては実態の把握や分析が著しく困難である等の要件を満たす場合に限り行うものであり、また、何人にも閲覧などの知得をされない自動的な方法によって、不正な行為に関係があると認めるに足りる機械的情報のみが選別をされ分析されるものであり、独立機関による継続的な検査によってこれらの条件が遵守されることを確保するなど、様々な措置を講ずることとしています。
本法律案では、これらの措置が一体的に講じられることにより、通信情報の利用の範囲を必要最小限にとどめ、これにより通信の秘密が公共の福祉の観点から必要やむを得ない限度の制約にとどまることを確保をしています。
したがって、通信の秘密を不当に侵害することなくという条文を明記せずとも、本法律案に規定した措置が適正に実施され又は遵守されることでその趣旨は確保されるため、条文上これを明記をする必要がないと考えております。
○山委員 今、大臣、かなり細かい御答弁をいただいているんですけれども、本会議ですとか先日の委員会で同じような趣旨のことを何度か発言をされています。昨日議事録を私は読みました、速記録。
ただ、ほかの法律には書いてあるんですよね。通信傍受法も具体的な手続を定める法律なんですよ。今回のこの新法案も手続を定めるわけで、であればこそ、明記されてもしかるべきじゃないですか。いかがですか。
○平国務大臣 これは考え方の違いだと思いますが、通信傍受は、通信の、まさにコミュニケーションの本質に関わるところを令状を取って取りに来るわけであります。
今回は、いわゆる国家若しくは国民生活若しくは日本の経済をしっかり守るために、基盤インフラの、いわゆる重要な電子計算機を守るために、かなり個別具体的に限定的なことが前提条件として書かれておりますし、当然、憲法の下で、合憲の法律を作っているわけですから、あえて書く必要はないというのが我々の立場でございます。
○山委員 通信傍受法は、暴力団とかいわゆるマフィアだとか、そういう犯罪組織に限っているわけです。他方で、今回の法案は、今大臣おっしゃられたように、国を守るとか国民を守るということで、全国民、全国に波及をする問題でありますので、やはり、だからこそ、通信の秘密ということを明記すべきではないでしょうか。いかがでしょうか。
○平国務大臣 これは法案の体系の、バランスの話だと思います。他の法律が書いてあるのは直罰、直罰則につながるものについて書いてあるということでありまして、全体の法体系から考えて、委員御指摘のことを法文に書き込む必要はないと考えております。
○山委員 逆に、明記したら何か政府として不都合なことはあるんでしょうか。
○小柳政府参考人 お答えを申し上げます。
繰り返しとなってしまいますけれども、本法律案では、通信の秘密との関係に十分配慮をして、先ほど大臣からも答弁申し上げましたように、同意によらずに通信情報を利用する場合でも様々な措置を講じているところ、こうしたことに鑑みれば、そういった規定を明文に規定をするという必要まではないというふうに考えてございます。
○山委員 今申し上げましたように、手続を定めるから別にいいんだという、そこできちっと厳密に手続を踏むからいいんだという趣旨ですけれども、公共の福祉の観点から制限はあるとしても、やはり、何人の通信の秘密を不当に侵害することのない旨、しっかり明記すべきじゃないでしょうか。
明記したら法体系がちょっと崩れてしまうんですか。不都合なことというのはあるんですか。
○平国務大臣 明記する必要がないから明記しない、法律の全体の体系の中で必要がないものをわざわざ書く必要はないと我々は考えております。
○山委員 今一番争点に、論点になっているのが、通信の秘密、プライバシーの問題ですので、やはり、国民の皆さんからの懸念は一番ここにあると思うんですよ。だからこそ、やはり明記すべきじゃないですか。いかがですか。
○平国務大臣 もう国会の答弁でさんざんお答えしているとおりであります。
○山委員 本当に、国民の皆さんが懸念しているのはここなんです。やはり大多数の皆さんが、平穏に生活したい、普通に暮らしていきたいと思っている中で、この通信の秘密が間違っても侵害されてしまうと、国民の皆さんが自由に経済活動も市民生活もできない。だから、ここが一番大切なんです。
それで、関連しますけれども、先ほどの答弁とも関わるんですが、通信の秘密と公共の福祉との関係において、昨年二月五日の衆議院予算委員会の答弁で、内閣法制局の長官は次のように発言されています。
通信の秘密はいわゆる自由権的、自然的権利に属するもので、最大限尊重されなければならない。その上で、通信の秘密について、公共の福祉の観点から必要やむを得ない限度において一定の制約に服す場合がある。
これが政府としての見解、法制局の見解でありますが、公共の福祉を理由に通信の秘密を制約することについて、必要やむを得ない限度、必要最小限という文言を、これも法文上明記すべきではありませんか。
○平国務大臣 通信の秘密について、今回のこの法律について、国民の皆さんがそういう御懸念とか関心があるということはよく承知をしておりますので、数次にわたって答弁で、目的やその要件などをここで丁寧に答弁をさせていただいているところであります。
今お尋ねの件について、通信の秘密については、公共の福祉の観点から必要やむを得ない限度において一定の制約に服すべき場合があるものと承知をしています。
このため、本法律案においては、重要な電子計算機に対して行われる犯罪に当たる不正な行為による被害の防止という公共の福祉に対して、通信情報の利用が必要やむを得ない限度にとどまるよう、様々な措置、具体的な措置を講ずることとしております。
したがって、本法律案に明確かつ具体的に規定しているこれらの措置が適正に実施され又は遵守されることで通信情報の利用が必要やむを得ない限度にとどまることが確保されるため、条文上これを明記する必要はないと考えております。
○山委員 通信の秘密というのは、言うまでもなく、極めて重要な権利です。国民の権利で、侵してはならないわけです、もうこんなことは言うまでもありませんけれども。その手続を、必要やむを得ない限度で定めているからそれでいいという考え方は、私は問題があるのではないかなと。これは厳しく指摘をさせていただきますし、公共の福祉によって通信の秘密が制限をされる、しかし、そこはやはり必要最小限である旨をはっきりしておくべきではないでしょうか。いかがでしょうか。改めて伺います。
○平国務大臣 繰り返しになりますけれども、目的や使える場面とか、また、自動選別とか機械的な情報だとか、あとは独立した委員会など、細かく規定をしておりますので、特段それを明記する必要はないという考え方であります。
○山委員 一言で申し上げますと、憲法というのは、サイバー空間において国家権力を縛るんです。ここは是非認識を共有していただきたいと思いますが、改めていかがですか。
○平国務大臣 当然、共有しています。
○山委員 やはり、国民の皆さんの懸念、関心事が一番ここに集まっていると思いますので、また引き続き審議の中で問題点を我が会派としてただしていきたいと思います。
時間が押していますので、具体的な問題に入ります。
当事者協定に関してお尋ねをいたします。
新法案の当事者協定で取得しようとする通信情報というのは、第十一条の特別社会基盤事業者、第十二条の事業電気通信役務の利用者を通信の当事者とする通信情報であり、それらと通信をする相手方の通信情報も含まれる。インフラ事業者の相手方ということは、一般の国民の皆さん大多数の情報も含まれるということであります。
先日の藤岡委員の御質問とも関連しますが、相手方の一般市民の同意もなく内閣総理大臣に情報提供することは、通信の秘密を害することにはつながらないのでしょうか。
○平国務大臣 前提として、通信の秘密は、当然のことながら守らなければなりません。そういった中でも、高い公益性があって、必要最小限において制約されることもあり得るという前提になります。
そういった中で、まずは、当事者協定に基づいて取得した通信情報については、基幹インフラ事業者などの国家及び国民の安全に影響を及ぼし得る事業者のサイバーセキュリティーを確保すること、我が国の重要な電子計算機に対する一定の重大なサービス攻撃による被害を防止することといった公益性の高い目的のために通信情報を利用することとしております。
一方で、この目的のために当事者協定に基づき通信情報を取得した場合であっても、同意によらず通信情報を取得した場合と同様の取扱いをすることとしており、その利用を必要最小限にとどめています。
具体的には、取得した通信情報については、閲覧その他の人による知得を伴わない自動的な方法によって、不正な行為に関係があると認めるに足りる外内通信に含まれる機械的情報のみを選別をして分析の対象とすることとしています。(山委員「答弁は簡潔にお願いします」と呼ぶ)これは大事なところなので聞いてください。
すなわち、協定当事者の通信の相手方からの通信に関する通信情報を分析する場合としては、その通信情報が重大なサイバー攻撃に関係があると認められるに足りる場合に限定をされています。
さらに、選別後の通信情報については、重大なサイバー攻撃による被害防止目的以外の利用を原則として禁止することや、安全管理措置を講じることを義務づけるなどの厳格な取扱いを規定しています。
また、これらの規定については、独立機関による継続的な検査の対象となり、その適正な遵守を確保することとしています。
こういった、以上のことから、当事者協定により取得した通信情報についても、法律上、公益性の高い目的のために必要最小限の範囲にとどめてこれを利用することが確保されており、協定を締結した通信の相手方との関係でも問題となるものではありません。
○山委員 高い公益性があるとか厳格な手続要件があるというのは、これはもう、今、かなり細かい答弁をいただいているので分かるんですけれども、今の答弁をお聞きしていますと、通信の秘密とか公共の福祉、必要最小限度とか、こういったことを法文上明記を政府がしないのは、利用者たる一般の市民、国民でありますとか株主が訴訟を起こすリスクが生じる、そういったことを懸念されているからですか。
○小柳政府参考人 お答えをいたします。
通信の秘密に関しましては、憲法上規定されている権利であることから、本法律案の条文でこれを明記するか否かにかかわらず、これを適切に保護する必要があるものでございます。このため、本法律案の条文にその文言がないからといって、通信の秘密を不当に侵害しているおそれがある場合の訴訟リスクが回避できるものではないというふうに考えてございます。
○山委員 次に、時間がないので移りますが、機械的情報について、通信の秘密との関係でお伺いいたします。
新法案の第二条第八項で、機械的情報ということで第一号から第三号までございますが、具体的に伺います。
やはり、国民の皆さんの懸念や関心事に関わって、多くの皆さんが使っておられるLINE、これを例として、第一号、第二号、第三号が、どういったものが該当するのでしょうか。
○小柳政府参考人 お答えをいたします。
本法案の第二条第八項でございますが、機械的情報として、IPアドレスやコマンドといった、コミュニケーションの本質的内容に当たらないと考えられる情報の類型を定義してございます。
まず、この第八項の第一号でございますが、機械的情報に含まれるものとして、通信履歴に係る情報を定めてございますけれども、LINEなど利用者間でメッセージをやり取りするサービスで申し上げますと、例えばIDでありますとか、番号でありますとか、それぞれの利用者を識別する情報で通信に用いられたものでございますとか、あるいは通信の日時等が該当する、含まれ得るものでございます。
それから、第八項の第二号でございますが、これは、コンピューターに動作をさせるためのコマンドを機械的情報として定めてございます。メッセージをやり取りするサービスにおきましては、例えば、端末の情報を更新するためのサーバーの情報と同期するためのコマンドといったようなものが含まれてまいります。
それから、第八項の第三号でございますが、これら以外の機械的情報について、刻々と変化するサイバー攻撃に技術的に臨機応変に対応するため、内閣府令で定めることといたしております。メッセージをやり取りするサービスで該当するものとして申し上げますと、通信の詳細な方式によっても異なると考えられまして、一概にはなかなか言えないところもございますが、現時点では、例えば、コンピューターの間で自動で行われる、接続先にデータの送信を求める機械的情報といったものでありますとか、その求めを受け入れた旨を知らせる情報といったものが想定されるものでございます。
○山委員 そうした機械的情報、今の一号から三号、かなり、やはり国民の皆さんの通信の秘密に関わると思うんですが、機械的情報を得ることによって、サイバー攻撃に関してどのようなことが分かるんでしょうか。
○小柳政府参考人 お答えをいたします。
攻撃用のインフラを構成しますボットでありますとかC2サーバーなどの設備は主として国外に所在すると考えられておりまして、これらの設備同士のやり取りでございますけれども、通常、人の手を介さず、機械的、自動的な通信によって行われているものでございます。このため、これらの通信に含まれます機械的情報を分析することで、サイバー攻撃に関する様々な実態を把握することができるというふうに考えてございます。
具体的には、まず、国外の設備から国外の設備に送信される外外通信に含まれる機械的情報を分析することで、例えば国外のC2サーバーやボットなどの攻撃インフラの実態を把握することが想定されます。
加えまして、例えば、外内通信に含まれる機械的情報を分析することで、既に把握した国外の攻撃用インフラから国内への攻撃を捉えることができ、また、内外通信に含まれる機械的情報を分析することで、マルウェア等に感染した国内の設備から国外の設備に対して不正に情報を漏えいするなどの通信がなされていると疑われる場合に、その実態を把握することができると考えてございます。
これらの実態把握及びこれに基づく被害防止につきましては、機械的情報を分析することにより達成されるものと考えてございまして、攻撃用のインフラの実態把握のためには、まずは機械的情報の分析が重要であるというふうに考えてございます。
○山委員 機械的な情報を分析するに当たって、人は全く介さないんですか。完全に自動で対応できるんですか。どこかで人が入るんですか。
○小柳政府参考人 お答えを申し上げます。
機械的情報は、機械的になされておりますので、機械同士で、まさに人の手を介さずにやり取りをされているというものでございます。
○山委員 そうしたら、関連しますけれども、自動的な方法によって分析すべき情報だけ選別していくということは、本当に技術的に可能なんでしょうか。自動選別によって機械的情報のみが抽出をされて、非識別化、暗号化を行うということですけれども、非識別化は、人の目に全く触れることなく、機械的にやってのけることができるんですか。
○小柳政府参考人 お答えをいたします。
まず、自動選別でございますが、これは、通信情報を取得した内閣府におきまして、人による閲覧等の知得を伴わない自動的な方法で、例えば、その送信元あるいは送信先が国外であるかを判定して、対象となる通信データを選別していくということでございます。同じく内閣府におきまして、自動的な方法により、対象としている不正な行為に関係があると認めるに足りる通信データを選別していくというもので、例えば、IPアドレス、コマンド又は接続要求、受諾を示す文字列など、その他関係があるデータ等の探索が容易になる情報を条件として設定して行っていくものでございます。
そうしたことで、自動選別は、人による知得を伴わない自動的な方法で行われるものでありますが、先ほど御指摘のあった非識別化措置については、確認をして、個人情報となり得るものが含まれている場合に行うものでございますので、そちらにつきましては、人による知得を一切伴わないというものではございません。
○山委員 ですから、自動識別するから大丈夫だ、非識別化するから大丈夫だというふうに完全には言い切れないように私は受け取りました。
それで、サイバー攻撃というのは日々進歩していて、イタチごっこという言い方がいいか悪いか分かりませんけれども、今日まで通用した手法が、あした以降駄目になるということも十分考えられます。
それで、新法案では、内内通信は分析の対象外で、集めては駄目ですよ、触っちゃ駄目ですよということになっておりますが、外外通信などだけで、攻撃者が特定できず、原因が分からず、内内通信の取得、分析の必要性があると分かっているとしても、それは絶対にしない、できないという理解でよろしいでしょうか。
○平国務大臣 済みません、冒頭、ちょっと答弁の修正を一つお願いします。
先ほど、サイバー攻撃と言うところをサービス攻撃と言って、言い間違えてしまいましたので、サイバー攻撃に訂正をさせていただきます。
委員の御質問でございますが、本法律案では、サイバー攻撃関連通信の九九・四%は国外からというデータがありますので、サイバー攻撃が国外に所在する攻撃用インフラから行われることが多いと考えることを踏まえ、国外が関係する通信である外外通信、加えて、外内通信、更に必要があれば内外通信の分析も対象とさせていただきます。一方で、国内のみで閉じた通信の分析を行う必要は現時点では必ずしもないと考えられるため、内内通信の分析は対象外としています。
この分析対象の制限については、現時点で必要な措置に対して通信情報の利用を必要最小限の範囲にとどめるために限定しているものであります。このため、将来的に分析対象が不十分となった場合には、その時点で改めて必要な措置及びその措置に対する必要最小限の分析対象を検討することになると考えております。
○山委員 現時点で必要ないから、内内は駄目ですよ、盛り込んでいませんよと。
ただ、今大臣がおっしゃったように、将来もしもということであれば、あらかじめ、賛否はいろいろ、お考えはあるかもしれませんけれども、この法案にそういったことも明記すべきだったんじゃないですか。今、将来そういうことが想定されるというふうにおっしゃったわけですよね。であれば、内内通信のことにも言及しなければいけないんじゃないですか。
○平国務大臣 山委員から、質問の冒頭で、やはり通信の秘密をしっかり守らなければいけないと。そして、そういった中で、今回、必要に迫られて、通信の秘密の制約のところを、必要最小限、目的を限定をして、要件をスペシフィックに規定をしてやっていることであります。
内内通信というのは、基本的には、日本国民、日本国内の通信でありますので、通信の秘密に対する制約という度合い、強度は、やはりかなり強いものになるんだろうというふうに思います。
現時点で、我々は、内内通信の分析は必要ないと思っています。そういう必要があるとなったら検討すると言っているので、現時点で必要あるとは思っていません。
○山委員 現時点でと。将来的にというのは、何十年先のことであれば今は必要ないと思うんですけれども、今申し上げたように、日々、攻撃が巧妙化して、高度化している中で、将来的にという、この期間が一体どれぐらいを想定しているんですか。
○平国務大臣 私はAIの政策とかもやっているので、技術は指数関数的に上がっていきますし、そのやり方もいろいろ進化をしていきます。
この間、DDoS攻撃でJALが止まりましたけれども、DDoS攻撃というのは一昔前の攻撃なんですよね。それがまた形を変えてDDoS攻撃をされたということもありますので、ちょっと予見は不可能だと思います。
一方で、内内通信も将来やるぞなんというような議論、乱暴な議論は現時点では私はできない、うなずいていらっしゃいますけれども、思いますので、是非、立憲さんの中で意見をまとめていただければと思います。
○山委員 もちろん、党内できちっと意思統一をしますし、議論して、今日質問させていただいているわけであります。
それで、最後に申し上げますけれども、やはり、サイバー空間で国民の皆さんの通信の秘密を侵させないということ、そして国民をサイバー攻撃から守ること、この両者をどう両立をさせるかということが大きなテーマであります。
ちょっと別の言い方をすれば、国の安全保障、国民の命を守ること、安全保障と人権保障のてんびんが、サイバー攻撃対策を機に、安全保障の方に大きく傾いていかないのかということを私は懸念をしていますけれども、この点について、最後、大臣に答弁をお願いしたいと思います。
○平国務大臣 委員が御指摘のバランスは極めて重要だと思っています。
一方で、国家を背景とした重要インフラに対する攻撃は日々激化をしています。国民の皆さんも、飛行機が飛ばないとか、金融機関のサーバーが動かないとか、暗号資産が五百億取引所から抜かれたとか、そういった危機に直面をしているわけでありますので、我々は、通信の秘密を最大限尊重しながら、必要最小限の範囲で、国や国民生活や日本経済を守るために、こういった法律を是非とも早く成立をさせていただきたいと思っております。
○山委員 最後に改めて申し上げますけれども、憲法は、やはりサイバー空間でも国家権力を縛りますし、国家権力というのは国民に対して非常に抑制的でなければなりません。憲法がなぜ今あるのかということを振り返ると、やはり国家権力で国民が抑圧されたという過去の反省があるからでありまして。
サイバーというと、なかなか目に見えないですし、一般の国民の方がそれに触れるということ、こうした仕事に関わっている方というのはそんなに多くないわけで、そこはやはり分からないから非常に不安ということがありますので、そうした国民の皆さんの不安、懸念、関心事にしっかりと政府も寄り添っていただきたい、そのことを申し上げまして、私の質疑とさせていただきます。
ありがとうございました。
○大岡委員長 次に、三木圭恵君。
○三木委員 日本維新の会の三木圭恵でございます。
内閣委員会で質問をするのは初めてですので、どうぞよろしくお願いいたします。
三年前の国家安全保障戦略に書き記された能動的サイバー防御がやっと法案として提案されたということで、安全保障の中でもサイバー空間の戦いは日ごとに厳しさを増しており、また、認知戦などとも相まって、情報をいかに守り、正しく伝えるか、また、重要インフラをサイバー攻撃からいかに未然に防ぐかが国家の存亡に関わってくる事態となっていると思います。切実な状況が世界では繰り広げられているような中、日本もやっと本格的な能動的サイバー防御に取り組むということで、まず第一歩を踏み出したということは、もっと早く取り組んでほしかったことではございますけれども、我が党としても重く受け止めて、真摯に議論をしていきたいと思いますので、どうぞよろしくお願いを申し上げます。
まず一点目、お伺いしたいのは、重要電子計算機についてお伺いをいたします。
「サイバーセキュリティが害された場合に国家及び国民の安全を害し、又は国民生活若しくは経済活動に多大な影響を及ぼすおそれのある国等の重要な電子計算機のサイバーセキュリティを確保する重要性が増大している」とありますけれども、この重要電子計算機とは具体的にどのようなものを指すのか、定義とその範囲を教えてください。
○門松政府参考人 お答えいたします。
サイバー対処能力強化法案におきましては、重要電子計算機の定義と範囲なんですけれども、第一に、国の行政機関などが使用する電子計算機、このうち、そのサイバーセキュリティーが害された場合において、その機関などにおける重要情報の管理又は重要な情報システムの運用に関する事務の実施に重大な支障が生じるおそれがあるもの、第二に、特定社会基盤事業者が使用する電子計算機のうち、そのサイバーセキュリティーが害された場合において、特定重要設備の機能が停止する若しくは低下するおそれがあるもの、第三に、重要情報を保有する事業者が使用する電子計算機のうち、そのサイバーセキュリティーが害された場合において、当該事業者における重要情報の管理に関する事務の実施に重大な支障が生じるおそれがあるもの、こういったものを重要電子計算機として定義をしているということでございます。
それぞれの具体的な範囲でございますが、今後、政令で規定していくことになりますが、業界ごとのシステム特性、これは大きく異なります。そういったことを考慮しながら、事業者や専門家の御意見を聞きながら丁寧に検討を進めてまいりたいというふうに考えております。
○三木委員 ちょっと言葉が難しかったかなと思うんですけれども、要するに、その重要なプログラムにアクセスする汎用パソコンなども含まれるというふうに考えてよろしいんでしょうか。
○門松政府参考人 お答えいたします。
今後、業界ごとに異なる中での検討ではございますが、汎用で一般に使われているものまでここに含まなくても対応できる可能性もありますので、そこをしっかり検討してまいりたいと思います。
○三木委員 法案が可決されて、その後政令で定めていくということなんですけれども、余りにも、汎用パソコンを、もしも義務化して、届出が義務化するということになると、非常に煩雑な手続に、事務負担が増えるというふうに思いますが、そういったところもやはり考慮をして、民間事業者も含めて特別社会基盤事業者にもそういったところも配慮をしながら進めていくということでよろしいんですか。
○門松政府参考人 お答えいたします。
先生御指摘のとおりでございまして、事業者の皆様とよくコミュニケーションを取りながら、しっかり、過度な負担にならないように対応してまいりたいと思います。
○三木委員 それでは、具体的にお伺いしたいんですけれども、届出をする電子計算機の中にはプログラムも含まれるということをお伺いをしております。現在までに、電子計算機の脆弱性によってサイバー攻撃されたという例を示していただけますか。何件あって、どのような攻撃であったのか。
○平国務大臣 お答え申し上げます。
電子計算機や電子計算機に組み込まれるプログラムの脆弱性に関する情報を適切に管理し必要な情報の提供等を行うことが、サイバー攻撃に対する防御能力を向上させるために不可欠と認識をしております。
御指摘の電子計算機の脆弱性をついたサイバー攻撃については、政府としては網羅的に把握をしているわけではありませんが、二〇二四年に脆弱性として公表された件数は約四万件であります。このうち、サイバー攻撃に用いられたものとして米国政府が公表しているものは百八十六件存在いたします。
サイバー対処能力強化法においては、基幹インフラ事業者に対しサイバーセキュリティーインシデントが発生した場合の報告を義務づけており、例えば脆弱性の悪用が疑われるインシデントが発生した場合に、その攻撃手法等の技術的な情報など、政府による対処や分析に必要な情報の報告を想定をしています。
また、同法においては、これらの報告等に係る情報について整理、分析した結果や脆弱性への対応方法について、必要に応じ、公表その他の適切な方法により周知することとしており、政府としては、こうした取組を通じてサイバーセキュリティー強化に努めてまいります。
○三木委員 今までの日本の中では、犯罪が、攻撃が顕著化して、表に現れて初めてそういったことに対処できるというふうになってきたと思いますが、今後、この法案が成立すれば、それを未然に防いでいくということになると思いますので、そういった重要電子計算機について、やはりきっちりと守っていっていただきたいなというふうに思っております。
次の質問に移らせていただきたいんですけれども、先ほど山委員の方から御質問があった内内の通信についてお伺いをしたいと思います。
私の意見としましては全く、ちょっと反対の方面からの質疑になるんですけれども、内内の通信が除外されている理由について、またちょっと説明をお願いできますでしょうか。
○平国務大臣 先ほどの答弁と重なるかもしれませんが、本法案では、サイバー攻撃関連通信の九九・四%は国外から行われているというデータもあり、サイバー攻撃が国外に所在する攻撃用インフラから行われることが多いと考えられることを踏まえ、国内のみで閉じた通信の分析を行う必要は現時点で必ずしもないと考えられるため、内内通信の分析を対象外としております。
また、仮に国内に閉じた攻撃インフラが存在する場合には、その実態の把握のため、本法律案によって基幹インフラ事業者に義務づけるインシデント報告や新たに設置することとなる情報共有、対策のための協議会を通じた情報を活用できる場合もあると考えております。
加えて、国内にボット等の攻撃用の設備があることが判明した場合でも、改正後の警職法、警察官職務執行法に規定する要件を満たすときにはアクセス・無害化措置を行うこともあります。
内内通信は分析には使いませんが、外外とか外内とか内外の分析の結果、ここにあるとか、あとは事業者からの報告とかインシデント報告とか、そういったものを通じて特定されれば、国内の通信事業者を通じて、ここの、例えばこの機器が乗っ取られていますよとか、そういうことを通信事業者と共有をして、通信事業者の方から連絡をしていただいたりと、対応する手段はあります。
○三木委員 対応する手段はあるということなんですけれども、積極的に情報を取って、それを分析するということではないという答弁だったと思うんですね。
この法案が成立した後に、海外のテロリストであるとか国家が日本の政府に対して情報窃取をしようであるとか、本格的に有事の際に何かをしかけてこようと思ったときに、この内内通信というのが除外されている、能動的サイバーセキュリティーの中から除外されているということが分かる状態になるわけですよね、海外の人から。じゃ、この〇・六%というところに国家の危機が含まれていないのかというと、私はそうではないと思うんですけれども。
本格的に日本を戦争でやり込めようというような勢力が国内に潜んで、国内でそういうテロ活動などをした場合に、内内の通信を積極的に情報を摂取していなければ、これは分からないんじゃないかと思うんですが、いかがでしょうか。
○平国務大臣 ようやくこういう法律が出てきたか、もっと早く出せという御指摘もありましたが、私、主体的に取り組んできたので、本当に難しい法律なんですよ、憲法との整合性を踏まえて。そういった意味では、今までできなかったこと、通信情報の利用、分析や、サーバーを特定すればアクセス・無害化ができるというところまで持ってきたところであります。
内内通信に関しては、是非これは各党で意見をまとめていただいて、これからの議論だと思いますが、やはり憲法の通信の秘密というものはしっかり守られる必要があるというふうに思っていますので、そことの整合ですね。今回は、いろいろな目的を明確化して、規定を明確化して、いわゆる公共の福祉と通信の秘密をバランスは取れたと私は自信を持ってこの法案に関しては言えますが、そこも含めて、内内やれだけじゃなくて、どうしたら憲法と整合性が取れるか、こうやったら整合性が取れるんだという、解像度の高い是非政策を各党で議論をしていただければ助かります。
○三木委員 何というんですかね、援護射撃をしろとおっしゃっているのかどうなのかというのが、ちょっと私も分からないところですけれども。
私は、やはり内内の通信というのは、通信の秘密、憲法第二十一条と公共の福祉の兼ね合いで、海外からの通信の秘密というのはやはりその強度が低いということは先ほどの答弁の中でもお伺いしましたけれども、やはりここは一歩踏み込んで、内内の通信にも、公共の福祉と鑑みて、やはり日本国民の生命そして日本の国家の安全、そういったものが優先される、私はそういうふうにあるべきだというふうに考えておりますので、また我が党の中でもこういった話をきっちりと詰めていきたいと思っております。
昨年度の不正アクセス禁止法により摘発されたのは二百五十九人だったんですね。この不正アクセス禁止法で検挙されたうち、摘発されたうち、十四歳から十九歳が七十二人、そのうち中学生が十七人、高校生は三十九人だったと。
今年二月に、楽天モバイルのシステムに不正アクセスして通信回線を契約したとして、警視庁が不正アクセス禁止法違反などで十四歳から十六歳の男子中高生三人を逮捕した。他人のクレジットカード情報やID情報を海外のインターネットサイトなどで購入、対話型生成人工知能、AIのチャットGPTを悪用して自作したプログラムを作り、楽天モバイルのシステムにログインをして、機械的に回線契約を行っていた。回線は転売し、約七百五十万円相当の暗号資産を得ていたと見られると。これは中学生がやったことです。
これは不正アクセス禁止法で逮捕されたんですけれども、こういった若者が残念ながら日本の中でもやはり存在をしてきているというのが今の日本の現状だと思うんですね。いたずら目的で、遊びと犯罪の境界線が曖昧で、重大な犯罪に手を染めている認識が薄いと。
今の若者がこういった認識が薄い中で、今の若い人たちはやはり機械とかプログラムとかそういったものにたけている子供たちもいますから、重大な犯罪に手を染めているけれどもそういった自覚がないんだよという子供たちも結構いるという中において、やはりこういった、犯罪の温床が内内通信であった可能性というのはないんですか。
○平国務大臣 それは、基本的には不正アクセス禁止法でやっていただく話だというふうに思います。
今回の法律は、例えば国家が背景と思われるハッカー集団が、国民生活を守るため、日本の経済活動を守るために本当に重要な基幹インフラ事業者のいわゆる重要なサーバーを守るための法律でありますので、ちょっとそこは区別して御理解をいただければと思いますが、一方で、今回の法律でも、官民連携の強化として、基幹インフラ事業者によるインシデント報告を義務づけるとともに、情報共有、対策のための協議会を通じた情報把握をするなどしておりますので、官民が連携して、より早期かつ効果的にサイバー攻撃を把握して対応することが可能となります。
だから、そういった人たちが攻撃をしたインシデントを、それが基幹インフラ事業者であったり協議会のメンバーであれば共有されますので、またそれに対する対処も、個別なので対応は毎回変わりますけれども、共有をしてその被害の拡大を防止をすることは可能になるんだろうと思いますし、改正後の警職法の規定する要件を満たす場合には、重大なサイバー攻撃による被害の未然防止、拡大防止のためのアクセス・無害化措置を実施することも可能となります。
政府としては、御指摘の事案についても、これらの取組を通じて対処をしていきます。
○三木委員 不正アクセス禁止法でこれは裁かれることだというのは、もちろんそれは十分分かっております。ただ、可能性として、やはり今後、日本人が日本の国内で自分から自ら進んでということは考えたくはないですけれども、国家の重要インフラにアクセスをしてそういったサイバー攻撃をお金欲しさにやってしまうということは十分考えられると思いますし、また、海外の、言ったら諜報機関なんかにそういった若者が利用されて、日本の国内でいわゆる外国の人にだまされて犯罪に手を染めてしまうという可能性も十分今後考えられると思うんですね。
子供たち、若者たちがそういった犯罪に手を染めた場合に、やはり私は、内内通信も視野に入れて情報摂取をしていかなければ重大なインフラ攻撃などに対応できない事態になってくるんじゃないかなと思うんですけれども、これはいかがでしょうか。
○平国務大臣 加えて言えば、通信傍受法などの司法の手続を経てやっていただくということかなと思います。
内内通信のお話、先ほどから出ておりますが、我々よりもはるかにマッチョな法律を持っているイギリスとか米国とか、あとはヨーロッパの各国も、自国民の通信に対しては極めて抑制的な態度で臨んでおりますので、そういったところも比較をしながら将来的な課題の議論はする必要があると思います。
○三木委員 またこれは今後何回か質疑の場があると思いますので、内内通信に関しては、〇・六%だからいいというわけでは私はないと思いますので、そういったことも含めて政府の方でも検討していただきたいと思います。
次の質問に移らせていただきます。
攻撃の予兆についてお伺いをいたします。
攻撃の予兆について、どのようなものがそれに該当するのかということを御説明ください。
○飯島政府参考人 お答えを申し上げます。
アクセス・無害化措置については、サイバー攻撃により重大な危害が発生するおそれがある場合において、攻撃に使用されるサーバー等に対し、ネットワークを介して危害防止のために必要な措置を取ることを想定しております。
この点、サイバー対処能力強化法案におきましては、先ほどから御説明させていただいているとおり、基幹インフラ事業者に対してインシデント報告等を義務づけておる、こういうことなどによりまして、複数のインフラ事業者の制御システムを標的としたマルウェアの設置など、政府として重大なサイバー攻撃やその予兆の把握が可能となります。
こうした情報に加え、通信情報の利用、情報共有、対策のための協議会を通じて把握した情報、サイバー攻撃に関するオープンソースですね、公刊情報、同盟国、同志国との連携により共有された情報など、様々な情報を踏まえ、改正後の警察官職務執行法に規定する要件を満たすか否かを適切に判断していくということになると考えております。
○三木委員 攻撃の予兆をそうやって察知していくということなんですけれども、攻撃の予兆が一か所ではなく何か所かに発見されたような場合、無害化措置というのはどのような順番で行われるのか、また、その順番はどのような情報を基に誰が決定するのか、教えてください。
○平国務大臣 アクセス・無害化措置に当たっては、まず、サイバー対処能力強化法案に基づき政府に集約される基幹インフラからのインシデント報告や通信情報の利用を通じて得られる情報のほか、防衛省、警察庁等が独自に収集した情報、外国機関から提供される情報なども活用し、総合的に分析を行うことにより重大なサイバー攻撃のおそれを把握していくこととなります。
これについて、攻撃サーバー等へのアクセス・無害化措置を実施する場合には、国家安全保障会議、NSC四大臣会合において速やかに議論し、対処方針等を定めることとしています。その上で、内閣官房に設置をする新組織が、サイバー安全保障担当大臣の指導に基づき、国家安全保障局、NSSと連携して総合調整機能を発揮をし、統一した方針の下で、警察と自衛隊が緊密に連携をして対処することとなります。
サイバー攻撃が高度化、巧妙化する中、委員御指摘のように、攻撃の予兆を複数検知するケースも想定をされます。複数のコンピューターからサイバー攻撃が行われるおそれを確認した場合には、先ほど御説明した政府の統一した方針の下、実施主体たる警察や自衛隊が、警察庁長官及び防衛大臣の指揮と監督により、見込まれる被害の大きさや対処を行う緊急性等を勘案し、どのような優先順位で措置をすべきかを判断し、適切に対処することとなります。
なお、この点、昨年十一月の有識者会議の提言においては、措置を講じる事案の優先順位の考え方については、「国の安全や国民の生命・身体・財産に深く関わる国、重要インフラのほか、事態発生時等に自衛隊や在日米軍の活動が依存するインフラ等に対するサイバー攻撃を重点とすべき」と指摘をされているところであります。
○三木委員 そうやって重要なところから無害化措置をしていくということなんですけれども、攻撃の背景にある国及び組織について、どのような方法で日本は情報を得るんですか。
○飯島政府参考人 お答えを申し上げます。
サイバー攻撃の背景にある国や組織の特定に当たっては、サイバー攻撃に関する情報収集や分析能力を向上させていくことが重要であると認識しております。
この点、今回の法案、累次これまで御説明させていただいています、まさに情報をいろいろなものを集めていくというところでございますが、様々な情報を集約していくというところ、こうした情報や、防衛省、警察等が独自に収集した情報、外国機関から提供される情報などを活用して、その攻撃の組織性、計画性とか、あとは攻撃の手法、さらには、その態様といったものを総合的に分析、判断をしていくということになるというところでございます。
○三木委員 日本は海外に比べて諜報機関が非常に弱い部分がございますので、そういった情報をどうやって集めるのかというのは今後やはりきっちりと考えていっていただきたいと思うんですけれども、警察の公安部外事部門というのは、能動的サイバー防御においてどのような役割を果たしていくのか、教えてください。
○筒井政府参考人 お答えをいたします。
外事警察部門におきましては、我が国の国益が損なわれることのないよう、平素から諸外国の対日有害活動に関する情報の収集や分析に努めているところでございます。能動的サイバー防御に関しましても、こうした立場から、警察におけるアクセス・無害化措置に係る業務を担うサイバー部門に関連する情報を提供するなど、必要な連携を図っていくこととなるものと考えております。
以上です。
○三木委員 ちょっと質問通告の四番を飛ばさせていただいて、五番の方に行かせていただきたいと思うんですけれども、今のこととも関連をしますけれども、自衛隊の出動についてお伺いをしたいと思います。
自衛隊の出動というのは、通信防護措置について、要件一、一定の重要な電子計算機に対するサイバー攻撃であること、二、自衛隊が有する特別の技術等が必要であること、三、国家公安委員会からの要請又はその同意があることのいずれにも該当することになっているというものですけれども、これは要件が三つそろわないと自衛隊が出動できないということで、これはちょっと、私は要件が厳しいんじゃないかなと思っています。この三つのうち最低二つぐらいを満たせば自衛隊が出動できるようにするべきじゃないかなと思っています。
なぜかというと、先ほどの攻撃の予兆についても、警察と自衛隊が緊密に連携するというふうにおっしゃっておりました。このサイバー防御部隊、こういったものは、日本では、自衛隊が、八百九十人だったところが、令和五年に二千二百三十人、令和七年には四千人を目指すというふうになっています。翻って、警察の方のサイバー特別捜査部というのは、令和四年に設立をされて、現在百二十九名なんですね。三百人弱ぐらいまでが関わっているということなんですけれども、量的なものに対応していくには、警察の力だけではちょっと、やはり警察の方もかわいそうなんじゃないかなというところがございます。
二〇二三年に、日本に対するサイバー攻撃というのは、これは重要インフラとは別かもしれませんけれども、重要インフラも含み、普通のサプライチェーンとかに行われている攻撃も含めて、六千億回というふうに推定をされているんですね。二〇二四年の四月から六月に新たなウイルスが発見されたのは、日本は世界第二位となっています。
米国では六千二百人、中国は三万人、ロシアは千人程度、北朝鮮でも六千八百人、サイバーに対する部隊があるということで、これはやはり自衛隊がもう少し出動しやすくした方がいいんじゃないかというふうに思うんですけれども、大臣の御見解を伺います。
○平国務大臣 質問通告をいただいていませんが、要件はしっかり守っていきたいと思います。
その上で、自衛隊と警察の連携というのは不可欠ですので、それは、有機的な連携を含め、物理的な拠点も含め、日頃から自衛隊と警察が連携する体制を、迅速に対応すべく、そういった体制をしっかりつくっていくべきだろうと思います。
また、サイバー部隊とか、その人員については、ちょっと所管ではありませんが、ただ、私の個人的な、個人的なというか政治家としての問題意識を言わせていただければ、今、国家とのせめぎ合いは、陸海空の前にサイバー空間、さらにはそれを支える宇宙でのインフラ、さらには認知戦などのSNSなど、どうもフィールドが大きく転換をしてきたというふうに認識をしていますので、それに合わせて国家の体制は変えていくべきだろうということを、公務員制度担当大臣としては問題意識を持っております。
○大岡委員長 補足的に。
○家護谷政府参考人 防衛省からもお答えいたします。
確かに防衛省は人数を多く保有しております。他方で、このアクセス・無害化措置は、武力攻撃事態に至らない平素の段階から公共の秩序の維持を目的として行うものでございまして、第一義的には公共の秩序の維持を責務とする警察が実施するものだと考えております。
これを前提とした上で、新設する自衛隊法第八十一条の三の通信防護措置は、国や基幹インフラ等の一定の重要な電子計算機に対して、本邦外にある者による特に高度に組織的かつ計画的なサイバー攻撃が行われ、自衛隊が対処する特別の必要がある場合に、自衛隊に対して、警察と共同して措置を実施するものとして発令されます。
その際には、単に攻撃の量が多いか否か、質が高いか否かということのみで判断するのではなく、自衛隊が対処を行う特別の必要があるのか否か、例えば、対処に当たって自衛隊が有する特別の技術又は情報が必要不可欠である、こういった要件の該当性を、発生した事案に応じて個別具体的に判断することとなります。
この点、サイバー攻撃による重要インフラ等の機能停止等の試みは国家を背景とした形でも平素から行われており、このような攻撃によって、通信防護措置の発令要件の一つである国家及び国民の安全を著しく損なう事態が生じるおそれ、これは平素から生じ得ます。
このため、重要なことは、こうした攻撃が一たび認知されれば、重大な被害が発生する前から自衛隊が対処できるよう内閣総理大臣が通信防護措置をちゅうちょなく発令することであって、このために、政府として必要な情報収集、分析に万全を期してまいりたいと考えております。
○三木委員 通告はしていたんですけれども、答弁者が違ったようで、申し訳ございませんでした。でも、きっちりとお答えいただいて、ありがとうございます。
私自身は、これをやはり考えたときに、自衛隊が有する特別の技術等が必要であることという、この文言にちょっとひっかかったんですね。自衛隊が有する特別の技術等というのは一体何なんだろうということと、やはり、それがないと自衛隊が出動できないということになると、国家の一大事のときに、いざというときに国が守れないんじゃないかなというふうな思いがしておりますので、是非、こういったところもきちっと今後やはり政府の中でも詰めていただきたいなと思っております。
それでは、質疑時間が終了いたしましたので、終わらせていただきます。ありがとうございました。
○大岡委員長 次に、田中健君。
○田中(健)委員 国民民主党の田中健です。
本日は、情報の取得について、官民連携の強化について、通信情報の利用について、また、アクセス・無害化についてお聞きしたいと思います。
まず、情報の取得について行います。
海外からの情報というのは、光信号に変換をされてケーブルを通り日本に届きます。千葉県の房総半島の南端、また三重県の志摩半島は、太平洋を横断する海底ケーブルの陸揚げ局が集中し、米国、アジアを結ぶ国際通信のハブ拠点となっています。
政府は今回、通信情報を収集するために大規模な施設を造ることを検討しておりまして、房総半島ないしは志摩半島が有力候補と言われておりますが、これは事実でしょうか。
○小柳政府参考人 お答えいたします。
国外関係通信の通信情報の取得につきましては、電気通信事業者の設置する電気通信設備であって、国外の設備と接続しているなどの状況があるために国外関係通信を伝送していると認められるものから通信情報を送信していただくことを想定してございます。電気通信事業者には、その措置の実施のための情報の提供、その他の必要な協力を求めることといたしてございます。
したがいまして、国外関係通信の通信情報を取得する方法につきましては、個別の電気通信事業者の状況に応じて詳細を検討する必要がございますため、それと、また、対象となる電気通信事業者の安全を確保する必要もございますため、御質問にお答えすることは差し控えさせていただきたいと存じます。
○田中(健)委員 情報収集をするには大変重要な施設またポイントとなるかと思うんですけれども、これは今、個別である、民間との協力ということで詳細は教えていただけなかったんですが、これは、では、政府の施設になるのか、また、この規模や予算ということも、能動的サイバー防御をするにおいてやはり大切な問題かとは思うんですけれども、これについては御説明いただけるんでしょうか。
○小柳政府参考人 お答えを申し上げます。
民間事業者から通信情報を取得するに際しましては、政府としても必要な設備等が当然必要となってまいりますので、そうした点につきましては、予算措置を講じるなどして、不足が生じないようにきっちりと措置をしてまいりたいというふうに考えてございます。
○田中(健)委員 恐らくこれも、今回多い政省令でこれから決めることになるとは思うんですけれども、是非、しっかりと私たちにも説明をいただいて、その施設の概要や、また、どのようなものになるのかということを説明いただければと思っています。
その中で、仮に陸揚げ局が一斉に攻撃を受けた場合には、通信網は一網打尽となります。大きな被害を受けます。平時の警備は、ケーブルを運用する民間の事業者が中心に担っております。一方、中谷防衛大臣は、一月十七日の記者会見では、海底ケーブルに対する自衛隊の関わりについては、緊急事態などが発生した場合には治安出動や海上警備行動、有事においては防衛出動により、必要な措置を講じると発言がありました。
この海底ケーブル、また陸揚げ施設、そして、今お話がありました情報の取得施設における自衛隊そして警察の役割を伺いたいと思います。
警備は民間に任せているので十分ではないかとも考えていますが、緊急事態においては、大臣からは自衛隊の関わりについての言及がありましたが、平時の体制について伺いたいと思います。
○家護谷政府参考人 防衛省からお答えいたします。
海底ケーブルにつきましては、国民生活や経済活動に欠くことのできない重要なインフラだと考えております。
政府全体としても、通信事業者と連携して様々な施策を実施しているものと承知しておりますが、防衛省の平時の取組といたしましては、周辺海空域の警戒監視として、海上自衛隊の哨戒機によって、我が国周辺海域に航行する船舶等の状況を毎日監視するとともに、必要に応じて護衛艦等を柔軟に運用して、警戒監視、情報収集活動を実施しています。
こうした中で、海底ケーブルに関しましても、平素からの警戒監視活動などで関連情報が得られれば、関係省庁と共有するとともに、事態の推移に応じて、総務省や警察、海上保安庁といった関係機関と連携して必要な措置を講じ、対応に万全を期してまいります。
○筒井政府参考人 平時における海底ケーブルの陸揚げ局に関する警備について御質問があったというふうに理解をしております。
警察におきましては、御指摘の海底ケーブルの陸揚げ局について、施設管理者に対し自主警備に関する助言や指導を行っておりますが、これ以外にも、施設管理者に対しまして、特異事案などを認知した場合には速やかに通報するよう求めるなどいたしました上で、管轄する都道府県警察がその時々の情勢に応じて警戒警備を実施しているところでございます。
今後とも、防衛省を始め関係機関や施設管理者等と緊密に連携をして、これらの施設に対する違法行為の未然防止に努めてまいりたいと考えております。
○田中(健)委員 今回の能動的サイバー防御で情報取得をできるということですけれども、そもそも海底ケーブルや陸揚げ局が損傷を受けたり攻撃を受けてしまったら元も子もありませんので、是非更なる警備の徹底を求めたいと思います。
そして、これは事前に防ぐ取組も欠かせないと思っています。特に、海上での犯罪は証拠が残りにくい。また、意図的だと見られる切断でも、船の運航会社が事故だと言い張れば犯罪の立件は難しいということで、ノルウェーの例やまた中国の例、今様々な例が報道されております。
そもそも、政府による海上における監視体制というのはどのように行われているのか、伺います。
○大村政府参考人 お答え申し上げます。
四方を海洋に囲まれた我が国にとって、海底ケーブルは社会活動、経済活動を維持する上で欠くことのできない重要なインフラであり、その安全の確保は極めて重要と認識しております。
海底ケーブルの監視体制でございますが、まず、通信事業者におきましては、海底ケーブルを通じた通信に障害が発生していないか常時監視が行われているほか、海底ケーブルが切断された場合などには速やかに総務省に報告が行われる体制が取られているものと承知しております。また、政府におきましても、海上保安庁を含む関係省庁により、平素から我が国周辺海域の監視、警戒が実施されているものと承知をしております。
総務省としましては、官民が円滑に連携して海底ケーブルの安全を確保できるよう、引き続き関係省庁と連携してまいります。
○田中(健)委員 これは、事前にやっている中で、海上保安庁やまた海上自衛隊、いろいろ話を聞いたんですけれども、海底ケーブルを保護する所管というのは、今、総務省が答えていただきましたが、総務省が、保護、さらに、管理、所管ということでよろしいでしょうか。
○片桐政府参考人 お答え申し上げます。
海底ケーブルの防護については、一つの省庁で対応するのではなく、関係省庁が連携して必要な取組を実施しているところでございます。
○田中(健)委員 もちろん連携して取り組むのは大切なんですけれども、やはりどこかがしっかり所管して、それを取りまとめていただきたいと思っています。
以前の委員会で、藤岡委員も海保に聞いたときに、海面下は容易ではないということで、パトロールの在り方や管理の在り方が難しいという答弁もいただいておりますので、総務省が一元化して答えてくれるということで今回は聞いておりましたが、それぞれがやっていると。だからいいというわけではなくて、是非しっかりと、総務省であるならば総務省が所管として徹底して取り組んでいただきたいと思います。
さらに、海底ケーブルは攻撃を受けると大変だ、さらに、ケーブルシップと呼ばれる海底ケーブルの修理が可能な船も世界で限られていて、日本もこれを借りているという状況であります。同時に海底ケーブルが攻撃を受けた場合は、修理不可能に陥るという指摘もあります。
日本は、海底ケーブルの生産も、また敷設も民間企業に任せてきました。安全保障環境が悪化する中、周囲を海に囲まれる日本での海底ケーブルの生産、また、これからの整備というのは安全保障上の重要性が高いという中で、総務省ですが、関連企業への支援準備に着手したとも聞いていますが、この内容について伺います。
また、海底にケーブルを敷設する船への投資も支援するということも検討しているということですけれども、この内容についても併せて伺います。
○野村政府参考人 お答え申し上げます。
委員御指摘のとおり、海底ケーブルは、我が国の国際間のデータ流通のほぼ全てを担う基幹インフラとなっております。海底ケーブルは自然災害などによる切断リスクにも直面しておりまして、官民一体となって我が国事業者による生産、敷設、保守能力を維持強化することは、我が国の経済的な自立性を確保する観点から重要でございます。
このため、総務省におきましては、海底ケーブルの生産、敷設、保守能力の充実を含め、どのような支援が必要か検討しているところでございます。
今後も、関係府省と緊密に連携をしながら、海底ケーブルの安全性や強靱性の確保に取り組んでまいりたいと存じます。
○田中(健)委員 重要性の認識は皆さん持っていると思うので、国際通信を担う社会経済活動の基盤でありますから、今回の法案と併せて、しっかりとハード面での整備というのも進めていただきたいと思います。
引き続きまして、官民連携の強化について伺います。
今回の法案では、基幹インフラ事業者は、不正アクセス行為等でサイバーセキュリティーが害された場合には、事業所管大臣又は内閣総理大臣に報告するとありますが、これまでも不正アクセスやサイバー攻撃を受けた場合は、最寄りの都道府県警に相談、通報し、まず都道府県警が捜査をし、その後、捜査内容がサイバー警察局サイバー捜査課に報告という流れがありました。今回の法案成立後は、この流れはどのようになるのか伺いたいと思います。
具体的に、年末、JALへのサイバー攻撃、先ほどの質問でもDoS攻撃と大臣からありましたけれども、この報告の流れと、また、それを受けての対応というのが、法案の前と後ではどう変わるのか、お願いいたします。
○平国務大臣 田中委員にお答え申し上げます。
従来、基幹インフラ事業者がサイバー攻撃を受けた場合には、法令等に基づき、電気事業法などの業法に基づいて、インフラ所管省庁への報告、さらには、都道府県警への相談、通報、さらに、個人情報保護委員会への報告が行われてきたところであり、内閣サイバーセキュリティセンターは、報告を受けたインフラ所管省庁等から情報提供を受けていました。二段階になっていたということですね。
実際に、年末、航空事業者へのサイバー攻撃においても、当該航空事業者がまず国土交通省などに報告を行い、同省から内閣サイバーセキュリティセンターへ報告がありました。加えて、同様の報告が金融機関や通信事業者からもあったところです。
これを受けて、政府としては、報告のあった他業種の同様の攻撃事例を集約、分析をし、重要インフラ事業者に対して特定のIPアドレスからの通信を遮断するなど、DDoS攻撃による被害を抑えるための対策、そして重要なシステムをそのネットワークから分離するなど、DDoS攻撃による被害を抑えるための平時からの対策、さらに、踏み台となってDDoS攻撃に加担することを防ぐ対策などについて注意喚起を行いました。
一方、この法律案が成立をすると、今度は、ウイルスが見つかったが基幹インフラ事業者としての業務には影響が生じていないといった、これまで業法等の基準ではインシデント報告の対象となるか曖昧であった情報を含め、基幹インフラ事業者から直接、内閣総理大臣及び基幹インフラ所管大臣に報告が行われることとなり、内閣総理大臣が迅速かつ業界横断的に情報集約、整理、分析をし、対処していくことが可能になります。
その上で、民間事業者から、複数の窓口に報告するのは負担が大きい、また時間もかかるという声をいただいているところもあり、関係府省庁と協力をして様式の統一や報告窓口の一元化を進めていきます。
○田中(健)委員 今、大臣からあったように、まさに二段階であったのもそうですし、また、幾つかの所管省庁また警察にも報告しなきゃならないということがありましたので、是非、今回これを一本化をするということで、一つ届ければ全てに情報が共有できるという体制をつくるということでありますので、それを民間にも徹底していただきまして、また情報共有というのを徹底していただければと思います。
さらに、その中で、政府への報告義務と併せて、政府からの脅威情報の共有、今回のJALへのサイバー攻撃も共有して、皆さんへの注意喚起をしたということを今お話がありましたけれども、やはりこの官民連携の仕組みが盛り込まれました。
情報共有及び対策に関する協議会が設置をされて、協議会の構成員の中には、必要な情報を求めることを可能とするということは法案に述べられていますが、この間も、一般財団法人の日本サイバー犯罪対策センター、JC3というものや、各業種でつくられるサイバー対策団体のISACなどにおいても、サイバー攻撃等の密な情報の共有が進められて、ホームページを見ましても、こういう案件があるということを今でも一覧で見ることができます。
政府が入手したサイバー攻撃の情報というのは、協議会以外の民間にどのようにして共有されるのかというのが大事かと思いますけれども、これについて伺いたいと思います。
○平国務大臣 まずは、情報共有及び対策に関する協議会については、サイバー攻撃の目的や背景など一定の機微な情報について取り扱うことを想定していることから、適切な情報管理を行うことができる構成員に限ってこうした秘匿性の高い情報を含めた情報提供を行うこととしています。
一方で、社会全体のサイバーセキュリティーを強化するためには、基幹インフラ事業者のサプライチェーンを支える中小企業を含め、必ずしも協議会に所属することが想定されていない事業者に対しても所要の情報を提供することが必要であります。
このため、本法案においては、必要な技術情報を中心に、秘匿性の高い情報を適切に取り除いた上で、公表その他の適切な方法により周知することを制定しており、例えば、今委員御指摘をされましたISAC等を通じた情報提供についても想定されるところであります。
こうした一連の取組を通じ、官民双方の情報共有を促進することで、我が国全体のサイバーセキュリティーを強化をしていきます。
○田中(健)委員 まさにそういったメリットの面も、是非提供してもらいたいと思います。
世界のメール攻撃、二月は、日本は全体の八〇%を占めているという話も聞きました。つまり、AIによって言語の壁がなくなって、そして、どんどんと日本にメール攻撃が来ている。しかし、それは一方で、最新の攻撃が行われているということで、政府がその重要な攻撃を、また機微な情報を集積することによって、それを欲しいという、サイバーディフェンスの業界においては貴重な情報だといった声も聞いています。
ですから、それを更に対策への助言にもつなげられると思いますので、この政府の情報がメリットがあるというか、サイバーディフェンス、国全体の、民間において大変有益であるといった、今回の法整備に関わるビジョンやまたその内容を平大臣が発信を是非してもらいたいと思いますが、いかがでしょうか。
○平国務大臣 通告はありませんけれども、やはり官民連携が極めて重要で、しかも、これはウィン・ウィンの関係にないと、このエコシステムは回らないというふうに思います。
一方で、基幹インフラ事業者のみならず、サプライチェーンに入っている中小企業も含め、これに対する危機感はやはり高まってきているんだろうというふうに思いますので、様々なメニューを通じて支援をしていきたいと思いますし、まさにこの法律が成立した暁には、そういった政府広報も通じて啓蒙活動にも取り組んでいきたいと思っております。
○田中(健)委員 ありがとうございます。
引き続きまして、通信情報の利用について伺います。
二十三条四項には、特定被害防止目的の達成のために必要があると認めるときに、行政機関又は外国の政府若しくは国際機関に対し、この法律の所定の規定により選別後通信情報を提供することができるとされていますが、この外国の政府というのはアメリカを念頭に置いていると考えてよろしいでしょうか。
○平国務大臣 本法案においては、外国政府等に選別後通信情報を提供することができるのは、特定被害防止目的の達成のために必要があり、この法律の規定により内閣総理大臣が選別後通信情報を保護するために講ずることとされる措置に相当する措置を講じているときとしており、これらを踏まえて、提供先も含めてケース・バイ・ケースで判断をしていくことになります。
具体的な提供先については、現時点で決定をしているものではありません。相手国との今後の関係に影響するため差し控えさせていただきますが、強いて言えば、日本と連携してサイバーセキュリティー対策を取り組んでいく先進主要国が候補として想定をされます。
○田中(健)委員 ありがとうございます。
その中で懸念されるのはやはり中国や北朝鮮といった国かと思いますが、中国―台湾間のデータ通信も日本を経由するものがあるということを聞きますけれども、それは確かでしょうか。
○小柳政府参考人 お答えをいたします。
我が国はアジア太平洋地域の海底ケーブルのハブになっておりまして、多くの外国間の通信が我が国を経由しているところでございます。
中国、台湾及び日本が海底ケーブルを通じて接続をされていることは事実でございますけれども、他方、インターネットの性質上、日本を経由する通信の具体的な経路につきましては、一義的に決まるものではないものというふうに承知をしてございます。
○田中(健)委員 一義的には決まらないけれども、つながっているということでありますので、データは通じているとは思うんですけれども、その場合も、例えば台湾―中国間のようなデータも日本としては収集するのか。さらに、その収集したデータは、もちろん私たち国内のものではないですけれども、しかし、多くの攻撃、将来の安全保障を考えれば大切な情報でありますけれども、そのデータを外国の政府と共有をするようなことが今回の法改正ではできるということでよろしいでしょうか。
○平国務大臣 委員御指摘のような通信については、本法案における、国外設備を送信元及び送信先とする電気通信に該当すると認められる電気通信であって、国内設備を用いて媒介されるものであって、いわゆる外外通信と定義をしております。
したがって、本法案の規定に基づき、外外通信であって、他の方法ではその実態の把握が著しく困難であるサイバー攻撃に関係するものが、特定電気通信設備により伝送されていると疑うに足りる状況があるなどの条件を満たす場合には、サイバー通信情報監理委員会の承認を受けて、当該電気通信設備から通信情報が送信されるようにする措置を取ることができるものと考えられます。
また、これにより政府が取得をした通信情報については、自動的な方法により、機械的情報であって不正な行為に関係があると認めるに足りる状況があるもののみが選別され、その選別後の通信情報を外国政府に提供することができるとなっております。
具体的な提供先については、現時点で決定しているものではなく、また、相手国との今後の関係に影響するため差し控えさせていただきますが、例えば、日本と連携してサイバーセキュリティー対策を取り組んでいく先進主要国が候補として想定をされております。
○田中(健)委員 今回、能動的サイバー防御においては、やはり情報というのが大変重要なポイントであり、それをどう分析して、どのように未然に防ぐかということでありますから、あらゆる情報を、今回は、今言いました、通信の本質的な内容には立ち入らず、IPアドレスやコマンドなどの機械的情報の流れということでありますけれども、それを随時チェックして、そして、それを常時モニタリングをして不審な動きを検知するということは大変重要なことかと思いますので、是非これを徹底して行っていただきたいと思っています。
最後、アクセス・無害化について行います。
インターネットバンキングの不正送金被害の拡大を受け、警視庁は、主に日本のネットバンキングを標的としていると見られるボットネットの大規模無力化作戦を実施をしました。ウイルスの感染端末に関する情報を入手し、世界で約八万二千台、国内で四万四千台の端末を特定したと発表しました。
この報道は二〇一五年四月のものでありまして、十年前のものであります。この際の大規模無力化作戦というのは、警察庁においてどのような施策で行われたのか伺います。
○逢阪政府参考人 お答えいたします。
御指摘の事案につきましては、平成二十七年四月、インターネットバンキングに係る不正送金事犯において、ボートラックと呼ばれるマルウェアによる被害が複数発生していたことから、警視庁において、これらマルウェアの通信先であるC2サーバーに割り当てられていた失効済みのドメインを取得することで、マルウェアが感染している端末に関する情報を収集するとともに、感染端末内のマルウェアの無害化を行ったものでございます。
具体的には、警視庁におきまして、マルウェアに感染した端末を解析し、通信先のC2サーバー群を特定するとともに、C2サーバーに割り当てられていたドメインの一つが失効していたことを突き止め、その失効済みのドメインを取得し、警察が管理するサーバーに割り当てることで、マルウェアから警察管理サーバーへの通信状況の観測を可能とし、結果として、国内外約八万二千台の感染端末の情報を収集することに成功したものでございます。
さらに、マルウェアがC2サーバーに指令を取りに行くため定期的に通信を行っていたことを逆手に取り、警察管理サーバーにマルウェアを無害化するデータを置いておくことで、指令を取りに来たマルウェアを無害化したものでございます。
なお、マルウェア自体は感染端末内に残っていることから、警察管理サーバーへの通信状況の観測によって得られた感染端末の情報をプロバイダー事業者等に提供するとともに、プロバイダー事業者等に対して利用者へのマルウェアの削除依頼を通知するよう警察から依頼したところでございます。
○田中(健)委員 このときの報道では、サーバーをテイクダウンしたとか、あるいは制圧したと言われたんですけれども、実際はそうではないということが今分かりました。
そして、今回の法整備が成りますと、更にそのサーバーに直接攻撃をしかけ、無害化できるということでありますので、このときより十年たって更に法整備によって守られるということでありますから、是非、こちら、時間がないのでそこの説明を受けられませんでしたが、進めていただければと思います。
以上です。
○大岡委員長 速記を止めてください。
〔速記中止〕
○大岡委員長 速記を起こしてください。
次に、上村英明君。
○上村委員 れいわ新選組の上村英明です。
本日は、国際法、国際関係から見た能動的サイバー防御という点で質問をしたいと思います。
サイバー攻撃の九九・四%が海外、それから外外通信のチェック、あるいは国境を越えたアクセス・無害化というお話が何回も何回も出てまいりますけれども、その意味では、この法案は、ある意味では国際関係を律した部分が大変強いというふうに思っています。
まず、外務省にお尋ねしたいんですけれども、日本政府は、二〇二一年五月二十八日、国連事務総長の下に設置された、国際安全保障の文脈における情報通信分野の発展に関する専門家グループ、GGEというんですけれども、このGGEで日本政府の基本的な立場を表明されていますが、その概要について簡単に教えていただきたいと思います。
○斉田政府参考人 お答え申し上げます。
委員御指摘の、サイバー行動に適用される国際法に関する日本政府の基本的な立場につきましては、日本政府として、国連憲章を含む既存の国際法がサイバー行動にも適用されるということを再確認した上で、既存の国際法がどのようにサイバー行動に適用されるか、これについて立場を示したものでございます。
日本政府といたしましては、サイバー行動に適用される国際法に関して、多数の国の政府の基本的立場が公表され、国際法がサイバー行動にどのように適用されるかに関する国際的な共通認識が深まることを期待しております。
○上村委員 今御発言ありましたけれども、先ほどの別の委員の御指摘にもありましたように、サイバー空間というのは、憲法に律せられるということと同時に国際法にも適用範囲内であるということが、ある意味で日本政府も含めて確認をされた。
この基本的な立場の中には、国家は、サイバー行動によって他国の主権を侵害しない、あるいは、国家は、サイバー行動によって他国の国内管轄事項に干渉してはならないということも表明されていると思います。
この立場は現在も変化していませんか。外務省、いかがですか。
○斉田政府参考人 お答え申し上げます。
御指摘の文書で示した日本政府の基本的立場につきましては、現在でも変わっておりません。
○上村委員 今確認が取れましたので次に進めたいと思うんですが、国連憲章を始め既存の国際法というものがサイバー行動に適用されることを前提にして、現在、幾つかの文書が国際機関で採択をされています。
多分いろいろなところで聞かれると思うんですけれども、一つは、第六回目のGGEの報告書、これは二〇二一年のものですけれども、及びエストニアのタリンに集まったNATOの専門家による、サイバー行動に適用される国際法に関するタリン・マニュアル二・〇というのがございます。
これは重要な文書だというふうに認識しているんですけれども、政府の評価としてはいかがでしょうか。外務省。
○斉田政府参考人 お答え申し上げます。
二〇二一年に公表されたサイバーセキュリティに関する第六回国連政府専門家会合、GGEの報告書につきましては、サイバー空間における脅威認識、規範、国際法の具体的適用、信頼醸成、能力構築などについて共通認識を示し、国際法のサイバー空間への適用に関する議論の進展を示す重要な文書であると考えております。
また、いわゆるタリン・マニュアル二・〇につきましては、NATOサイバー防衛センターの下で取りまとめられ、サイバー行動に適用される国際法に関する研究の成果として、この研究に参加した欧米や我が国を含む一部のアジア諸国のサイバー安全保障分野及び国際法分野の専門家によって作成され、二〇一七年に公表された文書であると承知しております。この文書は、NATOの公式見解ではありませんけれども、この分野の議論に当たって有益なものであると考えております。
○上村委員 今御発言いただいたんですけれども、国際法の分野というのは、皆さんはやはり条約ができているかどうかみたいなことを判断されるんですけれども、条約にならない、前の文書であっても、有効性が確認された文書として、この二点はとても重要かなというふうに思います。
ちょっと進めますが、GGEの報告書の作成をした国連におけるサイバーセキュリティー課題の所管は、総会の機能委員会の第一委員会というところです。国連総会の下には一から六までの機能委員会があって、第一委員会は軍縮と国際の安全保障の問題を扱います。私はたまたま、第三委員会が人権を扱うので第三委員会はよく関係していたんですけれども、この第一委員会の事務局担当をされているのが、皆さんの中にも御存じの方がいらっしゃると思いますが、日本の出身の中満泉国連事務次長です。中満さんは、核兵器廃絶条約の採択をめぐって大変活躍をされた事務局の方だというふうに私は認識しております。この中満さんを事務局担当として、第一委員会でサイバーセキュリティーの国際法的な側面について議論をされています。
実は、国連は何にセンシティブになっているかというと、サイバー行動が戦争や紛争にならないようにする。そのために最善の注意を払い、その意味で、国際人道法上の攻撃や国際人権法上の侵害に当たらないように、関係する国家がやはりきちんと対応してほしいという方向性を出しているということは極めて重要だと思います。
具体的にはどういうことが書いてあるかというと、これはGGEの第六回の報告書の第七十段落あたりにあるんですけれども、信頼醸成措置とか、国家間の相互信頼関係の構築をするべきであるという指摘がございます。これは、先ほど平大臣が、この法律というのは関係主要国との緊密な国際協力の下に成り立っているというふうなことをおっしゃいましたけれども、この国連の文書が言っているのは何かというと、むしろ敵対的な関係にあるところと、これが最悪の状態にならないように、信頼醸成措置、具体的には、連絡事務所を設けるとか、地域間対話の場を設置する、あるいは、こうした分野の国家戦略をむしろ積極的にこうした国々と共有すべきだというふうなことが書かれています。
こうした点について、政府はどういうふうにお考えでしょうか。最初は外務省がいいのかな。
○斉田政府参考人 お答え申し上げます。
この第六回国連政府専門家会合、GGEの報告書において、信頼醸成措置が透明性や予測可能性を促進することにより紛争リスクの低減に寄与する、そういった旨や、サイバー分野における能力構築が重要であるという旨が記載されております。これにより、信頼醸成措置及び能力構築支援の重要性に関する共通認識が示されたと考えております。こうしたことは非常に重要な成果だというふうに認識しております。
また、サイバー空間の脅威が深刻化し、どの国も一国だけでは自国のサイバーセキュリティー確保が困難となる中で、これまで日本政府として、途上国へのサイバーセキュリティー分野の能力構築支援、これを実施するとともに、国連の場や各国とのサイバー協議を通じて、我が国の政策や見解の積極的な共有、発信、これを進めてまいりました。
今後も、内閣官房新組織を始めとした関係省庁と緊密に連携しまして、信頼醸成措置や能力構築支援に関する国際連携を積極的に推進してまいりたいと考えております。
○上村委員 今の信頼醸成措置や国家間の相互信頼関係の構築という点に関して、本法案はどのような対応を可能にしていると思われますか。平大臣、お願いします。
○平国務大臣 お答え申し上げます。
国際安全保障の文脈における情報通信分野の発展に関する専門家グループ、GGEの報告書で指摘されているとおり、我が国としてもサイバー分野における信頼醸成措置は重要であると考えております。
我が国は、信頼を醸成する観点から、二国間、多国間の協議、対話を通じて、知見の共有や国際連携の強化に取り組んできています。例えば、日ASEANサイバーセキュリティ政策会議においては様々な活動を推進しております。また、我が国のサイバーセキュリティ基本法においては、サイバーセキュリティーに関して、国際的な規範の策定への主体的な参画、国際間における信頼関係の構築及び情報共有の推進等が規定をされています。
今後とも、関係各国との連携を深めるとともに、多国間の議論に積極的に貢献をし、信頼醸成には努めてまいりたいと思っております。
○上村委員 ありがとうございます。
先ほど外務省の方が先の方までお答えいただいたので、ちょっとそこを補足したいんですけれども、GGEの報告書の中での途上国の情報通信能力の構築支援、いわゆるキャパシティービルディングというやつなんですけれども、これについてもこの報告書の中に述べられております。
サイバー攻撃は近隣の地域から行われるとは限らない。例えば、私が日本の機密情報に違法にアクセスしたいと思ったら、自国内のサーバーからではなくて、アフリカとかラテンアメリカのサーバーを使ってアクセスすると思います。そうしたときに、そうした国々がこうした問題についての情報を共有していなかったら、例えば日本のアクセス・無害化が、逆に言えば向こうの国に大変な被害を及ぼしてしまう。その結果が、向こうで病院の機能が止まってしまうとか空港が使えないとかということになると、ある意味では紛争につながるようなことが起こり得るということを前提に、途上国からも、こうした情報通信能力の構築支援をしてほしいということが国連の中では言われています。
そうした意味で、サイバーセキュリティーを積極的に広げるという意味では、こうした国際協力や国連の役割を再評価した上での法案にしていかないと、前回のときは中小企業のところが底抜けになるんじゃないかという話をしましたけれども、この問題でも、先ほどおっしゃったように、ASEANとやっているからいいという話ではなくて、まさにサイバー空間というのはグローバルに展開しているわけなので、その辺についての大臣のお考えをお伺いしたいと思います。
○平国務大臣 委員御指摘の、攻撃をしようとしている国のサーバーから直接攻撃されるよりは、やはり第三国を介して攻撃されるケースが多いんだろうというふうに思います。
一方で、今回の法律がアクセス・無害化するのは、サーバーに侵入して、アクセスできないようにするとかコマンドを変えるとか、そういうことなので、サーバーそのものをぶっ壊すようなことはしませんので、そのことによって病院が止まるとか交通が止まることはないというふうに思います。
その上で、サイバー空間における脅威はもう一国だけでは対応できませんので、自国の体制及び能力を強化するとともに、途上国支援を含め、同志国等と連携して対応していくことが重要であります。
ASEANばかりと言われましたが、ASEANについてはかなり一生懸命やってきましたので、日ASEANサイバーセキュリティ政策会議を開催をし、日ASEANサイバーセキュリティ能力構築センターの設立、運営をいたしましたし、これまでに、ASEAN加盟国の政府職員、重要インフラ事業者等の約二千五百人に演習等の機会を提供してきたところであります。
それ以外の国も、これからまたAIの時代になりますので、また新たな枠組みとか支援の方策は政府としても考えていく必要があると我々は思っております。
○上村委員 これで最後にしたいんですけれども、今回の法案をいろいろ眺めてみると、ファイブアイズといういわゆる軍事同盟的性格を有した覇権主義的な先進主要国に対して、どうも追いつけ追い越せを目指した能動的サイバー防御法案ではないかなということをちょっと疑ってしまうようなところがあります。二〇二四年七月の日米安全保障協議委員会の共同声明がこの動きを歓迎したのもそうした文脈ではないかなというふうに臆測してしまいます。
ともかく、この法案は、現在のグローバル社会の中での公正な発展や平和の確立を求める動きに無関心な法案であってはいけないというふうに思いますので、その辺を強調して、私の質疑を終わりたいと思います。
どうもありがとうございました。
○大岡委員長 次に、塩川鉄也君。
○塩川委員 日本共産党の塩川鉄也です。
法案について質問いたします。
先日の質疑では、政府が必要と判断した通信情報を取得する際は、やり取りの内容も含んだ情報を一旦は全てコピーしてくること、選別された後に残った機械的情報も通信の秘密の対象であることなどを確認してきました。
通信の秘密の侵害は、市民が情報発信自体をちゅうちょすることにつながり、ひいては表現の自由を侵害するものでもあります。
その上で、政府と事業者との協定について引き続きお尋ねします。
自治体を含む基幹インフラ事業者だけでなく、ネット回線を利用していればどんなものでも対象になり得るということでした。ほぼ全ての国民の通信情報が関わってきます。
そこで、お尋ねしますけれども、こういった協定の内容はインフラなどの利用者に対し公開されるんでしょうか。
○小柳政府参考人 お答えをいたします。
本法案におきまして、当事者協定を締結したことについての公表に関する規定は設けてございません。
なお、協定当事者におきまして、利用者に配慮するなどして協定締結に関する情報の公表を希望する場合もあるというふうに考えられますところ、公表を行うかどうかは、協定当事者の御要望も踏まえて個別に判断をしてまいります。
○塩川委員 協定に関する公表規定はないということです。
利用目的の特定と外部提供の制限という個人情報保護の原則からしても、どういう協定を結ぶのか、どういう情報を政府に提供するのか、その通信情報が取得される利用者に対し公表するのが当然だと思いますが、インフラなどの利用者は、自分の情報が政府へと提供されるということを、そもそもどうやって認識することができるんでしょうか。
○小柳政府参考人 お答えをいたします。
政府におきましても、協定を締結した基幹インフラ事業者等におきましても、政府に提供される情報に特定の利用者の情報が含まれるかどうかを把握することは困難と考えられます。
ただし、例えば、事業者が協定を締結した旨を公表することがあれば、利用者は自分の情報が政府に提供される可能性があることは知ることができることとなるものでございます。
○塩川委員 何も、それが義務づけられているわけではないところであります。
大臣にお尋ねしますけれども、このような協定を結ぶかどうかというのは同意を前提ということですが、あくまでも事業者のものであって、利用者の同意というのはないということでよろしいんでしょうか。
○平国務大臣 塩川委員にお答え申し上げます。
協定を締結をする基盤インフラ事業者等において、政府に提供される情報に特定の利用者の情報が含まれるかを把握することは困難であること等から、個々の利用者から提供について同意を得ることは難しいところでございます。
その上で、当事者協定で取得した通信情報については、自動的な方法によって、不正な行為に関係があると認めるに足りる機械的情報のみが選別をされ分析対象となるほか、特定の個人を識別することができることとなるおそれが大きい情報については他の符号に置き換えるなどの非識別化措置を講ずることとし、また、独立機関であるサイバー通信情報監理委員会の検査等の対象ともなるものであり、協定当事者の通信の相手方の権利にも十分配慮をすることとしています。
したがって、こうしたことにも鑑みると、通信の秘密との関係で問題を生じるものではないと考えております。
○塩川委員 通信の当事者の相手方の利用者の個々の同意というのは難しいということですから、利用者の同意はないということです。
基幹インフラ事業者の同意があれば、利用者には同意もなく自らの通信情報を政府に取得されることとなります。今るるそれに対しての御説明がありましたけれども、今日の質疑の中でも目的外利用の禁止の話などもありましたが、ただ、原則禁止するという、原則という言葉がついていたわけですね。そういう点でも、目的外利用の禁止の例外があるということであります。
そこで、二十四条の非識別化はちょっと後に回して、二十三条関係で続けて質問しますけれども、二十三条四項で規定をする選別後通信情報の利用、提供の例外規定についてお尋ねをいたします。
二十三条の第四項は、「内閣総理大臣は、次に掲げる場合には、選別後通信情報を、特定被害防止目的以外の目的のために自ら利用し、又は提供することができる。」としております。一号では、選別後通信情報を協定当事者の同意を得て自ら利用し又は提供する場合、二号では、関係行政機関や外国政府等への提供を規定しております。一号では、協定当事者の同意を得れば、選別後通信情報を目的外利用できるし、外部提供できるとしているわけです。
お尋ねしますけれども、条文上、目的外利用についての縛りはないと思いますが、協定の相手方の同意があれば、サイバー攻撃の被害防止以外の目的に利用することも排除されていないのではありませんか。
○小柳政府参考人 お答えを申し上げます。
本法律案におきましては、御指摘のとおり、特定被害防止目的以外の目的にも利用することが例外的に認められているわけでございますけれども、まず、特定被害防止目的とは、国外からの重要電子計算機に対するサイバー攻撃等の被害を防止する目的を指すものでございまして、選別後通信情報については、この特定被害防止目的以外の目的での利用を原則として禁止する旨を規定しているところでございます。
その上で、二十三条四項でございますけれども、特定被害防止目的以外の目的のために例外的に利用できる場合について規定してございますけれども、選別後通信情報につきましては、自動選別によって一定のサイバー攻撃に関係があると認めるに足りる機械的情報に限定されたものでありまして、そのため、選別後通信情報の利用は、いずれにせよ、サイバーセキュリティー対策の範囲内に通常限られるというふうに想定されるものということでございます。
○塩川委員 条文上でも特定被害防止目的以外の利用も可能とするという点では、それは可能だということですので、そういう点でいえば、協定当事者の同意があれば、内閣総理大臣が幅広い目的で選別後通信情報を利用できるというのが二十三条四項の一号であります。
そういう点では、想定されることはあるということですけれども、しかし、実際にこのような利用目的についての例外ということは当然行われるわけで、そういう点でも、このような、排除はされていない規定というのが問われてくると思います。
さらに、この二十三条四項一号の規定については、三十一条三項で、選別後通信情報の提供を受けた機関、通信情報保有機関の長にも準用されるということで、そういうことであれば、警察やまた防衛省・自衛隊にも準用されるということでよろしいんでしょうか。
○小柳政府参考人 お答えをいたします。
本法律案第二十三条第四項第一号の規定でありますけれども、警察庁、防衛省・自衛隊等に対しても、これらの機関が本法律案の規定により、例えばアクセス・無害化措置のために通信情報の提供を受けて通信情報保有機関に該当することとなった場合には準用されるというものでございます。
○塩川委員 大臣にお尋ねします。
協定に関する選別後の通信情報の提供を受けた警察や自衛隊が、協定相手の同意があれば、その情報をサイバーセキュリティーとは無関係な自らの業務のために利用することも可能ということになりはしませんか。
○平国務大臣 お答え申し上げます。
本法律案第二十三条第四項第一号の規定により、協定当事者の同意を得た場合には、御指摘のように、その利用目的は必ずしも特定被害防止目的に限られないことになります。
しかしながら、選別後通信情報は、自動的な方法による選別により、一定の重大なサイバー攻撃に関係があると認めるに足りるIPアドレス、コマンドなど機械的情報に限定されたものであり、また非識別化措置も講ずることから、いずれにせよ、サイバーセキュリティーに関係する業務で用いられることが想定されるものです。
したがって、警察や自衛隊においてサイバーセキュリティーと無関係な業務のために利用されることは、協定当事者の同意がある場合を考慮に入れたとしても、通常想定されるものではありません。
○塩川委員 機械的情報であっても通信の秘密の対象となるということもありますし、非識別化といっても再識別化もできるという規定もあるところであります。
そういう点では、選別後通信情報であっても、やはり恣意的な選別が行われる疑いがある、このことは拭えないと思いますし、そもそも通信の秘密に該当する情報であり、メールアドレスや個人の特定や行動を把握し得るものであります。そういう情報について、インフラ事業者だけでも既に広範な国民が利用しているものである。加えて、さらに、家電メーカーなども含むあらゆる民間事業者と協定を結ぶことで収集をし、警察や防衛省・自衛隊が自らの業務のために利用するのではないのか。
例えば、岐阜県大垣市で、脱原発運動や平和運動をしていた市民の個人情報を県警が収集をし電力会社に提供していた事件のように、市民運動を監視する目的で使われる可能性もある、こういったことも排除されないのではないのか。この点も問われると思うんですが、それについてはいかがでしょうか。
○小柳政府参考人 お答えを申し上げます。
本法案におきましては、通信情報を内閣総理大臣が取得したときには、閲覧その他の人による知得を伴わない方法によって、不正な行為に関係があると認めるに足りる機械的情報のみを選別して分析をするということとなってございます。そして、それ以外のものを消去する措置を講じなければならないということが法律で定められてございます。
そのため、選別後通信情報に広く一般のユーザーの個人情報が含まれるといったことは想定されるものではございません。
○塩川委員 不正の目的で個人情報を使っているということが断罪されたのも大垣事件でもありますので、そういった点でも、機械的情報、通信の秘密に関わるような情報とその他の情報も一体にすることによって、警察等の業務に関わるようなものが不当な扱いにされる、また、そういったこともこれまでの事例でもあるという点での懸念、危惧が拭えないということを申し上げておきます。
ちょっと時間があれですが、二十四条の関係で、選別後通信情報は通信の秘密の対象となるということですけれども、国民のプライバシー権との関係でどうかという問題もあります。
お尋ねしますが、選別後通信情報に個人情報が含まれている場合もあるのではないのか。この点、これまでの質疑にあるように、メールアドレスとか、SNSのアカウント、電話番号等も含まれるということでよろしいでしょうか。
○小柳政府参考人 お答えを申し上げます。
委員御指摘のとおり、選別後通信情報が個人情報に該当する可能性はあるものというふうに認識をしてございます。
通信情報に含まれる個人情報につきましては個人情報保護法の規定が適用されることとなりますので、個人情報保護法の規定も遵守し、適正な取扱いを行ってまいります。
その上で、先ほど申し上げたとおりでございますが、自動選別におきましては、閲覧その他の人による知得を伴わない自動的な方法によって、不正な行為に関係があると認めるに足りる機械的情報のみが選別をされて、それ以外のものは消去されるということでございまして、選別後通信情報に広く一般のユーザーの個人情報が含まれるということは想定されないというところでございます。
○塩川委員 最後に大臣にお尋ねしますが、機械的情報が個人情報に該当する場合には個人情報保護法の規定が適用されるということでありました。個人情報保護の原則からすれば、本人の同意を取ることすら行わずに、目的外利用や第三者提供、さらに、海外移転などができるはずがないのではありませんか。
○平国務大臣 選別後通信情報が個人情報である場合には、選別後通信情報を第三者に提供する場合も含め、個人情報保護法の規定を遵守し、適正に取扱いをしてまいります。
○塩川委員 本人同意もなしにそういうことを行うのは個人情報保護法の立場にも背くものだということを申し上げて、質問を終わります。
○大岡委員長 次に、緒方林太郎君。
○緒方委員 二十分、よろしくお願いいたします。
まず、先般、藤岡議員、そして今日も田中議員の方から質問がありました、海底ケーブルの問題について最初に取り上げさせていただきたいと思います。
先ほど田中議員の質問に対しても、海底ケーブルは誰が所管しているんだという話をしたら、相互に協力しながらやっていきますということだったんですが、これは私、法律の問題があると思っています。
海底ケーブルを保護するための法律というのは、まず、一番最初に、海底電信線保護万国連合条約罰則というものがございます。これは一八八四年の条約でありまして、それに基づく罰則というのが、これがまだ現在でも適用されている。古い条約ですので、署名した人を見ていると、ドイツ皇帝とかブラジルの皇帝とかギリシャの皇帝が署名しているような、そういう条約に基づく罰則が今でも適用をされています。
この法律、どうも、よく調べてみると、総務省所管なんですけれども、総務省の所管法令というインターネットの総務省のページを見ると、所管法令に書いてない。つまり、総務省の中でも、これが、うちが見なきゃいけない法律だという認識が極めて弱い法律だということなんですね。
その次に、公海に関するものは、公海に関する条約の実施に伴う海底電線等の損壊行為の処罰に関する法律という法律がございます。これは何と、所管省庁は法務省であります。そして、有線電気通信法といった、これは総務省の所管の法律で、領海内の海底ケーブル、電信線を保護する規定があります。
もう見て分かるとおりなんですが、パッチワークの最たるものなんですね。すごい古い、今から百四十年以上前の条約に基づく罰則、しかも総務省は自分の法律だと思っていない。けれども総務省所管だと。そして、法務省所管の法律があって、そして総務省所管の法律があってと。
このパッチワークを解消して、まさにこのパッチワークがあるから、先ほど田中議員が質問したときに、相互に調整をつけながらやっていくんですというふうになっているのだと思います。海底ケーブルを一元的に保護する法律を整備すべきではないでしょうか。これは誰が答弁者ですかね、総務省ですかね。川崎政務官。
○川崎大臣政務官 緒方委員の御質問にお答えいたします。
国際海底通信ケーブルを損壊等した場合の罰則は、御指摘のとおり、三つの法律で規定されているところであり、日本の領海内での損壊等には有線電気通信法、日本の領海外での日本船による損壊等のうち、日本を含む海底電信線保護万国連合条約締結国にその一端が陸揚げされている海底ケーブルの損壊等には海底電信線保護万国連合条約罰則、それ以外の海底ケーブルの損壊には公海に関する条約の実施に伴う海底電線等の損壊行為の処罰に関する法律が適用されております。委員の御指摘のとおりです。
これらの法律については、法の適用関係は明確であり、また、各法律に規定された罰則の構成要件についても、海底ケーブルの損壊により電気通信を妨害する行為とその未遂についてを規定する点で整合性は取れているというふうに考えます。
以上のように、三つの法律が補完し合って適切に規定されており、現時点でこれらの法の適用について問題は生じていないと承知しておりますが、いずれにせよ、海底ケーブルは我が国の国際通信の九九%を担う重要な社会インフラであり、その保護の在り方については、関係する制度の在り方も含め、関係省庁等と連携しながら必要に応じて検討を行ってまいりたいと考えます。
以上です。
○緒方委員 それはそうなんですよ。適用が、それぞれ補い合いながらやっているということなんですが、所管官庁も違えば、先ほど、万国連合条約罰則については、そもそも総務省はおらが法律だというふうに思っていないわけですよ。ホームページを見ても、所管法令のところに出てこないんですよ。これは私、どこが所管かを調べるだけでも結構時間を費やしたんです。
そして、先ほど言った総務省の罰則と法務省の公海条約に基づく法律、実は罰則の適用の規定にずれがあります。ずれがあります。そういうものを全部合わせてパッチワークになっている上に、いろいろずれがあるから、一個にまとめた方がいいですよね。
今うまくやれていますというのは、別にそれは疑っていないですよ。疑っていないけれども、一つの法律として海底ケーブルを守る法律を作る方が適当ではないですかと。縦割りでしっかりやれていますというのは、答弁にならないんです。いかがですか。
○川崎大臣政務官 お答えいたします。
緒方委員の御指摘、十分理解はできますけれども、現時点においては、これらの三つの法は整合性が取れていると考えておりますので、問題は生じていない、こういうふうに承知をしております。
しかしながら、一方で、これからも我が国の海底ケーブルは国際通信に重要なインフラでございますので、しっかりと連携を図りながら進めてまいりたいと思います。
以上です。
○緒方委員 縦割りでもいいからしっかり整合性が取れていますというのは、それは幾らでも言えるわけであって、そうじゃなくて一元的な法律にしましょうということなので、附帯決議の決議でも何か書いていただければというふうに思います。努力してほしいと政府に思います。
次に、今あった質疑の続きなんですが、公海上での破壊行為に対する管轄権の問題、これを質問させていただきたいと思います。
国連海洋法条約という条約では、基本的に、公海上では旗国主義が原則なので、自国を旗国とする船舶又は自国の管轄に服する者というものに対してだけ日本は取締りができるということになるわけですね。国連海洋法条約第百十三条にそう書いてあります。
そこには何と書いてあるかというと、諸外国はこの規定に従って国内法を整備しろとなっています。国内法を整備しなさいということなんですが、お近くの、例えば韓国、中国、そういった国は、こういった法律を整備していないか、極めて不十分です。極めて不十分です。そうすると何が起きるかというと、公海上に敷設された日本の海底ケーブルを損壊した外国の船籍の乗員を法的に罰することが極めて難しいという状況にあります。
本来、それぞれの旗国や自国の管轄に服する者、日本であれば日本、中国であれば例えば中国の漁船とか、中国の何かいろいろな船ですね、そういうものが仮に日本が敷設した海底ケーブルを害したときに、それを取り締まるのは誰が取り締まるんだというと、中国に一元的にやってもらわなきゃいけない、韓国にやってもらわなきゃいけない。けれども、その法律制度が整備されていないのであれば、誰も罰する人がいないという状況になっています。おかしくないですかね。
これは、私が指定していいんですかね、外務大臣政務官でしょうか、誰が答弁するんでしょうか。この管轄関係、いかがでしょうか。
○松本大臣政務官 緒方委員の質問に答えさせていただきます。
おっしゃるとおり、海底ケーブルの保護は非常に重要で、不可欠なインフラですので、これはしっかりと守っていかなければいけないと思っております。
今お話しのあったとおり、旗国がしっかりと法令を制定するということになっていますけれども、委員御指摘のとおり、国連海洋法条約では、海底ケーブルを損壊した船舶に対する旗国以外の国の対応について明示した規定はないということになっていますから、旗国がしっかりと法律を作っておかないと、我々の国、我々の海底ケーブルが、旗国のことに障害をされても我々は何もできないというような状態になっているわけであります。
同条約には、実は、公海等では平和目的のために利用すること、公海の自由を行使するに当たって、他の国の利益に妥当な考慮を払うことが規定されている。つまり、旗国は、他の国に対して妥当な考慮を払いなさいということを書いてあるんですけれども、こういった規定を踏まえて、海底ケーブルの安全性、強靱性強化に対する議論が今行われているということです。
今議論をやっている真っ最中ですので、旗国以外の国の対応については、こうした点も踏まえて、具体的な事例が起これば、それは現状、個別に対応するということになっているということでございます。
○緒方委員 皆さん、今聞かれて、えっ、そういうことなんだと思われた方は多いと思います。
そして、これをもう少し具体事例に落としていくと、これは政府参考人でも答弁いただきたいと思いますが、例えば、津軽海峡、公海部分がありますね。そして、最近ですけれども、西銘筆頭の御地元であります沖縄の例えば久米島と宮古島の間、海底ケーブル線が整備されました。この部分にも公海部分がある。
じゃ、その公海部分にある海底ケーブルが損壊されることに対して、外国の船舶によってそういう損壊行為が行われるときに、日本って何もできないんですかね。これは政府参考人に答弁を求めたいと思います。
○濱本政府参考人 お答え申し上げます。
今政務官から御答弁差し上げたとおりでございますが、国連海洋法条約には、海底ケーブルを損壊した船舶に対する旗国以外の国について明示した規定はないということでございます。
その上で、旗国以外の国が取り得る措置、これは国連海洋法条約に明示されているものから離れますが、につきましては、専門家間、例えば、委員御案内のとおり、国際法協会、ILAの場であったりとか、あるいは、昨年九月には、国家間において、米主宰ではございますが、海底ケーブルの安全性、強靱性に関する取組を議論しているということでございます。
○緒方委員 外務省同期であります濱本さんから答弁いただきまして、本当にありがとうございました。
ただ、皆さん、本当にこれは考えていただきたいと思うんですよね。公海部分で破壊行為が行われたときに、じゃ、誰が取り締まれるんだと。まさに先ほど言った、久米島と宮古島の間とか、津軽海峡とか。津軽海峡は公海部分がありますので、じゃ、そこで損壊されたときに、日本で何もできませんというようなことが、仮に法制度としてそうなのであれば、それは大問題ですよね。そういうことを是非皆さん方、これをきっかけに考えていただきたいと思います。
さらに、もう一つ。日本と中国との間には日中漁業協定というのがあります。日中漁業協定、日本と中国の間で漁業をどうしますかということなんですが。
これは事実上、日本の排他的経済水域であったとしても、漁業を取り締まったりすることはそれぞれの国がそれぞれでやりましょうということになっていて、日本の排他的経済水域であったとしても中国の船の漁業の実行に対して手を出すことが事実上できない、中間水域というのが設けられていて、暫定措置水域というのがあったりして。そうすると、中国の漁船が、長崎沖ですよね、あの辺りで縦横無尽に、例えば海底の底をがあっといくような漁業をやったりして、そのときに間違えてぶちっと切ってしまったというようなことに対して、今、日中漁業協定の今の状況を考えると、それを取り締まることができない、そういうことなんですね。
そうすると、法制度の整備、先ほど、旗国のみと。本当に旗国のみが法制度を整備することができるのか、旗国が整備しなきゃいけないけれども、そうでない、被害を受ける国が管轄権を持つのかということについては争いがあるような言い方を多分濱本さんはされていたように思うんですけれども、それはともかくとして、こういうことに対して、ここでは漁業をしないようにしましょうよという防護区域をつくる、公海上に防護区域をつくって、ここではやらないようにしましょうよというようなエリアを設けることは、私は有意義だと思うんですね。公海上でそういうことをやっている国もあるそうであります。たしか、オーストラリア、ニュージーランドのケースがあったのではなかったかと記憶をいたしておりますが。
こういった形で、長崎と中国との間のところで漁業をやることについて日本が口出しをできないような国際法の仕組みになっているときに、過失なのか重過失なのか故意なのか分からないけれども、ぶちっと切ってしまうようなことがないように、こういうエリアに防護区域を設けるという考え方について、いかがお考えでしょうか。これは政府参考人で結構であります。
○大河内政府参考人 お答え申し上げます。
ただいま委員から御指摘ございましたとおり、日中漁業協定におきまして、暫定措置水域、ここにおきましては、自国の漁船に対して取締りを行う、相手国漁船に対しては注意喚起を行うことができると、注意喚起にとどまっているところでございます。御指摘の点はもっともかと思ってございます。
その上で、日中漁業協定を前提といたしまして、日中双方の排他的経済水域におきまして、海洋生物資源を保存し、及び利用し、また正常な操業の秩序を維持することを目的としつつ、中国との間でも、この海底ケーブルの問題についても、必要に応じて適切に意思疎通していく、こういうことは非常に重要なことではないかと考えてございます。
今の御指摘の点も踏まえつつ、引き続き、国際的な連携も図りながら、海底ケーブルの安全確保に向けて必要な対策に取り組んでいきたい、このように考えてございます。
○緒方委員 今、多分皆さん、聞かれて、えっ、そういうことなのと思った方は結構多いと思うんですね。防護区域をつくることは決して国際法上も何かおかしなことでも何でもないし、日本と中国を結んでいる海底ケーブルなわけですから、これが切れるということについては中国も問題意識を持つと思うんですね。
今日は、せっかく外務大臣政務官がお越しになっておられますので、こういう協議を中国とすべきだというふうに私は思います。突然の答弁になるかもしれませんけれども、政務官の答弁を求めたいと思います。
○松本大臣政務官 お答えします。突然の答弁なので、なんですけれども。
まず、原則的には、個別の事案になりますので、そういった中国船舶によるといったような個別の事案に対して、仮定ということになりますので、なかなか質問ができないということは御理解をいただきたいと思います。
その上で、日中漁業協定のお話がありましたけれども、これは、海洋生物資源を保存し、利用する、正常な操業の秩序を維持することを目的として作られていますので、現状、海底ケーブルの損壊等々についての想定がされていない協定ですから、これはこれで、委員おっしゃるように、個別の、そういった他国との間の漁業協定に関しては、また別途検討する必要があるというふうなことは御理解いただきたいと思います。
○緒方委員 頑張ってください。
続きまして、少し法案に近いところに行くんですけれども、今回の能動的サイバー防御の法律を見たときに、内内通信、内外通信、外外通信とあるんだけれども、もう一つ、私はすごく気になっているものがあって、それは、極めて秘匿性の高いメールシステム、これにどう対応するかという話でありまして、有名なのはスイスのProtonとドイツのTuta、Tutanotaと昔呼んでいましたが、これは物すごく、エンド・ツー・エンドで非常に暗号化がされています。実は、中国もアメリカも欧州諸国も、これの対応にむちゃくちゃ悩んでいるんです。
スイスのProtonに至っては、山の奥深いところにサーバーを置いてあって、そして、自分たちも、まさに今回の仕組みと少し似ているんですが、何のデータも取りません、そして、どんな通信をしているかも全く自分たちでデータを取りません、秘匿性はむちゃくちゃ高いですというふうにやっているんですね。
今回のサイバーセキュリティーをやっていったいろいろな結果として、最後、私はここに頭をぶつけるんじゃないかと実は思っているんですね。日本からProtonにアクセスをして、日本からなのか外国なのか分からないけれどもアクセスをして、そこでやり取りしている部分については厳重な暗号化がされていて、しかも、どうなっているか分からないと。しかも、このProtonは何と言っているかというと、情報開示は、スイスの裁判所からの命令か、サーバーがあるジュネーブ州の裁判所からの命令がない限りは情報開示しないと言っているんですね。
こういうものに絶対頭をぶつけるんじゃないかと思っていて、諸外国も苦しんでいたんですが、フランスは情報開示請求をして、例えば環境アクティビストが、中で何をやっているかというのは分からないんですけれども、誰がアクセスしてきたかというIPアドレスの開示まではさせたんですね。それで、実際この環境アクティビストの逮捕につなげているというような事例もありますし、スペインのカタロニア独立運動関係者についても同じような事例があったというふうに承知をいたしております。
こういうエンド・ツー・エンドの暗号化をしている仕組みに対して、いずれきっと頭をぶつけるだろうし、そうすると、スイスの裁判所と闘わなきゃいけないわけですよね。今、実際に、最近は、諸外国はそういう請求をして、そしてIPアドレスを出させて、その後何をやっているか全然分からないんですけれども、対応していると。
これは、仕組みの中、サイバーの空間の中の話というよりも、どちらかというと法律上の対応の話ですけれども、そういうのを整備していかなきゃいけないんじゃないかと思いますが、これは平大臣にお伺いしたいと思います。
○平国務大臣 マニアックな質問をいただきまして、ありがとうございます。
法律というか技術的に言うと、というか、今御指摘のところで、例えば欧米諸国が苦労しているのは、犯罪捜査とかテロ対策とか、あと、まさにインテリジェンスの会話の内容を知りたいとか、そういうことだと思うんですね。
今回の法律は、インテリジェンスでもありませんし、まさにコミュニケーションの本質に関わるところは一切取らない、分析しないということですので。暗号がかかっているので、エンド・ツー・エンドで。見れないですよ。見れないですよ、技術的に。見れませんが、この法律の趣旨にのっとってやるとすれば、発信元と着弾先、日時、データ量は分析が可能だろうというふうに思っています。
○緒方委員 終わります。ありがとうございました。
○大岡委員長 次に、馬淵澄夫君。
○馬淵委員 立憲民主党の馬淵でございます。
今日は、質疑をさせていただきますが、まず、この法案の六十一条の国会への報告ということにつきましてお尋ねをしていきたいというふうに思います。
この六十一条でございますが、総理大臣所轄となります第三者委員会、サイバー通信情報監理委員会が、国会に対する報告について、「毎年、内閣総理大臣を経由して国会に対し所掌事務の処理状況を報告するとともに、その概要を公表しなければならない。」と規定しております。ただ、これは余りにも漠然としているんですね。
この所掌事務は、四十八条に規定をされております。それぞれ関係する条文の指定がありますが、大まかに言えば、様々な通信措置や、あるいは期間の延長、また自動選別措置の検査、要求あるいは勧告、アクセス・無害化措置の承認及び承認の求めに対する確認また勧告と、極めて広範に、かつ多岐にわたって規定されています。
しかし、このような所掌事務であるにもかかわらず、これらの所掌事務に対しての報告は、「処理状況」という四文字だけしかないんですね。あとは概要の公表ということで、これは当然、報告の概要ですから、その内側にあるものの公表ということになります。
つまり、本来であれば、国会の監視機能をしっかりと担保するためには、誰が、いつ、何を国会に報告するか、これを明確にしておく必要がある、これが本来の監視機能のための報告だと思うんですが、現状は、先ほど申し上げたように、雑駁な、「所掌事務の処理状況」となっています。
そこで、参考人にお尋ねします。
まず、石破総理が三月十八日の本会議で答弁されたのは、まさにここに書かれたことを砕いて答弁されただけなんですが、申請の承認や承認した件数のほか、勧告についてはその概要等も報告、このように述べておられるわけですね。承認申請、承認件数、これの報告だけということになります。つまり、国会は、内容に関しては一切把握することができず、つまりは措置の適切性、これも検証ができないということになります。
このような答弁の内容ということで確認いたしますが、これでよろしいですか。いかがですか。
○小柳政府参考人 お答えをいたします。
今回のサイバー対処能力強化法案では、サイバー通信情報監理委員会から国会に対する報告規定を設けておりますが、報告の内容といたしましては、現時点では、例えば、同意によらない通信情報の取得や、アクセス・無害化措置に関する承認の申請や承認をした件数のほか、勧告についてはその概要等も報告することを想定してございます。
加えまして、通信情報保有機関における取得通信情報の取扱いの違反の通知、それから通信情報保有機関の職員に対する懲戒処分の要求についても、件数だけではなく、その概要も御報告することを想定してございます。
まずは、これらの件数等の報告を通じ、委員会の事務の処理状況の全容を御報告させていただくものと考えてございますが、国会におきまして必要が生じた場合に、更なる報告のお求めがあったときには、法令にのっとって適切に対応してまいります。
○馬淵委員 石破総理の答弁に加えて足された部分というのが、取得通信情報の取扱いの違反の通知、六十六条、そして、職員に対する懲戒処分の要求、六十七条、この部分も報告するとされています。
しかしながら、今のお話を聞くと、結局件数のみが報告される。その他の通知あるいは懲戒処分の要求、これも、概要を報告するということですが、中身は全く分からないですよね。つまり、措置内容に対する報告というのは一切言及されていないんですよ。これは条文にも記されていません。
確かに、今、御答弁の中では、国会において必要が生じた場合に、更なる報告のお求めがあったときは、法令にのっとって適切に対処、このように言われていますが、法令上全く記されていない。あくまでも運用上、求めがあれば適切に対応するということでしかないんですね。
この具体的内容、本来は、国会が監視機能を果たすためには書き込むべきではないんでしょうか。改めて、参考人、お答えお願いします。
○小柳政府参考人 お答えを申し上げます。
法律の施行の状況や運用の適正性を確認していただく観点から、委員会の所掌事務の処理状況としてどのような内容を報告するか、これにつきましては引き続き検討させていただければというふうに考えております。
○馬淵委員 引き続き検討といっても、この法律ができ上がってしまえば、委員会を立ち上げていくということになって、国会の報告に関して何も法定されない状況になるんですね。
今、参考人は、石破総理の答弁のところをそのまま引かれました。つまり、この報告規定については、現時点では、まさに今ですね、この法案の審議の状況の中で、現時点においては、例えばという例示の中で、件数なんですよ。言っているのは、通信の取得や、アクセス・無害化措置に関する承認の申請や承認した件数なんですね。ほかに、勧告については、先ほども申し上げたように概要ですから、これはその内側の話です。ここも、概要等と述べられています。
つまり、現時点において、例示として、これらなども報告することを想定とされているわけです。つまり、これは何も今は決まっていないんですよね。決まっていない状況で、どう国会の監視機能を強化するんですか。これは、機能を強化して、国会がしっかりとその中身を確認するということが全くできない状況ですよ。
平大臣、このような状況で、等、などでこの法文に対する見解を政府が述べられていますが、これでどのように国会が監視するんでしょうか。平大臣、お答えいただけませんか。
○平国務大臣 今、政府参考人から答えさせていただきましたが、現時点での例示は今申し上げたとおりであります。
その上で、それを申し上げた上で、更に国会において必要が生じた場合は国会法に準じて適切に対応したい、また、こういった委員会の質疑を通じて御説明をしていきたいと思っております。
○馬淵委員 いや、こういった委員会での質疑を通じて説明に、今なっていないじゃないですか。
国会法にのっとってというのは、これは当然ですよ。国政調査権に基づいて要求すれば、それに応えなければならないということですから。これもよく承知しています。しかし、今この法案審議をしている中で、最も重要な国会への報告、六十一条に対して、この審議の中でも何も明らかにされないじゃないですか。
繰り返し申し上げますよ。現時点において、例示の中で、例えばとおっしゃって、そして、などということで、ある意味、これからもまだ内容的には詰める可能性があることを示しておられる。ならば、この委員会で明らかにすべきじゃないですか。
平大臣、これは現時点で想定をしているということだけですから、今、こうした指摘に対して、政府として早急に、どのような形で国会の監視機能が果たされるかということで、まさに国会の、委員会の法案審議の中で我々国会議員に示していくべきじゃないですか。平大臣。
○小柳政府参考人 お答えを申し上げます。
法案の六十一条には、「委員会は、毎年、内閣総理大臣を経由して国会に対し所掌事務の処理状況を報告するとともに、その概要を公表しなければならない。」ということが義務づけられているというふうに承知をしております。
ですので、委員会は、国会に対して所掌事務の処理状況をきちんと報告するということが義務づけられておりまして、何を報告するかという細部についても含めて、最終的には委員会が決定をして、法律に定められた義務をきちんと果たしていくということになるというふうに考えてございます。
現時点で、法律では列記されている形にはなってございませんけれども、いずれにしても、法律上の義務を果たすべく、きちんと処理状況は報告をしていくということになるというふうに考えてございます。
○馬淵委員 この法律にはそこしか書いていないんだということはもう重々承知をしていますよ。
先ほど山議員からの指摘もありました通信傍受法の話についても、平大臣の御答弁がありました。実際には、通信傍受法というのは、確かに、おっしゃるように、コミュニケーションの内容、その内容を確認するということが重要だということで、法律の成り立ちが違うんだということの御説明だったというふうに理解をしていますが、これは、そもそも本質論は、国会の監視機能を高めるということなんですよ。法律の成り立ちとかじゃなくて、そもそもここに重要視されている部分というのは、国会がどのように監視をしていくかということなんです。
これが法律上全く定められないというのは、やはりおかしくないですか。これを明らかにしていく、その段階が、まさにこの委員会であり、この法案の審議なんですよ。
これから先、施行期日というのは、六月、一年六月、二年六月とありますが、その途中段階でなんという話ではなくて、今まさに、このスタート段階で国会の監視機能というのがどのように果たされるかという意味においては、例示列挙も含めて必要なんじゃないですか。
平大臣、平大臣が政治家としてお考えの御見解、お聞かせください。
○平国務大臣 国会の報告のところは、憲法に定められている通信の秘密という重要な権利を一定程度制限をかけるといった重要性の中において、そういった話が重要であろうと。
この法律の作成過程においても、国会の報告というのは当初なかったんですよね、元々の議論の過程の中では。そういう中でも、そういった重要な憲法の議論もありますので、論点もありますので、国会の評価が必要だろうということで、最終的にこの法律に落とし込まれてきたということであります。
一方で、この通信の秘密を一定程度制約する状況とか目的というのは細部にわたって規定をされていますので、そのバランスはしっかり取れているんだろうと思います。
その上で、何回も申し上げておりますけれども、政府の立場としては、今規定している範囲で国会の報告をさせていただきたい、そのように考えております。
○馬淵委員 政府はこれを閣法で出されているわけですから、政府としてはこれで万全だという話なんでしょうけれども、これはやはり、今このような国会で、まさに熟議と公開の国会の中で、我々は修正も含めた様々な議論を行っていかなければならないと思っています。
答えをされる立場での政府の方ということで承知をしておりますが、少なくとも、この第三者委員会の存在と、そして国会への報告というのが、まさに最後のとりでだ、これも有識者の会議でもさんざん指摘をされてきたことです。曽我部先生始め、宍戸先生始め、名立たる先生方が、これこそ最後のとりで、守らなければならないところだと、このように述べられているわけですね。
平大臣、ここはやはり、この議論を深めなければ、この法律というのが、極めて問題ある、画竜点睛を欠くというような法案になってしまうということを私は申し上げているんです。大臣、改めてお答えください。
○平国務大臣 通信の秘密との制約においてサイバー通信情報監理委員会が極めて重要な役割を果たすというのは、まさにおっしゃるとおりであり、また、そういった、いわゆる三条委員会が、国会の報告についての細部については判断をされるというふうに承知をしております。
○馬淵委員 内容を定めないで国会の監視機能なんて、これは果たせないですよ、繰り返し申し上げますけれども。これはどうやってやるんですか。件数だけなんかで、それは、中身を知りようがなかったら、何ら監視なんかできないですよ。
平大臣、これは件数だけだと言っているんですよ。どうやってそれで監視できるんですか。措置の内容の適否についてどう判断できるんですか。
もう一回聞きますよ。大臣、お答えください。
○平国務大臣 先ほど説明させていただきましたが、現時点で、件数というのは、アクセス・無害化措置に関する承認の申請や承認した件数というものでありますが、あとは、同意によらない通信情報の取得の件数であります。
一方で、ちゃんとやっているのかということで、いわゆる三条委員会が検査もしますし、そういった過程の中で、ここはこう直さなきゃ駄目だ、こういう問題があるといった指摘についての、勧告についてもその概要は報告をすることになっています。
また、ルールを守らなかったような状況の中で、職員に対する懲戒処分の要求についても、件数だけでなく、その概要も御報告をすることとなっております。
まず、件数等も含めて、このような報告を通じて、委員会の事務処理状況の全容を御報告をさせていただくものと考えております。その上で、更に必要があれば、国会法にのっとって、更なる報告に対して適切に対応してまいります。
○馬淵委員 何遍聞いても、それで中身が分かるわけないじゃないですか。
検査の概要と、そして勧告ということであります。また懲戒処分の要求ということでありましたが、懲戒を受けるような、これはある意味とんでもないことをやった場合の中身なので、これはもうあってはならないことなわけですよ。そうではなくて、措置そのものが適切かどうかということを国会も監視するということがこの六十一条の本旨なはずなんですよ。
これは繰り返し、本当に申し上げたいんですが、今、あとは国会法の百四条に委ねるではなくて、現時点で想定しているというレベルであるならば、これは踏み込んで、現時点で少なくとも考えられ得る、列挙できる部分というのを、ここで書き込むべきじゃないですか。大臣、いかがですか。
○平国務大臣 先ほど説明申し上げているとおりなので、それでは、限定的に、何を国会に報告するのか、例示をしていただくとお答えができるかと思います。
○馬淵委員 幾つも列挙の方法はあると思います。
先ほど、私は幾つか、件数などでは駄目だと申し上げましたが、例えば、この対処の、いわゆる措置ですね、そのときに特別の必要があったのかも含め。あるいは、今は、例えば自衛隊の通信防護措置などであれば、対処を行う必要があったのか、いわゆる特別の必要があったのかなかったのか。あるいは、通信防護措置の対象となった特定不正行為、また、重要電子計算機そのもの、あるいは、通信防護措置として実施した措置の内容、また、通信防護措置の期間、警察庁との連携、こうしたことが、やはり一つ、例示としては出てくるのではないかと思われます。
今、私は自衛隊の通信防護措置のことを申し上げましたが、これは警察の危害防止措置も同様ですよ。同様に、件数は当然出てくるんでしょうけれども、その措置の対象となった不正の利用の内容、あるいは、危害防止のために講じた措置、またその期間、さらには、承認の事前事後の確認などですね。
私は、通信傍受法の三十六条のような事例というのは申し上げません、それは違うということの答弁もあって、そこは申し上げませんが、少なくとも、この能動的サイバーディフェンスということでやろうとするならば、国会が確認できることというのは、今申し上げたようなことが幾つかあるわけですよ。こういったものに対しては、まさにこの国会審議、法案審議の中で議論をし、閣法はあくまでも政府として出したものですから、しかし、修正ということも当然ながら考えられ得るわけで、今申し上げたような事例で、大臣、いかがですか。踏み込めるところはないですか。
○平国務大臣 まず、国会報告において、通信の秘密がありますので、通信情報を見せろということではないと思います。その上で、今お話あった幾つかの事例がありますが、通信情報の利用やアクセス・無害化措置について委員会の承認を求めた内容そのものを明らかにすることは、攻撃者に利することにならないようにする観点から特に慎重な検討が必要であると我々は考えております。
あと個別なところは政府参考人からお答えさせていただきます。
○馬淵委員 今、攻撃者に対する利敵行為にならないかということでありますが、これはあくまでも行政の話なんですね。
私は、この法案そのものというのは、当然必要性があるというのをよく理解をします。
しかし、それは行政の立場で、行政で行う作用に対してそのようなお考えが起きることは、これも容易に想像はできますが、我々は、国会、立法府としてそれを監視する義務があり、その権限を持たなければならないという思いでこうして国会の審議に立っているわけですね。
ですから、それは全く本質的に逆ですよ。利敵行為になるとか、行政上その方が、止めなければならないんだから必要だ、これはあくまで行政の考えであって、立法府の立場からすれば、まさに国民の権利も含めて守っていくということで立てば、今申し上げたような、先ほど列挙をしてくれということで例示を申し上げましたけれども、このような例示を含めて議論をして、まさにこの法律を、このままではいけないんじゃないかということで、変えていくという議論に深化させなければならない、そう考えるんですよ。平大臣がおっしゃった利敵行為になるというだけで、単に、ああ、もう、じゃ、やめましょうかという話じゃないんじゃないですか。いかがですか。
○平国務大臣 まさに国会の、要はチェック、監視が重要だということは、私も全くそのとおりだと思います。
この法律に対しては、高い公益性があって、国家を背景にしたいわゆるサイバー攻撃から国家若しくは国民の生活、日本の経済を守るために、一定の条件の下で通信の秘密に一定程度制約をかけるという大目的があるわけであります。しかも、いわゆる国家を背景としたサイバー攻撃といったものがますます激化をしてきていく中で、こういった大変難しい法律ではありましたが、今ようやくここまで来て、これからまさに能力をしっかり構築をして、激しいせめぎ合いが起きるわけであります。
そのような中で、細かいアクセス・無害化措置について委員会に承認を求めた内容を明らかにするのは、確かに行政対国会では極めて重要だと私も思います。なので、国会法に応じて、呼んでいただければ、法律の範囲でしっかり対応させていただけると申し上げているわけです。
こういった議論は、外国政府も見ています。ハッカーも見ています。是非、その点にも少し留意をしていただければと思います。
○馬淵委員 政府側は、繰り返し申し上げますけれども、運用を考えればそのような御答弁になるのはよく理解するんですよ。
しかし、先ほど平大臣もおっしゃいましたよね。平大臣も当然、大臣でありながら立法府の一員ですから、国会が関与しなければならないという部分についてはよく理解をされているはずです。
私は先ほど、例示してくれれば、どんなものかということで、例示を幾つかしましたよ。例えば、大臣の方で、中身に関してはということでありますが、じゃ、私が申し上げた中で幾つか、それは可能性があるというのは御答弁いただけますか。
○平国務大臣 先ほど申し上げた観点に加えて、独立した、いわゆるサイバー通信情報監理委員会でその詳細を決めていただくという法のたてつけになっております。
○馬淵委員 答弁がまた下がっているんですよね。私は大臣に、ちゃんと例示を言ってくれというから言いましたよ。その例示を言ったんだから、大臣、それに対して大臣の御見解を述べてくださいよ。サイバー通信情報監理委員会が決めるなんというのは、それは法のたてつけ上そうなっているんですから、何のための国会審議ですか。
大臣がおっしゃったから私は申し上げているんですよ。大臣としてお答えいただかなかったら、おかしいじゃないですか。政府参考人が答えることじゃないですよ。私は大臣からの御指摘をいただいて述べたんですから。(発言する者あり)大臣、大臣がおっしゃったんですよ。
○大岡委員長 まず事務方で答えて、大臣が答えますね。
○小柳政府参考人 お答えを申し上げます。
先ほど来大臣から申し上げているとおり、最終的には委員会が決めることとなっておりますけれども、件数以外のものにつきましては、例えば、勧告についての概要であるとか、違反があった場合の通知であるとか、懲戒処分の要求件数のみならず、概要等についても報告をするということになっておりまして、そうしたことを通じて事務処理状況の全容が報告をされるということでございます。
加えまして、必要がありましたら、また国会からお求めがあったときには、法令にのっとって適切に対処してまいるということでございます。
○馬淵委員 大臣、答えになっていないんですね。だって、大臣が、私に例示を言ってくれというので答えたんですよ。私の方で指摘したんですよ。それに対して大臣が何で答えないんですか。
○平国務大臣 先ほどから言っているように、今馬淵委員が御指摘されたような内容は、やはりよく精査をしなければ、攻撃者に利することにならないようにしなきゃいけないですね。
今の、サイバー攻撃に関する現状というのは、委員もよく御承知だと思います。そういった中で、国会との報告と、そういった報告も含めて、いわゆる国家を背景としたサイバーの、そういう攻撃者も見ているわけですよ。だから、そこのバランスをどう取るかという難しい判断の中で、先ほど申し上げている件数や勧告の概要など報告をする、それでも足りなければ、国会法に応じて言ってくださいと言っているわけで、そういうことに尽きるんだと思います。
○馬淵委員 尽きないでしょう。
大臣がおっしゃって、私はそれを、例示を伝えたんですよ。それに対して答えが返っていないじゃないですか。少なくとも参考人の答弁じゃないですよ、これ。参考人は全然、あなたに答える権限はないよ。私の指名しかないよ。もちろん、委員長は差配されるけれども。
大臣がおっしゃったんですよ。だから、そのおっしゃった、私は例示を示したので、それについて、いや、敵対行為をするようなサイバーテロの人たちも見ているからと。それで国会の委員会の役割というのは果たせますか。(平国務大臣「バランスだよ」と呼ぶ)大臣、ちゃんと手を挙げて答えてくださいよ。そんなところで不規則で発言したって駄目ですよ。
○平国務大臣 ですから、今の馬淵委員の例示は、もっとスペシフィックに細かく報告しろということでしたから、そういったことに対しては、攻撃者に利することのないようにする観点に対して配慮が必要だと言って、あの答弁をさせていただいております。
それで、何もしないのかじゃないですよね。もうずっと、さっきからお答えしているように、国会への報告はします。そして、その具体的な内容は、先ほどから政府委員が答弁しているとおりであります。
馬淵委員からの御指摘に対しては、それを超えてスペシフィックなことも例示すべきだと言っています。それに対しては、攻撃者に利する、ようにならなければいけない、その上で、国会法に応じて、必要があればお答え申し上げますというふうに答弁をしています。
○馬淵委員 サイバーテロの人たちが見ているんだということが多分大臣の中で頭によぎって、例示してくれと言ったけれども、これはもう答えられないなというところで、今答弁を引っ込めたんでしょう。それは大臣のお考えとして、我々としてはこれ以上どうすることもできないんですが。
でも、議事録に残りますからね、これは明確に。私はちゃんと伝えましたので。これについて、少なくとも内容ということについて、誰が見ているか分からないじゃない、誰が見ているか分からないのはまた別の話なんですよ、受皿としてどうするかというのもありますから。でも、私の方からは、今質疑の中で、大臣からその例示を求められ、それに対して私が答えた、そしてそれに対しての明確な答弁が今度はないという、この状況だけははっきりしました。
その上で、済みません、先ほど私は、この措置については、警察の措置とそして自衛隊の措置があるというところのお話は少しすっ飛ばして話をしましたが、自衛隊の措置、警察の措置、両方あります。国会報告は年一回ということで今示されていますが、自衛隊の措置と警察による措置というのは、明らかにその重大さというのは違うと考えられます。現状で申せば、自衛隊の措置というのが、この「毎年、」というところに包含されますので、そうなると、これは年に一回ということになってしまう可能性もあるわけですね。
大臣、これは一応答弁としていただきましょう。この自衛隊による措置というのが、本来であれば毎年ということで、年に一回になってしまわないように、この頻度、すなわち、逐次で都度報告というのがあってしかるべきじゃないでしょうか。大臣、これについてまずお答えいただきたいと思います。
○平国務大臣 自衛隊の通信防護措置については、認められている権限はあくまで警職法第六条の二のみで、平素から警察に与えられているものと同等であること、措置による影響は警察が実施する措置によるものと同様であること、武器の使用は認められておらず、人を殺傷するような行為に該当することが想定されないことから、国民の権利義務に与える影響は限定的であり、警察が実施する措置と同様です。
また、通信防護措置の実施後、速やかに国会に報告をして当該措置の内容を明らかにすることは、我が国政府がどのような事案を調査をしているのか、どの攻撃者にどのような手法を用いて措置を実施したのかなどが明らかとなるおそれがあります。その場合、当該措置を受けた攻撃者が自衛隊による措置であることを認知し、その手法を研究して対策を講じるなど、結果的に攻撃者を利することにつながり得るため、措置の終了後の情報の取扱いについても慎重な検討が求められます。
このような観点を踏まえると、自衛隊が実施をする通信防護措置について、措置の終了後に個別に国会報告を行うことは法定する必要がないものと認識をしております。
○馬淵委員 ここも、利敵行為というか、攻撃者に対する、情報を与えてしまうんだということでおっしゃるんですが、改めての提案なんですけれども、警察の措置と自衛隊の措置があるわけですから、警察の措置というのは年一回、これはある意味報告として認められるかもしれない。でも一方で、重大事案である自衛隊による措置、これはやはり、命令権者が内閣総理大臣であるということも踏まえると、今、適切ではないとおっしゃいましたが、個々の措置を講じたときに速やかに行うとするということが、本来の姿としては、国会監視が高められるのではないかというふうに私は申し上げているんです。
なので、今、お立場上、それは適切ではないというふうにおっしゃいましたが、本来の機能としては、措置が行われたときに、どのようなことが起きたかという、重大事案ですから、これを確認する作業というのは私は必要ではないかと思うんですが、大臣、改めて伺いますが、いかがですか。
○平国務大臣 今実際に行われているサイバー攻撃というのは、一発やり返して終わりじゃないんですよ。もうよく分かっていて御質問されていると思いますけれども。非常に長い戦いの中で、相手は手を替え品を替え、主体も大きく変わっていくんですね。それを、自衛隊が何か無害化措置をしたら都度都度報告するのは、サイバーセキュリティーの今の現状を分かっている人からすればあり得ないと思います。
○馬淵委員 私はまず、都度報告というのを申し上げました。その上で、先ほど来、攻撃者に情報を与えかねないということでありますが、そのような状況が攻撃者に伝わらない、つまり受皿というのも同時に考えるべきなんですね。受皿がどういうところなのか。
例えば、受皿がこうした所管の委員会、内閣委員会だったりあるいは安保委員会だったりすると、それは確かに国会の中で明らかになってしまいますよ。そこで、私は、この逐次の報告ということが、相手に知らしめてしまうということと逐次が対峙するような場面ではなく、今申し上げたいのは、あくまでも逐次ということで監視することが国会の本来の役割ではないかということをお尋ねしているんです。もし、そこが攻撃者に分からないようにするべきだということを強く求められるのであれば、今度は受皿を変えていけばいいんですよ。
確かにこのような常任委員会の場であれば、それは情報が外に出ていきます。まさに国会の中の議論というのは全て公開されます。例えば秘密会にしたとしても、秘密会は確かに規定できるんですが、これはあくまでも傍聴を認めない会議のことでありまして、議員の傍聴は禁止しないのが原則ですね、一応例となっています。また、会議録は作成します。ただし、秘密を要するものは会議録には掲載しないということを決定できるとしています。つまり、一般の常任委員会では、確かにこれは難しいかもしれません。
であるならば、この受皿を、より厳しい監視の中に置けるような、いわゆる特定秘密を扱う情報監視審査会、情監審というふうにこの受皿を、そうでない警察情報などというのはこの委員会の中で報告を受けて議論するのもありでしょう、受皿そのものも情監審ということで考えれば、実は、この逐次の中身についても、一定程度、特定秘密に関わることとしてその保秘ができるということも考えられるわけですよ。
私は、大臣が先ほど来おっしゃっているのは、全て情報が漏れるということでありますが、それは受皿の話もごっちゃにされているからですよ。逐次で、しかもそれが外に分からないような方法で情監審を使えば、一つのやり方としては可能性があるじゃないですか。大臣、いかがですか。
○平国務大臣 今、情報監視審査会、特定秘密に関する審査会だというふうに思いますが、国会における受皿の在り方については国会でお決めになることであり、政府としてはコメントは差し控えさせていただきます。
その上で、一般的な法制上の理解としては、情報監視審査会から政府に対して資料の提供のお求めがあった場合においても、我が国の安全保障に著しい支障が生じるおそれがある場合などについては資料を提出しない場合もあるものと認識をしております。
どういうしつらえになるかは国会でお決めになることだと思いますが、そのようなしつらえを踏まえて、この法律が成立した後に、サイバー通信情報監理委員会で、そういうことであればこういう情報も出せるかもしれないという検討はあり得るかもしれません。
○馬淵委員 情監審を拡充するということでしかないとは思うんです。現状では特定秘密の指定解除だけですから、今申し上げたような形で情監審が機能するように持っていくためには、情監審の拡充、これは単に人員や予算だけではなく、様々な機能強化ということが必要になると思います。そして、それは、まさにおっしゃるように国会で決めることではありますが、一つの方策としてはあり得ますよ。私はそういうふうに思います。
これについては、もちろん、政府側として言う立場にないということだとは思いますが、これは国会の議論として皆さん方にも理解をいただきたいのは、受皿をどうするかということを決めずに、先ほど来より、逐次は駄目だ、もう一切出せないんだというお話になっていますが、受皿の持ち方によっては実は変わるんだということを申し上げておきたいと思います。
もう余り時間もないんですが、あと二点ありましたが、先に確認をしておきたいことがありますので順番を変えますが、これは警職法の部分でありますね。警職法の六条の部分でお尋ねをしたいというふうに思います。
そこで、警職法六条の二の四というところになりますが、実際に、この警職法六条の二、四で、ただし書に、いとまがない場合には事前承認が不要であるが、ほとんどのサイバー攻撃は現に送信されているものであり、事後通知ということが行えるとなっていますが、これは事後通知が、こういう決め方であれば常態化してしまうんじゃないでしょうか。これはいかがでしょうか。
○飯島政府参考人 お答えを申し上げます。
まず、警察、自衛隊がアクセス・無害化を行う要件でございます緊急の必要があるときとは、いつサイバー攻撃が敢行されてもおかしくない状況にあるというところでございます。
例えば、サイバー攻撃に用いられるマルウェアに感染したIoT機器を発見した場合で、マルウェアはいまだ発動していないものの、当該マルウェアとC2サーバーが定期的に通信を行っていると認められるため、攻撃者の意図次第でいつでもサイバー攻撃が行われると認められる場合には、アクセス・無害化を行う緊急の必要があると判断し、事前承認を得るいとまがないと認める特段の事由がない限り、あらかじめサイバー通信情報監理委員会の承認を得るということになると考えております。
なお、事後通知となる場合でございますが、サイバー攻撃により現に重大な障害が発生している場合など、事前承認を得るいとまがないと認める特段の事由が生じた場合に限られると考えておりまして、事後の通知が常態化するということは考え難いということでございます。
なお、この事後通知を受けた場合ですが、委員会は、実施された措置が適切かどうかを確認し、必要に応じて勧告をすることができるとされております。
このような手続を設けることによりまして、権限の濫用を防止し、措置の適正性を十分に確保することができると考えております。
○馬淵委員 これも原則と例外が逆転してしまいかねないような状況だと私は思いますよ。
その上で、大臣に答弁をいただきたいんですが、こうした原則、例外が逆転しかねないような疑念を払拭するためにも、国会への処理状況の報告、先ほど件数だけじゃ駄目だと申し上げましたが、でも、この件数だけでも、例えば事前承認がなされた件数と事後通知にとどまった件数を分けて報告する、処理状況を明確化する、これは行えるんじゃないでしょうか。大臣、いかがでしょうか。
○平国務大臣 今回のサイバー対処能力強化法案では、委員会から国会に対する報告規定を設けておりますが、アクセス・無害化措置に関するものとして、アクセス・無害化措置に関する承認の申請や承認した件数を出すということになっていますので、件数と実際に認められた数というのは出せるというふうに思っています。
承認を得るいとまがなく事後通知した件数についても、別途報告することは想定をしています。
○馬淵委員 つまり、事前と事後、これの件数が明らかになるということで御答弁いただきました。これは極めて重要ですよ。これはまさに監視機能が果たせるかどうかというところに関わります。原則と例外が入れ替わらないという部分で極めて重要な答弁をいただきました。ありがとうございます。
そして、もうあと時間がありませんので、少し事務的なことも確認をしたいと思います。
これはもう事務方でお願いしたいと思いますが、先ほど来申し上げてきたサイバー通信情報監理委員会のところにも関わるところなんですが、委員会業務の前提として、年間の攻撃数、この一年間に処理したサイバー攻撃の総数、これはどの程度だとこれから見込まれますか。少なくとも、昨年度、この件数は何件ありますか。お答えいただけますか。
○小柳政府参考人 お答えいたします。
網羅的に全てのサイバー攻撃というのはちょっと数がないわけでありますけれども、例えば内閣サイバーセキュリティセンターに報告があった重要インフラ事業者等へのサイバー攻撃の被害件数でありますけれども、昨年度は百二十三件、本年度は第三・四半期で既にこれを上回っているなど、我が国へのサイバー攻撃はますます増加しているというふうに認識をしてございます。
○馬淵委員 案外、思ったよりもそう多くはないんです。もちろん、被害ということが特定されない部分でいうと、アタックそのものはもう少しあったのかもしれません。でも、百二十三件。今年はこれを上回るということでありますが、百二十三件という数字が初めて出ましたから、委員会としてはこれらの数を想定しながら、委員会の組織を今後つくっていかれることだと思います。
もう時間もありません、最後になるかもしれませんが、この委員会の組織、大体どれぐらいの数になるのかなと、事務方も含めてですね。
私は、先ほど申し上げたように、相当程度これは強化しなきゃならないというふうに思っているわけでありますが、様々レクを通じて聞いたところ、現状ある一番小さな三条委員会の中でいうと三十六名、公害調整委員会の事務局定員三十六名、これよりは大きな規模になるということでありましたが、諸外国でいうと、イギリスが、調査権限委員会事務局百五十名、ドイツ、独立統制評議会六十名ということであります。
ざっとどれぐらいの規模になるかだけ、事務方、お答えいただけますでしょうか。
○小柳政府参考人 サイバー通信情報監理委員会の組織規模でありますが、強化法案第五十条において、まず委員長を一人、それから委員四人と規定をしておりまして、委員のうち二人は非常勤にできるとされております。
事務局の規模についてでございますけれども、法案に規定する審査あるいは検査等を適切に行えることが重要でありまして、それに十分な規模が確保できるように取り組んでまいりたいと考えております。
具体的な規模でございますけれども、今御指摘があったように、イギリスの調査権限委員会事務局の規模が約百五十人、ドイツの独立統制評議会の規模が約六十人となっているところ、こうした諸外国の事例を参考にしながら、ただし、一方で、新制度におけるサイバー通信情報監理委員会の任務の範囲が、必ずしも今申し上げた外国の例と一致しないことも勘案しながら、必要な規模について検討していくことになるというふうに考えてございます。
今のところ、そうしたことで、必要な規模をきちんと確保したいということで、検討を進めてまいります。
○馬淵委員 時間となりましたが、一年六月施行までの期間があります。それまでにしっかりとこの中身を詰めていただいて、私が今日申し上げたことは全然お答えいただけていませんが、先ほど来申し上げるように、熟議と公開の上での修正ということも十分考えられる。
情監審の拡充も含めた、こうしたことを施行期日までにしっかりと取り組めるように、この法案の審査、また引き続きさせていただきたいというふうに思います。
終わります。ありがとうございました。
○大岡委員長 次回は、来る二十八日金曜日午前八時五十分理事会、午前九時委員会を開会することとし、本日は、これにて散会いたします。
午後零時六分散会