第1号 令和7年4月3日(木曜日)
令和七年四月三日(木曜日)午前九時開議
出席委員
内閣委員会
委員長 大岡 敏孝君
理事 黄川田仁志君 理事 國場幸之助君
理事 西銘恒三郎君 理事 今井 雅人君
理事 本庄 知史君 理事 山岸 一生君
理事 市村浩一郎君 理事 田中 健君
石原 宏高君 井野 俊郎君
江渡 聡徳君 尾崎 正直君
鬼木 誠君 神田 潤一君
国定 勇人君 栗原 渉君
佐々木 紀君 田中 良生君
西野 太亮君 平井 卓也君
平沼正二郎君 松本 尚君
宮下 一郎君 山際大志郎君
山口 壯君 阿部祐美子君
市來 伴子君 梅谷 守君
おおたけりえ君 岡田 克也君
下野 幸助君 橋本 慧悟君
藤岡たかお君 馬淵 澄夫君
水沼 秀幸君 山 登志浩君
伊東 信久君 三木 圭恵君
石井 智恵君 菊池大二郎君
河西 宏一君 山崎 正恭君
上村 英明君 塩川 鉄也君
緒方林太郎君
総務委員会
委員長 竹内 譲君
理事 あかま二郎君 理事 塩崎 彰久君
理事 島尻安伊子君 理事 おおつき紅葉君
理事 岡島 一正君 理事 吉川 元君
理事 黒田 征樹君 理事 向山 好一君
石橋林太郎君 大西 洋平君
加藤 竜祥君 川崎ひでと君
小寺 裕雄君 小森 卓郎君
佐藤 勉君 田所 嘉徳君
土田 慎君 中野 英幸君
福原 淳嗣君 古川 直季君
山口 俊一君 おおたけりえ君
岡本あき子君 杉村 慎治君
高松 智之君 武正 公一君
西川 厚志君 福田 昭夫君
松尾 明弘君 道下 大樹君
山花 郁夫君 藤巻 健太君
守島 正君 福田 玄君
中川 康洋君 山川 仁君
安全保障委員会
委員長 遠藤 敬君
理事 岩田 和親君 理事 尾崎 正直君
理事 木原 稔君 理事 篠原 豪君
理事 升田世喜男君 理事 屋良 朝博君
理事 美延 映夫君 理事 橋本 幹彦君
江渡 聡徳君 金子 容三君
黄川田仁志君 島田 智明君
鈴木 英敬君 関 芳弘君
中曽根康隆君 根本 拓君
福田かおる君 向山 淳君
五十嵐えり君 伊藤 俊輔君
岡田 華子君 下野 幸助君
松尾 明弘君 池畑浩太朗君
平岩 征樹君 西園 勝秀君
山崎 正恭君 赤嶺 政賢君
…………………………………
総務大臣 村上誠一郎君
防衛大臣 中谷 元君
国務大臣
(サイバー安全保障担当) 平 将明君
内閣府大臣政務官 西野 太亮君
総務大臣政務官 川崎ひでと君
総務大臣政務官 古川 直季君
防衛大臣政務官 金子 容三君
政府特別補佐人
(内閣法制局長官) 岩尾 信行君
政府参考人
(内閣官房内閣審議官) 小柳 誠二君
政府参考人
(内閣官房内閣審議官) 飯島 秀俊君
政府参考人
(内閣官房内閣審議官) 門松 貴君
政府参考人
(内閣官房内閣審議官) 中溝 和孝君
政府参考人
(警察庁サイバー警察局長) 逢阪 貴士君
政府参考人
(デジタル庁審議官) 井幡 晃三君
政府参考人
(総務省総合通信基盤局長) 湯本 博信君
政府参考人
(総務省サイバーセキュリティ統括官) 山内 智生君
政府参考人
(外務省大臣官房サイバーセキュリティ・情報化参事官) 斉田 幸雄君
政府参考人
(外務省大臣官房参事官) 門脇 仁一君
政府参考人
(外務省国際法局長) 中村 和彦君
政府参考人
(防衛省大臣官房サイバーセキュリティ・情報化審議官) 家護谷昌徳君
政府参考人
(防衛省防衛政策局次長) 上田 幸司君
内閣委員会専門員 田中 仁君
総務委員会専門員 阿部 哲也君
安全保障委員会専門員 飯野 伸夫君
―――――――――――――
本日の会議に付した案件
重要電子計算機に対する不正な行為による被害の防止に関する法律案(内閣提出第四号)
重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案(内閣提出第五号)
――――◇―――――
○大岡委員長 これより内閣委員会総務委員会安全保障委員会連合審査会を開会いたします。
先例によりまして、私が委員長の職務を行います。
内閣提出、重要電子計算機に対する不正な行為による被害の防止に関する法律案及び重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案の両案を一括して議題といたします。
両案の趣旨の説明につきましては、これを省略し、お手元に配付の資料をもって説明に代えさせていただきますので、御了承願います。
これより質疑を行います。
質疑の申出がありますので、順次これを許します。赤嶺政賢君。
〔大岡委員長退席、竹内委員長着席〕
○赤嶺委員 日本共産党の赤嶺政賢です。
今日はちょっと調子が悪くて申し訳ないんですが。委員会冒頭の質問、配慮していただきました。他の委員会の質問と重なっておりますので、感謝を申し上げたいと思います。
今回の法案は、自衛隊や警察がいわゆる能動的サイバー防御を行うことを可能にするものです。
この能動的サイバー防御という概念は、アメリカの国防総省が二〇一一年に初めて公表したサイバーセキュリティーに関する戦略文書で打ち出したものです。そこでは、国防総省のネットワークやシステムを守るという従来のアプローチにとどまらず、センサーやソフトウェア、機密情報を用いて、悪意ある活動を影響が及ぶ前に探知、防止するという考え方が示されております。
防衛大臣、その点は確認できますよね。
○中谷国務大臣 赤嶺委員御指摘のとおり、二〇一一年七月に米国防省が、サイバー空間における運用に関する国防省の戦略を公表しました。
そこで、五つの戦略取組のうちの一つとして、自らネットワーク、システムを防護するために新たな防御的運用コンセプトを実施するとの取組が記載をされておりまして、この中で、国防省のネットワークやシステムへの侵入を阻止するための能力としてアクティブサイバーディフェンスに言及をいたしております。
具体的には、アクティブサイバーディフェンスとは、脅威及び脆弱を発見、探知、分析そして局限するための国防省の能力であって、センサー、ソフトウェア、インテリジェンスを用いて、国防省のネットワーク等に悪意のある活動が影響を及ぼす前にこれを探知、阻止するものでありまして、今後とも先進的なセンサー等を用いてこうした能力を向上させていく旨ということが記載をされております。
○赤嶺委員 この文書は、能動的サイバー防御の導入に言及した上で、集団的なサイバーセキュリティー体制を構築する方針も示しています。同盟国や同志国と緊密に連携して、共同の警戒態勢や能力の構築、合同演習などに取り組むなどとしております。
防衛大臣、この点も確認できると思いますが、いかがですか。
○中谷国務大臣 御指摘の文書の中で、米国防省は、五つの戦略的取組のうちの一つとして、集団的なサイバーセキュリティーを強化するため、同盟国、国際的なパートナーとの強固な関係を構築するという旨が記載をされております。
その中においては、例えば、同盟国及び国際的パートナーは、サイバー事象に、脅威に関する情報などの適時適切な情報共有によって集団的サイバー防衛を強化をできること、国防省の国際的な関与は、自由、プライバシー及び自由な情報の流通を支えるものであり、国防省は米国政府のサイバー空間における国際規範、また原則の形成を支援すること、そして、同盟国、国際的なパートナーと脅威情報の共有、能力構築、共同訓練の実施などを実施すること、そして、同盟国や国際的パートナーと協力をすることにより、個々の防衛、集団的な抑止を発展させることなど、更に詳しい取組が記載をされていると承知をしております。
○赤嶺委員 今度は担当大臣に伺いますが、日米間においては、この文書の公表後の二〇一三年から、関係省庁が参加して、日米サイバー対話が始まりました。軍事当局間でもワーキンググループが設置されました。その後、二〇一五年の日米ガイドラインにサイバー空間における協力を初めて盛り込んだ。昨年七月の日米2プラス2では、脅威に対処する防御的サイバー作戦における緊密な協力の促進を確認しています。
総理大臣は本会議で、今回の法案は国家安全保障戦略を踏まえて日本が主体的に判断したものと述べておりますが、こうした経緯を見れば、同盟国と集団的なサイバー防衛体制を構築するというアメリカの戦略に基づいて、日本が能動的サイバー防御に踏み込んだものであることは明らかではないかと思いますが、いかがですか。
○平国務大臣 赤嶺委員にお答えいたします。
国家を背景とした高度なサイバー攻撃への懸念の拡大や社会全体におけるデジタルトランスフォーメーションの進展を踏まえると、我が国のサイバー対処能力の強化はまさに喫緊の課題であります。
本法案は、国家安全保障戦略に基づき、官民連携の強化、通信情報の利用、攻撃者のサーバー等へのアクセス・無害化の三つの取組を柱とする能動的サイバー防御を導入するものであり、今回の制度整備により、基幹インフラ事業者等からのインシデント報告や通信情報の収集、分析が可能となり、より早期かつ効果的にサイバー攻撃を把握をして対応することができるようになるとともに、重大なサイバー攻撃の未然防止等のため、アクセス・無害化措置の実施が可能となると考えています。
このように、本法案は、国家安全保障戦略に基づき、我が国全体のサイバー対処能力の強化を目的として、我が国として主体的に判断をして整備をするものであります。
したがいまして、サイバーセキュリティーは日米同盟の基盤の一つではありますが、御指摘のような日米間で検討を進められてきた経緯を踏まえたものとの認識はございません。
○赤嶺委員 あくまでも否定をするわけですが、経過を見れば明らかだと思うんですよ。
アメリカの太平洋軍司令官や国家情報長官を務めたデニス・ブレア氏が、安保三文書の閣議決定に先立つ二〇二二年五月、自民党本部で行われた講演で、日本のサイバー防衛はマイナーリーグだと酷評したことが報じられています。アメリカが敷いたレールに沿って今回の法案が出されたことを象徴的に示す発言です。幾ら政府が主体的に判断したと言っても、言葉だけでは何の説得力もないということを指摘しておきたいと思います。
次に、自衛隊による無害化措置と通信防護措置についてです。
法案が、自衛隊や在日米軍へのサイバー攻撃やその疑いのある場合の自衛隊によるアクセス・無害化措置、外国政府を背景とする高度に組織的、計画的な攻撃が行われた場合の通信防護措置を可能にするものです。
担当大臣に伺いますが、これらの措置は、いわゆるグレーゾーン事態や安保法制に基づく重要影響事態において、米軍が軍事行動を行う相手国のサーバーに発動できるということですか。
○平国務大臣 今回の自衛隊法改正案において新たな行動類型として創設をする通信防護措置、八十一条の三については、御指摘のような特定の事態の発生の有無にかかわらず、国や基幹インフラ等の一定の重要な電子計算機に対して、本邦外にある者による特に高度に組織的かつ計画的なサイバー攻撃が行われ、自衛隊が対処を行う特別な必要があるときに、内閣総理大臣の命令に基づき、自衛隊が警察と共同して当該電子計算機への被害を防止するための措置を取ることを可能とするものです。
また、同改正案においては、自衛隊及び日本に所在する米軍が使用する一定の電子計算機を平素から警護できるように、自衛隊に所要の権限、九十五条の四を付与しています。
これについても、御指摘のように、特定の事態の発生の有無にかかわらず、自衛隊が使用する一定の電子計算機又は日本に所在する米軍が使用する一定の電子計算機に対するサイバー攻撃が行われ、重大な危害が発生するおそれがあるため緊急の必要があるときに、当該電子計算機を職務上警護する自衛官が当該電子計算機に対する危害の防止をするための措置を取ることを可能とするものであります。
ただし、日本に所在する米軍が使用する一定の電子計算機に対する警護については、米軍から要請があり、防衛大臣が必要と認めるときに限り実施が可能となります。
これらの措置は、あくまで公共の秩序の維持の観点から、我が国における重大なサイバー攻撃による被害を防止をするための自衛隊による新たな措置であり、自衛隊法改正案においては、準用する改正後の警職法六条の二の規定に基づいて具体的な権限行使が行われることになっております。
○赤嶺委員 日本が武力攻撃を受けていないにもかかわらず、米軍と交戦状態にある相手国に対して日本が先制的に無害化措置や通信防護措置に踏み切る、そういうことになれば、相手国からすれば、日本の側から参戦をしてきたことにされる危険があると思いますが、いかがですか。
○平国務大臣 繰り返しになりますが、平時、有事関係なく、基盤インフラ事業者とか在日米軍の重要なサーバーまた自衛隊のサーバーを防御するために行う措置であります。
また、実際にアクセス・無害化といっても、現実的には、いわゆる通信回線を通じて相手のサーバーの、いわゆる攻撃を意図する人がアクセスできないようにするとか、コマンドが発せられないように、また、コマンドを発したとしても機能しないようにという対応を行うわけでありますので、あくまで国際法上許容される範囲で行うものでありますので、指摘は当たらないと考えております。
○赤嶺委員 国際法上も適法性が確定していない措置であるわけです。日本の外務大臣などと事前協議するといっても、何の保証にもなりません。一方的に強制措置に踏み切れば事態のエスカレーションを招く危険は否定できません。日本に戦争の危険を呼び込む能動的サイバー防御はやめるべきです。
米軍は、湾岸戦争以降、あらゆる装備をネットワークでつなぎ、戦争を優位に進める体制を構築し、中国やロシアなどはそこを弱点と見て、サイバー攻撃の能力を高めてきたと指摘されています。能動的サイバー防御はこれに対抗しようとするもので、軍事対軍事の悪循環に一層深くはまり込んでいくものです。
悪循環から抜け出すための外交、いかなる国のサイバー攻撃も許さない国際的なルール作りにこそ取り組むべきということを指摘して、質問を終わります。
○竹内委員長 次に、向山淳君。
○向山(淳)委員 おはようございます。自由民主党の向山淳でございます。
安全保障委員として初めての質問になります。このような機会をいただきまして、誠にありがとうございます。
私、前職、シンクタンク時代から、我が国のサイバー能力の向上について論考を出すなどを通じて提起をしてまいりましたので、今回のいわゆる能動的サイバー防御の法案の成立に向けた皆さんの御尽力に、まず感謝を申し上げたいと思います。
その上で、本法案の目的ですが、大阪急性期病院の事例であったり、又は名古屋コンテナターミナルの事例のように、病院だとか交通網、金融機能の麻痺といった、又は停電といった、私たちの生活の目の前にあるインフラ、そうしたものに対する影響というのをしっかり防いでいくということにあると認識をしております。
法案審査の中では、通信の秘密との兼ね合いであったり、取得情報の範囲だとか、無害化措置そのものについての法律論に焦点が当たりがちではありますけれども、本日は、目的を、しっかり防いで守るという部分についての、運用面であるとか実効性というところについてお伺いをしてまいりたいというふうに思います。
まず、本法案において、防衛省・自衛隊が警察とともにアクセス・無害化の実施主体ということになりまして、新たな重要な任務を担うことになろうかと思います。防衛大臣の意気込みをお伺いできればというふうに思います。
○中谷国務大臣 今回の法律の整備は、日々非常に高度化をしているサイバー空間における脅威に対して、防衛省・自衛隊がその能力を活用するとともに、政府一体となって能力を結集して対処に当たるということを可能とするものでございまして、極めて重要な取組だと認識しております。
具体的に申しますと、例えば、平素から、国、基幹インフラ等をサイバー攻撃から守るために一定の要件の下で自衛隊が措置を取ることが可能となります。
防衛省・自衛隊は、防衛力整備計画の下で、サイバー専門部隊の充実、また、諸外国との共同演習といった取組によりまして、サイバー防衛能力の強化、これを推し進めてまいりました。
今後とも、専門的な能力の知見を最大限に活用するとともに、内閣官房、警察などの関係省庁と緊密に連携しまして、政府全体としての取組に寄与することで、我が国のサイバーセキュリティーの確保に努めてまいりたいというふうに思っております。
○向山(淳)委員 ありがとうございます。
そうした防衛省・自衛隊の新たな能力構築ということも非常に重要だというふうに考えておりますが、本法案のポイントの一つは、インフラを守る最前線に立つことになるのが民間であって、この官民連携という部分。そして、政府としてきちんと通信情報を取得、分析するということで、国際インテリジェンスのコミュニティーともしっかり信頼関係を持って情報のやり取りをするという、国際連携の部分だというふうに考えております。そうした連携を深めることが、安全保障戦略に掲げるサイバー安全保障分野での対応能力を欧米主要国と同等に向上させるということにつながっていくというふうに考えております。
その上で、組織、実行するところですけれども、本法案をもってNISCを発展的に改組するということで、新組織が新設をされることになります。
この新組織というのは従来のNISCとどう異なるのか、そして、本改編が官民連携や国際連携ということにおいてどのような狙いがあるのか、この点について平大臣にお伺いをいたします。
○平国務大臣 向山委員にお答え申し上げます。
現在のNISCにおいては、事態対処・危機管理担当の内閣官房副長官補がセンター長を兼務していますが、新たな体制においては、まず、次官級の特別職である内閣サイバー官を内閣官房に新設をし、サイバーセキュリティー、サイバー安全保障の事務に専任で取り組むこととしています。
この内閣サイバー官を補佐する新たな組織では、従来からの業務である行政各部の情報システムに対する不正な活動の監視、分析や、サイバーセキュリティーの確保に関する助言等の事務に加えて、アクセス・無害化を含む能動的サイバー防御の運用に係る強力な総合調整、重要社会基盤事業者等におけるサイバーセキュリティーの確保に関して国の行政機関が実施をする施策の基準の作成、重大なサイバー攻撃への民間事業者を含めた一層かつ高度な対処調整などにも取り組んでいきます。
加えて、NISCの体制は、令和五年度時点では指定職が一人、定員も百人に満たない規模でしたが、今回整備する新たな組織の体制は、内閣サイバー官のほか、指定職が七名、定員も二百三十五人を擁するものとなるなど、この二年で大幅な体制の整備を図ってきたところであります。
さらに、新法の施行を担う実施組織を内閣府に新設し、内閣官房と連携させることによって、総合調整のみならず、官民連携での対処や通信情報の利用といった具体的な行政実務も担う司令塔として、より強力な機能を発揮できる組織となります。
これらの組織改編は、本法案による新たな事務及び権限の追加と相まって、より強力な官民連携やハイレベルでの国際連携を可能とするものであり、サイバーセキュリティー、サイバー安全保障への取組を抜本的に強化することができると考えております。
○向山(淳)委員 ありがとうございます。
官民連携についても司令塔機能を発揮していくということでありますが、現在のサイバーセキュリティ基本法においても、国の行政機関、地方公共団体、重要インフラ事業者、サイバー関連事業者という官民のアクターで協議会というのが設置をされております。
この現行のサイバーセキュリティ協議会と、また新たに、今回、新法に基づいてサイバーセキュリティ協議会ということで発足をして、前の組織を改編するということですけれども、ここについては従来とどう異なることになるのでしょうか。
○門松政府参考人 お答えいたします。
現行のサイバーセキュリティ基本法に基づくサイバーセキュリティ協議会、こちらは、官民が相互に連携することで、サイバーセキュリティーの確保に資する情報を官民で迅速に共有できるようにするものであります。
その上で、現行の協議会の機能に加えて、本法案の、情報共有及び対策に関する協議会、これについては、まず、政府が新たな権限の下で収集した情報を内閣総理大臣が整理、分析し、その結果をサイバー攻撃による被害防止のために協議会の構成員に共有する、その旨がまず規定されておりまして、また、政府が保有する秘匿性の高い情報についても共有できるように、協議会の構成員による安全管理措置を法定したほか、守秘義務違反に対する罰則の引上げ、これも行っておりまして、こうした点が主な違いになっておるということでございます。
○向山(淳)委員 ありがとうございます。
今、情報についても言っていただきましたけれども、その協議会の参加する、参加企業であるとか、より官民連携を深めていく上で機微の情報を提供するに当たっての秘密の保持に関する措置だとか枠組みという部分については、改めて詳細に教えていただけますでしょうか。
○門松政府参考人 お答えいたします。
先生御指摘のとおりの、情報共有及び対策に関する協議会におきましては、サイバー攻撃の目的や背景など一定の機微な情報について取り扱うことを想定しております。そのため、構成員に対しては、情報の安全管理措置や守秘義務を求めた上で、秘匿性の高い情報を含めた情報提供を行うということとしており、これを基本にしております。
その際に、重要経済安保情報を共有すること、これも考えられます。こうした情報の共有を希望する協議会の構成員に対しては、適合事業者に認定した上で、取り扱うことが見込まれる者に必要な適性評価を実施するといったことを今考えておるということでございます。
○向山(淳)委員 ありがとうございます。
そして、きちんとクリアランスを持つなら持つ、そして守秘義務を守るという体制を組んだ上で、しっかり情報共有をしていくということだと思います。
その中で、令和六年の有識者の提言の中では、産業界をサイバー安全保障の顧客としても位置づけるというようなコメントがあり、また、経済界からの提言でも、情報のギブ・アンド・テイクということも指摘をされております。
事業者としては、インシデントが起きたときに報告の義務が課されるという中で、警察だとか、監督省庁である、個情委である、NISCである、今まで複数省庁への報告というのが非常に煩雑で大変だというような認識を持っておられて、また、情報をしっかりちゅうちょしないで出せるような民間側に対する配慮という意味での情報化の一本化というようなことも考えていただきたいというふうに思うところです。
まず、その情報化、しっかり手当てをして出しやすいようにしていただけるのかという部分と、ギブ・アンド・テイクという意味で、きちんと民間にとって意義のある情報を出すことができるのかといった辺りについても御答弁をお願いいたします。
○門松政府参考人 お答えいたします。
先生からも御指摘いただいていますように、有識者会議では、産業界をサイバー安全保障の顧客としても位置づけることが重要、また、政府が率先して情報提供し、官民双方向の情報共有を促進すべきと御提言をいただいたところでございます。
この背景を率直に申しますと、これまで内閣サイバーセキュリティセンターでは、ともすると民間事業者に対して一方的な情報提供を求めて十分なフィードバックが行われないといったような批判があったことも事実であります。
こうした反省を踏まえまして、情報提供に貢献した民間事業者に対しては政府の側から積極的にフィードバックを行うなど、情報提供を行うことにメリットを感じていただける制度運用、これに努めてまいりたいというふうに考えております。これにより、官民双方向の情報共有が我が国全体のサイバーセキュリティーの対策強化につながるという好循環を実現できる仕組みにしていきたいというふうに考えておるところでございます。
また、サイバー攻撃が発生した場合における被害組織の負担軽減と政府の対応の迅速化、これは極めて重要だというふうに承知をしておりまして、民間事業者からも御指摘ありました、複数の窓口に報告するのは負担が大きく時間がかかるといったお声をいただいております。関係省庁と協力しながら、様式の統一や報告窓口の一元化、これをしっかり進めてまいりたいというふうに考えております。
○向山(淳)委員 ありがとうございます。
信頼関係をしっかり構築して、意義のある情報の提供をし合いというところで、しっかり能力を高めていっていただきたいというふうに思います。
今回、新たな司令塔がサイバー官ということでできて、そして民間も含めて、また自衛隊、警察も含めて、様々なプレーヤーとの連携ということが重要になってくるかと思います。実際にサイバー攻撃が起きた事態対処もそうですし、日々の連携の在り方ということについても、何より重要なのは実際どうやっていくかという部分の演習ではないかというふうに思っております。
是非、こうした演習を重ねていって実現をしていただきたいと思いますけれども、この辺りについて、今の取組についてもコメントをいただければと思います。
○門松政府参考人 お答えいたします。
御指摘のとおり、サイバー安全保障の実効性を高めるためには、演習などを通じましてサイバー攻撃への対処体制の有効性を検証して、継続的な改善を図ることが重要であると認識をしております。
政府としては、情報通信、電力、金融などの重要インフラ事業者が、また、協議会メンバー、ISAC等が参加いたしまして、また、事情が許す限り閣僚も参加して実施をする全分野一斉演習、これを二〇〇六年から毎年継続的に実施をしております。さらには、昨年度から、各組織の連携に焦点を当てた官民連携演習を新たに実施しております。こうした演習を通じまして、一定の対処経験を積むことで実践的対応力の強化を図っているということでございます。
今後は、更に演習体制の強化を検討いたしまして、重要インフラ事業者等におけるインシデント対処能力の向上、また官民連携の強化に取り組んでまいりたいと考えております。
○向山(淳)委員 ありがとうございます。
本法案で枠組みができていくわけですが、ここに魂を入れていくのは演習も含めて皆さんの連携の深度であるというふうに思っております。事態がどんどん変わっていく中で、しっかりと法案の見直しや人員の体制の見直しも含めて、私も貢献をしてまいりたいというふうに思います。
どうもありがとうございました。
○竹内委員長 次に、加藤竜祥君。
○加藤(竜)委員 おはようございます。長崎二区、自由民主党所属、加藤竜祥でございます。
本日は、理事の皆様方始め、このような機会を賜りましたことをまずもって心から感謝申し上げます。
時間も限られておりますので、早速本題に入ります。
さて、サイバー攻撃の脅威がこれまでにない水準で高まっております。サイバー攻撃と疑われる不審な通信は約十三秒に一回であり、また、その九九%が海外からのものと判明をいたしております。特に、我が国の通信インフラはアメリカとアジアを横断する海底ケーブルの世界的なハブとなっており、世界的に増え続けるサイバー攻撃への対策を講じる上で、我が国の役割は決して小さくないと考えます。
そのためにも、まずは、日本のサイバーセキュリティー対策、サイバー攻撃への対処能力の向上が喫緊の課題であり、必要な対策を取っていくことこそが我が国の安全保障、経済活動の観点から極めて重要であります。
そうした中、サイバー攻撃による被害を未然に防ごうとするのが本法案であると理解をいたしております。本法案の目的や手段に賛成をいたしますが、既に議論をされておりますとおり、実効性や憲法との関係で、国民の皆様への丁寧な説明が必要であると思います。
今回は、時間に限りがございますので、制度の実効性の観点から質疑をさせていただきます。どうぞよろしくお願いをいたします。
早速ですが、近年、日本航空に対するDDoS攻撃を皮切りに、社会機能を標的とした攻撃が国内外で増加しております。米国の医療機関がランサムウェアにより業務停止に追い込まれた例や、ウクライナの電力インフラがサイバー攻撃によりダウンした事例もあるように、物理的な戦争に匹敵する被害がサイバー空間でも発生をいたしております。
今回の法案では、交通、電力、通信など十五業種にわたる特定重要電子計算機が指定され、インフラ事業者には被害報告が義務づけられます。また、官民連携の協議会を通じ、政府と事業者間で攻撃の兆候や脅威情報の共有体制を構築することになります。
しかし、問題は制度設計の整備だけではございません。実際にそれが、秒単位で進行するサイバー攻撃に対して有効に、かつ迅速に機能するかという点であります。机上の理想が現場に即応的に機能するか否か、その距離を詰める具体的なオペレーションと体制こそが問われます。
サイバー攻撃が深刻化していく中、政府はサイバー攻撃の兆候をどのような方法で検知し、どのように対応していくのか、航空会社、原発など超重要インフラへの攻撃に対して本法案が本当に機能するのかについてお伺いをいたします。
○門松政府参考人 お答えいたします。
本法案では、複数の業界からのインシデント報告であったりとか通信情報の利用、協議会を通じた情報提供について規定しておりまして、政府はこれまで以上に情報収集能力を高めることができるようになるものと認識をしております。
このため、サイバー攻撃が起こる前においてはその兆候、また実際にサイバー攻撃が起こった場合においてはその被害状況について、より速やか、かつ、より詳細に把握することができるようになりまして、インフラ事業者はもちろん、インフラ事業者以外の関係者に対しましても、対処の一環として、より有用な情報を提供することができるようになるものと考えております。
今後、省令等によりしっかり詳細内容を定めてまいりますが、こうした制度を通じて、業界を横断するような大規模なサイバー攻撃に対してもより効果的に対応できるようにしてまいります。
○加藤(竜)委員 ありがとうございます。
今は軍事と非軍事、有事と平時の境目が曖昧な状況の中、サイバー攻撃が恒常的に発生している現在の安全保障環境においては、シームレスで実効性あるサイバー防御の構築が早急に必要でございます。国益を守るために、横断的な政策、制度の構築を引き続きよろしくお願いを申し上げます。
次に、インフラ事業者から収集した情報の管理について伺います。
収集した情報を整理、分析して政府に情報提供していくことは、業種横断的に被害を防止するために非常に大事なことだと思います。しかしながら、インフラ事業者にとって、提供した情報がどのように扱われるのか、顧客から預かった個人情報や企業の機密情報が政府から漏れることがないのかに強い関心があります。
政府として、どのような情報管理を行い、こうした企業の懸念にどのように対応をしていくのか、お答えください。
○門松政府参考人 お答えいたします。
本法案では、政府がインシデント報告等によって取得した情報に関しては必要な安全管理措置を講じるということ、また、こうした情報に関わる職員に対して守秘義務を課す、さらには、守秘義務に違反した場合には国家公務員法の守秘義務違反より重い罰則を科することとしており、先生御指摘のような、企業から提供された情報につきましては、政府において適切に管理をしていく体制を取りたいというふうに思っております。
一方で、情報を提供した企業以外に対して情報提供を行う場合、こうした場合には、秘匿性の高い情報を削除するなど、情報を提供した企業の権利利益に十分配慮したいというふうに思っております。
こうした取組を通じて、企業からの懸念にしっかりと対応してまいりたいというふうに考えております。
○加藤(竜)委員 丁寧な御説明、ありがとうございました。
サイバー攻撃の態様、方法が複雑化する中で、実効性の高いサイバー防御を確立していくことには官民連携が欠かせません。民間企業の不安を取り除くため、引き続き丁寧な説明をよろしくお願いを申し上げます。
次に、人材不足についてお伺いをいたします。
最終的には、制度を動かすのは人です。サイバーセキュリティーの分野においても、それは例外ではございません。国際的な推計によれば、我が国は約十七万人ものサイバーセキュリティー専門人材が不足をしており、この状況は今後更に続いていくと見込まれております。
このような構造的な人材不足は、能動的サイバー防御の実現だけではなく、それ以前の問題として、我が国全体のサイバーセキュリティーを確保する上での根幹的な課題となっております。
現在、サイバーセキュリティー人材を育成するため、情報通信研究機構が有する技術等を用いた実践的なサイバー防御演習などの取組も進めていると承知いたしております。これらの取組も含めて、サイバーセキュリティー専門人材の育成に向けた考えについて、情報通信政策を担う総務省にお伺いをいたします。
○山内政府参考人 お答え申し上げます。
サイバー攻撃が巧妙化、複雑化する中、サイバーセキュリティーを確保するための基盤となるセキュリティーの人材の育成は大変重要な課題と認識をしております。
総務省では、情報通信研究機構、今委員御指摘の法人でございます、が有する豊富な技術的な知見、演習基盤を活用した実践的なセキュリティーの育成を中心に取り組んでおります。
具体的には、これも先ほど御指摘をいただきました実践的サイバー防御演習、平成二十九年度から情報通信研究機構において実施をしております。政府機関や自治体等の職員を対象にいたしまして、サイバー攻撃への一連の対処を実体験をしていただくことで、事案対処能力の向上を図っております。これまでに延べ二万五千人を超える方々に受講いただいております。
また、このNICT、情報通信研究機構でございますが、若手のセキュリティー人材育成も手がけております。若手の開発者に対して、一年間、セキュリティーに関する物づくりを指導することで、新たな高度なセキュリティー技術を生み出し得る人材の育成を行っております。
総務省といたしましては、引き続き、安全、安心なサイバー空間の確保に向けて、サイバーセキュリティーの人材の育成に取り組んでまいります。
○加藤(竜)委員 具体的な事例も含めて説明をしていただきまして、ありがとうございました。引き続き、専門人材の育成という重要課題への政策を進めていただきますように、よろしくお願いをいたします。
最後に、官民含めた全体のサイバーセキュリティー人材政策の司令塔としてどのように進めていくのかについてお伺いをいたします。
政府が、人材確保策として、民間から専門人材を好待遇で登用するリボルビングドア構想や、大学、専門学校へのサイバー教育の導入を打ち出していることについては承知をいたしております。しかし、各省庁や教育機関、産業界がそれぞれ独自に取組を進めている現状では、中長期的な戦略には乏しく、国家レベルでの一貫した人材政策の構築は難しいと思います。
今後必要とされるのは、政府や教育界、産業界が一体となった包括的な人材育成ロードマップの作成です。その中で、数値目標を設定した上で、初等教育から高等教育や職業訓練、社会人再教育に至るまで体系的なカリキュラムを整備し、明確なキャリアパスと昇進制度を提示することが極めて大事になってくると思います。
そこで、政府にお伺いをいたします。官民含めた全体のサイバーセキュリティー人材政策を、サイバーセキュリティー政策の司令塔としてどのように進めていくおつもりなのか、政府の見解をお聞かせください。
○中溝政府参考人 お答え申し上げます。
委員御指摘のとおり、産官学一体となった人材育成を進めていくことが重要と認識してございます。
政府としましては、昨年十一月のサイバー安全保障分野での対応能力に向けた有識者会議からいただいた提言も踏まえまして、まさに産官学一体となった人材育成を進める観点から、サイバーセキュリティー人材に求められる役割、知識等を明確化することで長期的なキャリアパスの明示を図るということとともに、経営層のサイバーセキュリティーの重要性に対する理解を促進し、サイバーセキュリティー人材の地位の向上ですとか処遇の改善等につなげてまいりたいというふうに考えてございます。
また、本年一月には、サイバーセキュリティ人材に関する国際的な連合に参画するなど、国際的な人材の流動化を視野に入れた取組というものも行ってございます。
これらの取組によりまして、官民あるいは国内外の垣根を越えた人材育成を進め、我が国の対処能力の向上につなげてまいりたいというふうに考えてございます。
○加藤(竜)委員 ありがとうございました。
やはりサイバー法案における最大の盲点は、人材確保にあると思います。法制度の整備や技術的対応が進められても、それを運用、維持、改善する人がいなければ制度は機能いたしません。人材の育成と確保は、法案と並行して最優先で取り組むべき国家的課題であると思いますので、引き続き対応をよろしくお願いを申し上げます。
本日は、限られた時間でございますので、四つの質問しかできませんでしたけれども、能動的サイバー防御の導入は選択肢ではなく、国民の命と財産を守るために絶対に必要なものでございます。また、我が国のサイバー攻撃への対応能力を強化することは、同盟国、同志国からの信頼を得ることにもつながります。
政府におかれましては、引き続き不断の努力を尽くしていただきますように心からお願いを申し上げまして、私の質問を終わります。
ありがとうございました。
○竹内委員長 次に、岡田克也君。
〔竹内委員長退席、遠藤委員長着席〕
○岡田(克)委員 まず、通信の秘密との関係について内閣法制局長官にお聞きしたいと思います。
昨年の二月五日、当時の長官は衆議院予算委員会において、憲法二十一条二項に規定する通信の秘密は、公共の福祉の観点から必要やむを得ない限度において一定の制約に服すべき場合があるというふうに答弁されました。
このこと自身は間違っていないというふうに思いますが、ただ、公共の福祉というのは非常に幅広い概念でありますし、必要やむを得ない限度というのもそうです。一定の制約というのはどういう制約かということもあります。
ですから、一般論として分かるんですが、もう少し丁寧に、この昨年二月五日の法制局長官の答弁をもう一度述べていただきたいというふうに思います。
特に、違法性阻却事由があるような場合は別にして、あくまで、公共の福祉の具体的内容とか、通信の秘密を最大限守るための適正手続、あるいは制約は最小限度というようなことが具体的に法律で定められた場合に限って、こういう制約が認められるというふうに私は考えておりますが、そういう考え方でいいかどうか確認したいと思います。
○岩尾政府特別補佐人 憲法第二十一条第二項に規定する通信の秘密は、いわゆる自由権的、自然権的権利に属するものでありまして、最大限に尊重されなければならないものでありますが、通信の秘密についても、憲法第十二条、第十三条の規定からして、公共の福祉の観点から必要やむを得ない限度において一定の制約に服すべき場合があると考えている、これは委員御紹介されたとおりでございます。
その上で、公共の福祉の観点から許される具体的な通信の秘密に対する制約の在り方は、制約を必要とする具体的な制度の内容に応じまして、制約の目的、制約により保護されるべき法益の内容や大きさ、それから通信の秘密に対する制約の内容、態様、手続等を総合的に考量して判断する必要があるものと考えておりまして、いずれにいたしましても、公共の福祉の観点から通信の秘密を制約しようとする場合には、制約の対象だとか手続等について法律で定める必要があるものと考えております。
○岡田(克)委員 政府の裁量によって、公共の福祉の中身とか一定の制約の中身とか、そういうものが判断されてはならない、あくまでも法律を根拠にして行わなければならないということが確認できたと思います。
その上で、ちょっと話は変わりますが、数年前に、アメリカの政府機関によってドイツのメルケル首相の電話が盗聴されていたのではないかという話がございました。その真偽というのは、私、ここで判断する材料は持ち合わせないんですが、非常に驚いたわけであります。他国、主要国、しかも友好国、同盟国のトップまで盗聴しているという報道に対して非常に驚いた記憶がございます。
それに関連して、我が国においても、政府の関係機関が法律の根拠に基づかずに国民の通話とかメール、あるいは検索履歴などを見たり聞いたりしているのではないか、そういう疑念が述べられることがあります。
電気通信事業法四条は、「電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。」というふうに書かれております。同様の規定は有線電気通信法にも電波法にもあります。そして、それに対する例外として、通信傍受法とか、そういう法律が規定されている。今回の法案もその一つになるんだろうというふうに思います。
先ほどの法制局長官の答弁を踏まえても、勝手に国民の通話やメール、検索履歴を政府関係機関が把握しているということは、私は、それは法に触れることだし、あり得ないというふうに判断しますが、総務大臣の見解を聞きたいと思います。
○村上国務大臣 岡田委員の御質問にお答えします。
電気通信事業法第四条が規定する通信の秘密の保護は、憲法二十一条第二項の規定を受けまして、電気通信事業者の取扱中に係る通信の秘密は侵してはならないとされております。
委員の御指摘どおり、国家が通信の秘密を含む通信情報を確認することは、通信の当事者の有効な同意がある場合や、本法のように法令に基づく行為など違法性阻却事由が認められる場合を除き認められない、そういうふうに考えております。
以上であります。
○岡田(克)委員 勝手に通話やメールの中身を政府が把握するということは、それは認められないという大臣の答弁だったと思います。
それでは、ちょっと法案の中身に入っていきたいと思いますが、内内通信について大臣の答弁がございます。現時点ではその分析を行う必要は必ずしもない、将来的に分析対象が不十分となった場合には、その時点で必要な措置、措置に対する必要最小限の分析対象を検討するというふうに、我が党の質疑者に対する答弁をしておられます。
もう少し違う言い方をされたこともあったとは思いますが、いずれにしても、大臣御自身も、やはり内内通信を簡単に認めるわけにはいかない、憲法の制約もあるんだということは強く認識されていてこういう答弁になっているんだと私は思うわけですが、一方で、サイバー攻撃に対する対応が求められる中で、将来的に内内通信との関係をどう考えたらいいのか。今の法律ではできないという前提で、将来的にどう考えておられるのか、お示しいただきたいと思います。
○平国務大臣 ありがとうございます。
いろいろな答弁をさせていただいたんですが、まず、この法律を作るたてつけとして、その前提となる立法事実として、サイバー攻撃関連通信の九九・四%が国外からだというデータを基にこの法律を作りましたので、基本、外外、その次に外内、その次に内外、ここを分析すれば事足りる。さらには、コミュニケーションの中身は必要ない、機械的情報で足りるというのが大前提であります。
そもそも今回の法律のたてつけとして、目的は、基幹インフラの重要なサーバーを守るという目的の上で、機械的なそういう情報を分析をするというたてつけでやってまいりましたので、そもそも、内内を前提に法律も作っておりませんし、議論もしていないというのが現状であります。
御党の委員から、内内をやらなくて本当に大丈夫なのかという……(岡田(克)委員「それはうちじゃない、維新です」と呼ぶ)維新でしたか、済みません、失礼いたしました。内内はどうするんだという度重なる質問をいただいたものですから、基本必要ないです、政府はそういう認識です、もし将来必要だとなれば、その時点で検討されるべきものだ、今回のこの法案の審議、質疑に当たっては、内内を議論するという乱暴な議論をするつもりは私自身ありません、そういう答弁をさせていただきました。
○岡田(克)委員 もう一つ、機械的情報というのもあるんですね。
だから、機械的情報の定義は、法律上あるいは一部政令に委ねられて書いてあるというふうに理解していますが、メールの本文を分析しないと、まあ現時点では排除されているわけですが、将来的に技術が進歩して、機械的情報の分析だけでは対応できない事態というものも考えられないわけではない。そういう場合について、大臣、どういうふうに考えておられますか。
○平国務大臣 今は、重要インフラを守るために、機械的情報の分析、いわゆるIPアドレスとか、コマンドとか、ソフトウェアとか、ポートの情報で事足りるというふうに思っています。
メールも、コミュニケーションの本質に関わるところは見ませんが、その中に怪しいコマンドが入っていたら見るんですね。見るというか、検索するんです。検索はアルファベットとか文字列なので、文字列にヒットするものしか見ませんので、要は、拝啓何たらみたいなことは検索しませんので、コミュニケーションの本質の内容は見ません。ただ、メールの中に入っているコマンドのようなものは、検索をすれば結果として出てくる可能性があります。
あと、将来的には、いわゆる秘密計算技術みたいな、秘密を守りながらアウトカムだけ取り出すという技術もあるので、もしかしたら、コミュニケーションの秘密を守りながら分析をする手法は、将来的には、技術的にはあるのかもしれません。
○岡田(克)委員 私は、技術の進歩は速いですから、いろいろなことが将来的には起こるかもしれないと。しかし一方で、通信の秘密というのは国民の基本的人権の最たるものの一つであります。したがって、内内通信を対象にするとか、あるいは機械的情報の範囲を変えるとか、そういう事態になったときに、当然、しかし一方で、サイバー攻撃を防がなければいけないということも国民の権利を守るために重要なことですから、やはり、もう一度そのときには法律のたてつけを議論し直すということが私は必要になるんだと思うんですね。
例えば、第三者機関の権限とか、国会との関係とか、あるいは司法の関与、例えば犯罪捜査のための通信傍受に関する法律では裁判所の関与ということが入っています。どれがどうだということは今申し上げませんが、もう一回基本的な構造そのものに戻って考え直さなければならない事態ではないかと私は思うんですが、大臣の見解はいかがでしょうか。
○平国務大臣 まず、内内は想定していませんが、将来内内も必要かもしれない、今は機械的情報の分析に限っていますが、コミュニケーションも見なければいけないときが来るかもしれないという御指摘だと思います。
その際は、今回の法律のたてつけとは全く違いますので、まさに憲法のいわゆる制約の中で、公共の福祉と通信の秘密をどうバランスを取りながら法律を構築をしていくのかということになると思います。
ですから、イメージとしては、別の法律をしっかりと憲法の制約の範囲内でどう作るかという議論が必要なんだろうと思います。
○岡田(克)委員 もう一点、ちょっと確認です。
この法律、いろいろ御苦労されて現在の仕組みができている。私たちは、不満な部分もかなりありますけれども、一方で、よく努力されているということは認めたいというふうに思います。ただ、やはり通信の秘密という基本的な人権に関わる話ですので、この法律の運用に当たって、通信の秘密を始めとする国民の権利と自由を不当に害することがないようにする、そういう一般条項、大臣に言わせれば、それはあってもなくても一緒だと言われるかもしれませんが、だけれども、やはり運用に当たってそういう柱が一本立っているということは慎重な運用ということにつながりますので、そういうことが必要ではないか、必要であるというふうに考えておりますが、その点、大臣の見解をお聞きしたいと思います。
○平国務大臣 通信の秘密に対しては、当然最大限守られるべきものという認識をしっかり持った上で、目的も明確化をし、手続も明確化をし、いわゆる三条委員会でしっかり見ていただく、その上で国会報告もしていただくという前提の中で、通信の秘密に関しての最大限配慮をし、まさにこれは公共の福祉と両立をしているものと思います。
実際書き込むべきではないかという御指摘でありますが、私がここで従来言っているように、憲法にも書いてありますし、憲法の下で合憲な法律を我々作っているつもりなので、政府の立場としては書く必要はないというふうに思っておりますが、今また法案修正に向けたいろいろな議論がされているというふうに承知をしておりますので、そういった議論を、我々はコメントする立場にありませんので、見守りたい、そのように思っております。
○岡田(克)委員 大臣、余りはっきり必要がないと言うと、規定を置いても意味がないことになりますから、政府の解釈として。やはりそれは、規定を置けばそれなりの意味があるというふうに私は思いますが、いかがですか。
○平国務大臣 法体系全体として見ていただければという趣旨でお話をさせていただいております。念のため置くという法律の書き方は当然あるわけでありますので、そういった意味では、意味が全くないということはないとは思います。
○岡田(克)委員 他の法律でそういう趣旨の規定が入っている中で今回入っていないということになると、反対解釈という可能性もありますから、そういう意味でも、しっかりとしたそういう規定は必要だというふうに申し上げておきたいと思います。
次に参ります。
総務大臣と法制局長官はここで結構ですので、お帰りください。
昨日議論になりました外務大臣との協議の問題について。分かりやすく言うと、昨日の答弁、あるいは、文書で示すことになっておりますが、基本的な方針については、外務省設置法に基づいて、外務大臣が安全保障会議で意見を述べることができる、個別のアクセス・無害化措置については、それについて外務大臣協議があるんですが、その協議というのは、あくまでも違法かどうかという点での判断だ、政策的観点からの判断というのはしないんだというのが、基本的な政府がお示しされた見解だというふうに思います。
外務省にちょっとお聞きしたいというふうに思いますが、アクセス・無害化措置に関して、外務大臣は外交上の配慮を安全保障会議などで言うということですが、具体的に、外交上の配慮というのはどういうものがあるんでしょうか。もちろん余り具体的過ぎるといけないと思いますが、一例、二例挙げていただきたいと思います。
○中村政府参考人 お答えいたします。
政策的な観点から、国家安全保障会議における審議等において、外務大臣が参画し、考慮する外交上の観点というのがどういう中身かという御質問かと理解いたしました。
御推察いただけると思いますが、外交上の観点あるいは外交上の配慮というのは、問題となっている関係国あるいはそれを取り巻く状況などを踏まえて、個別具体で判断されるものでございます。という性格でございますので、大変恐縮ですが、今申し上げたこと以上に個別具体的に踏み込んで例示となりますと、なかなか難しいものがございます。
ただいま申し上げたように、問題となる関係国及びそれを取り巻く事情、状況等を、まさに外交をつかさどる当局としての観点から考慮し、議論に参画するということでございます。
○岡田(克)委員 外務省の示された見解だと、個別のアクセス・無害化措置についてはそういう観点での判断はしない、協議を受けたときに。そういう理解をしておりますが、そうすると、個別のアクセス・無害化措置を発動するときに、そういった外交的な観点からの見解は誰が判断するんでしょうか。
○斉田政府参考人 お答え申し上げます。
政策的な観点につきましては、アクセス・無害化措置、これにつきましては、外交上の観点を含む様々な要素を考慮して実施されるべきものであるということでございます。これらを政府全体として検討するために、国外に所在するサーバー等への措置の実施に当たりましては、国家安全保障会議四大臣会合において速やかに議論し、対処方針を定めることとされております。その審議には外務大臣も参加し、主に外交政策上の観点から議論に参画するということにいたしております。
○岡田(克)委員 ちょっと私の質問に答えてもらっていないんだけれども。総論的には、そういう安全保障会議などで外務大臣も参加をして、そこで意見を述べて外交的な観点からも基準を作ると。具体的な基準については先ほど述べていただけなかったんですが。しかし、個別のアクセス・無害化措置については、そこは判断しないと。つまり、違法かどうかだけ判断するんだというのが外務省の答弁じゃないですか。だから、個別の具体的な無害化措置を行うときには、外務省は違法かどうかの判断だけして、ほかは関与しないということですね。
○斉田政府参考人 お答え申し上げます。
今回定められております外務大臣との協議でございますけれども、これにつきましては、あくまでもその措置が国際法上許容される範囲内のものかどうかのみを判断するということになります。
政策的な観点につきましては、繰り返しになるところでございますけれども、国家安全保障会議四大臣会合の方で速やかに議論し、対処方針を定めるということに尽きるかと存じます。
○岡田(克)委員 何回同じ質問をしても同じ答えしか返ってこないんですが、政府の作った資料でも、サイバー攻撃の実態を踏まえて、アクセス・無害化についての総論的な意思決定は国家安全保障会議で行う、そこに外務大臣も入っていると。しかし、個別のアクセス・無害化措置について、警察、自衛隊の役割分担等を検討、決定した上で、内閣サイバー官が、国家安全保障局の次長を兼務しているということですが、そこで判断する、外務大臣には、それが国際法上問題があるかどうかを協議する、それ以上のことはしないということになると、個別のアクセス・無害化措置については、外交上どうかという判断は外務省はしないことになっているんじゃないですか。それが昨日の答弁じゃないですか。いかがですか。
○中村政府参考人 先ほどの答弁を補足してお答えさせていただきます。
アクセス・無害化措置の関係でございますが、アクセス・無害化措置を我が国が国外に所在するサーバー等に対して実施するに当たりましては、国家安全保障会議四大臣会合で速やかに議論し、対処方針等を定めるということとなっております。つまり、国外に所在するサーバー等にアクセス・無害化措置をこれからやるかどうかという判断をするに当たっては、このNSC四大臣会合で議論するとなっている。
ここで、先ほど御答弁申し上げたとおり、政策的な観点からの審議というのが行われまして、外務大臣、外務省につきましては、その所掌事務に従って、外交上の観点を含みます外交政策上の観点から議論に参画するということでございます。なので、政策的な観点からいえば、この段階で外交上の観点というのは考慮される。
その上で、今回の改正法に基づきます協議が行われますが、この協議の段階では、国際法上許容されている範囲で措置が行われるかという観点から、外務省はその協議に応ずるということになります。
○岡田(克)委員 それじゃ、確認しますけれども、この国家安全保障会議で対処方針を決めるというのは、一般的な対処方針、あるいは、特定の国についてこうするとか、そういう対処方針ではなくて、個別のアクセス・無害化措置を講じるかどうかということについても国家安全保障会議で対処方針を決めるということですか。
○小柳政府参考人 お答えを申し上げます。
国家安全保障会議は、国家安全保障会議設置法に基づいて所掌事務が決められておりまして、その範囲内での議論をすることになるわけでございますけれども、基本的には、説明資料等で示してございますとおり、総論的な方針ということを考えてございます。
しかしながら、個別の事案においても、大きな国家安全保障に関わるような事項が出てまいりましたら、それは議論の対象となるというふうに考えますし、もとより、個別の外国に対するアクセス・無害化の判断に関しましては、内閣官房が総合調整の機能を担っておりまして、その総合調整の機能の下で、情報を共有して、必要なときには外務省にもその情報が行って、外務省で外交的な政策に係る御判断もなされるということになるんだろうなというふうに考えてございます。
○岡田(克)委員 総合的なというのは非常に便利な言葉ですが、外務省設置法では、日本国の安全保障に係る外交政策に関すること、これは外務省の専管事項だと思うんですね。それが個別のサイバー攻撃に対する措置について適用されない、安全保障会議に戻らないとできないというのは、それで本当に外務省はいいんですか。
○斉田政府参考人 お答え申し上げます。
外務省といたしましては、今先生の方からございましたけれども、国際法の解釈、実施、これに加えまして、我が国の安全保障、これに係る外交政策を所掌する、そういう立場から、アクセス・無害化措置の実施に当たっても、外務大臣が果たす役割を補佐すべく、平素から関係省庁と様々なやり取りを行っていきたいというふうに考えております。
○岡田(克)委員 ですから、平素からになっちゃうんですね。具体的な場合にはどうなのかということを私は聞いているわけです。
何でこんなことを申し上げるかというと、そういう個別のアクセス・無害化措置というときに、やはりタイミングの問題とかがすごく重要になってくるわけですね。ちょっと昔の話をさせていただくと、尖閣の国有化の話がありました。野田政権のときの判断であります。私は官邸におりましたので直接は関与しておりませんが、間接的には見聞きはしておりました。あのときに、国有化をいつやるのか、胡錦濤体制が続いている間にやるべきなのか、新しい習近平体制になってからやるべきなのかということは、私の判断ですが、当然議論になったはずだと思っているわけですね。
結果的には、今まで説明を尽くしてきたと日本側は理解していましたので、胡錦濤体制の中で決めた方がいいという判断を私はしたんだと思うんですが、それほどぎりぎりのところで、タイミングをどうするか、そういう話はやはり外務省が関与していないと、基本方針のところで入っていますから、国家安全保障会議のメンバーですからと、そういうことでは通用しないんじゃないかと私は思うんです。
せっかく協議するという規定があるのなら、違法性がどうかだけじゃなくて、そういうことも含めて、設置法に基づいてやはり協議を受けるべきじゃないかと思うんですが、いかがですか。
○小柳政府参考人 ちょっと、やや繰り返し的になりますが御説明をいたしますと、内閣官房は、内閣の重要政策に関する総合調整の機能を持っておりまして、今般、内閣官房に内閣サイバー官が設置をされ、司令塔の役割を果たすこととされております。
そうした中で、国家安全保障会議では総論的な方針等が決められて、必要に応じて、もし大きい事案が生じた場合には、多分、個別の事案についても審議されることがあるとは思いますが、基本的には、内閣官房で情報を集約して、必要な総合調整を行いつつ、関係省庁に情報を共有をいたします。
その共有先として当然外務省も含まれるということでありますので、情報共有を受けた外務省におきまして、政策的な検討というのは当然、個別の案件についてもなされていくという形になるというふうに考えてございます。
○岡田(克)委員 非常に重要なタイミングの問題などについて、外務省が、協議は受けるんですよ、だけれども判断できないというのは、私は、非常におかしなことだし、それから、法律にそもそもそんなことは書いていないのに、答弁でおっしゃっているだけですよね。具体的に法律で、協議を受けるときに何の協議を受けるのかというのをちゃんと書いた方が私はいいと思うし、そこに外交的視点からの判断というのは当然含めるべきだというふうに考えますが、いかがですか。
○中村政府参考人 お答えいたします。
国家安全保障会議におけます総論的な方針の決定、あるいは、重大な個別の事案が生起し得る場合に開催され得る国家安全保障会議において、先ほどの、外務大臣の審議への参加という形で外交上の観点が考慮されるということは、御答弁があったとおりでございます。
もちろん、これに加えまして、外務省は、平素から、国際法の解釈、実施、あるいは我が国の安全保障に係る外交政策、これらを所掌する立場から、アクセス・無害化措置の実施に当たりましては、当然、外務大臣が果たす役割がございますので、そういう外務大臣の果たす役割を補佐する組織といたしまして、平素から関係省庁と様々なやり取りを行っております。そうしたやり取りの中で、当然、議員御指摘の観点も考慮し、審議して、外務省として外務省の所管の範囲内で対応していくということになります。
○岡田(克)委員 個別のアクセス・無害化措置における国家安全保障会議の役割というものをきちんと整理して委員会に示していただきたいと思いますので、委員長、よろしくお願いします。
○遠藤委員長 理事会で協議いたします。
○岡田(克)委員 じゃ、次に行きます。
通信防護措置について、内閣総理大臣が自衛隊に対して命ずるということになっていますが、内閣総理大臣がこういう自衛隊法で直接発するケースというのは、私の理解で四つ、防衛出動、それから治安出動が二つ、二類型、それから警護出動ということだと思うんですね。このうちの防衛出動と、それから治安出動の七十八条に関して、国会の承認ということが義務づけられています。もう一つ言うと、弾道ミサイル破壊措置、八十二条の三、ここにおいても、これは発動するのは総理じゃなくて防衛大臣で、総理の承認が要るということですが、国会に対して結果報告を速やかに行わなければならないということになっています。
そういうこととのバランスから考えて、この法律で通信防護措置を内閣総理大臣の命令によって講じたときに、国会がそれについて関与しないというのは、私は、事前の承認というのは非現実的な部分もあると思いますので、少なくともミサイル破壊措置と同様な、速やかな結果報告というものを法文で書くべきじゃないかと思うんですが、防衛大臣、いかがですか。
○中谷国務大臣 自衛隊の通信防護措置というのは、治安出動等が発令されるような状況、すなわち一般の警察力では治安を維持することができないような事態に発令されるものではありません。そのために認められている権限や措置の影響は警察が実施するものと同等でありまして、警職法第六条の二に基づく措置は行使するものの、武器使用などは認められておりません。このような観点から、国民の権利義務に与える影響というのは限定的であるということであります。
さらに、措置の実施後の国会報告につきましては、当該措置の内容を明らかにするということは、当該措置を受けた攻撃者が自衛隊による措置であるということを認知をし対策を講じるなど、結果的に攻撃者を利することにつながるおそれがあります。サイバー攻撃から国家国民を守るという今般の法整備の趣旨を踏まえますと、実効性の確保というのは重要であります。
したがって、通信防護措置による国民の権利義務に与える影響及び措置の実効性の確保という観点から、通信防護措置の終了後に一律に国会報告を行うことは法定する必要はなくて、また適切でないと考えておりまして、このような考え方を前提としつつ、通信防護措置の実施に当たりましては、内閣総理大臣の命令に基づき、防衛大臣による指揮を受けるということを法定をしておりますので、この観点から、シビリアンコントロールの観点からも適切な措置が確保されているというふうに考えております。
○岡田(克)委員 警察がやる場合と自衛隊がやる場合で同じだみたいな御議論だったですが、これは明らかに違いますよね、要件も全然違うわけですから。
そして、国家国民の安全を著しく損なう事態が生ずるおそれが大きい場合に自衛隊が行動するということになっているわけで、別に国民の権利義務に関係ないみたいな話というのは全く事実誤認だというふうに思いますが、いかがですか。
○中谷国務大臣 治安出動というのは、一般の警察力では治安を維持することができないような状態に発令されるものでありまして、これは警察と一緒に活動するわけでございます。そのために認められている権限、措置の影響は、警察が実施するものと同等でございます。また、警職法の準用に基づく権限は行使するものの、武器の使用、これは認められておりませんので、このような観点から、国民の権利義務に与える影響は限定的であるということであります。
○岡田(克)委員 でも、やり方を間違えたら、相手は武力攻撃だというふうに認定して、エスカレートする可能性もありますよね。だから、そこはしっかりとシビリアンコントロールで本当は私は見るべきだと思いますよ。
それから、さっき言われた、手のうちをさらすことになるとか、そういう議論というのは、私は全く理解に苦しむんです。つまり、行政官は秘密を守れるけれども、国会議員は守れないと言っているようなものじゃないですか。だけれども、国会にもいろいろな仕組みがありますよね、秘密会とか。秘密会だって、よりそれを限定するやり方とか、それは国会の中で議論すればいろいろなバリエーションは考えられるはずです。
だから、国会でやるとばれちゃうから、それは手のうちをさらすことになってよくないとかいうような答弁というのは、大臣、取り消した方がいいと思いますが、いかがですか。
○平国務大臣 アクセス・無害化措置を自衛隊が行ったときに事後に逐一報告をということで、手のうちをばらすというような議論は何かよく分からぬ、理解できぬという御指摘だと思いますが、一連のボットネットとハッカー集団がいて、これはすごい長い戦いをしていかなきゃいけないんですね。
一回ミサイルが飛んできて、それに対する、ミサイルで迎撃をするというのと若干ちょっと趣が違っていて、逐一やると、我々が把握をする能力であったり対処する能力であったり、そもそも日本の自衛隊がこの無害化措置をやったんだというのを敵に知らしめることになります。あと、同盟国、同志国と連携をしてハッカー集団と対峙をしているときに、外国の政府にも迷惑をかけることになりかねないので、逐一報告というのは、多分サイバーセキュリティーの世界ではなかなか難しいんだろうというふうに思っています。
その上で、質問の、秘密会があるとか、ほかの方法があるのではないかということでありますので、どこに報告するかは国会の方で決めていただければと思います。
ただ、一方で、そういった手のうちを攻撃者にさらしてしまうようなことはやはり慎重に検討しなければいけないんだろうと思っています。
○岡田(克)委員 自衛隊のアクセス・無害化措置も期限を切って行われるものですね。だから、その期限が切れたところで報告を求めるということで、逐一なんて言っていないですよ。非常にここのところが私は納得がいかないわけで。
もちろん、これはこの話だけではなくて、国会と行政、その役割をどう考えていくのか、国会の行政に対するチェック機能というものをどう考えるべきなのか、そういう大きな議論の中で行われる話だとは思いますが、例えば情監審をつくりました、でも、情監審のできることは、非常に手足を縛られています。本当にそれでいいのか。私は、衆議院において野党が多数を取った現状、いや、与党の皆さんも本当にそれでいいのかと思っておられる方は多いと思いますよ。やはり国会と行政の役割をもう一度しっかりと見直していく必要があるということは申し上げておきたいと思います。
時間が来ましたから、この辺にします。
○遠藤委員長 次に、篠原豪君。
○篠原(豪)委員 篠原豪でございます。
連合審査の質疑の機会を与えていただきまして、ありがとうございます。
私からは、この間のいろいろな様々な議論を聞いていますと、ちょっといろいろとすれ違っているところもあったりもするので、整理もしながらというふうに思っておりますので、どうぞよろしくお願いいたします。
サイバー攻撃の脅威が年々高まっていて、攻撃の予兆を事前に察知をして被害拡大を抑える仕組みが必要であるということに、聞いていますと、異論を唱える人は余りいないんだろうというふうにまず思います。
一方で、問題なのは、サイバー対策を行うに当たって、今日もありましたけれども、憲法で保障された通信の秘密に配慮することは、何で皆さんがそうやって言うかといえば、これは民主主義国家を守るための要諦だからでございまして、その中で、実効性のあるサイバー対策と通信の秘密の保障が今回の法案についてどのように両立しているかということでございました。
この大きな論点ということで考えますと、まず、能動的サイバー防御の特徴というものはどんなものなのかということを整理をさせていただきたいと思います。
サイバー対策を目的として制定されているこれまでの法律は、サイバー犯罪が発生した後、被害届を受けて警察がサイバー犯罪を捜査し、最終的には犯人を特定するということが目標であると考えます。また、捜査に必要な通信の秘密に関わる情報は、これは犯罪捜査ですから、今までは裁判所の令状が当然必要になるということでございます。一方、今回の能動的サイバー防御では、サイバー攻撃の被害を未然に防ぐための措置を取ることが目的なので、まず、サイバー攻撃が行われる前の攻撃の前兆を検知をし、次いで、攻撃元のサーバーを特定することを目的として通信情報の収集、分析を行います。しかしながら、この時点では、犯人が特定されているということでは必ずしもないわけです。
したがって、さっきの話にもありましたけれども、国家を背景とする主体によるサイバー攻撃である場合、自衛隊がアクセス・無害化措置を取るとの政府の説明は、攻撃主体として国家主体が特定されていることを意味するのではなくて、サイバー攻撃の態様が、これまでの経験知などから、営利等を目的とした犯罪組織などの非国家主体サイバー攻撃のレベルをはるかに超えているということを意味しているんじゃないかと思います。
この点について、政府はどういうふうに説明されるのかをもう一度お伺いしたいと思います。
○中谷国務大臣 新設をいたします自衛隊法八十一条の三の通信防護措置における本邦外にある者による特に高度に組織的かつ計画的な行為に該当するサイバー攻撃として主に念頭に置いているのは、例えば、国家のリソースを投じることなどによりまして、まず、対象システム内に長期潜伏できる高い組織性や計画性を備え、堅牢な攻撃インフラを構築をし、そして、未知の脆弱性等の高度な手法を用いるなどの特徴を有しているものということを想定をいたしております。
こうしたサイバー攻撃に対処するために自衛隊の特別な能力を用いるほかない場合が存在するために、通信防護措置においては、このような主体による高度なサイバー攻撃を念頭に置いて対処することとして、特に高度に組織的な、計画的な行為と規定をいたしております。
当該要件については、必ずしも国家によるサイバー攻撃であるということを特定しなければならないものではなくて、他の主体によるものであっても、その組織性、計画性、攻撃手法やその態様といった観点からも、本邦外にある者による特に高度に組織的かつ計画的な行為と認められることは排除をされておりません。
なお、サイバー攻撃の実施主体を説明するものとして用いている国家を背景とする主体という表現は、あくまで、本邦外にある者による特に高度に組織的かつ計画的な行為の趣旨を簡明に説明しているものであります。
○篠原(豪)委員 攻撃主体の話というのがずっと議論されていましたので、もう一度伺いました。
この主体というのは、やはり攻撃主体というものの特定にこだわって、逆にサイバー攻撃の無害化が遅れるということもありますので、この辺は本当にバランスだと思いますけれども、ただ、これまでの国会の議論の中でやはり心配されていることがあるので、その点については国民の皆様にもしっかりと分かるように、また我々国会議員にも分かるように政府は説明していただきたいと思いますので、よろしくお願いします。
次に、能動的サイバー防御における通信の秘密ということでお伺いしていきます。
先ほど申し上げましたように、今回のサイバー防御における通信の秘密に関わる情報というのは、具体的な攻撃が顕在化する前、すなわち、捜査の前提になる犯罪事実がない段階から取得する必要が出てくるわけですね。犯罪捜査でない以上は裁判所の令状は取ることは当然できない、そして、さらに、通信情報の取得について事前の同意を得ることも、これは送信者にはサイバー攻撃を意図する者が含まれているので、事実上不可能なんだろうと考えます。
このために、それらに代わって、通信の秘密を守る手段として、本法案では、先ほどもありましたけれども、まず、通信事業者から集めた情報を人間が関与しない自動的な方法で選別をします。分析するのは、IPアドレスや送信日時といったメタデータです。それが中心なので、メールの中身や件名、IP電話というのもありますけれども、これの本質的な内容は分析をしません。分析の対象外の情報は直ちに消去するというふうに説明してきています。
こうした手続がサイバー対策と通信の秘密の確保を両立させるための対応であるということを御説明してきているんですが、大事なことは、攻撃前の予防措置であるという以上、捜査令状を取ることは不可能で、通信情報の取得について送信者の同意を得ることも、サイバー攻撃者が含まれている以上、事実上不可能だということは申し上げましたけれども、自動選別がその代替内容とはいえ、その有効性をどういうふうに確かめることができるかというのが、通信の秘密を守るという、先ほどの質問ですけれども、内容につながってくるかということなので、問題ないのであれば、しっかりといま一度整理して、お答えいただければと思います。
○平国務大臣 本法律案による通信情報の利用は、同意によらずに利用する場合であっても、何人にも閲覧などの知得をされない自動的な方法によって、不正な行為に関係があると認めるに足りる機械的情報のみが選別をされ分析をされるものであることに加えて、国家及び国民の安全の確保などの観点から重要な電子計算機における一定の被害を防止をするという高い公益性があります。また、他の方法によっては実態の把握や分析が著しく困難である場合に限り行うという制約を課すとともに、独立機関による継続的な検査など、様々な措置を講じることとしています。
したがって、本法律案の定める同意によらない通信情報の利用の措置は裁判官の令状によるものではありませんが、通信の秘密との関係において、公共の福祉の観点から必要やむを得ない限度の制約にとどまるものとなっております。
○篠原(豪)委員 その自動選別をしていただいた上で、今度は手作業の選別の問題ということになります。
個人を識別できないように非識別化措置を手作業で行うというふうに、本質的な内容を除いたメタデータの後はこれを手作業でやっていく、通信の秘密を不当に侵害する懸念はないのかということが考えられるんだと思います。
メール本文に含まれるウイルスの抽出も、手作業であれば同じ懸念が生まれると思うんですけれども、この点をどのように考えているのかということを簡単に伺います。
○平国務大臣 御指摘のように、非識別化措置を取る際には、機械的情報に含まれる個人を識別することができることとなるおそれが大きいと認められる情報を網羅的に自動的な方法で判別をすることは技術的に困難であります。手作業により非識別化措置を講ずることを想定しています。
この場合であっても、国家及び国民の安全の確保等の観点から重要な電子計算機における一定の被害を防止するという高い公益性を踏まえて、自動的な方法によって、不正な行為に関係があると認められるに足りる機械的情報として選別されるものだけが対象であり、また、手作業の過程で知り得た通信情報の秘密の漏えい、盗用には罰則が科せられ、さらに、独立機関による継続的な検査が行われるなど、様々な措置が講じられるため、通信の秘密に対する制約は公共の福祉の観点から必要やむを得ない限度にとどまり、憲法違反となるものではないと考えております。
また、メールに含まれているウイルスの情報が一定の重大サイバー攻撃に関係があると認められる機械的情報に該当する場合には、その分析は可能ですが、機械的情報を取り出すのは、非識別化措置ではなく、自動的な方法による選別によることとなります。先ほど申し上げた、岡田委員の御質問に答えた、検索でできますので、手作業で選別を行うことはありません。
○篠原(豪)委員 次に、選別主体の問題について伺います。
自動選別とその後の手動的な選別作業は、全て政府の責任でやるということで間違いないのか。これは、費用だけでなく、自前のシステムを用意してきちっと選別するので、通信事業者が選別作業に関わることは一切ないということで考えていいんでしょうか。
○平国務大臣 法律上、自動選別は内閣総理大臣が実施するものとして明確に規定をしています。また、本法律案では、通信情報保有機関や委託事業者などの他の機関に選別前の通信情報を提供することを許容する規定はありません。
このため、通信事業者が自動選別の実施そのものに関与することは想定されません。
○篠原(豪)委員 ですので、手動的な選別も含めて全て政府の責任でやるのかということを伺っていまして、これは何でかというと、通信情報の利用の適正確保のために設置される第三者機関の所掌範囲の問題になるからなので、伺っています。
外部の通信事業者を含むか含まないかというのは、これは第三者機関の性格を大きく変える可能性があるので、あえて聞いています。
○平国務大臣 政府の責任においてしっかり行います。
○篠原(豪)委員 第三者機関の実効性確保の上で重要なことであるので、お伺いをいたしました。
次に、対象期間を限定した通信の情報の監視ということでございます。
通信事業者の通信情報量は莫大ですよね。その全てを常時監視することは不可能だということで、非効率的でもあるので、そのために、本法案では、一定期間を限って通信情報の送信を受けた上で、自動選別によって、怪しいと思われる機械的情報のみを取り出して分析するということは先ほどからもあるとおりだと思うんですが、この疑わしい機械的情報に絞って重点的に監視するためには、それを可能にする別の情報が必要と考えられます。今回の法案には、その情報の取得手段が必ずしも明示されていないんですね。だから、このことがやはり議論の中で法律の実効性に一抹の不安を感じさせる理由になっているんだと、これまでの議論を聞いていて考えています。
私は、これまでのサイバー犯罪捜査や外国からの情報等がありますので、別の法律に基づいて蓄積された情報というのは今回の法案とやはり一体として考えることが必要だし、実際に政府はそういうふうにしているんだということをなかなか説明をされないので、それはきちっとやはり丁寧に説明することが実効性への不安の解消になるのではないかと思っていますが、この点についてどのように受け止められているのかを伺います。
○平国務大臣 同意によらず通信情報を取得するための措置を講ずるに当たっては、一定の不正な行為に用いられていると疑うに足りる状況のある特定の国外設備を送信元又は送信先若しくはその両方とし、用いられていると疑うに足りる状況のある特定の機械的情報が含まれているものを分析をしなければ被害を防止をすることが著しく困難であるなどの要件を満たす場合にこれを行うこととしております。済みません、前提です。
こうした要件を満たしていることを判断するためには、あらかじめ他の方法等により取得した情報を活用することが必要であるものと考えております。
このため、例えば、本法律案に基づくインシデント報告の規定による事業者からの情報提供、本法律案に基づく当事者協定により取得した通信情報の分析、セキュリティー専門企業が公表した情報、関係省庁や外国政府からの情報提供等を通じて様々な情報を取得し、これらを一体的に活用することで、通信情報を取得するための措置を新たに講じることを想定をしています。
なお、こうした情報収集に当たっては、フォレンジック調査により得られた情報も含まれ得るものと考えています。
○篠原(豪)委員 まさにそこなんですね。そのフォレンジック調査というのは予備調査なんですけれども、その予備調査をして総合的に判断するんですよということが、この法案の中身だけを言っていると全体像が見えないので、そこをしっかりと、今までにあるものも活用して、この法案の中身も入れて、一体としてなっているということですので、そのことが余りこれまで政府から説明されていないので、今説明していただきましたけれども、この点はやはりしっかりと教えていただく必要があると思いましたので、聞かせていただきました。全体像が見えないですからね。
なので、今回の法案は、従来のサイバー対処法と一体のものとして説明されるべきだと考えています。
次に、アクセス・無害化措置と国際法との整合性、これも議論になってまいりました。
やはり政府の立場を明確にするためにお伺いするんですけれども、国際法では、基本的に、外国において公権力の行使を行うことは認められていません。
サイバー空間のルールの特殊性について伺っていきます。
例えば、日本政府が、他国の領域で、その同意なしに直接犯罪者を逮捕することはできないわけですよね。いろいろな協定があって、どうするかということを各国が条約で決めて今こうやっているわけなので、勝手に行って、出ていくわけにはいかない。
これが、サイバー攻撃においては、攻撃サーバーが外国にあっても、当該国の政府で攻撃者を取り締まるという例は少ないわけです。その国の中だって、どういうふうに取り締まったらいいかと分かっていない国が多い中で、技術はどんどん増えているし、そういうハッカーの人たちが出てきて、攻撃者もいっぱい出てくるわけなんです。
世界的な潮流としては、少なくとも、差し迫った攻撃の防御は、攻撃の対象となった国の自己責任であることは、国際的な傾向に今なってきているように見ています。こうしたサイバー空間に関する現実が能動的サイバー防御という考え方を生み出して、今回の法案により、アクセス・無害化措置の国内法上の根拠を整備をし、外国にある攻撃のサーバーをアクセス・無害化措置の対象としているというふうに思います。
外国領域に所在するサーバーに対する今回の措置がどのようにその中で正当化されるのかということを、まだルールというのが余り定まっていない中でありますので、今の時点でどういうふうに説明しているかということをもう一度整理して伺いたいと思います。
○平国務大臣 武力攻撃に至らないものの、国や重要なインフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、又はそのような重大なサイバー攻撃が発生した場合に、これを未然に防止するため、又は被害の拡大を防止するために、我が国がその攻撃元となっている国外に所在するサーバー等に対して必要なサイバー行動を取ることは、国際法上、一定の状況において許容されているものと認識をしています。
また、警察法において権限を及ぼすことができる区域は、我が国の領域に限られず、外国の領域も含まれると解されており、警職法に基づいた権限も含め、いわゆる警察力の外国における行使は国内法上否定されているものではないと考えています。
したがって、現行法上、外国の領域においても、国際法上許容される限り、その職務に必要な限度で権限を行使することができるところであり、今般の警職法改正において必要な権限等を整備することとしても問題はないと考えております。
○篠原(豪)委員 能動サイバー法案は、サイバー空間に関する国際法を生成していく一つの試みであるということなので、今のところでできますよという話だけじゃなくて、まだグレーゾーンのところがいっぱいあるので、そのための、日本としても、先進国としての取組というのをどういうふうにしていくかということを考えてやっていくというのはこれから大事なので、そのことについてもしっかりやっていただきたいということで聞かせていただきましたので、是非よろしくお願いします。
緊急状態と国際法上の対抗措置について伺いたいと思うんです。
外国にある攻撃サーバーへのアクセス・無害化措置が相手国から違法であると主張される場合、その違法性を阻却する国際法上の根拠について、政府は、緊急状態又は国際法上の対抗措置と述べている。
仮に緊急状態を援用するとすれば、国家責任条文上の要件があり、その一つとして、補充性の原則、つまり、無害化措置を取るしか方法がないということが明確でなければいけないということなんですが、しかし、こうした攻撃を防ぐ手段として、攻撃元のサーバーへのアクセス・無害化措置だけではなくて、サーバーの管理者に要請して、ボット化された攻撃先のサーバーのボット化を解除することも有力な選択肢だと考えています。
したがって、緊急状態としてアクセスの無害化措置を行うのであれば、こうしたサーバーの管理者の協力を得られない、あるいは、それでは対処できないという場合でない限り、攻撃元のサーバーへのアクセス・無害化措置は国際法上許されないと考えるのか、それとも許されると考えているのか、この点について伺います。
○平国務大臣 緊急状態を援用する場合には、唯一の手段という要件を満たす必要があります。
アクセス・無害化措置は、例えば、協力を要請するのでは被害の発生を未然に防ぐことができないなど、当該措置を取る以外に選択肢がない状況において取られるものであることから、国家責任条文第二十五条に言う唯一の手段という要件を満たす状況の下で行われることになるものと認識をしています。
いずれにせよ、外国に所在する攻撃サーバー等へのアクセス・無害化措置を行う場合に、措置の実施主体は、警察庁長官又は防衛大臣を通じて、あらかじめ外務大臣と協議をしなければならないこととしており、国際法上許容される範囲内で措置を行うことを確保することになります。
○篠原(豪)委員 協議の話は先ほど岡田委員からもお話がありましたので、私も聞かせていただきたいと思うんです。
海外の攻撃元サーバー等への措置を取るに当たっては、外務大臣と事前協議を行い、国際法上のアドバイスを受けることになっているということで今御説明があり、その際にはどうするかということが議論にずっとなってきているんですけれども、そのアドバイスを受けるときには、どのようなアクセス・無害化措置が取られるのか、これは具体的に示して意見を求めるんでしょうか。
○平国務大臣 警察及び自衛隊が外国に所在する攻撃サーバー等へのアクセス・無害化措置を行う場合には、措置の実施主体は、警察庁長官又は防衛大臣を通じて、あらかじめ外務大臣と協議をしなければならないこととしています。これは、当該措置が国際法上許容されている範囲内で行われることを確保する観点から行われるものであります。
このため、措置の実施主体は、例えば、重大な危害の内容や我が国が取る措置の内容、さらには措置の対象となるサーバー等を具体的に示した上で協議を行います。これを受け、外務省においては評価、判断を行い、協議が調えば、国際法上許容される範囲内で措置を取ることとなります。
差し迫った危害に対処する上で、この協議を迅速に行うことが極めて重要でありますので、平素から、内閣官房、警察庁、防衛省及び外務省の間で緊密に連携をし、協議を適切かつ迅速に行うことができるように取り組んでまいります。
○篠原(豪)委員 つまり、その具体的なアクセス・無害化措置を、具体的に何をどうするのかということまで、今回の事例を全て示した上で、そして外務大臣の国際法上のアドバイスを得るということでいいんですよね。そこのところをもう一度、皆さん、そこを悩んでいらっしゃるので。
○平国務大臣 御指摘のとおりでありまして、重大な危害の内容は何か、あとは我が国が取る措置の内容、さらに措置の対象となるサーバー等を具体的に示した上で協議を行います。
○篠原(豪)委員 内容をしっかりと説明していくということが明らかになったのはよかったことだと思います。
もう時間ですので、最後に伺いたいと思います。
サイバー攻撃の兆候と事前承認の問題がありまして、無害化措置を取るに当たっては、サイバー通信監理委員会の承認を受けることとなっています。この原則に対する例外として、危害防止のためにはサイバー通信情報監理委員会の承認を得るいとまがないと認める特段の理由がある場合ということになっていまして、委員会に事後通知をすることでよいとされています。
サイバー攻撃の兆候の検知は、あくまでも攻撃の予防が目的なので、たまたま攻撃敢行時間が明確で、その時間が切迫しているという場合は別として、その目的に沿って得られたサイバー攻撃の兆候のみから時間の切迫性をどのように判断するのか、ここについてお伺いします。そもそも、時間の切迫性の判断は可能であるのかどうかということをお伺いしたいと思います。
○平国務大臣 アクセス・無害化措置を取るに当たってはサイバー通信情報監理委員会の承認を受けるという原則に対する例外として、危害防止のためにはサイバー通信情報監理委員会の承認を得るいとまがないと認める特段の事由がある場合を想定しておりますが、その例としては、サイバー攻撃により基幹インフラ事業者に現に重大な障害が発生している状況、攻撃者によるサイバー攻撃の敢行予定日時等が判明したが、既に予定時刻が切迫している状況が想定されるものと考えております。
なお、こうした状況について、サイバー対処能力強化法案に基づき、政府に集約される基幹インフラからのインシデント報告や通信情報の利用を通じて得られる情報のほか、防衛省、警察庁等が独自に収集した情報、外国機関から提供される情報なども活用し、総合的に分析、判断をしていくことになります。
○篠原(豪)委員 ありがとうございました。
時間ですので終わらせていただきますけれども、結局、だから、サイバー攻撃の兆候が分かっても、攻撃の切迫性は周辺情報によらなければ分からない。さっきのフォレンジック調査、予備調査でありますけれども、こういったものを総合的にずっと見ているわけなので、事前承認が原則なんだということをしっかり説明していただければ、うなずいていらっしゃいますけれども、そういうことなんですよね。
なので、それが分かれば説得性が出てくるんだろうと思いますので、この点の説明が足りないので、しっかりしていただきたいということをお願い申し上げまして、私の質問とさせていただきます。
ありがとうございました。
○遠藤委員長 次に、伊東信久君。
○伊東(信)委員 日本維新の会の伊東信久でございます。
本日は連合審査ということで、大臣、皆様、よろしくお願いいたします。
通告に従って質問させていただきますけれども、ちょっと質問量も多いので、幾つかはしょりながら質問という形になるんですけれども、まずは内内通信に関して御質問させていただきたいと思うんです。
総務省所管の情報通信研究機構のnicterプロジェクトにおきまして、大規模サイバー攻撃観測網、いわゆるダークネット観測網を構築しておりまして、二〇二四年の年間総観測パケット数は約六千八百六十二億パケットにも上りまして、これはIPアドレスに約十三秒に一回の攻撃の試みがあったことが分かります。資料一に示させていただいておるわけですけれども。
また一方、警察庁もインターネット上にセンサーを設置して、脆弱性探索行為の不審なアクセス件数、これを調べておるわけですけれども、これも増加の一途をたどっております。
一方で、その大部分は、九九・四%の送信元は海外であるということで、これが今回の法案の立法事実であることは理解できるんですけれども、その事実というか、この法案の審議、若しくはこの法案が決まったことに基づいて、内内通信を分析対象外とすることを逆手に取った、そういった攻撃も想定はされ得ますし、国内の居住者であっても外国政府の強い影響下にある、そういった場合も想定されます。また、諸外国の事例も含めますと、そのことに限定して果たしていいのだろうかということです。
今回は連合審査なので、サイバー攻撃は、やはり数だけではなくて、質というものもあるのではないか。〇・六%というところで、量的には確かに少ないですけれども、その中に烈度の高いサイバー攻撃が含まれ得ることに関して、これは本当に、この委員会で平大臣にはお聞きしたと思うので、今回は、そういった通信を管轄している総務大臣に、この危機意識に関してお聞きしたいと思います。
○村上国務大臣 伊東委員にお答え申し上げます。
先ほどから再々この問題については御質問がありますけれども、サイバー攻撃は、御承知のように、近年巧妙化、複雑化しておりまして、その脅威はますます高まっていると考えております。
サイバー攻撃の状況について、総務省では、国立研究開発法人情報通信研究機構によるネットワーク観測において把握しておりまして、サイバー攻撃の関連通信の大半は、今委員がおっしゃられたように、国外からのものであるということが分かっております。
こうした実態を踏まえますと、現時点におきましては、国外からのサイバー攻撃に対してはより高い危機意識を持っており、また、引き続きその対処をしていきたい、そういうふうに考えております。
○伊東(信)委員 総務省は、そもそも、サイバー攻撃対処研究会で二〇二一年十一月に策定された四次取りまとめで、未知のC2サーバーを検知することは正当業務行為として許容され、検知したC2サーバーに関する情報を適切な事業者団体に提供するということは通信の秘密の保護規定に抵触しないという法的整理がもうなされています。
さらに、二〇〇六年から二〇一一年、ボットネット対策プロジェクトであるCCCという取組、二〇一三年十一月から二〇一八年三月まで、マルウェア感染防止、駆除プロジェクトであるACTIVE等の取組、これは法律に基づかず、違法性阻却事由の検討に基づき対応が進められて、世界にも独自のアプローチであるという指摘もあります。
こういった日本独自のアプローチで、総務省を中心として、これまで違法性阻却事由があったということですけれども、その整理について、改めて総務大臣にお聞きしたいと思います。
○村上国務大臣 インターネットやデジタル機器が国民生活や社会経済に深く浸透する中におきまして、巧妙化、複雑化するサイバー攻撃への対策は極めて重要になっている、そのように認識しております。
先ほど答弁で申し上げましたように、総務省におきましては、国立研究開発法人情報通信研究機構によるネットワークの観測において、サイバー攻撃関連通信の大半は国外であるということでありまして、この実態を踏まえまして、まずは国外からのサイバー攻撃に対して対策を講じていくことがより重要ではないか、そのように考えております。
○伊東(信)委員 総務大臣に御答弁いただいておりまして、ここでちょっと平大臣にもお聞きしたいと思うんです。
当事者協定に基づいて取得した通信情報に関して、大臣は、やはり今まで、公益性の高い目的のために通信情報を利用するという旨をこの委員会でも再三答弁いただいたんですけれども、その考え方の下で、電気通信事業者によるフロー情報分析と同様に、例えば、基幹インフラ事業者と当事者協定を結び、内内通信を分析されるということ。
内内通信を分析対象とすることは、先ほど大臣は、我が党の三木委員がかつて内内通信について御質問したことを、乱暴だという感じでおっしゃったんですけれども、それはちょっといかがなものかなと思うんですけれども。
そういったことも含めて、ちょっと大臣、御答弁ください。
○平国務大臣 乱暴な点があったら、おわびを申し上げたいと思います。
先ほど申し上げているとおり、サイバー攻撃の関連通信は九九・四%が国外からというデータを基に、重要インフラの重要サーバーをサイバー攻撃から守るというところから出発してこの法律ができておりますので、特に内内通信を見る必要はないというふうに我々は考えてきたわけであります。
というような流れの中で、様々な、例えば、御懸念でいえば、国内からも攻撃される可能性があるじゃないかということだというふうに思いますが、例えば国内のサーバーにおいては、総務省を通じて通信事業者から注意喚起を発出するなどの対応もできますし、国内サーバーといえども、法律の要件を満たせばアクセス・無害化はできますので、そういった形で対応してまいりたいと考えております。
○伊東(信)委員 本当にいろいろな要素のバランスやと思うんですね。そういったことも、大臣の中にもちらっと、そういった内内に関しての重要性もどこかに、心にとどめてはるのではないかなと推測しまして、サイバー防御においてやはり何が必要か、その観点から、取組内容については不断の見直しが必要であると御指摘したいと思いますし、我が党には乱暴な人は一人もいませんので、よろしくお願い申し上げます。
次に、警察官職務執行法と自衛隊法とのつなぎに関して御質問させていただきたいと思うんです。
領域外での警察権の行使について、国外に所属するサーバー等に対して我が国の警察権の行使として必要な措置を取ることは、国際法上も一定の状況において許容されるものと認識していると、石破内閣総理大臣が衆議院本会議において答弁されています。
一方、三月二十八日の内閣委員会の大澤参考人は、それぞれの自国内において認められる国際法の属地主義の原則に反する可能性があるとの見解を示されていまして、両者にそごがあるように見受けられますけれども、平大臣、どのようにお考えでしょうか。
○平国務大臣 警察法において権限を及ぼすことができる区域は、我が国の領域に限らず、外国の領域も含まれると解されており、警察官職務執行法に基づいた権限も含め、いわゆる警察力の外国における行使は国内法上も否定されているものではないと考えています。
また、今回のアクセス・無害化措置に関する国際法上の評価については、それぞれの具体的な状況に応じて判断されるため、一概にお答えすることは困難でありますが、我が国に対するサイバー攻撃元となっている国外に所在するサーバー等に対して、我が国が警察権の行使として必要な措置を取ることは、国際法上も一定の状況において許容されているものと認識をしています。
いずれにしても、我が国がアクセス・無害化措置を行うに当たっては、国際法上許容される範囲内で措置を行うこととしております。
○伊東(信)委員 そこで、やはり警察官職務執行法から自衛隊法へのシームレスな対応がここで必要となってくるわけなんです。
大澤参考人は、通信防護措置に関する内閣総理大臣の意思の決定がなされる際に、サイバー通信情報監理委員会の承認が必要であるということなんですけれども、攻撃がリアルタイムで進む中、持ち回りであっても承認を得て実際に活動するとなると、やはりタイムラグが生じるのは物理的に仕方のないことであり、シームレスでタイムリーな対応に問題があるのではないか、そもそも同意が本当に必要なのかと指摘されております。
ここは、現在も現役のラグビープレーヤーである、私のラグビーの師匠である中谷防衛大臣に、同様の懸念を感じているんじゃないかと。常に、ラグビーをやられているときは、フォワードというポジションながら全体を見る目を持っておられますので。
中谷防衛大臣、お答えください。
○中谷国務大臣 自衛隊がアクセス・無害化措置の実施をするに当たりましては、原則として、やはり独立機関による事前承認、これを要します。この独立機関というのは、法律とか情報通信技術に関して専門的な知識を有する方が委員になっておりますので、承認は迅速かつ的確に行われると認識をしております。
もし、事前承認を得るいとまがないと認める特段の事由が生じましたら、当該承認を得ることなく措置の実施が可能となっておりまして、真に必要な場合には、遅きに失することなく必要な措置を講じることができます。
防衛省におきましては、今まで培ってきた能力を基礎としつつ、アクセス・無害化措置を十分なスピード感を持って適切に実施するために、平素からの体制の整備、人材の育成、訓練といった各種政策に取り組み、万全を期す考えでございます。
○伊東(信)委員 今国会におけるこの法案というのは、やはり立法事実も含め、我が国の安全保障を鑑みて非常に大事な法案である。これは皆さん同様の共通認識でありますけれども、我が党の市村議員が申し上げているように、この法案はあくまでも始まりでありますので、これをいかに、成熟もさせていかなければいけないし、フレキシブルに対応を考えていかなければいけないわけなんですけれども、とはいえども、立法機関である国会、この国会のチェックも必要であることも大事でございます。
あと五分少々なんですけれども、最後は、国会に対する報告事項の具体化に関してお聞きしたいと思うんです。
国会に対する報告事項で、政府は、何を報告するかという細部についても含め、最終的にはサイバー通信情報監理委員会が決定して、法律に定められた義務をきちんと果たしていく、そう答弁されています。そのこと自体はそのとおりなんでしょうけれども、一方で、法文上やはり具体的に明記しておくことも検討するべきではないかなと思っております。
ただ、とは申しますものの、果たして運用のどこまで詳細をということですね。だから、詳細などまで全てを公開させ、国会が強い権限を持って中身をチェックするということは、サイバー安全保障や通信の秘密といった、全てをつまびらかにするのはいかがかという事柄の性質上、必ずしも適切でないと我が党も私も考えます。そしてまた、サイバー通信情報監理委員会の任務の高い独立性とバランスも損ないかねませんので。
先ほどバランスという言葉を内内のときにも申し上げましたけれども、とはいえども、やはり必要なものは何かということを鑑みますと、九項目ぐらい指摘をさせていただきたいんです。
最初の三つは、全て承認の求め及び当該承認の件数に関してですけれども、それは、まず外外通信目的送信措置、そして、次に特定外内通信目的送信措置、特定内外通信目的送信措置、それの当該承認並びに措置期間の延長に係る承認の求め、当該承認のそれぞれの件数ですね。次に、四つ目になるんですけれども、自動選別、取得通信情報の取扱い等に係る検査結果の概要。次に、五番目として、取得通信情報の取扱いが違反している旨の通知、懲戒処分の要求及び勧告のそれぞれの件数及び概要。そして次は、先ほどの御質問の警察と自衛隊のシームレスなつなぎの話なんですけれども、警察又は自衛隊が行うアクセス・無害化措置に係る承認の求め及び当該承認並びに事後通知のそれぞれの件数。そして、八番目と九番目になるんですけれども、警察又は自衛隊が行うアクセス・無害化措置に係る勧告の件数及び概要を報告事項に含めるということ。
これは、やはり民主的統制という責務を果たし、委員会の事務の適正化を確保することになると思うんです。
こういった御提案をしたいと思うんですけれども、平大臣の御見解を求めます。
○平国務大臣 国会に対する報告におきましては、第六十一条で、「委員会は、毎年、内閣総理大臣を経由して国会に対し所掌事務の処理状況を報告するとともに、その概要を公表しなければならない。」となっております。
この委員会質疑においても、では、どういうイメージなんだということで、例えばということで例示をさせていただきました。今委員が御紹介をしていただいたとおりだというふうに思います。
更なる詳細は、先ほど申し上げたとおり、日本国政府の把握能力とか実施能力などなど、こういったいわゆる安全保障にも関わり、また、国家の重大な利益にも関わる部分については、国会報告も慎重に判断をすべきだというのが、私の、また政府の考え方であります。
その上で、今、こういった今の条文に加えて、例示の部分についても規制すべきではないかという委員の御指摘だと思います。
今まさに各党で法案修正に向けた議論がされていると承知をしておりますので、そういった議論をしっかり注視をしてまいりたいと考えております。
○伊東(信)委員 時間もあれなので、最後にちょっと大臣に御確認というか、強く言っていただきたいのは、例えば、件数を国会にということですけれども、件数だけではという指摘もありますけれども、年次で件数を比較する、若しくは警察の方、自衛隊の方とか、いろいろなパターンの件数を比較したり、国外と比較することによって更なる検討がされるということで、数字も大事だ、こういったことを最後にちょっと御示唆いただければと思います。
○平国務大臣 件数だけだという御指摘が多いんですが、勧告の概要も入っていますので、法律にのっとった対応ができていないときは、しっかりいわゆる三条委員会から勧告をいただいて、その内容も御報告をするということになっています。
また、件数も、承認を取るいとまがないときみたいなことで事後報告が常態化するんじゃないかという懸念も、事前の承認の件数、承認した数、事後の件数などを出しますので、時系列順に比較をしていただくと様々な分析をしていただけるんだろうというふうに思います。
○伊東(信)委員 時間になりましたので、終了したいと思います。ありがとうございました。
○遠藤委員長 次に、福田玄君。
〔遠藤委員長退席、大岡委員長着席〕
○福田(玄)委員 国民民主党・無所属クラブの福田玄でございます。
本日は、連合審査会での質疑の機会をいただき、ありがとうございます。
能動的サイバー防御関連の法案については所管する関係省庁が多岐に及んでいるということでございますが、私は総務委員会に所属をしておりますため、本日は、主として総務行政、通信、デジタルの視点から、そして、民間活力を更に活用していただけないかというような、そんな観点から質疑をさせていただきたいと思います。
そもそも、サイバー空間、サイバー領域は、まさに電気通信事業者が活躍する、そういった領域であるというふうに理解をしております。実際に通信情報をトレース、蓄積しているのも、金融機関などのユーザー側ではなく、電気通信事業者であるというふうに思っております。また、総務省としてもデジタルの企画業務に対する人材は有しておりますが、電気通信事業者が有する豊富な人材、こういった人材を活用する方が、より実効性が高まるのではないかというふうに考えております。
そのことを考えますと、通信事業者が、単に情報提供というだけではなく、より踏み込んだ対策を行っていくことも考えられるのではないか、必要ではないかというふうに思っておりますが、例えば海外サーバーの無効化などの実務までは、これは防衛、警察の領域でありますから難しいとしても、例えば官民協議会等を通じた官民連携の枠組みの中に電気通信事業者に入ってもらうなどということが考えられないのかどうか、このことをまずお聞きしたいと思います。
○門松政府参考人 お答えいたします。
先生御指摘のとおり、電気通信事業者は情報通信やサイバー空間に関する深い知見を有しているということでございまして、例えば昨年開催されたサイバー安全保障での対応能力の向上に向けた有識者会議、こちらにおきましては、デジタルインフラは特に重要なインフラであるといった趣旨の指摘もございました。
こうした中で、我が国のサイバーセキュリティー向上に向けた取組を推進するに当たりましては、電気通信事業者との連携を深めていく、これは重要だというふうに承知をしております。
その上で、本法案で規定する協議会でございますが、電気通信事業者を始めとするサイバーセキュリティーに深い知見を有する事業者にも御参加いただきまして、その分析のノウハウ等も活用いただきながら、サイバー攻撃による被害防止のための取組を強化してまいりたいというふうに思っております。
○福田(玄)委員 お答えありがとうございます。
これは、総務省としては見解はいかがでしょうか。
○山内政府参考人 お答え申し上げます。
今、内閣官房の方から答弁がございましたけれども、私ども総務省としても、この協議会に対して、ネットワークの知見、電気通信事業者はネットワークの運用をして様々なサービスを提供しております。したがいまして、このような御知見を有する電気通信事業者が協議会に参画をするということは重要だというふうに考えております。
総務省としても、官民が連携をして、効果的にサイバー攻撃を把握をして対応をしていくという観点から、この協議会への積極的な参画を促してまいりたいと思っております。
○福田(玄)委員 ありがとうございます。
積極的な参画を促していただくということでございますが、余り民間に負担をかけ過ぎてはいけないということもあるかもしれませんが、やはりこれだけ今公務員も含めて人材が足りないという状況がありますので、やはりサイバーセキュリティーに関してはしっかりと官民連携して、一体となって取り組んでいただきたいと思っております。
その意味で、もう少し細かいところを突っ込んでお伺いしたいと思いますが、今回の法案、第三十八条四項、電気通信事業者の能力の活用という項目がございます。このような視点から、この法案に、重要電子計算機に対する不正な行為による被害の防止に関する法律案の第三十八条四項には、総務大臣が電気通信事業者に対して、分析後の情報、総合整理分析情報を提供することができると規定をされておりますが、これはどのような意図を持って規定をされているのか、お答えください。
○平国務大臣 福田委員にお答えをいたします。
本法律案では、第三十八条第四項において、重要電子計算機に対するサイバー攻撃のおそれへの対処のため特に必要があると認めるときは、総務大臣から電気通信事業者に対し、選別後通信情報を含む情報を提供することができるとしています。
具体的には、例えば、外内通信の分析などにより、一般の利用者が設置をする電子計算機が乗っ取られるなどしてサイバー攻撃の実行の手段として用いられることが判明をした場合に、この電子計算機を設置する利用者に電気通信事業者から注意喚起などの対策を講じることができるようにするために、その電子計算機を特定できる通信情報を電気通信事業者に提供する場合を想定をしております。これにより、例えば国内において攻撃に悪用されている電子計算機について対策が進むことを期待するものであります。
なお、通信の秘密の保護に十分に配慮する観点から、この規定による通信情報の提供は、提供先となる電気通信事業者が選別後通信情報の保護に関して必要な措置を講じていると総務大臣が認める場合に限ることとしております。
○福田(玄)委員 ありがとうございます。
総務大臣が認める限りということでございますが、やはり電気通信事業者、非常に大きなポテンシャルをお持ちであると思っております。そのことを考えると、やはりもう少し踏み込んだ情報分析を電気通信事業者にも行ってもらうなど、総務省としても協力依頼をしていただくようなことを考えられるのではないかと思いますが、総務大臣の見解をお伺いいたします。
○村上国務大臣 福田委員の御質問にお答えします。
先ほど平担当大臣からも御答弁がありましたが、本案におきまして、総務大臣は、内閣総理大臣から提供を受けた通信情報などの分析結果を電気通信事業者に提供する役割を担うものとされております。
本法案が成立、施行されましたら、総務省としましては、電気通信事業者に対しまして、通信情報などの分析結果を提供するということで、一つ、事業者が自身の設備に適切なセキュリティー対策を講じること、二つ、利用者に対して注意喚起などを実施することを促してまいりたい、そのように考えております。
○福田(玄)委員 しっかりと、電気通信事業者、民間に総務省からも協力を仰いでいただきたいと思っておりますので、よろしくお願いを申し上げます。
少し切り口、違う形でお伺いをいたします。地方自治体などのサイバーセキュリティーについてお伺いをしたいと思います。
地方自治体のシステムは、住民の基本的な情報も多く含み、地方自治の重要なプラットフォームであると考えています。一方、少なくとも今までは、大手の社会インフラ企業ほどしっかりとした安全性は有していなかったのではないかと思いますが、この法案では、第二条第二項のロにおいて、地方自治体のシステムも守られるとなっております。
ここで想定する地方自治体とはどの範囲を想定しているのか。都道府県だけではなく市区町村のシステムまで防御する対象となっている、その理解でよいのかどうか、お答えください。
○小柳政府参考人 お答えいたします。
本法律案におきましては、通信情報を用いて防御していく主な対象として、重要電子計算機を定義しております。
この重要電子計算機の細目として、第二条第二項第一号におきまして、地方公共団体を含む行政機関等が使用する電子計算機のうち、そのサイバーセキュリティーが害された場合において、その者における重要情報の管理又は重要な情報システムの運用に関する事務の実施に重大な支障を生ずるおそれがあるものとして政令で定めるものが重要電子計算機に当たるものと規定をしてございます。
ここで規定をしております地方公共団体でありますけれども、市町村も含まれるものでございまして、市町村の使用する一定の範囲の電子計算機につきましても重要電子計算機として位置づけることを想定しているところでございます。
○福田(玄)委員 市町村も含まれるということでございますが、これは何を心配しているかというと、今、DX、DXといって地方自治体も標準化を進められていると思うんですが、もちろん標準化は必要であるとは考えますが、一方、サイバー攻撃で、標準化した中に共通する脆弱性があった場合に、より広範囲に影響を及ぼす可能性があるのではないかということを懸念しているわけでございます。
例えば、一つの攻撃により、多くの自治体のシステムが同時にダウンするなどのリスクがあるのかないのか、この点についての御見解をお教えください。
○井幡政府参考人 お答えいたします。
地方公共団体の基幹業務システムの標準化でございますけれども、こちらについては、法律に基づきましてデジタル庁と総務省が策定しておりますサイバーセキュリティーに関する基準、こちらに適合することが求められているところでございます。
また、標準化後に大部分の基幹業務システムが移行すると想定されておりますガバメントクラウド、こちらにつきましても、最新かつ最高レベルのセキュリティーが確保できるようにということで、調達仕様書の中で、例えば、ISMAPクラウドサービスリストに登録されているといったような技術要件が定められております。これらの技術要件全てに合致したクラウドサービスの中から、ガバメントクラウドということで選定をしているところでございます。
更に申し上げますと、ガバメントクラウド上のデータにつきましては、暗号化処理が施されております。したがいまして、データの保有者でございます行政機関等以外の者がデータにアクセスすることはできないということになっております。
こうしたサイバーセキュリティー対策を通じて、サイバー攻撃に対する強靱性は確保されているものと認識しているところでございます。
○福田(玄)委員 まさに、ガバクラを使うかどうかということはあると思うんですけれども、それが一気に攻撃を受けてダウンすることがないように、しっかりと要件も定義してやっていただきたいと思っております。
時間がなくなってまいりましたので、最後に一問お伺いいたしますが、総務省におけるサイバーセキュリティー人材の育成についても併せて伺いたいと思います。
サイバーセキュリティーの実行者としての警察、自衛隊の人材には大きく期待をするところでございますが、総務省に関して言えば、このサイバーセキュリティーに関して、今まで、そこまで特化して、育成してきた自治体DX人材とはかなり違った人材が必要になるのではないかというふうに考えています。内部育成だけでは難しく、大学で専門的に分野を学んだ人材や即戦力の登用が必要ではないかとも思われますが、総務省でのこれまでのサイバーセキュリティーについての人材育成はどのようなものがあるのか、また、今後の採用、育成方針はどのようになっているのか、お答えください。
○山内政府参考人 お答え申し上げます。
サイバー攻撃が巧妙化、複雑化をしている中、人材育成、とりわけ委員御指摘の高度な人材の育成というものは重要な課題だと認識をしております。
総務省では、国立研究開発法人情報通信研究機構、NICTと言っておりますが、ここが有する豊富な技術的知見それから演習の基盤を活用して、高度な人材の育成に取り組んでおります。
具体的には、国の機関、自治体の職員を対象にしている実践的なサイバー防御演習がございますが、ここの中に、既に基礎的な知見を有する方々の能力を更に伸ばして、より高度な対処能力を身につけることができる発展的なコースを提供しております。直近の令和六年度に約千五百人の方々が受講していただいております。
それからもう一つ、このNICTでは、若手のセキュリティーの人材の育成も手がけております。二十五歳以下の若手の開発者に対して、一年間、セキュリティーに関する物づくりを本格的に指導することで、新たなセキュリティー技術を生み出し得る高度な人材を育成をしております。
総務省としては、引き続き、サイバー空間が今後も拡大をするということを念頭に置きまして、高度なサイバーセキュリティー人材の育成の取組を継続してまいりたいと考えております。
○福田(玄)委員 年間千五百人、令和六年度ということでございますが、やはり、民間の電気通信事業者に様々なお願いをするにしても、専門性を持った人材を獲得して、その人材が活躍するという状況を整備しなければいけないと思っております。
NICTで教育されているということではあるんですけれども、やはり更に特化した人材を獲得するであるとか、それだけ高度な能力を持たれている方であれば、お給料の面も含めて、やはり民間に流れがちというところはあると思いますので、その部分で総務省としてしっかりとその人材を確保していただいて、そしてサイバーセキュリティーを強くしていただきたいということを最後に要望を申し上げまして、質問を終わりたいと思います。
どうもありがとうございました。
○大岡委員長 次に、西園勝秀君。
○西園委員 公明党の西園勝秀です。
本日は、質問の機会をいただき、ありがとうございます。
能動的サイバー防御法案につきましては、これまで何度も議論されてきましたので、もしかしたら、かぶる質問があるかもしれませんが、御容赦願います。
まず初めに、自衛隊が準用する警職法の根拠について伺います。
自衛隊が警察権を用いて行うアクセス・無害化措置は、警職法六条の二を準用することになっております。アクセス・無害化措置のうち、アクセスが警職法第六条の立入りを準用していることに異論を挟む人はいないと思います。一方、無害化措置は、相手のコンピューターの機能を止める行為であることから、警職法第七条の武器の使用を準用しているとも読み取れます。もし自衛隊が警職法第七条を準用しているとすれば、先制攻撃を禁じる憲法九条に抵触していることになります。
三月二十八日の内閣委員会において、大澤淳先生は、無害化の措置は相手のコンピューター機能を止めますので、これはある程度、武器の使用に近いような概念になるのかというふうに思っておりますと述べておられました。
これまでアクセス・無害化措置が警職法六条の二を準用し得る根拠について様々な議論がなされてきましたが、大澤先生の御意見を受け、改めて、警職法七条の武器の使用ではなく、六条の二の立入りを準用する根拠を教えてください。
○逢阪政府参考人 まず、先生の御質問の警職法七条の武器についてでございますが、ここで言う武器とは、主として人の殺傷の用に供する目的で作られた道具で、現実に人を殺傷する能力を有するものをいい、具体的には、拳銃、ライフル銃等が含まれると解されております。攻撃者のサーバー等へのアクセス・無害化措置は、同条に規定する武器の使用に当たるものとは考えておりません。
アクセス・無害化が六条の二ということでございますけれども、一たび重大なサイバー攻撃が発生すれば国家国民に多大な損害を与えることに鑑みれば、アクセス・無害化措置は、サイバー攻撃の現実的、具体的な危険性や緊急性が認められる場合に即時強制として行うべきであるということを踏まえて、警察目的実現のための即時強制の定めをすることを主たる目的とする警察官職務執行法において、アクセス・無害化措置を実施するための所要の規定を整備することとしたところでございます。
現行の警職法において、人の生命、身体又は財産に対する危害を防止するための即時強制の手段を規定している第四条から第六条の次に設けることとしたものでございます。
○西園委員 丁寧な御説明をありがとうございます。
アクセス・無害化措置はあくまでも自衛のためであり、警職法七条を準用するものではないということを改めて確認をさせていただきました。
念のため、防衛省にも確認します。
自衛隊が警職法を準用するのは第六条の二であり、第七条の武器の使用は準用しない、つまり、憲法九条が禁じる武力の行使は伴わないということでよろしいでしょうか。
○家護谷政府参考人 お答えいたします。
今回御審議いただいている法律におきましては、警察官職務執行法に新設される第六条の二の権限規定のみを準用しておりまして、同法七条は準用しておりません。
○西園委員 御説明ありがとうございます。
自衛隊が行う能動的サイバー防御は、憲法九条が禁じる武力の行使には当たらないということが確認でき、安心いたしました。
三月二十八日の内閣委員会で、黒崎先生は、いろいろなサイバー事案というものは、そこの烈度が低い、武力攻撃未満であるというところで何としてでも対処しなければならないと述べておられました。自衛隊におかれましては、くれぐれも武力攻撃とみなされないよう、細心の注意を払っていただくようお願いをいたします。
ただ、日本がどれだけ先制攻撃を行わないと主張しても、相手国がそう受け取らない可能性もございます。
令和四年に策定された国家安全保障戦略において、サイバー安全保障分野で対応能力を欧米主要国と同等以上に向上させるとの目標が掲げられていることから、ともすれば、日本が行うアクティブサイバーディフェンス、日本語では能動的サイバー防御ですが、これは欧米主要国と同じような先制攻撃能力の実施も念頭に置いているかのように誤解されるおそれがあるのではないでしょうか。この点について、政府の御見解をお聞かせください。
○小柳政府参考人 お答えいたします。
令和四年十二月に閣議決定をされました国家安全保障戦略におきましては、サイバー空間の安全かつ安定した利用、特に国や重要インフラ等の安全等を確保するために、サイバー安全保障分野での対応能力を向上させるとの目標を掲げてございます。その上で、能動的サイバー防御の実施のための体制整備につきましても、重大なサイバー攻撃のおそれを未然に排除すること、重大なサイバー攻撃が発生した場合の被害の拡大を防止することが目的であるというふうに明確にしているところでございます。
今回御審議をいただいておりますサイバー対処能力強化法案及び同整備法案につきましては、この考え方に立った上で具体的な要件や手続を法律上しっかりと定めた上で、官民連携、通信情報の利用、アクセス・無害化等に関する各種措置を具体的に定めているものでございます。
このようなことから、我が国が法案を通じて導入しようとしております能動的サイバー防御の各措置が先制攻撃の実施を念頭に置いたものなのではないかとの誤解を受けることはないものと考えておりますが、関係省庁等と連携して、平素から国際的なサイバーセキュリティーの議論の場で情報発信を行うことに加えまして、国連を始めとする様々な議論の場なども活用して、積極的に対外的に説明をしてまいりたいと考えてございます。
○西園委員 御説明ありがとうございます。
国外の攻撃関係サーバー等へのアクセスや無害化措置を講じる際には、国際法上の適法性を確保することが大前提です。しかし、仮に適法性が担保されていたとしても、相手国側の誤解により、外交問題に発展するリスクは否定できません。また、日本側の誤認やミスにより、誤って無害化措置を実施し、相手国から主権侵害を訴えられる可能性も考えられます。
このような国家間の衝突を回避するためにも、アクセスや無害化措置に関する国際的なルール作りが必要だと考えます。同時に、不測の事態を防ぐためには、平素から緊密な対話のチャンネルを確保することが重要です。
サイバーセキュリティーといえども、最終的にその運用を担うのは人間です。人は、相手を知らなければ疑念や不信を抱きやすく、場合によっては憎悪の感情を生じることもあります。だからこそ、日頃から相手国の考えや関心事を理解し、緊密な対話を重ねることが不可欠です。こうした継続的な関係構築により信頼が醸成され、有事の際にも、冷静かつ建設的な対応が期待できます。日本について正しく理解してもらうのと同時に、私たちも相手国を深く知ることこそが平和解決への最も確実な道であると考えます。
これは公明党が一貫して訴えていることですが、対話外交が極めて重要な時代だからこそ、欧州諸国を中心に、米国やロシアも加盟する欧州安全保障協力機構、OSCEをモデルとした対話の常設機関、アジア版OSCEを創設することが一案と考えますが、この点に関する政府の御見解をお聞かせいただければと存じます。
○斉田政府参考人 お答え申し上げます。
サイバー空間における脅威は、安全保障上の大きな懸念になっております。我が国として、関係国との認識の共有を進め、各国との連携の強化、信頼の醸成、これを進めていくということは非常に重要と考えております。適切な機会を捉えて、対話など、適切な形で進めていければと考えております。
その上で、アジア版OSCEに先生の言及がありましたけれども、この創設につきましては、先般、石破総理から、御党の意見を承り、広い議論を経た上で、実現に向けて努力していきたいと答弁されたと承知しております。
政府といたしましては、現在行われている様々な議論も踏まえ、地域の安全保障の在り方に関する検討を更に深めるとともに、地域外交をより一層強く推進していきたい考えでございます。
○西園委員 ありがとうございます。
是非アジア版OSCEの創設に向けた前向きな御検討をよろしくお願い申し上げます。
アクセスや無害化措置を講じる場合は、事前にサイバー通信情報監理委員会の承認を得ることが義務づけられています。これは、国家の安全保障に関わる重要な判断であることから、適正な手続を確保するために必要不可欠な仕組みです。
しかし、現実のサイバー攻撃は迅速かつ巧妙であり、被害の拡大を防ぐためには迅速な対応が求められます。そのため、時間的猶予がない場合には、事後報告を前提としつつ、警察や自衛隊が委員会の承認を経ずに措置を判断することが可能とされています。これは国民の安全を守るために必要な措置ではありますが、一方で、現場の判断ミスを生じるリスクも否定できません。
このような判断ミスを防ぐためには、日頃からの準備が極めて重要です。具体的には、サイバー攻撃への対応に関する知見や教訓を確実に蓄積し、それを適切に分析した上で、警察、自衛隊のみならず、関係機関全体で共有していくことが求められます。
令和五年七月四日に発生した名古屋港コンテナターミナルのシステム障害では、三十七隻の船舶の荷役スケジュールに影響が生じ、搬入、搬出に影響があったコンテナは約二万本にも達しました。これは、端末等に保存されているデータが暗号化され、正常に動作できない状態にされる不正プログラム、ランサムウェアへの感染によって生じたシステム障害でした。
こうした教訓を受け、港湾、航空、情報通信、金融などの情報インフラ分野で事業を行う重要社会基盤事業者は、サイバーセキュリティ基本法に基づき、重要インフラの防護を行っております。
そして、これまで起きたインシデント事案を官民が共有し、サイバー攻撃を防ぐセキュリティー技術を向上させるとともに、誤ってアクセス・無害化措置を講じることのないような具体的な行動指針、マニュアルをまとめることも重要と考えます。マニュアルが適切に整備されていれば、アクセス・無害化措置に係る現場の判断を迅速かつ正確に行うことができ、判断ミスのリスクを軽減することが可能となります。
さらに、これらの知見の共有やマニュアル整備を効果的に進めるためには、内閣官房による総合調整の役割が極めて重要になります。関係機関がばらばらに対応を進めるのではなく、政府全体として統一的な方針の下で取り組むことで、より効果的なサイバー防御体制を構築することができると考えます。
これらの点について、総合調整を担う内閣官房の御見解をお聞かせください。
○飯島政府参考人 お答え申し上げます。
アクセス・無害化措置については、その実施主体が警察及び自衛隊になりますが、運用の実効性を確保する観点から、両者が緊密に連携することは重要だと考えております。
このため、アクセス・無害化措置については、司令塔たる内閣官房の総合調整の下、警察及び自衛隊が相互に緊密に連携して措置を行うことが可能となるよう、運用上の工夫を行うことが重要と考えております。
具体的には、両者が有する情報を平素から司令塔組織を含め相互に十分に共有すること、司令塔組織の役割分担等の調整を踏まえ、両者が有機的に連携をすること、両者が実施する措置の内容を相互に十分に理解した上で措置を実施し、措置の結果についても直ちに司令塔組織を含め共有することなどが必要になると考えております。
内閣官房においては、これまでも警察庁及び防衛省・自衛隊と運用の実効性の確保のために必要な検討を行ってきているところでありますが、今後も、共同訓練、演習の実施等について検討するとともに、こうした訓練等により得た知見や教養の蓄積及び共有を図るなど、御指摘の事前承認のいとまがない場合の対応も含め、適切かつ迅速なアクセス・無害化措置が実施されるよう、必要な検討を進めてまいります。
○西園委員 ありがとうございます。
警察と自衛隊の緊密な連携だけにとどまらず、民間の知見を生かしながら、司令塔である内閣官房の総合調整の下、平素からの情報共有、役割分担の明確化、措置の結果の迅速な共有を徹底することが重要であります。
そして、何よりも肝要なのは、これらの取組が実際の現場で確実に機能することです。アクセス・無害化措置は、国家の安全保障戦略や国民の生命財産を守る上で不可欠なものです。特に、緊急時においては、迅速かつ的確な判断と確実な実行が求められます。サイバーセキュリティ基本法に規定されている重要社会基盤事業者等との連携を強化し、実践的な訓練を重ねることで、判断の精度を向上させるとともに、組織全体としての対応能力を高めることが重要です。
また、訓練を通じて得られた知見や教訓を体系的に整理し、マニュアル化することで、個々の担当者の判断に依存することなく、一貫性のある的確な対応が可能になると思います。
さらに、こうした仕組みを実効性のあるものとするためには、単に訓練を実施するだけでなく、その成果を詳細に分析し、課題を明確にした上で、継続的に改善を重ねていくことが不可欠です。その意味では、訓練後の振り返りや検証を制度的に強化し、実際の運用に的確に反映させていくことが求められます。
今後も、こうした取組が実際の現場で確実に機能しているのか、運用上の課題がないのかを厳格に検証しながら、国民の安全を守るためのより強固な体制を構築していく必要がございます。
それでも、誤って無害化措置を行ってしまうリスクは残ります。もし万が一、誤って無害化措置を実施してしまった場合、どのような対応を取るのでしょうか。具体的な対処方法についてお聞かせください。
○飯島政府参考人 お答えを申し上げます。
まず、大前提といたしまして、万が一にも誤ったアクセス・無害化措置が行われないように適切に運用する、まさにそのための制度だと思っておるというところでございますが、その上で、万が一にもでございますが、仮に誤って実施したアクセス・無害化措置によって対象サーバー等の管理者等に損害、損失が生じた場合には、個別具体的に判断する必要がありますが、一概にお答えすることは難しいという状況ではございますが、国内にあるサーバーなどでございましたら、国家賠償法による損害賠償責任の問題として考えることとなります。
また、国外に所在するサーバー等に対して誤った措置を行った場合には、これも個別具体的に対応する必要があり、一概にお答えすることは難しい状況なのでございますが、あくまで一般論として申し上げますと、国家責任条文の関連する規定等を踏まえて対応していくということになると考えられます。
○西園委員 御説明ありがとうございます。
ただいまアクセス・無害化措置を誤って実施した場合の対応について御説明をいただきました。
サイバー攻撃による重大な危害を防止するために、ネットワークを介して必要最小限の措置を講じるという基本的な方針が示され、比例原則に基づき、対象となるサーバー等に物理的な損傷や機能喪失といった大きな影響は想定していないということかと思います。
また、措置の適正性を確保するために、原則として、サイバー通信情報監理委員会による事前審査を経て、警察庁長官、防衛大臣の指揮の下で運用されることが明らかとなっております。万が一、誤った措置が行われた場合には、国家賠償法に基づく賠償責任の問題として検討されるほか、国外のサーバーに対して誤った措置を行った際の対応についても、国家責任条文等の関連規定を踏まえて判断されるとのことでございました。
しかし、こうした対応が制度上整備されていたとしても、実際の運用において誤りを完全に排除することは容易ではなく、何よりも未然防止の徹底が重要です。そのためには、制度の適正な運用を担保するための監督機能を強化し、事後的な検証や改善を継続的に行うことが不可欠です。特に、アクセス・無害化措置の発動プロセスや判断基準の透明性を確保し、誤りが発生しにくい体制を整えることが求められます。
さらに、関連するもう一つの重要な論点として、事前承認の仕組みが形骸化する懸念があります。
本来、厳格な審査を経て実施されるべき措置が、例外規定である事後通知の濫用によって形骸化することがあってはなりません。これを防止するための枠組みについて、政府としてどのように考えているのか、お伺いいたします。
○飯島政府参考人 お答えを申し上げます。
アクセス・無害化措置の実施に当たっては、原則としてサイバー通信情報監理委員会による事前承認、例外的に同委員会への事後通知と必要に応じた勧告等の手続を行うこととしています。
アクセス・無害化措置の実施に当たって事前承認を得る際には、サイバー攻撃に利用されているサーバー等であると認めた理由、サイバー攻撃による危害の防止という目的を達成するために取り得る措置の内容等を委員会に示し、委員会は、その承認の求めが改正後の警察官職務執行法等の規定に照らし適切かを判断することとなります。
委員会の委員は、法律や情報通信技術に関し専門的知識等を有する者が就くことから、迅速かつ的確に承認が行われるものと想定しており、事後の通知が常態化し、事前承認が形骸化するということにはならないというふうに考えております。
また、例外的な事後通知の場合についても、実施されたアクセス・無害化措置について適切に行われたかどうかを確認し、必要な勧告を行うこととされており、措置の適正性を確保することとしております。
加えて、今回のサイバー対処能力強化法案では、委員会から国会に対し、報告規定を設けております。アクセス・無害化措置に関するものとして、現時点では、アクセス・無害化に関する承認の申請や承認をした件数のほか、承認を得るいとまがない場合の事後通知をした件数についても報告するということを想定しておりまして、事前承認が形骸化することはないというふうに考えております。
○西園委員 ありがとうございました。
時間となりましたので、終わらせていただきます。どうもありがとうございました。
○大岡委員長 次に、上村英明君。
○上村委員 れいわ新選組の上村英明と申します。
もう内閣委員会では約二十時間以上審議をしておりまして、多分、平大臣が一番お疲れだと思うんですけれども、我々も疲れがたまってきたなという段階で、今日の連合審査になりました。
防衛大臣、それから総務大臣が御臨席なので、新しい環境の下で少しリフレッシュして、建設的な議論ができたらありがたいなというふうに思っております。
まず最初に、中谷防衛大臣にお尋ねしたいんです。
海上自衛隊や航空自衛隊での勤務経験があり、内閣府の委託業務をされてきたサイバーディフェンス研究所の名和利男氏という方がいらっしゃるんですが、能動的サイバー防御を政策レベルで反映させているのはアメリカやイギリスだけだという指摘をされています。そのほかでいえば、例えばEUとかエストニアとかオーストリアなどの多くの国が、攻撃を完全に防ぐことは難しいという前提に立って、攻撃を受けた後の迅速な復旧や事業継続性の確保に重点を置いた、回復力のあるサイバー防御を採用していると紹介されています。
回復力とはレジリエンスという言葉を使うんですけれども、このサイバーレジリエンスは、サイバー攻撃ばかりではなくて、自然災害や経済不況などで、サーバーがダウンした場合を想定して、事業を回復し、継続能力を図ることを意味しており、現在は、生成AIが特にコンピューターウイルスを作ることも可能、一応歯止めはかかっていると言われていますがそのプログラムを抜けば作ることができるという、ある意味ではイタチごっこの状況の中で、むしろこうした回復力に重点を置いたサイバーディフェンスという考え方もあるというふうに紹介されています。
同じように、深刻なサイバー攻撃を受けたドイツも、能動的サイバー防御というよりも、むしろ防御を更に強化するという、強化されたサイバー防御の戦略を取っていると言われています。
いずれも、むしろ受動的、いわゆるパッシブなサイバー防御の考え方に当たりますけれども、こうした分析を防衛大臣としてはどういうふうにお考えかというのを、率直にお伺いできれば大変ありがたいなと思います。
○中谷国務大臣 防衛大臣として意見を申し上げますが、自衛隊や防衛省にとって、サイバー空間というのは、中枢から末端に至る自衛隊の指揮統制のための基盤であります。もしサイバー攻撃を受けた後、速やかな復旧を含めて、サイバーセキュリティーの確保というのは、自衛隊の作戦の継続に当たりまして死活的に重要な存在であります。
このような認識を踏まえまして、防衛力整備計画の下に自らのサイバーセキュリティーのレベルを高めることといたしまして、例えば、第一に、サイバー専門部隊の約四千人体制の充実、第二に、常時継続的にリスクを分析、評価するリスク管理枠組みなどの新たな取組の導入、第三に、サイバー人材の確保、育成、第四に、防衛産業のサイバーセキュリティーの強化などの取組を進めておりまして、組織全体としてのサイバーセキュリティーの底上げに努めてまいりました。
今回の法案は、こうした足下を固め、そして復旧能力を高めていくというサイバーセキュリティーの底上げに加えて、新たにアクセス・無害化措置を可能とするなど、防衛省・自衛隊を含む政府が一体となって能力を結集し、サイバー空間の脅威への対処に当たるということを可能とする極めて重要な取組であるというふうに認識しております。
○上村委員 ある意味で、やはり土台の部分での情報セキュリティーの問題の重要性も並行してあるということをお答えいただいたというふうに思います。ありがとうございました。
それから、第二問目は村上総務大臣にお尋ねしたいというふうに思っているんです。
総務省も情報通信分野を所管されていることから、能動的サイバー防御に関心が高いというのは当たり前だと思うんですけれども、総務省が出されている情報通信白書令和六年度版においても、第二章でICT政策の取組状況、その第五節がサイバーセキュリティー政策の動向に向けられています。この三項目めに、サイバー攻撃への自律的な対応能力の向上というページが割かれております。
ここでは何が書かれているかといいますと、サイバーセキュリティーへの人材育成がうたわれ、同時に、大変面白いなと思ったのは、国際連携の推進を総務省としても頑張るということが書かれております。各種の国際会議やサイバー協議などで議論や情報発信、情報収集を積極的に実施しているということがありました。
いろいろと総務省の資料とかを見させていただきましたが、ある意味で大変興味深かったのは、例えば、外務省が主催をしているサイバー外交の二国間対話の中に総務省がちゃんと代表を送られて参加をされているというのは、大変興味深いなというふうに思っています。例えば、去年ロンドンで行われた日英サイバー対話などにも総務省から係官を派遣されて、ロンドンで情報交換、あるいはそういう形での協力の問題について議論に参加されたというふうに思います。
三月二十六日の内閣委員会で、同盟国や同志国との国際協力だけではなくて、むしろ問題を生じそうな国との信頼醸成措置、意見は違っていてもやはり人間として同じだよねみたいな関係を構築するということの重要性を指摘いたしましたけれども、総務大臣として、やはりこうした信頼醸成措置、さっきは日英の話をしましたけれども、この白書の中には途上国の問題も書かれております。
こうした問題に取り組む総務大臣としてのお考え、あるいは、先ほども言いましたサイバーレジリエンスの問題としての考え方をどう評価されるかについて、御見識をお伺いしたいというふうに思います。よろしくお願いします。
○村上国務大臣 上村委員にお答え申し上げます。
まず、最初におっしゃったサイバーセキュリティーにつきまして、サイバーセキュリティ戦略本部が定める重要インフラのサイバーセキュリティに係る行動計画に基づきまして、障害対応体制の強化、安全基準等の整備などに取り組んでおります。
また、実際に対応を行う人材の育成も重要でありまして、サイバー攻撃への一連の対処を実際に体験することで対処能力の向上を図る実践的サイバー防御演習を実施しました。
加えて、先ほど委員から御指摘ありましたように、サイバー空間は国境を越えて利用される領域でありまして、日本を含む世界全体のサイバーセキュリティー上のリスクを低減させる等の観点から、他省庁とともに連携しながら、ASEAN、大洋州島嶼国等においての能力構築支援を行っております。
また、通信ネットワークの強靱化につきましては、サイバー攻撃が非常に巧妙化、複雑化しまして、また、自然災害の被害が甚大化する中で、通信ネットワークの強靱化は重要な課題であるというふうに考えております。
本法案は、サイバー攻撃に関連する通信情報の分析や、攻撃元のサーバーなどを無害化する措置等を可能にするものでありまして、通信ネットワークの強靱化にも資するものと考えております。
総務省としましては、今後とも、関係省庁と連携しながら、通信ネットワークのサイバーセキュリティー対策に取り組むほか、耐災害性の強化もしっかりと進めてまいりたい、そのように考えております。
○上村委員 今のお答えも、やはり国内の自然災害の問題もこれから大きく出てくると思いますので、大変力強いなというふうに思って聞いておりました。
最後に、お疲れの平大臣に、済みません、また若干繰り返しになるんですけれども、やはり言わないこともあると思いまして、ちょっと質問させていただきます。
何度も内閣委員会の審議で出ております、法案に人権としての通信の秘密を守るという規定がなかなかないという問題について、大臣は、こうした規定は本法案の内容で担保されている、ですから、通信傍受法の第一条や第三十五条のような、あえて条文とする、明記する必要はないという話とか、あるいは、内容としているということは、法制度上起こるはずがないというふうな設計になっているんだということを繰り返しおっしゃられたと思います。
ただし、本法の運用には厳しい監視が不可欠であるということは、これまたやはり異論がないところではないかなと思います。特に、法律は規範文書でありまして、行為規範であると同時に、裁判で使えるかという意味での裁判規範、あるいは、組織がどう拘束されるかという組織規範としての側面を持っています。内実があるのであれば、規範性の点からも、むしろ明確に法にこれを明記すべきではないかということを改めて主張したいと思います。他の委員も言及されておりますが、むしろこれはあって当然、あるいは常識という範疇の話だということを強調したいと思います。
特に、先ほどの議論でも出てきましたように、海外のサーバーを誤って無害化した場合には、国家責任、あるいは、国内の場合には国家賠償があるという話もさっき出ました。それから、情報の漏えいとかいう形で事故が起きる。事故が起きないという想定で法律を作るのはまた別の面で難しいので、起きた場合のことを考えて、その被害者が、例えばこの法律に基づいて裁判を起こしたいなと思うときには、こうした条文があるかないかによって、裁判の行方がどうなっていくのかということがあります。
特に、被害を受けた人たちが救済を求めるときに、こうした条文というのはとても大事だと思いますので、できればその修正が、こちら側もあるかもしれませんけれども、政府の方でも、こうしたものが一言入るという検討をお願いしたいと思います。
平大臣、済みません、お忙しい、お疲れのところ。
○平国務大臣 御配慮ありがとうございます。
憲法第二十一条に規定する通信の秘密については、憲法上規定されている権利であることから、本法律案により通信の秘密が不当に侵害されることは許容されるものではありません。
また、御指摘のように、配慮規定を明記せずとも、本法律案に規定した措置が適正に実施され、又は遵守されることで、通信の秘密が公共の福祉の観点から必要やむを得ない限度の制約にとどまることが確保されるものであり、その点からも、条文上これを明記する必要がないというのが我々政府の考えであります。
もう一言申し上げれば、我々、この法律を作るに当たって、通信の秘密が重要だという思いを忘れたことはないです。この法律は、通信の秘密とどう整合性を取りながら、日本の経済や国民生活や国家を守るのかというところから出発をしていますので、常に我々は通信の秘密ということを頭に入れながらこの法律を作ってまいりました。なので、入っていないからおまえらは軽視しているんじゃないかということは当たらないと思います。
あと、どう見えているか分かりませんが、一応、私、大学も法学部ですし、慶応大学の大学院では憲法を講師として教えていたこともあって、決して無知だから要らないと言っているわけでもなくて。
ただ一方で、今のはいわゆる入れておくという入念規定、念のため入れる入念規定だというふうに思います。今、ローメーカーの皆さん、各党、政党の皆さんが修正に向けた協議をされているということは承知をしております。
○上村委員 ありがとうございます。
法は、それを作った人たちの思いというのが入っているのは当たり前のことなんですけれども、そのうち人は替わってしまいます。その思いをどういうふうにつなげていくかというときに、やはり文書というのは大事な役目を果たすものですから、是非、その点を、こちら側も準備があると思いますけれども、与党の方でも御検討いただければと思います。
時間が来ましたので、私の質疑はこれで終わりたいと思います。
どうもありがとうございました。
○大岡委員長 以上で本連合審査会は終了いたしました。
これにて散会いたします。
午後零時二分散会
――――◇―――――
〔参照〕
重要電子計算機に対する不正な行為による被害の防止に関する法律案
重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案
は内閣委員会議録第六号に掲載