内閣委員会
⚠️ 発言のコピー・転載時は出典元URL(kokkai.ndl.go.jpおよびkokkai-data.com)を必ず残してください。改変・出典削除は禁止です。 詳細は利用規約をご確認ください。
会
会議録情報#0
令和七年五月八日(木曜日)
午後一時開会
─────────────
委員の異動
四月二十四日
辞任 補欠選任
高木かおり君 片山 大介君
四月二十五日
辞任 補欠選任
高橋 次郎君 竹谷とし子君
─────────────
出席者は左のとおり。
委員長 和田 政宗君
理 事
磯崎 仁彦君
酒井 庸行君
山本 啓介君
木戸口英司君
竹谷とし子君
委 員
青木 一彦君
石井 浩郎君
今井絵理子君
太田 房江君
友納 理緒君
山谷えり子君
石垣のりこ君
石川 大我君
奥村 政佳君
鬼木 誠君
河野 義博君
片山 大介君
柴田 巧君
竹詰 仁君
井上 哲士君
大島九州男君
事務局側
常任委員会専門
員 岩波 祐子君
参考人
早稲田大学法学
学術院教授 酒井 啓亘君
LM虎ノ門南法
律事務所弁護士 上沼 紫野君
芝浦工業大学シ
ステム理工学部
准教授 持永 大君
弁護士 齋藤 裕君
─────────────
本日の会議に付した案件
○理事補欠選任の件
○重要電子計算機に対する不正な行為による被害の防止に関する法律案(閣法第四号)(衆議院送付)
○重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案(閣法第五号)(衆議院送付)
○連合審査会に関する件
○政府参考人の出席要求に関する件
○参考人の出席要求に関する件
─────────────
この発言だけを見る →午後一時開会
─────────────
委員の異動
四月二十四日
辞任 補欠選任
高木かおり君 片山 大介君
四月二十五日
辞任 補欠選任
高橋 次郎君 竹谷とし子君
─────────────
出席者は左のとおり。
委員長 和田 政宗君
理 事
磯崎 仁彦君
酒井 庸行君
山本 啓介君
木戸口英司君
竹谷とし子君
委 員
青木 一彦君
石井 浩郎君
今井絵理子君
太田 房江君
友納 理緒君
山谷えり子君
石垣のりこ君
石川 大我君
奥村 政佳君
鬼木 誠君
河野 義博君
片山 大介君
柴田 巧君
竹詰 仁君
井上 哲士君
大島九州男君
事務局側
常任委員会専門
員 岩波 祐子君
参考人
早稲田大学法学
学術院教授 酒井 啓亘君
LM虎ノ門南法
律事務所弁護士 上沼 紫野君
芝浦工業大学シ
ステム理工学部
准教授 持永 大君
弁護士 齋藤 裕君
─────────────
本日の会議に付した案件
○理事補欠選任の件
○重要電子計算機に対する不正な行為による被害の防止に関する法律案(閣法第四号)(衆議院送付)
○重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案(閣法第五号)(衆議院送付)
○連合審査会に関する件
○政府参考人の出席要求に関する件
○参考人の出席要求に関する件
─────────────
和
和田政宗#1
○委員長(和田政宗君) ただいまから内閣委員会を開会いたします。
委員の異動について御報告いたします。
昨日までに、高木かおりさん及び高橋次郎君が委員を辞任され、その補欠として片山大介君及び竹谷とし子さんが選任されました。
─────────────
この発言だけを見る →委員の異動について御報告いたします。
昨日までに、高木かおりさん及び高橋次郎君が委員を辞任され、その補欠として片山大介君及び竹谷とし子さんが選任されました。
─────────────
和
和田政宗#2
○委員長(和田政宗君) 理事の補欠選任についてお諮りいたします。
委員の異動に伴い現在理事が一名欠員となっておりますので、その補欠選任を行いたいと存じます。
理事の選任につきましては、先例により、委員長の指名に御一任願いたいと存じますが、御異議ございませんか。
〔「異議なし」と呼ぶ者あり〕
この発言だけを見る →委員の異動に伴い現在理事が一名欠員となっておりますので、その補欠選任を行いたいと存じます。
理事の選任につきましては、先例により、委員長の指名に御一任願いたいと存じますが、御異議ございませんか。
〔「異議なし」と呼ぶ者あり〕
和
和
和田政宗#4
○委員長(和田政宗君) 重要電子計算機に対する不正な行為による被害の防止に関する法律案及び重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案の両案を一括して議題といたします。
本日は、両案の審査のため、四名の参考人から御意見を伺います。
御出席いただいております参考人は、早稲田大学法学学術院教授酒井啓亘君、LM虎ノ門南法律事務所弁護士上沼紫野さん、芝浦工業大学システム理工学部准教授持永大君及び弁護士齋藤裕君でございます。
この際、参考人の皆様に一言御挨拶を申し上げます。
本日は、御多忙のところ御出席いただき、誠にありがとうございます。
皆様から忌憚のない御意見を賜りまして、今後の審査の参考にいたしたいと存じますので、よろしくお願いいたします。
次に、議事の進め方について申し上げます。
まず、酒井参考人、上沼参考人、持永参考人、齋藤参考人の順にお一人十五分程度で御意見をお述べいただき、その後、委員の質疑にお答えいただきたいと存じます。
また、御発言の際は、挙手をしていただき、その都度、委員長の許可を得ることとなっておりますので、御承知おきください。
なお、御発言は着席のままで結構でございます。
それでは、まず酒井参考人からお願いいたします。酒井参考人。
この発言だけを見る →本日は、両案の審査のため、四名の参考人から御意見を伺います。
御出席いただいております参考人は、早稲田大学法学学術院教授酒井啓亘君、LM虎ノ門南法律事務所弁護士上沼紫野さん、芝浦工業大学システム理工学部准教授持永大君及び弁護士齋藤裕君でございます。
この際、参考人の皆様に一言御挨拶を申し上げます。
本日は、御多忙のところ御出席いただき、誠にありがとうございます。
皆様から忌憚のない御意見を賜りまして、今後の審査の参考にいたしたいと存じますので、よろしくお願いいたします。
次に、議事の進め方について申し上げます。
まず、酒井参考人、上沼参考人、持永参考人、齋藤参考人の順にお一人十五分程度で御意見をお述べいただき、その後、委員の質疑にお答えいただきたいと存じます。
また、御発言の際は、挙手をしていただき、その都度、委員長の許可を得ることとなっておりますので、御承知おきください。
なお、御発言は着席のままで結構でございます。
それでは、まず酒井参考人からお願いいたします。酒井参考人。
酒
酒井啓亘#5
○参考人(酒井啓亘君) 御紹介あずかりました酒井と申します。よろしくお願いいたします。
本日は、このように意見を述べる機会を与えられ、大変光栄に存じております。
以下では、専門である国際法の観点から、いわゆるサイバー対処能力強化法案及びその整備法案について評価を行い、幾つか意見を申し上げることにいたします。
法案への評価に入ります前に、サイバー空間への国際法の適用についての現状を確認し、ここでは三点のみごく簡単に御説明しておきたいと思います。
第一点は、サイバー空間の活動には既存の国際法規則ができる限り適用されるということが多くの国家の間で合意事項となっているということです。
第二に、同じく国家間で合意されている点として、サイバー行動が外国領域で執行管轄権の行使という形態を取った場合には当該外国国家の主権を侵害する行為となり得るということが挙げられます。ただし、執行管轄権の行使に当たるかどうかの基準については、異なる基準を採用している国家もあり、全てのサイバー行動が執行管轄権の行使として主権侵害行為となるわけではありません。
第三に、問題となるサイバー行動が他国の主権侵害行為として国際法上違法な行為とみなされる場合でも、国家責任条文に規定されているような慣習国際法上の違法性阻却事由に該当する場合には、その正当化が可能であるということです。違法性阻却事由としては、対抗措置のほか、緊急避難、これは本国会の審議では緊急状態と呼ばれていますので、以降はここでも緊急状態と申し上げますが、この対抗措置と緊急状態の二つが特に現実には適用されるでしょう。実際にも、各国がサイバー行動に関して参照しているタリン・マニュアル二・〇においても対抗措置と緊急状態のルールについて比較的詳しく規定されております。
こうしたサイバー空間の活動に適用される国際法規則の内容に照らし、今回の法案の評価について、ここでは四点にわたり意見を申し上げたいと思います。
第一に、この法案で想定されている措置は武力攻撃事態に至らない状況での武力の行使とはみなされない措置での対応とされており、その意味で、国際法上の武力行使禁止原則の遵守が確認されているということに注目する必要があります。
確かに、いかなる措置が武力の行使に該当するかについて国際法上定まった定義があるわけではありません。しかし、問題となる措置が、少なくとも国内法上警察権の範囲内で比例原則に基づき危害の発生防止のために必要最小限度で実施されるのであれば、国際法上は武力の行使には該当しないと主張することができます。
第二に、アクセス・無害化措置を行う場合の国内法上の根拠規定となる改正警職法第六条の二第二項の規定は、この措置を国内法上適法に行使し得る条件を明確にしたものであって、国際法上の緊急状態の要件を定めたものと誤解してはならないということです。したがって、この規定に緊急状態の要件が逐一明記されていなくても、それ自体が問題となるわけではありません。
この規定の国際法上の効果は、国内法が定めた条件に従った国家機関の行為が、諸外国に対して我が国の国家としての行為であるということが明確に示されるということにあります。
ただし、国内法上適法な国家行為だからといって、それが国際法上も合法であるというわけではありません。アクセス・無害化措置が国際法上合法であることを主張し、又は違法行為と疑わしい場合に違法性阻却事由を援用してその正当化を図るためには、別途、国際法規則を適用して判断しなければならないのです。
すなわち、第三に、アクセス・無害化措置が国際法上合法化されるかどうかはあくまでも国際法規則に従って判断されなければならず、この法案の内容もそれを前提とした立て付けになっていることを確認する必要があります。その場合の国際法規則は、主として主権平等原則や不干渉義務といった規則であり、これらに違反すれば国際違法行為となります。
ただし、主権侵害が生じる敷居については、各国によって意見の相違がないわけではありません。国家によっては、具体的な損害が生じなければ主権侵害を主張しないところもあります。その場合には、アクセス・無害化措置は物理的被害や機能喪失を発生させないものと想定されていますから、その国との関係では国際法上合法な行為として主張できることになります。
他方、具体的な損害が生じなくても、この措置が執行管轄権の行使であることを理由に、主権侵害行為としてその違法性を主張する国家も存在します。その場合には、当該措置が国際法上合法か違法かについて見解が対立し、両国間に紛争が生じる可能性も出てくるでしょう。我が国は、この場合、この措置が国際法上合法であると主張しつつ、他方で、仮に違法であった場合でも、違法性が阻却され正当化されるという主張を行わなければなりません。
したがって、第四に、この法案では、我が国のアクセス・無害化措置について、相手国が主権侵害による国際義務違反を主張する場合には、国際法上の違法性阻却事由によりこの措置を正当化することが可能とされていることが重要です。
すなわち、国際法の一分野である国家責任法に定められた違法性阻却事由の制度を用いて問題の措置の正当化を図ることが予定されていなければならないわけです。ここで想定される違法性阻却事由は、主として対抗措置と緊急状態ですが、多くの場合、緊急状態の方がサイバー行動の正当化には適合的な要件を有すると言えるでしょう。
改正警職法第六条の二第二項は、緊急状態が成立するための要件そのものを規定したものではありませんが、その発動を妨害しないように、国際法上の要件との不一致が生じないような規定内容となっています。その意味で、アクセス・無害化措置が行われる場合には、この国内法規定とともに国際法規則に合致したものでなければならず、この法案はそうした条件を備えた内容となっているものと評価することができるでしょう。
最後に、この法案が成立した後、このサイバー対処能力強化法及びその関連法令とそれに基づく国家実行が国際法の観点からいかなる意義を有するのか、そして、その意義を実現していくためにはいかなる課題が残されているのかを四点ほど意見を申し述べたいと思います。
第一に、この法律及び関連法令の実施によって、重要インフラが保護され、我が国の安全や公の秩序の維持が図られるという国内レベルでの目的が実現するのに加えて、実際には、グローバルなレベルにおいてサイバー空間の安全と国際社会による安定的なその利用への貢献が図られるということがあります。
しかし、こうした状況が実現するためには、この目的の実現手段を実施する能力を向上させなければなりません。この能力を向上させるためには、その作業に適した人材の投入と発展する科学技術のフォローが不可欠です。サイバー行動に関係する人材の育成は様々なところで主張されてきたところですが、これまで見てきたように、サイバー行動に関係する国際法規則の専門知識に理解の深い人材の育成もまた急務であるように思われますし、特に民間部門で発展が著しい科学技術などについても実施機関が不断に取り入れていく必要があります。それとともに、グローバルにサイバー空間の安定的利用が確保されるためにも関係国との連携は不可欠ですし、この点での国際協力を強く進めていくことが重要です。
第二に、この法律の目的を達成するために実施されるアクセス・無害化措置は、我が国の安全や公の秩序の維持のために実施されるものであり、その場合でもできる限り人権保護を尊重し、人権を尊重しなければならず、この点は、国際法の観点からも安全保障と人権保護のバランスをいかに捉えるかという問題に関わると考えられます。
いずれにおいても、国際社会にとって重要な価値を表すものであり、その優劣はあらかじめ簡単に決められるものではありません。そのバランスを図るためには、個別具体的な事案ごとに保護法益と被侵害法益の内容などを特定し、それに対する具体的な措置の影響を検討しなければならず、この点は今後の実務において留意しなければならない問題であるように思われます。
また、アクセス・無害化措置の実施に行き過ぎや濫用が行われないようにするためには、第三者機関としてのサイバー通信情報監理委員会が実効的に機能することが不可欠です。このため、その作業には、憲法、通信法といった国内法と、サイバー行動に関連する国際法にそれぞれ精通した専門家の助力をどのように得ていくかということも今後の課題となるでしょう。
第三に、これも国際法の観点からですが、国際法を形成するプロセスにこの法とその実施が貢献するということがあります。すなわち、サイバー対処能力強化法とその関連法令の内容及びこれらに基づく我が国の国家実行が、サイバー空間での活動を規律する国際法規則の形成、発展に大きく貢献するということもその意義と見ることができるのです。
この法案が成立して正式に国内法として施行されれば、その内容自体が日本の国家実行を示すことになりますし、この法に基づくアクセス・無害化措置の実施とその国際法上の根拠や正当化に関する我が国の主張もまた日本の国家実行として諸外国の注目を集めることになります。
御承知のように、具体的な行為を行う行政府はもちろん、国内立法を行う立法府もまた国家機関の一つとして国家実行の担い手であります。したがって、この法の制定もまた国家実行となり、慣習国際法の形成などを通じて、サイバー空間の活動に関連する国際法規則の形成、発展に大きな寄与を果たしているのです。
また、こうして形成されるルールには、いずれは、国家機関のみならず、サイバー関連の民間セクターに関係する企業等も実質的に国際法形成過程に関与することが期待されます。そこでは、国家を拘束する国際法規則だけではなく、私人を直接規律する非法的なルール作りも視野に入れられることになるでしょう。
サイバー空間の活動を規律する国際法規則の形成には、当然のことながら、他の諸国もまたそれぞれの国家実行を通じて関与していますので、他国の動向も不断に検討しておくことが重要です。
それと若干関係しますが、最後に第四に、他国との関連でこの法律の役割をどのように考えるかということがあります。これは、特にアクセス・無害化措置をめぐり、相手国から懸念や抗議が伝えられる場合に重要です。我が国がサイバー空間での活動について正当化のための法的議論を展開していく際には、この法律とそれをめぐる関連国際法規則の解釈適用が行われるわけで、この法律と国際法規則の解釈が我が国の主張の根拠を提供することになるからです。
しかし、相手国との間で見解の相違が生じた場合には、相手国も自己の主張に都合のいい国内法や国際法規則の解釈を用意するのが一般的です。お互いに自らの主張とその根拠を持ち寄って、それぞれ国益を追求しつつ、紛争を悪化させないように協議することになりますが、その関係国間の協議を建設的なものとするためにも、次のことに留意することが必要ではないかと思われます。
まず、両国間で問題となった措置をめぐる事実やその内容などについて、自国の省庁間で関連事実や情報を正確に、かつ確実に共有しておくとともに、国家として自己の行動を正当化することを目的とした法的議論の一貫性を維持できるような制度的枠組みを準備しておくことが必要です。
また、国際社会においては見解の相違は頻繁に見られるのであり、国家間での紛争解決の内容が結果として第三国の行動にも影響を及ぼし、最終的に新たな国際法規則の形成に寄与することも少なくありません。このように、個別の紛争解決がサイバー空間を規律する新たな国際法規則の形成の端緒となることにも留意した努力を行うことが必要でしょう。
紛争の発生との関連では、我が国に所在するサーバー等が何らかの形で操られ、そこを起点として他国の法益を侵害するような攻撃が行われるという状況で、我が国自身が責任を問われる危険があるということも認識すべきです。したがって、我が国も自国領域を適切に管理して、国際違法行為国となることを回避しなければなりません。
この問題は今回の法案が想定する状況の範囲を超える課題ではありますが、できるだけこの問題にも対応する必要があることを最後に指摘して、私の意見陳述を終えたいと思います。
御清聴どうもありがとうございました。
この発言だけを見る →本日は、このように意見を述べる機会を与えられ、大変光栄に存じております。
以下では、専門である国際法の観点から、いわゆるサイバー対処能力強化法案及びその整備法案について評価を行い、幾つか意見を申し上げることにいたします。
法案への評価に入ります前に、サイバー空間への国際法の適用についての現状を確認し、ここでは三点のみごく簡単に御説明しておきたいと思います。
第一点は、サイバー空間の活動には既存の国際法規則ができる限り適用されるということが多くの国家の間で合意事項となっているということです。
第二に、同じく国家間で合意されている点として、サイバー行動が外国領域で執行管轄権の行使という形態を取った場合には当該外国国家の主権を侵害する行為となり得るということが挙げられます。ただし、執行管轄権の行使に当たるかどうかの基準については、異なる基準を採用している国家もあり、全てのサイバー行動が執行管轄権の行使として主権侵害行為となるわけではありません。
第三に、問題となるサイバー行動が他国の主権侵害行為として国際法上違法な行為とみなされる場合でも、国家責任条文に規定されているような慣習国際法上の違法性阻却事由に該当する場合には、その正当化が可能であるということです。違法性阻却事由としては、対抗措置のほか、緊急避難、これは本国会の審議では緊急状態と呼ばれていますので、以降はここでも緊急状態と申し上げますが、この対抗措置と緊急状態の二つが特に現実には適用されるでしょう。実際にも、各国がサイバー行動に関して参照しているタリン・マニュアル二・〇においても対抗措置と緊急状態のルールについて比較的詳しく規定されております。
こうしたサイバー空間の活動に適用される国際法規則の内容に照らし、今回の法案の評価について、ここでは四点にわたり意見を申し上げたいと思います。
第一に、この法案で想定されている措置は武力攻撃事態に至らない状況での武力の行使とはみなされない措置での対応とされており、その意味で、国際法上の武力行使禁止原則の遵守が確認されているということに注目する必要があります。
確かに、いかなる措置が武力の行使に該当するかについて国際法上定まった定義があるわけではありません。しかし、問題となる措置が、少なくとも国内法上警察権の範囲内で比例原則に基づき危害の発生防止のために必要最小限度で実施されるのであれば、国際法上は武力の行使には該当しないと主張することができます。
第二に、アクセス・無害化措置を行う場合の国内法上の根拠規定となる改正警職法第六条の二第二項の規定は、この措置を国内法上適法に行使し得る条件を明確にしたものであって、国際法上の緊急状態の要件を定めたものと誤解してはならないということです。したがって、この規定に緊急状態の要件が逐一明記されていなくても、それ自体が問題となるわけではありません。
この規定の国際法上の効果は、国内法が定めた条件に従った国家機関の行為が、諸外国に対して我が国の国家としての行為であるということが明確に示されるということにあります。
ただし、国内法上適法な国家行為だからといって、それが国際法上も合法であるというわけではありません。アクセス・無害化措置が国際法上合法であることを主張し、又は違法行為と疑わしい場合に違法性阻却事由を援用してその正当化を図るためには、別途、国際法規則を適用して判断しなければならないのです。
すなわち、第三に、アクセス・無害化措置が国際法上合法化されるかどうかはあくまでも国際法規則に従って判断されなければならず、この法案の内容もそれを前提とした立て付けになっていることを確認する必要があります。その場合の国際法規則は、主として主権平等原則や不干渉義務といった規則であり、これらに違反すれば国際違法行為となります。
ただし、主権侵害が生じる敷居については、各国によって意見の相違がないわけではありません。国家によっては、具体的な損害が生じなければ主権侵害を主張しないところもあります。その場合には、アクセス・無害化措置は物理的被害や機能喪失を発生させないものと想定されていますから、その国との関係では国際法上合法な行為として主張できることになります。
他方、具体的な損害が生じなくても、この措置が執行管轄権の行使であることを理由に、主権侵害行為としてその違法性を主張する国家も存在します。その場合には、当該措置が国際法上合法か違法かについて見解が対立し、両国間に紛争が生じる可能性も出てくるでしょう。我が国は、この場合、この措置が国際法上合法であると主張しつつ、他方で、仮に違法であった場合でも、違法性が阻却され正当化されるという主張を行わなければなりません。
したがって、第四に、この法案では、我が国のアクセス・無害化措置について、相手国が主権侵害による国際義務違反を主張する場合には、国際法上の違法性阻却事由によりこの措置を正当化することが可能とされていることが重要です。
すなわち、国際法の一分野である国家責任法に定められた違法性阻却事由の制度を用いて問題の措置の正当化を図ることが予定されていなければならないわけです。ここで想定される違法性阻却事由は、主として対抗措置と緊急状態ですが、多くの場合、緊急状態の方がサイバー行動の正当化には適合的な要件を有すると言えるでしょう。
改正警職法第六条の二第二項は、緊急状態が成立するための要件そのものを規定したものではありませんが、その発動を妨害しないように、国際法上の要件との不一致が生じないような規定内容となっています。その意味で、アクセス・無害化措置が行われる場合には、この国内法規定とともに国際法規則に合致したものでなければならず、この法案はそうした条件を備えた内容となっているものと評価することができるでしょう。
最後に、この法案が成立した後、このサイバー対処能力強化法及びその関連法令とそれに基づく国家実行が国際法の観点からいかなる意義を有するのか、そして、その意義を実現していくためにはいかなる課題が残されているのかを四点ほど意見を申し述べたいと思います。
第一に、この法律及び関連法令の実施によって、重要インフラが保護され、我が国の安全や公の秩序の維持が図られるという国内レベルでの目的が実現するのに加えて、実際には、グローバルなレベルにおいてサイバー空間の安全と国際社会による安定的なその利用への貢献が図られるということがあります。
しかし、こうした状況が実現するためには、この目的の実現手段を実施する能力を向上させなければなりません。この能力を向上させるためには、その作業に適した人材の投入と発展する科学技術のフォローが不可欠です。サイバー行動に関係する人材の育成は様々なところで主張されてきたところですが、これまで見てきたように、サイバー行動に関係する国際法規則の専門知識に理解の深い人材の育成もまた急務であるように思われますし、特に民間部門で発展が著しい科学技術などについても実施機関が不断に取り入れていく必要があります。それとともに、グローバルにサイバー空間の安定的利用が確保されるためにも関係国との連携は不可欠ですし、この点での国際協力を強く進めていくことが重要です。
第二に、この法律の目的を達成するために実施されるアクセス・無害化措置は、我が国の安全や公の秩序の維持のために実施されるものであり、その場合でもできる限り人権保護を尊重し、人権を尊重しなければならず、この点は、国際法の観点からも安全保障と人権保護のバランスをいかに捉えるかという問題に関わると考えられます。
いずれにおいても、国際社会にとって重要な価値を表すものであり、その優劣はあらかじめ簡単に決められるものではありません。そのバランスを図るためには、個別具体的な事案ごとに保護法益と被侵害法益の内容などを特定し、それに対する具体的な措置の影響を検討しなければならず、この点は今後の実務において留意しなければならない問題であるように思われます。
また、アクセス・無害化措置の実施に行き過ぎや濫用が行われないようにするためには、第三者機関としてのサイバー通信情報監理委員会が実効的に機能することが不可欠です。このため、その作業には、憲法、通信法といった国内法と、サイバー行動に関連する国際法にそれぞれ精通した専門家の助力をどのように得ていくかということも今後の課題となるでしょう。
第三に、これも国際法の観点からですが、国際法を形成するプロセスにこの法とその実施が貢献するということがあります。すなわち、サイバー対処能力強化法とその関連法令の内容及びこれらに基づく我が国の国家実行が、サイバー空間での活動を規律する国際法規則の形成、発展に大きく貢献するということもその意義と見ることができるのです。
この法案が成立して正式に国内法として施行されれば、その内容自体が日本の国家実行を示すことになりますし、この法に基づくアクセス・無害化措置の実施とその国際法上の根拠や正当化に関する我が国の主張もまた日本の国家実行として諸外国の注目を集めることになります。
御承知のように、具体的な行為を行う行政府はもちろん、国内立法を行う立法府もまた国家機関の一つとして国家実行の担い手であります。したがって、この法の制定もまた国家実行となり、慣習国際法の形成などを通じて、サイバー空間の活動に関連する国際法規則の形成、発展に大きな寄与を果たしているのです。
また、こうして形成されるルールには、いずれは、国家機関のみならず、サイバー関連の民間セクターに関係する企業等も実質的に国際法形成過程に関与することが期待されます。そこでは、国家を拘束する国際法規則だけではなく、私人を直接規律する非法的なルール作りも視野に入れられることになるでしょう。
サイバー空間の活動を規律する国際法規則の形成には、当然のことながら、他の諸国もまたそれぞれの国家実行を通じて関与していますので、他国の動向も不断に検討しておくことが重要です。
それと若干関係しますが、最後に第四に、他国との関連でこの法律の役割をどのように考えるかということがあります。これは、特にアクセス・無害化措置をめぐり、相手国から懸念や抗議が伝えられる場合に重要です。我が国がサイバー空間での活動について正当化のための法的議論を展開していく際には、この法律とそれをめぐる関連国際法規則の解釈適用が行われるわけで、この法律と国際法規則の解釈が我が国の主張の根拠を提供することになるからです。
しかし、相手国との間で見解の相違が生じた場合には、相手国も自己の主張に都合のいい国内法や国際法規則の解釈を用意するのが一般的です。お互いに自らの主張とその根拠を持ち寄って、それぞれ国益を追求しつつ、紛争を悪化させないように協議することになりますが、その関係国間の協議を建設的なものとするためにも、次のことに留意することが必要ではないかと思われます。
まず、両国間で問題となった措置をめぐる事実やその内容などについて、自国の省庁間で関連事実や情報を正確に、かつ確実に共有しておくとともに、国家として自己の行動を正当化することを目的とした法的議論の一貫性を維持できるような制度的枠組みを準備しておくことが必要です。
また、国際社会においては見解の相違は頻繁に見られるのであり、国家間での紛争解決の内容が結果として第三国の行動にも影響を及ぼし、最終的に新たな国際法規則の形成に寄与することも少なくありません。このように、個別の紛争解決がサイバー空間を規律する新たな国際法規則の形成の端緒となることにも留意した努力を行うことが必要でしょう。
紛争の発生との関連では、我が国に所在するサーバー等が何らかの形で操られ、そこを起点として他国の法益を侵害するような攻撃が行われるという状況で、我が国自身が責任を問われる危険があるということも認識すべきです。したがって、我が国も自国領域を適切に管理して、国際違法行為国となることを回避しなければなりません。
この問題は今回の法案が想定する状況の範囲を超える課題ではありますが、できるだけこの問題にも対応する必要があることを最後に指摘して、私の意見陳述を終えたいと思います。
御清聴どうもありがとうございました。
和
上
上沼紫野#7
○参考人(上沼紫野君) 御紹介にあずかりました弁護士の上沼と申します。
私は、サイバーセキュリティ戦略本部員と、あとこの法案に対する有識者検討会に入っていましたので、その際に、特に通信の秘密に関して留意して検討しておりました。その通信の秘密に関する留意点と、その留意点がこの法案においてどのように具体化されているかについてお手元の資料に基づいて御説明させていただければと思います。
まず、三ページ目を御覧ください。
通信の秘密に関してですが、今更申し上げるまでもないところですけれども、非常に重要な権利でありまして、表現の自由もそうなんですけれども、人の内面、内心の表れるものとして非常に重要なものとして保護されています。
その結果、通信の秘密の保護対象ですが、四ページですね、通信に関わる全ての事実ということで、特に我が国では、通信の内容のみならず、通信の存在それ自体に関する事項についても通信の秘密として保護されています。これは、具体例でいいますと、信書の場合を念頭に置けば、封書の中身が通信の内容でして、封書の表面ですね、郵便屋さん等が御覧になる表面等も通信の秘密として保護されているということです。これをインターネット通信の場合で考えますと、電子メールの本文、件名、添付ファイル等が通信の内容、あと、通信の存在それ自体に関わる部分が、送受信日時とかIPアドレス、ポート番号等がそれに当たるということになっております。そうしますと、この二つについてはその保護レベルがそれぞれについて違うということがお分かりいただけると思います。
それを前提に、次のページ、通信の秘密の制限における視点というものを考えていきたいと思います。
通信の秘密は非常に重要な権利ではありますけれども、一〇〇%常に守られるものではなく、やっぱり必要最小限の制限は受けるというものです。その場合の考え方として、必要性があるかどうかというところを、通信の秘密で守られる利益、あと通信の秘密の制限により実現される利益というものを考えながら、その必要性において必要最小限度かどうかというようなことを考える必要があります。
その際に、通信当事者の同意がありますと、それは通信の秘密として守られるレベルが割合緩和されるということになります。なぜならば、秘密ではなくなるからです。この場合の同意に関しては、包括的な同意ではなく、一般的に具体的な同意ということになっておりますので、単純に、見てもいいよと一回言ったら常に見られると、そういうものではないということになります。あと、手段についても当然考えなくてはなりませんので、目的に照らして必要な限度の制限かということになります。
これを本法案において検討したものが次の図でありまして、実現しようとする利益が国民の生命、身体ということになります。なぜならば、重要インフラが機能を発揮しないということになりますと、国民の生命、身体が危機に冒されるわけです。なので、これは非常に重要な権利だということになります。
それを守るための手段として、一定限度で通信の秘密を、通信の内容を利用しようと、内容じゃない、ごめんなさい、通信を利用しようとするのが本法案でありまして、次のページ、七ページを御覧ください。手段としてどういうことをしようかというと、対象とする通信は外外通信、外内通信、内外通信というものです。これは、この検討のときに考えていたのは、外国に関しては日本の国家権力の捜査等が及びませんので、この通信を見ることによってでないと実際のその調査はできないという事実があるからではないかというふうに私は考えておりました。
その対象をこのように絞った上で、更にその情報の内容を見ていきますと、先ほどの通信の内容と存在に関わる事実というふうにして分けて考えたときに、今回対象となる情報は、見ていただければ分かりますように、コミュニケーションの本質的な内容には当たらない例というものでして、送受信日時、IPアドレス、通信量、ポート番号というようなところになっております。メールアドレスもこれに入りますが、というのは、宛先等当然入りますので、ただ、ここについては個人情報保護の観点から識別化を、識別できないように工夫すると、加工するという手段が取られております。
さらに、ここの部分をイメージ図に、先ほどの信書の場合との比較したイメージ図でいいますと、この封書の中身は見ないけれども、宛先に類するものは見ますよというようなことになってきます。当然、宛先についても普通は見えるというものの、これを集めていくとそれなりの推知ができるところではあるので、そこを、じゃ、何らかの形で歯止めを掛けなければいけませんねということは当然入ってくるわけで、その手段として実際にどんなことをしているかというと、十ページ、まず、サイバー攻撃に関係する情報だけを自動選別しますと。自動選別がなぜ重要かというと、人が認知しないのでそこの中身をまず見ませんと、人がですね、あと、恣意的な選別を行わないというところが重要だということになります。
さらに、その通信の秘密の侵害を防ぐための手段として、十一ページですね、不当な侵害発生を防ぐための措置というものを更にセーフハーバーとして考えるというようなことになります。このときに考え得る手段としては、事前の規制と事後の是正手段の両面から考える必要があります。
一般的に、このとき考えていたのは、法令による規制、あと独立した監査機関による監視、あと事後的な是正ができるためには透明性の確保が要るということを考えた結果、本法案においてどうなったかというのが十二ページでありまして、まず、法令による規制ということで、目的の限定、通信の秘密の尊重、あと法令に違反、これは事後ですけれども、法令に違反した場合の措置というような形でまず事前と事後の両方が法令の中に入っております。実際に違反があった場合にどうするかということに、違反がないように、あるいは違反があったときにどうするかということで、独立機関による監視を事前、事後と両方に行うということになります。ここが特に今回重要な役割を担っているというふうに私としては考えているわけです。
さらに、透明性の確保ですね、これは透明性確保の仕組みをつくるところは事前の措置ですけれども、実際にそこの是正を行う実効性を保つのは、この国会における報告等できちんと実際に何が行われているかということを把握するというところになってくるというふうに考えております。
その上で、重要な役割を担う監視機関についてどういう在り方が必要かというようなことを考えてみたのが十三ページでして、まず、監視機関については、国民の通信の自由という重要な価値を守るための重要な機関ですので、独立性が確保されることがとても重要だということになります。これが、本法案では三条委員会として独立性を極めて高い形で設置されるというふうに想定されています。さらに、サイバー攻撃の対処という目的に鑑みますと、その独立監視機関というのは、専門性があって、さらに、迅速な対応ができるというところ、あと、孤高の機関であってはなかなかいろんな対応ができませんので、関係当事者との円滑な協力が必要だということになってくると思います。このような上で、三条委員会というか、独立監視機関がきちんとグリップを利かせて監視をしつつ、かついろんな情報を見るというところが本法案において非常に重要な点というふうに承知しております。
さらに、その上で必要な重要な事項として考えておりますのは、まず国民の理解というのが非常に重要だと思っております。この場合の国民の理解というのは、自分の権利を守ることに対する正確な知識と関心です。この自分の権利というのは、通信の秘密を自分が守られているということについての知識と関心と、サイバーセキュリティーがなぜ必要かと、これにより自分の生命、身体が守られているという知識、関心、この両方がきちんと理解されていることが、この法案において、この法案が円滑に行われるための重要な要素というふうに考えております。
さらに、サイバーセキュリティー分野に関しては変化が非常に急速な分野でございます。ですので、一旦法律を作ったら終わりということではなくて、継続的にその状況についての調査、あるいは制度が十分か、また、想定した枠組みが機能しているか、問題が生じていないかということを継続的に検討する必要があると思います。本法案においても三年後に部分について検討というのが、附帯決議じゃなかった、ごめんなさい、修正で入っていたと思いますので、その継続的な見直しについての言及がされているという点、非常に私としては有り難いことだというふうに思っています。
私からは以上になります。
ありがとうございました。
この発言だけを見る →私は、サイバーセキュリティ戦略本部員と、あとこの法案に対する有識者検討会に入っていましたので、その際に、特に通信の秘密に関して留意して検討しておりました。その通信の秘密に関する留意点と、その留意点がこの法案においてどのように具体化されているかについてお手元の資料に基づいて御説明させていただければと思います。
まず、三ページ目を御覧ください。
通信の秘密に関してですが、今更申し上げるまでもないところですけれども、非常に重要な権利でありまして、表現の自由もそうなんですけれども、人の内面、内心の表れるものとして非常に重要なものとして保護されています。
その結果、通信の秘密の保護対象ですが、四ページですね、通信に関わる全ての事実ということで、特に我が国では、通信の内容のみならず、通信の存在それ自体に関する事項についても通信の秘密として保護されています。これは、具体例でいいますと、信書の場合を念頭に置けば、封書の中身が通信の内容でして、封書の表面ですね、郵便屋さん等が御覧になる表面等も通信の秘密として保護されているということです。これをインターネット通信の場合で考えますと、電子メールの本文、件名、添付ファイル等が通信の内容、あと、通信の存在それ自体に関わる部分が、送受信日時とかIPアドレス、ポート番号等がそれに当たるということになっております。そうしますと、この二つについてはその保護レベルがそれぞれについて違うということがお分かりいただけると思います。
それを前提に、次のページ、通信の秘密の制限における視点というものを考えていきたいと思います。
通信の秘密は非常に重要な権利ではありますけれども、一〇〇%常に守られるものではなく、やっぱり必要最小限の制限は受けるというものです。その場合の考え方として、必要性があるかどうかというところを、通信の秘密で守られる利益、あと通信の秘密の制限により実現される利益というものを考えながら、その必要性において必要最小限度かどうかというようなことを考える必要があります。
その際に、通信当事者の同意がありますと、それは通信の秘密として守られるレベルが割合緩和されるということになります。なぜならば、秘密ではなくなるからです。この場合の同意に関しては、包括的な同意ではなく、一般的に具体的な同意ということになっておりますので、単純に、見てもいいよと一回言ったら常に見られると、そういうものではないということになります。あと、手段についても当然考えなくてはなりませんので、目的に照らして必要な限度の制限かということになります。
これを本法案において検討したものが次の図でありまして、実現しようとする利益が国民の生命、身体ということになります。なぜならば、重要インフラが機能を発揮しないということになりますと、国民の生命、身体が危機に冒されるわけです。なので、これは非常に重要な権利だということになります。
それを守るための手段として、一定限度で通信の秘密を、通信の内容を利用しようと、内容じゃない、ごめんなさい、通信を利用しようとするのが本法案でありまして、次のページ、七ページを御覧ください。手段としてどういうことをしようかというと、対象とする通信は外外通信、外内通信、内外通信というものです。これは、この検討のときに考えていたのは、外国に関しては日本の国家権力の捜査等が及びませんので、この通信を見ることによってでないと実際のその調査はできないという事実があるからではないかというふうに私は考えておりました。
その対象をこのように絞った上で、更にその情報の内容を見ていきますと、先ほどの通信の内容と存在に関わる事実というふうにして分けて考えたときに、今回対象となる情報は、見ていただければ分かりますように、コミュニケーションの本質的な内容には当たらない例というものでして、送受信日時、IPアドレス、通信量、ポート番号というようなところになっております。メールアドレスもこれに入りますが、というのは、宛先等当然入りますので、ただ、ここについては個人情報保護の観点から識別化を、識別できないように工夫すると、加工するという手段が取られております。
さらに、ここの部分をイメージ図に、先ほどの信書の場合との比較したイメージ図でいいますと、この封書の中身は見ないけれども、宛先に類するものは見ますよというようなことになってきます。当然、宛先についても普通は見えるというものの、これを集めていくとそれなりの推知ができるところではあるので、そこを、じゃ、何らかの形で歯止めを掛けなければいけませんねということは当然入ってくるわけで、その手段として実際にどんなことをしているかというと、十ページ、まず、サイバー攻撃に関係する情報だけを自動選別しますと。自動選別がなぜ重要かというと、人が認知しないのでそこの中身をまず見ませんと、人がですね、あと、恣意的な選別を行わないというところが重要だということになります。
さらに、その通信の秘密の侵害を防ぐための手段として、十一ページですね、不当な侵害発生を防ぐための措置というものを更にセーフハーバーとして考えるというようなことになります。このときに考え得る手段としては、事前の規制と事後の是正手段の両面から考える必要があります。
一般的に、このとき考えていたのは、法令による規制、あと独立した監査機関による監視、あと事後的な是正ができるためには透明性の確保が要るということを考えた結果、本法案においてどうなったかというのが十二ページでありまして、まず、法令による規制ということで、目的の限定、通信の秘密の尊重、あと法令に違反、これは事後ですけれども、法令に違反した場合の措置というような形でまず事前と事後の両方が法令の中に入っております。実際に違反があった場合にどうするかということに、違反がないように、あるいは違反があったときにどうするかということで、独立機関による監視を事前、事後と両方に行うということになります。ここが特に今回重要な役割を担っているというふうに私としては考えているわけです。
さらに、透明性の確保ですね、これは透明性確保の仕組みをつくるところは事前の措置ですけれども、実際にそこの是正を行う実効性を保つのは、この国会における報告等できちんと実際に何が行われているかということを把握するというところになってくるというふうに考えております。
その上で、重要な役割を担う監視機関についてどういう在り方が必要かというようなことを考えてみたのが十三ページでして、まず、監視機関については、国民の通信の自由という重要な価値を守るための重要な機関ですので、独立性が確保されることがとても重要だということになります。これが、本法案では三条委員会として独立性を極めて高い形で設置されるというふうに想定されています。さらに、サイバー攻撃の対処という目的に鑑みますと、その独立監視機関というのは、専門性があって、さらに、迅速な対応ができるというところ、あと、孤高の機関であってはなかなかいろんな対応ができませんので、関係当事者との円滑な協力が必要だということになってくると思います。このような上で、三条委員会というか、独立監視機関がきちんとグリップを利かせて監視をしつつ、かついろんな情報を見るというところが本法案において非常に重要な点というふうに承知しております。
さらに、その上で必要な重要な事項として考えておりますのは、まず国民の理解というのが非常に重要だと思っております。この場合の国民の理解というのは、自分の権利を守ることに対する正確な知識と関心です。この自分の権利というのは、通信の秘密を自分が守られているということについての知識と関心と、サイバーセキュリティーがなぜ必要かと、これにより自分の生命、身体が守られているという知識、関心、この両方がきちんと理解されていることが、この法案において、この法案が円滑に行われるための重要な要素というふうに考えております。
さらに、サイバーセキュリティー分野に関しては変化が非常に急速な分野でございます。ですので、一旦法律を作ったら終わりということではなくて、継続的にその状況についての調査、あるいは制度が十分か、また、想定した枠組みが機能しているか、問題が生じていないかということを継続的に検討する必要があると思います。本法案においても三年後に部分について検討というのが、附帯決議じゃなかった、ごめんなさい、修正で入っていたと思いますので、その継続的な見直しについての言及がされているという点、非常に私としては有り難いことだというふうに思っています。
私からは以上になります。
ありがとうございました。
和
持
持永大#9
○参考人(持永大君) 芝浦工業大学の持永です。どうぞよろしくお願いします。
本日は貴重な機会をいただき、ありがとうございます。
私は、サイバーセキュリティーの技術と戦略について研究をしています。技術に関しては、通信ネットワークのセキュリティーであったり、サイバー攻撃の手法などを研究しています。戦略に関しては、他国のサイバー戦略や関連する政策を分析しています。
現在、私は大学に籍を置いて研究活動をしていますけれども、元々は実務家としてのキャリアの方が長くて、JPCERTコーディネーションセンターというところでサイバー攻撃の分析やインシデントの対応、調整、あとは国際連携に当たったほか、三菱総合研究所に行ってサイバーセキュリティーや外交・安全保障に関する政策立案のお手伝いをしてきました。
本日、私は、能動的サイバー防御が日本が欧米主要国と同等以上の対処能力を備え、被害の顕在化を防ぐために必要な能力であることを指摘いたします。その能力必要性の背景として、サイバー攻撃の洗練化に併せ、防御側の対処が多様化しつつも限界を迎えていることを指摘します。さらに、これらを踏まえ、課題として、官民国際連携の充実、体系的な対処と監査の円滑化及び科学技術・人材への投資を指摘します。
近年のサイバー攻撃は、攻撃手法の洗練化に加えて、規模の大きさやしつこさが特徴的です。これらの攻撃は、ある期間内に特定の組織や分野を標的とし、特定の手法やインフラを用いて繰り返し行われる攻撃活動です。専門家は、繰り返して行われる一連の攻撃活動を攻撃キャンペーンと呼んでいます。この攻撃キャンペーンはその期間が長く、潜在的な被害規模がとても大きいです。
二〇二四年一月にアメリカ政府が公表した中華人民共和国を背景とするボルト・タイフーンと呼ばれる組織による攻撃では、攻撃者は少なくとも五年間にわたって攻撃を継続しており、防御側が兆候をつかんで対処するまでに二年半を要しました。この攻撃への対処として、防御側は、通信情報を活用した調査や政府、民間による脆弱性対応の呼びかけ、あとは攻撃手法の公開といった様々な措置を行った上で、最後の手段として、我が国でいうアクセス・無害化の措置を行いました。
攻撃キャンペーンの洗練化や長期化に伴い、防御側は複数の手段を用いて対処を多様化しています。日本においても、例えば、セキュリティー製品の導入、規則の整備、教育といった各自や各社で行うような対応から、民間組織によるソフトウェア更新の呼びかけ、注意喚起、組織間での情報共有等があります。また、被害を受けている機器を運用している方に直接連絡をして被害の拡大を抑えようとしています。
一方で、政府や民間組織の間、専門組織からは、普及啓発、攻撃手法の公開、攻撃者を名指しして非難するパブリックアトリビューション又は経済制裁といった様々な手段を組み合わせて対処しています。
しかし、現状の対処にはコストと網羅性の限界があります。防御側は全方位の守りを固めることは高コストであり、網羅的かつ完璧な対策は難しいです。また、これらの限界の要因の一つは、悪用されているコンピューターの修復を管理者の自主的な行動に委ねている点にあります。この限界は、攻撃者が放置されているコンピューターを大規模な攻撃に悪用できる状況を生んでいます。
専門組織が呼びかけている内容には、例えば皆さんお持ちのスマートフォンのソフトを最新のものにしてくださいといったように、追加の費用が不要で手順も簡単なものもあります。しかし、サイバー攻撃に関する通知を受け取った組織がその機器をそもそも認識していなかった、又はサポート期限を過ぎた機器を使い続けた、又は追加のセキュリティー対策を取らなかったという現状が続いています。この状況が続けば、日本にあるコンピューターが攻撃者に悪用され、国内の基幹インフラ等がサイバー攻撃を受けるだけでなく、悪用されたコンピューターを経由して他国にもその被害を拡大させることにもなります。
国連の政府専門家会合の報告書は、国家がその国内で情報通信技術を悪用されている状況を許してはならないという国際的な規範を示しています。能動的サイバー防御は、この国際的な規範に応える一つの手段として位置付けることができます。そのため、サイバー攻撃の抑制に資する対処は、日本が国際社会において責任ある立場を維持するためにも重要な政策対応であると言えます。
よって、本法案の通信情報の活用はサイバー攻撃の兆候を捉えるのに有効であり、アクセス・無害化は、脆弱なコンピューターを攻撃者が悪用できないように政府が管理者に代わって対策することを可能とします。これによって、従来よりも高いセキュリティーを達成することが可能となり、攻撃キャンペーンを終了に追い込むことができます。
次に、課題として、官民国際連携の充実についてお話しします。
我が国のサイバー安全保障は、国家安全保障局や内閣官房の新組織を始め、官民の多岐にわたる関係主体によって確保されます。しかし、各省庁は対処手段についての共通理解を持っていない状況です。例えば、官民の誰が、いつ、どんな対処をするのかなどの共通認識を持っていません。今後は、共通認識を醸成した上で政府と民間組織の情報を統合し、官民の組織が同じ情報を見て連携し、各自が役割に応じて対応することが重要です。
また、政府の情報共有の在り方を再検討し、効果を高めるべきです。
現在、我が国では、官民それぞれが独自にインシデント情報を収集、共有しています。JPCERTコーディネーションセンターは、基幹インフラ事業者を含む約千二百六十の組織に対して毎日情報提供を行い、二〇二四年には四万六千件のインシデント報告を受け付けています。
一方、内閣サイバーセキュリティセンター、NISCで共有された情報は年間四百件程度です。この差は、JPCERTコーディネーションセンターが中立性と技術的専門性を併せ持つ独立組織として長年にわたり国内外の信頼を蓄積してきたことや支援を提供してきたことに起因すると考えられます。
そのため、今後は、政府が新たに独自の仕組みを構築するのではなく、既存の信頼ある情報流通チャネルを活用し、官民が相互にフィードバックし合える体制を整備することが重要です。加えて、民間事業者に政府へインシデント報告を義務付ける場合でも、それが一方通行とならないよう、政府側も迅速かつ有益な情報を継続的に還元すべきです。
国際連携について、サイバー攻撃への対処は国境をまたぐことが必要な場合が多く、諸外国との連携が欠かせません。そのため、国家安全保障会議は、国内の対処を開始する時点であっても、国際連携を前提とした対処方針を定める必要があります。
また、海外から支援を受け入れる態勢も必要です。なぜなら、海外から情報提供を受けて共同対処をするといったことが想定できるからです。そのため、積極的に同盟国、同志国と情報交換を行うだけではなく、運用面でも意思疎通を密にし、お互いの能力や組織文化に対する理解を深めることが重要です。
例えば、多国間で政治判断を含む実践的な演習を実施することも重要です。防衛省・自衛隊がまさに本日参加しているNATOサイバー防衛協力センターのロックド・シールズは、政府と民間だけではなく、米国、英国、オーストラリアなど諸外国と連携して演習に参加することでお互いの能力を確かめる機会となっています。この演習では、官民が連携して通信ネットワークを守るだけではなく、民間の送電網や水処理施設を共同で守ります。さらに、技術的な対処だけでなく、メディア対応や国際法に関連した分析を行うなど、領域横断的であることに加えて、全てを英語で行う演習です。
こういった演習は、領域横断的な対処能力に加えて、平素から日本が官民問わず諸外国と連携する能力を試す良い機会となります。今後、日本が主導して政治判断を含む演習をアジア太平洋地域で実施するなど、能力や判断プロセスを実践できる機会を増やしていくことが必要だと考えます。
次に、体系的な対処と監査の円滑化について申し上げます。
適切なタイミングでサイバー攻撃対処をするために、体系的な対処と監査の円滑化が必要です。政府が実施する注意喚起やアクセス・無害化を含む措置の実施は、慎重な検討が必要な一方で、対処の有効性を高めるようなタイミングで実施することが重要です。これまで政府が行ってきた一部の対処は、タイミングを外しており有効でないものがありました。そのため、体系的な対処として、通信情報の活用によるサイバー攻撃の兆候の認知から、対処の目標や計画の策定、措置の実施判断、効果測定、実施後の評価といった手順を確立することが必要です。
体系的な対処の確立においては、監査を円滑化する工夫も必要です。例えば、各手順において検討、承認に係る過程をシステム化して、迅速かつ確実な措置を目指すべきです。その際、各手順の根拠や責任者を記録に残すなどして、政府が各段階における説明責任を果たせるようなものとするとよいと思います。
最後に、科学技術・人材への投資について申し上げます。
我が国のサイバー人材の不足を解消するのは、科学技術・人材への投資です。政府による周知のおかげで既に多くの行政官や技術者がサイバーセキュリティーの社会的な意義ややりがいを認知しています。そのため、意義、やりがいを訴える段階から、資金を投じて基盤を強化する段階へ移行する必要があります。
我が国の国内総生産は世界第四位の規模であり、経済基盤や安全保障の確保という観点から見れば、我が国のサイバーセキュリティー予算は少ないです。令和六年度の政府のサイバーセキュリティー予算は二千百二十八億円でした。今後、政府や民間企業に高度な人材を供給できるよう、大学等での教育を始めとする科学技術への投資の絶対額を増やし、政府による予算配分の方法を変えることが必要です。
科学技術への投資と予算配分について言えば、研究テーマや配分機関の重複を許し、多数の研究者に研究費を配る方式を採用すべきです。サイバーセキュリティーは領域横断的な分野であり、従来の資源、予算を特定の分野やプロジェクトに投入する選択と集中の方針を転換するときです。高い能力を目指すならば、広い裾野が必要な分野です。現状では、軟弱な地盤の上に高層ビルを建てようとしている状況と言えます。
また、サイバーセキュリティーによる不備による経済的損失よりも、研究の重複や失敗を許容した場合の損失の方が少ないと考えます。最近の事例では、大学がランサムウェアによる被害を受けたことや証券会社のセキュリティーの不備が九百億円規模の不正取引につながったことがあります。
そして、人材への投資について、決め手となる給与水準が低いことが課題です。これは、人材への投資として早急に対処しなければいけません。
現在、エンジニアをしている方が教育機関や行政機関などの公の仕事に興味があったとしても、給与の低さから敬遠されています。行政官について言えば、能動的サイバー防御には技術、法律、国際関係など幅広い知見に基づく慎重な意思決定が必要であることを踏まえ、これに関わる領域横断的な能力を有する行政官が必要です。そういった能力を有する方の給与を引き上げるべきだと言えます。その責任や専門知識を踏まえれば、これは民間並みではなく、民間以上の水準で確保する必要があります。
民間から人材を登用する場合、政府は、彼らがこれまでに獲得してきた経験、資格及び能力に費やしたリソースに見合う給与を用意して迎え入れるべきです。特にサイバーセキュリティーは、情報通信技術や国際法など、様々な分野と隣接、重複しており、必然的に人材の獲得競争率が上昇します。また、国におけるサイバーセキュリティーは、その性質上、誰にでも仕事を任せられるものではなく、例えば海外の人材を無条件で採用をするのが難しい状況を考えれば、こちらも民間以上の水準を確保する必要があります。
最後に、これらの人材が政府内でサイバー分野を中心としてキャリアを積み重ねることができるようにする必要があります。現在、各省庁では、サイバー分野を中心とするキャリアパスが限られているため、幹部職員であってもサイバー分野に関する知見に濃淡があります。そのため、サイバー分野を中心としつつ、領域横断的な専門的知見を有する行政官、技官を養成することを念頭に、職員の異動時にサイバー分野に関連する異動先に配置するなど、サイバー畑を歩めるようなキャリアパスが必要です。
以上です。
この発言だけを見る →本日は貴重な機会をいただき、ありがとうございます。
私は、サイバーセキュリティーの技術と戦略について研究をしています。技術に関しては、通信ネットワークのセキュリティーであったり、サイバー攻撃の手法などを研究しています。戦略に関しては、他国のサイバー戦略や関連する政策を分析しています。
現在、私は大学に籍を置いて研究活動をしていますけれども、元々は実務家としてのキャリアの方が長くて、JPCERTコーディネーションセンターというところでサイバー攻撃の分析やインシデントの対応、調整、あとは国際連携に当たったほか、三菱総合研究所に行ってサイバーセキュリティーや外交・安全保障に関する政策立案のお手伝いをしてきました。
本日、私は、能動的サイバー防御が日本が欧米主要国と同等以上の対処能力を備え、被害の顕在化を防ぐために必要な能力であることを指摘いたします。その能力必要性の背景として、サイバー攻撃の洗練化に併せ、防御側の対処が多様化しつつも限界を迎えていることを指摘します。さらに、これらを踏まえ、課題として、官民国際連携の充実、体系的な対処と監査の円滑化及び科学技術・人材への投資を指摘します。
近年のサイバー攻撃は、攻撃手法の洗練化に加えて、規模の大きさやしつこさが特徴的です。これらの攻撃は、ある期間内に特定の組織や分野を標的とし、特定の手法やインフラを用いて繰り返し行われる攻撃活動です。専門家は、繰り返して行われる一連の攻撃活動を攻撃キャンペーンと呼んでいます。この攻撃キャンペーンはその期間が長く、潜在的な被害規模がとても大きいです。
二〇二四年一月にアメリカ政府が公表した中華人民共和国を背景とするボルト・タイフーンと呼ばれる組織による攻撃では、攻撃者は少なくとも五年間にわたって攻撃を継続しており、防御側が兆候をつかんで対処するまでに二年半を要しました。この攻撃への対処として、防御側は、通信情報を活用した調査や政府、民間による脆弱性対応の呼びかけ、あとは攻撃手法の公開といった様々な措置を行った上で、最後の手段として、我が国でいうアクセス・無害化の措置を行いました。
攻撃キャンペーンの洗練化や長期化に伴い、防御側は複数の手段を用いて対処を多様化しています。日本においても、例えば、セキュリティー製品の導入、規則の整備、教育といった各自や各社で行うような対応から、民間組織によるソフトウェア更新の呼びかけ、注意喚起、組織間での情報共有等があります。また、被害を受けている機器を運用している方に直接連絡をして被害の拡大を抑えようとしています。
一方で、政府や民間組織の間、専門組織からは、普及啓発、攻撃手法の公開、攻撃者を名指しして非難するパブリックアトリビューション又は経済制裁といった様々な手段を組み合わせて対処しています。
しかし、現状の対処にはコストと網羅性の限界があります。防御側は全方位の守りを固めることは高コストであり、網羅的かつ完璧な対策は難しいです。また、これらの限界の要因の一つは、悪用されているコンピューターの修復を管理者の自主的な行動に委ねている点にあります。この限界は、攻撃者が放置されているコンピューターを大規模な攻撃に悪用できる状況を生んでいます。
専門組織が呼びかけている内容には、例えば皆さんお持ちのスマートフォンのソフトを最新のものにしてくださいといったように、追加の費用が不要で手順も簡単なものもあります。しかし、サイバー攻撃に関する通知を受け取った組織がその機器をそもそも認識していなかった、又はサポート期限を過ぎた機器を使い続けた、又は追加のセキュリティー対策を取らなかったという現状が続いています。この状況が続けば、日本にあるコンピューターが攻撃者に悪用され、国内の基幹インフラ等がサイバー攻撃を受けるだけでなく、悪用されたコンピューターを経由して他国にもその被害を拡大させることにもなります。
国連の政府専門家会合の報告書は、国家がその国内で情報通信技術を悪用されている状況を許してはならないという国際的な規範を示しています。能動的サイバー防御は、この国際的な規範に応える一つの手段として位置付けることができます。そのため、サイバー攻撃の抑制に資する対処は、日本が国際社会において責任ある立場を維持するためにも重要な政策対応であると言えます。
よって、本法案の通信情報の活用はサイバー攻撃の兆候を捉えるのに有効であり、アクセス・無害化は、脆弱なコンピューターを攻撃者が悪用できないように政府が管理者に代わって対策することを可能とします。これによって、従来よりも高いセキュリティーを達成することが可能となり、攻撃キャンペーンを終了に追い込むことができます。
次に、課題として、官民国際連携の充実についてお話しします。
我が国のサイバー安全保障は、国家安全保障局や内閣官房の新組織を始め、官民の多岐にわたる関係主体によって確保されます。しかし、各省庁は対処手段についての共通理解を持っていない状況です。例えば、官民の誰が、いつ、どんな対処をするのかなどの共通認識を持っていません。今後は、共通認識を醸成した上で政府と民間組織の情報を統合し、官民の組織が同じ情報を見て連携し、各自が役割に応じて対応することが重要です。
また、政府の情報共有の在り方を再検討し、効果を高めるべきです。
現在、我が国では、官民それぞれが独自にインシデント情報を収集、共有しています。JPCERTコーディネーションセンターは、基幹インフラ事業者を含む約千二百六十の組織に対して毎日情報提供を行い、二〇二四年には四万六千件のインシデント報告を受け付けています。
一方、内閣サイバーセキュリティセンター、NISCで共有された情報は年間四百件程度です。この差は、JPCERTコーディネーションセンターが中立性と技術的専門性を併せ持つ独立組織として長年にわたり国内外の信頼を蓄積してきたことや支援を提供してきたことに起因すると考えられます。
そのため、今後は、政府が新たに独自の仕組みを構築するのではなく、既存の信頼ある情報流通チャネルを活用し、官民が相互にフィードバックし合える体制を整備することが重要です。加えて、民間事業者に政府へインシデント報告を義務付ける場合でも、それが一方通行とならないよう、政府側も迅速かつ有益な情報を継続的に還元すべきです。
国際連携について、サイバー攻撃への対処は国境をまたぐことが必要な場合が多く、諸外国との連携が欠かせません。そのため、国家安全保障会議は、国内の対処を開始する時点であっても、国際連携を前提とした対処方針を定める必要があります。
また、海外から支援を受け入れる態勢も必要です。なぜなら、海外から情報提供を受けて共同対処をするといったことが想定できるからです。そのため、積極的に同盟国、同志国と情報交換を行うだけではなく、運用面でも意思疎通を密にし、お互いの能力や組織文化に対する理解を深めることが重要です。
例えば、多国間で政治判断を含む実践的な演習を実施することも重要です。防衛省・自衛隊がまさに本日参加しているNATOサイバー防衛協力センターのロックド・シールズは、政府と民間だけではなく、米国、英国、オーストラリアなど諸外国と連携して演習に参加することでお互いの能力を確かめる機会となっています。この演習では、官民が連携して通信ネットワークを守るだけではなく、民間の送電網や水処理施設を共同で守ります。さらに、技術的な対処だけでなく、メディア対応や国際法に関連した分析を行うなど、領域横断的であることに加えて、全てを英語で行う演習です。
こういった演習は、領域横断的な対処能力に加えて、平素から日本が官民問わず諸外国と連携する能力を試す良い機会となります。今後、日本が主導して政治判断を含む演習をアジア太平洋地域で実施するなど、能力や判断プロセスを実践できる機会を増やしていくことが必要だと考えます。
次に、体系的な対処と監査の円滑化について申し上げます。
適切なタイミングでサイバー攻撃対処をするために、体系的な対処と監査の円滑化が必要です。政府が実施する注意喚起やアクセス・無害化を含む措置の実施は、慎重な検討が必要な一方で、対処の有効性を高めるようなタイミングで実施することが重要です。これまで政府が行ってきた一部の対処は、タイミングを外しており有効でないものがありました。そのため、体系的な対処として、通信情報の活用によるサイバー攻撃の兆候の認知から、対処の目標や計画の策定、措置の実施判断、効果測定、実施後の評価といった手順を確立することが必要です。
体系的な対処の確立においては、監査を円滑化する工夫も必要です。例えば、各手順において検討、承認に係る過程をシステム化して、迅速かつ確実な措置を目指すべきです。その際、各手順の根拠や責任者を記録に残すなどして、政府が各段階における説明責任を果たせるようなものとするとよいと思います。
最後に、科学技術・人材への投資について申し上げます。
我が国のサイバー人材の不足を解消するのは、科学技術・人材への投資です。政府による周知のおかげで既に多くの行政官や技術者がサイバーセキュリティーの社会的な意義ややりがいを認知しています。そのため、意義、やりがいを訴える段階から、資金を投じて基盤を強化する段階へ移行する必要があります。
我が国の国内総生産は世界第四位の規模であり、経済基盤や安全保障の確保という観点から見れば、我が国のサイバーセキュリティー予算は少ないです。令和六年度の政府のサイバーセキュリティー予算は二千百二十八億円でした。今後、政府や民間企業に高度な人材を供給できるよう、大学等での教育を始めとする科学技術への投資の絶対額を増やし、政府による予算配分の方法を変えることが必要です。
科学技術への投資と予算配分について言えば、研究テーマや配分機関の重複を許し、多数の研究者に研究費を配る方式を採用すべきです。サイバーセキュリティーは領域横断的な分野であり、従来の資源、予算を特定の分野やプロジェクトに投入する選択と集中の方針を転換するときです。高い能力を目指すならば、広い裾野が必要な分野です。現状では、軟弱な地盤の上に高層ビルを建てようとしている状況と言えます。
また、サイバーセキュリティーによる不備による経済的損失よりも、研究の重複や失敗を許容した場合の損失の方が少ないと考えます。最近の事例では、大学がランサムウェアによる被害を受けたことや証券会社のセキュリティーの不備が九百億円規模の不正取引につながったことがあります。
そして、人材への投資について、決め手となる給与水準が低いことが課題です。これは、人材への投資として早急に対処しなければいけません。
現在、エンジニアをしている方が教育機関や行政機関などの公の仕事に興味があったとしても、給与の低さから敬遠されています。行政官について言えば、能動的サイバー防御には技術、法律、国際関係など幅広い知見に基づく慎重な意思決定が必要であることを踏まえ、これに関わる領域横断的な能力を有する行政官が必要です。そういった能力を有する方の給与を引き上げるべきだと言えます。その責任や専門知識を踏まえれば、これは民間並みではなく、民間以上の水準で確保する必要があります。
民間から人材を登用する場合、政府は、彼らがこれまでに獲得してきた経験、資格及び能力に費やしたリソースに見合う給与を用意して迎え入れるべきです。特にサイバーセキュリティーは、情報通信技術や国際法など、様々な分野と隣接、重複しており、必然的に人材の獲得競争率が上昇します。また、国におけるサイバーセキュリティーは、その性質上、誰にでも仕事を任せられるものではなく、例えば海外の人材を無条件で採用をするのが難しい状況を考えれば、こちらも民間以上の水準を確保する必要があります。
最後に、これらの人材が政府内でサイバー分野を中心としてキャリアを積み重ねることができるようにする必要があります。現在、各省庁では、サイバー分野を中心とするキャリアパスが限られているため、幹部職員であってもサイバー分野に関する知見に濃淡があります。そのため、サイバー分野を中心としつつ、領域横断的な専門的知見を有する行政官、技官を養成することを念頭に、職員の異動時にサイバー分野に関連する異動先に配置するなど、サイバー畑を歩めるようなキャリアパスが必要です。
以上です。
和
齋
齋藤裕#11
○参考人(齋藤裕君) 弁護士の齋藤裕と申します。
本日は、貴重な機会をいただきまして、誠にありがとうございます。
私は、日本弁護士連合会で今回の法案についての検討を担当してきました。今回お話しする内容はあくまで個人としての発言でございますが、よろしくお願いいたします。
私の方は、今日、能動的サイバー防御法案、令和七年五月八日、参考人質疑メモというものに基づいてお話しさせていただきたいと思います。ただ、こちらが言いたいことは、事前でも配られていますし、今日も配られていますけれども、いわゆる能動的サイバー防御法案について慎重審議等を求める意見書、日本弁護士連合会、四月十七日付けというものがございますが、基本的には私の意見はこの意見書に沿った内容ということになります。
まず、メモに基づいてですが、第一に言いたいことでございますが、当事者協定の問題点、特にこれが通信の自由を侵害しないかということについてお話しさせていただきたいと思います。
当事者協定による通信情報の利用は、一方当事者の同意のみがあれば可能だというふうにされておるわけです。例えば、当該当事者の設備にサイバー攻撃がなされている、あるいはもうなされようとしているというような具体的な必要性は全く要件とされていないわけでございます。これがほかの通信情報の利用制度と異なるところでございます。このような通信情報の利用、当事者協定による通信情報の利用というものが通信の秘密を侵害しないかということについて述べさせていただきます。
まず、この点についてですが、最高裁決定、平成十一年十二月十六日決定というものがございます。いろいろ書いてございますけれども、最終的には、その通信傍受についてやむを得ないと認められることが必要だというふうにされているわけでございます。要するに、必要性でございますけれども、ここでいう必要性というのは、一般論としての必要性ではないわけですね。
例えば、一般的に、犯罪を防止しなければならないから、どんな状況であっても人の家に捜索、差押えを掛けてもいいということには絶対ならないはずであります。捜索、差押えをすることができるのは、犯罪の嫌疑がある、具体的に、ある犯罪が行われた疑いがあって、その被疑者を捜査するために必要性がある、そういう具体的な必要性があるから捜索、差押えができるということでございます。ここでいう必要性というのは、あくまで一般論としての必要性ではなく、具体的な必要性ですね。最高裁は、あくまで具体的な必要性がある、具体的にやむを得ないという場合には通信の秘密は制限されるということを言っているわけでございます。
ところが、当事者協定の場合、どうでしょうか。当事者協定について法文上の要件とされているのはあくまで一方当事者の同意であります。例えば、ソトソト通信と言うのかガイガイ通信と言うのか分かりませんけど、外外通信の場合ですけれども、通信情報の利用をしなければサイバー攻撃による被害を防止できないというようなことが要件に書かれています。これが具体的な必要性だと思います。当事者協定による以外の通信情報の利用については何らかの形で具体的な必要性が要件とされているわけでございますが、当事者協定による通信情報の利用については具体的な必要性が全く要件とされていない。これが非常に異質なわけでございます。そうしますと、最高裁の判断枠組みからして合憲性に疑問があるのではないかと思っております。
この点ですけれども、一方当事者が同意しているからまあいいんじゃないかというような反論が考えられるところであります。全く同じような事例について判断した判例、裁判例というのはないわけでございますけれども、通信の一方あるいは会話をしている一方が他方の同意なく録音しちゃう、人と人が話している、電話で話す場合も面と向かって話す場合もあるでしょうけど、一方当事者が相手の承諾を得ないで勝手に録音してしまうということがあるわけです。そういうケースについて、今まで多くの判例、裁判例で判断されてきたわけでございますが、今回、最高裁の二つの決定を資料に書いておりますけれども、二ページ目に行きます。
結局どういうことを言っているかということですけれども、例えばその録音が証拠にする上で必要性があるとか取材をする上で必要性があるとか、何らかの必要性があるからその録音、勝手に録音するというのは適法なんだというような判断をしている。あるいは、相手方も録音されることは予想すべきだったんじゃないのということで適法としているということでございます。これが最高裁の判断枠組みでございます。
そうしますと、今回の当事者協定による通信情報の利用というのは、先ほどから申し上げていますけど、法律上の要件として、少なくとも具体的な必要性というのは全く要件になっていない。そして、当事者が、じゃ、私は内閣総理大臣から通信情報が利用されるだろうかということを予期できるかというと、普通はできないわけですね。そう考えると、秘密録音、不同意録音の事例を持ってきて、一方当事者が同意しているから当事者協定による通信情報の利用は正当化されるんだということは決して言えないだろうと思っています。
そう考えますと、やはり当事者協定による通信情報の利用については、通信の秘密との観点で非常に問題があるというふうに考えております。これが一点目です。
二点目、捜査利用の可能性と令状主義でございます。
ここでは主に、通信情報の利用以外の、通信情報の利用について述べますけれども、全ての通信情報の利用について、法律の条文上は捜査利用の可能性は排除されていないわけでございます、明確には排除されていません。政府答弁では、これは政府答弁自体がぶれていますけれども、警察が選別後通信情報を得て、それを捜査に使う場合には新たに令状を取得するというような答弁もあったわけです。これはほとんどもう令状主義の潜脱と言わざるを得ないわけですけれども、このような捜査に使われてしまうかもしれない状況で令状なしで通信情報を取得するという制度が憲法に違反しないかということが問題になると考えております。
憲法三十五条というものがございまして、捜索、差押えをする場合には令状がなければならないというふうに言っておるわけでございます、これに反しないかの問題です。
まず、前提として、捜索、差押えというのは、警察官がどかどかと人の家に入り込むみたいな物理的なものが基本的には念頭に置かれているわけですけれども、ただ、無形的なものについても憲法三十五条が適用されるというのは、最高裁平成二十九年三月十五日判決ではっきりしたわけでございます。
次ですけれども、今回のような通信情報の利用のような、通信情報の利用は行政手続であって捜査手続ではないというふうにされているわけですが、このような手続についても令状主義が適用されるのか、これはもう国会でも議論されたわけでございます。これについて述べさせていただきます。
これについては、収税官吏による調査と憲法三十五条についての最高裁昭和四十七年十一月二十二日判決というものがあって、これも国会審議で再三引用されてきたところでございます。この最高裁判決は税務調査について令状主義が適用されないという判断をしているわけですが、その理由として四点挙げているわけでございます。
一つは刑事責任の追及を目的とする手続ではない。二つ目が刑事責任追及のための資料の取得収集に直接結び付く作用を一般的に有しているものではない。三点目、これ、三ページですね、三点目でございますが、直接的物理的な強制と同視すべき程度の強制をしていない。四点目でございますが、公益上の目的を実現するために必要不可欠だということが言われているわけでございます。
まず、二つ目の要件でございますけれども、刑事責任追及のための資料の取得収集に直接結び付く作用を一般的に有するものかどうかということでございますけれども、これにつきましては、最高裁はなぜこういう判断をしているかというと、所得税の逋脱その他刑事責任の嫌疑を基準に右の範囲が定められているのではない、だから税務調査というのは刑事責任の追及に一般的に結び付くものではないと言っているわけです。税務調査の対象というのが犯罪という基準で絞られているわけではない、だから税務調査の対象は犯罪以外のものも含まれている、犯罪も含まれるかもしれないけど犯罪以外のものも含まれているので、そういう意味では、刑事責任の追及に一般的に結び付くものではないというのが最高裁の論理なんでございますけれども、通信情報の利用につきましては、特定不正行為の疑いというのが要件となっているわけですね。
特定不正行為というのは、例えば、業務妨害であるとか、刑法の業務妨害とかあるいは不正アクセス禁止法とか、そういう犯罪行為に該当する行為を要件としているわけです。通信情報の利用というのは犯罪行為というものを基準として行われることになっている、そういう制度でございますので、まさに犯罪というものを基準に、それを、犯罪に関わるものを対象に通信情報の利用がなされるという制度になっていますので、まさにこれは刑事責任の追及に一般的に結び付き得るものだろうというふうに言わざるを得ないと思います。
三点目の要件ですけれども、通信当事者は、もう勝手に通信情報を利用されちゃうわけですから、もう原則拒否できない、嫌だよと言うこともできない。これは非常に強制の度合いが大きいということでありまして、そう考えますと、最高裁の判決を前提としましても、少なくとも当事者協定に基づくもの以外の通信情報の利用については、最高裁判決に照らしても、憲法三十五条が適用されて令状主義が必要なのではないかと考えております。そうしますと、令状なしでこのようなことをやる制度というのは違憲ではないか、その可能性があるのではないかと考えております。
三点目でございます。当事者協定と目的外利用でございます。
当事者協定については目的外利用が許容されているということでございます。この点について一点、政府の説明としては、一つ目は、法の趣旨にのっとり権限を行使するのが当然だからいいんだと。二点目、第三者機関も法の目的に照らしてチェックを行うからいいんだと言っています。三点目、サイバー防御以外のために使いようがない情報だからいいんだというふうに言っています。
これらについて検討しますけど、一について、我が国は法治国家であります。法の趣旨にのっとり権限を行使するからいいんだというのはまさに人治主義の考えでありまして、到底法治主義の考えではないと言わざるを得ません。
二つ目ですが、第三者機関も法の目的に照らしてチェックを行う、次、四ページ目でございますけれども、というふうに言われていますけど、これ、二十三条四項でわざわざ特定被害防止目的以外に使ってよいと記載されているわけですね。明確にこういうふうに書かれているのに、第三者機関が法の趣旨とかどうのこうのということでチェックできるとは到底思われないわけであります。
三番目でございます。これは、ここに書かれているのは、どっちかというと当事者協定に基づく通信情報の利用などに関わる、法二十二条二項、一項三号ですかね、ごめんなさい、法二十二条二項一号、三号に基づいて述べているわけでございますけれども、例えば、誰かのパソコンなりサーバーが乗っ取られて、それを踏み台としていろんなところにサイバー攻撃がなされた場合、そのサーバーなりのIPアドレスをキーにして検索をして、それに関わるような通信がのぞかれてしまう可能性があるだろうと。その場合に、例えば、じゃ、どういうところとメールでやり取りをしたのか、どういうサイトをのぞいたのか、そういう人の交流、交友関係とか興味関心に関わるような情報が知られてしまうのではないかと思います。そういう情報が知られてしまうということになれば、それは捜査とかあるいは脅しに使われるということも十分あり得るだろうと思っております。
メールについては非識別化がされるからいいんだというようなお話もありました。これについては、衆議院でたしか平大臣がおっしゃっていたのが、メールの識別可能性については、例えばメールの中に名前が入っている、名前が入っているような場合にはそれで個人識別ができちゃうのでその部分を消さなきゃいけないというようなことを平大臣おっしゃっていたと思います。
そうだとすると、じゃ、名前が書かれていないメールアドレスは非識別化しないのかということになります。でも、メールアドレスというのは、使いようによっては、あっ、このメールアドレスはこの人のものだなというふうに分かってしまうことは十分あるわけですね。そういう意味では、メールアドレスなどについて非識別化されるから安心だということには決してならないだろうと思っております。そういう意味で、当事者協定において目的外利用を許容する規定は削除すべきだと考えております。
第四もありましたが、時間となりましたので。ありがとうございました。
この発言だけを見る →本日は、貴重な機会をいただきまして、誠にありがとうございます。
私は、日本弁護士連合会で今回の法案についての検討を担当してきました。今回お話しする内容はあくまで個人としての発言でございますが、よろしくお願いいたします。
私の方は、今日、能動的サイバー防御法案、令和七年五月八日、参考人質疑メモというものに基づいてお話しさせていただきたいと思います。ただ、こちらが言いたいことは、事前でも配られていますし、今日も配られていますけれども、いわゆる能動的サイバー防御法案について慎重審議等を求める意見書、日本弁護士連合会、四月十七日付けというものがございますが、基本的には私の意見はこの意見書に沿った内容ということになります。
まず、メモに基づいてですが、第一に言いたいことでございますが、当事者協定の問題点、特にこれが通信の自由を侵害しないかということについてお話しさせていただきたいと思います。
当事者協定による通信情報の利用は、一方当事者の同意のみがあれば可能だというふうにされておるわけです。例えば、当該当事者の設備にサイバー攻撃がなされている、あるいはもうなされようとしているというような具体的な必要性は全く要件とされていないわけでございます。これがほかの通信情報の利用制度と異なるところでございます。このような通信情報の利用、当事者協定による通信情報の利用というものが通信の秘密を侵害しないかということについて述べさせていただきます。
まず、この点についてですが、最高裁決定、平成十一年十二月十六日決定というものがございます。いろいろ書いてございますけれども、最終的には、その通信傍受についてやむを得ないと認められることが必要だというふうにされているわけでございます。要するに、必要性でございますけれども、ここでいう必要性というのは、一般論としての必要性ではないわけですね。
例えば、一般的に、犯罪を防止しなければならないから、どんな状況であっても人の家に捜索、差押えを掛けてもいいということには絶対ならないはずであります。捜索、差押えをすることができるのは、犯罪の嫌疑がある、具体的に、ある犯罪が行われた疑いがあって、その被疑者を捜査するために必要性がある、そういう具体的な必要性があるから捜索、差押えができるということでございます。ここでいう必要性というのは、あくまで一般論としての必要性ではなく、具体的な必要性ですね。最高裁は、あくまで具体的な必要性がある、具体的にやむを得ないという場合には通信の秘密は制限されるということを言っているわけでございます。
ところが、当事者協定の場合、どうでしょうか。当事者協定について法文上の要件とされているのはあくまで一方当事者の同意であります。例えば、ソトソト通信と言うのかガイガイ通信と言うのか分かりませんけど、外外通信の場合ですけれども、通信情報の利用をしなければサイバー攻撃による被害を防止できないというようなことが要件に書かれています。これが具体的な必要性だと思います。当事者協定による以外の通信情報の利用については何らかの形で具体的な必要性が要件とされているわけでございますが、当事者協定による通信情報の利用については具体的な必要性が全く要件とされていない。これが非常に異質なわけでございます。そうしますと、最高裁の判断枠組みからして合憲性に疑問があるのではないかと思っております。
この点ですけれども、一方当事者が同意しているからまあいいんじゃないかというような反論が考えられるところであります。全く同じような事例について判断した判例、裁判例というのはないわけでございますけれども、通信の一方あるいは会話をしている一方が他方の同意なく録音しちゃう、人と人が話している、電話で話す場合も面と向かって話す場合もあるでしょうけど、一方当事者が相手の承諾を得ないで勝手に録音してしまうということがあるわけです。そういうケースについて、今まで多くの判例、裁判例で判断されてきたわけでございますが、今回、最高裁の二つの決定を資料に書いておりますけれども、二ページ目に行きます。
結局どういうことを言っているかということですけれども、例えばその録音が証拠にする上で必要性があるとか取材をする上で必要性があるとか、何らかの必要性があるからその録音、勝手に録音するというのは適法なんだというような判断をしている。あるいは、相手方も録音されることは予想すべきだったんじゃないのということで適法としているということでございます。これが最高裁の判断枠組みでございます。
そうしますと、今回の当事者協定による通信情報の利用というのは、先ほどから申し上げていますけど、法律上の要件として、少なくとも具体的な必要性というのは全く要件になっていない。そして、当事者が、じゃ、私は内閣総理大臣から通信情報が利用されるだろうかということを予期できるかというと、普通はできないわけですね。そう考えると、秘密録音、不同意録音の事例を持ってきて、一方当事者が同意しているから当事者協定による通信情報の利用は正当化されるんだということは決して言えないだろうと思っています。
そう考えますと、やはり当事者協定による通信情報の利用については、通信の秘密との観点で非常に問題があるというふうに考えております。これが一点目です。
二点目、捜査利用の可能性と令状主義でございます。
ここでは主に、通信情報の利用以外の、通信情報の利用について述べますけれども、全ての通信情報の利用について、法律の条文上は捜査利用の可能性は排除されていないわけでございます、明確には排除されていません。政府答弁では、これは政府答弁自体がぶれていますけれども、警察が選別後通信情報を得て、それを捜査に使う場合には新たに令状を取得するというような答弁もあったわけです。これはほとんどもう令状主義の潜脱と言わざるを得ないわけですけれども、このような捜査に使われてしまうかもしれない状況で令状なしで通信情報を取得するという制度が憲法に違反しないかということが問題になると考えております。
憲法三十五条というものがございまして、捜索、差押えをする場合には令状がなければならないというふうに言っておるわけでございます、これに反しないかの問題です。
まず、前提として、捜索、差押えというのは、警察官がどかどかと人の家に入り込むみたいな物理的なものが基本的には念頭に置かれているわけですけれども、ただ、無形的なものについても憲法三十五条が適用されるというのは、最高裁平成二十九年三月十五日判決ではっきりしたわけでございます。
次ですけれども、今回のような通信情報の利用のような、通信情報の利用は行政手続であって捜査手続ではないというふうにされているわけですが、このような手続についても令状主義が適用されるのか、これはもう国会でも議論されたわけでございます。これについて述べさせていただきます。
これについては、収税官吏による調査と憲法三十五条についての最高裁昭和四十七年十一月二十二日判決というものがあって、これも国会審議で再三引用されてきたところでございます。この最高裁判決は税務調査について令状主義が適用されないという判断をしているわけですが、その理由として四点挙げているわけでございます。
一つは刑事責任の追及を目的とする手続ではない。二つ目が刑事責任追及のための資料の取得収集に直接結び付く作用を一般的に有しているものではない。三点目、これ、三ページですね、三点目でございますが、直接的物理的な強制と同視すべき程度の強制をしていない。四点目でございますが、公益上の目的を実現するために必要不可欠だということが言われているわけでございます。
まず、二つ目の要件でございますけれども、刑事責任追及のための資料の取得収集に直接結び付く作用を一般的に有するものかどうかということでございますけれども、これにつきましては、最高裁はなぜこういう判断をしているかというと、所得税の逋脱その他刑事責任の嫌疑を基準に右の範囲が定められているのではない、だから税務調査というのは刑事責任の追及に一般的に結び付くものではないと言っているわけです。税務調査の対象というのが犯罪という基準で絞られているわけではない、だから税務調査の対象は犯罪以外のものも含まれている、犯罪も含まれるかもしれないけど犯罪以外のものも含まれているので、そういう意味では、刑事責任の追及に一般的に結び付くものではないというのが最高裁の論理なんでございますけれども、通信情報の利用につきましては、特定不正行為の疑いというのが要件となっているわけですね。
特定不正行為というのは、例えば、業務妨害であるとか、刑法の業務妨害とかあるいは不正アクセス禁止法とか、そういう犯罪行為に該当する行為を要件としているわけです。通信情報の利用というのは犯罪行為というものを基準として行われることになっている、そういう制度でございますので、まさに犯罪というものを基準に、それを、犯罪に関わるものを対象に通信情報の利用がなされるという制度になっていますので、まさにこれは刑事責任の追及に一般的に結び付き得るものだろうというふうに言わざるを得ないと思います。
三点目の要件ですけれども、通信当事者は、もう勝手に通信情報を利用されちゃうわけですから、もう原則拒否できない、嫌だよと言うこともできない。これは非常に強制の度合いが大きいということでありまして、そう考えますと、最高裁の判決を前提としましても、少なくとも当事者協定に基づくもの以外の通信情報の利用については、最高裁判決に照らしても、憲法三十五条が適用されて令状主義が必要なのではないかと考えております。そうしますと、令状なしでこのようなことをやる制度というのは違憲ではないか、その可能性があるのではないかと考えております。
三点目でございます。当事者協定と目的外利用でございます。
当事者協定については目的外利用が許容されているということでございます。この点について一点、政府の説明としては、一つ目は、法の趣旨にのっとり権限を行使するのが当然だからいいんだと。二点目、第三者機関も法の目的に照らしてチェックを行うからいいんだと言っています。三点目、サイバー防御以外のために使いようがない情報だからいいんだというふうに言っています。
これらについて検討しますけど、一について、我が国は法治国家であります。法の趣旨にのっとり権限を行使するからいいんだというのはまさに人治主義の考えでありまして、到底法治主義の考えではないと言わざるを得ません。
二つ目ですが、第三者機関も法の目的に照らしてチェックを行う、次、四ページ目でございますけれども、というふうに言われていますけど、これ、二十三条四項でわざわざ特定被害防止目的以外に使ってよいと記載されているわけですね。明確にこういうふうに書かれているのに、第三者機関が法の趣旨とかどうのこうのということでチェックできるとは到底思われないわけであります。
三番目でございます。これは、ここに書かれているのは、どっちかというと当事者協定に基づく通信情報の利用などに関わる、法二十二条二項、一項三号ですかね、ごめんなさい、法二十二条二項一号、三号に基づいて述べているわけでございますけれども、例えば、誰かのパソコンなりサーバーが乗っ取られて、それを踏み台としていろんなところにサイバー攻撃がなされた場合、そのサーバーなりのIPアドレスをキーにして検索をして、それに関わるような通信がのぞかれてしまう可能性があるだろうと。その場合に、例えば、じゃ、どういうところとメールでやり取りをしたのか、どういうサイトをのぞいたのか、そういう人の交流、交友関係とか興味関心に関わるような情報が知られてしまうのではないかと思います。そういう情報が知られてしまうということになれば、それは捜査とかあるいは脅しに使われるということも十分あり得るだろうと思っております。
メールについては非識別化がされるからいいんだというようなお話もありました。これについては、衆議院でたしか平大臣がおっしゃっていたのが、メールの識別可能性については、例えばメールの中に名前が入っている、名前が入っているような場合にはそれで個人識別ができちゃうのでその部分を消さなきゃいけないというようなことを平大臣おっしゃっていたと思います。
そうだとすると、じゃ、名前が書かれていないメールアドレスは非識別化しないのかということになります。でも、メールアドレスというのは、使いようによっては、あっ、このメールアドレスはこの人のものだなというふうに分かってしまうことは十分あるわけですね。そういう意味では、メールアドレスなどについて非識別化されるから安心だということには決してならないだろうと思っております。そういう意味で、当事者協定において目的外利用を許容する規定は削除すべきだと考えております。
第四もありましたが、時間となりましたので。ありがとうございました。
和
和田政宗#12
○委員長(和田政宗君) ありがとうございました。
以上で参考人の御意見の陳述は終わりました。
これより参考人に対する質疑を行います。
なお、質疑及び答弁は着席のままで結構でございます。
質疑のある方は順次御発言願います。
この発言だけを見る →以上で参考人の御意見の陳述は終わりました。
これより参考人に対する質疑を行います。
なお、質疑及び答弁は着席のままで結構でございます。
質疑のある方は順次御発言願います。
山
山谷えり子#13
○山谷えり子君 自由民主党、山谷えり子でございます。
参考人の先生方、それぞれの視点から考え方をお述べいただきまして、ありがとうございます。非常に参考になりました。また、今後の課題についても重く受け止めていきたいというふうに思っております。
サイバー攻撃は年々深刻化、巧妙化しております。この法案は、官民協力の下、攻撃側を無害化することも可能になるということで、国民の安全、安心を考えてのことであります。
そこで、上沼参考人、持永参考人に、分析対象となる機械的情報の性質についてお伺いしたいというふうに思います。
本法案において、コミュニケーションの本質的内容に当たらない機械的情報であって、攻撃に関係があるものだけを選別した上で個人情報に当たるような部分は識別できないようにするという措置も講じて分析をすることになっているわけですけれども、サイバー攻撃の被害防止、そして通信の秘密を両立させるための仕組みでありますが、一方で、こうした情報を蓄積することで一般の個人の方々の行動を追跡したり監視したりするということができるのではないかという指摘もあるわけであります。
本法案が定めるように、機械的情報であって、サイバー攻撃に関係のある外内通信に限られるもので、かつ個人情報を非識別化したもののみを選別して利用するという、こうした場合に、こういう情報を蓄積することで、ストレートな聞き方になりますけれども、一般の個人の方々を監視することができるのか、お考えをお聞かせください。
この発言だけを見る →参考人の先生方、それぞれの視点から考え方をお述べいただきまして、ありがとうございます。非常に参考になりました。また、今後の課題についても重く受け止めていきたいというふうに思っております。
サイバー攻撃は年々深刻化、巧妙化しております。この法案は、官民協力の下、攻撃側を無害化することも可能になるということで、国民の安全、安心を考えてのことであります。
そこで、上沼参考人、持永参考人に、分析対象となる機械的情報の性質についてお伺いしたいというふうに思います。
本法案において、コミュニケーションの本質的内容に当たらない機械的情報であって、攻撃に関係があるものだけを選別した上で個人情報に当たるような部分は識別できないようにするという措置も講じて分析をすることになっているわけですけれども、サイバー攻撃の被害防止、そして通信の秘密を両立させるための仕組みでありますが、一方で、こうした情報を蓄積することで一般の個人の方々の行動を追跡したり監視したりするということができるのではないかという指摘もあるわけであります。
本法案が定めるように、機械的情報であって、サイバー攻撃に関係のある外内通信に限られるもので、かつ個人情報を非識別化したもののみを選別して利用するという、こうした場合に、こういう情報を蓄積することで、ストレートな聞き方になりますけれども、一般の個人の方々を監視することができるのか、お考えをお聞かせください。
上
上沼紫野#14
○参考人(上沼紫野君) 御質問ありがとうございます。上沼の方からお答えをまずさせていただきます。
結論として、一般の方のその個人の行動を網羅的に追跡するということは難しいというふうに考えます。
その一つの理由は、今回対象となるものが外内通信ということでして、一方当事者の同意と言っているのが日本の国内の事業者の側の同意ですね。そうすると、相手側は国外になりますので、この通信によって一般個人のその行動を追跡するというのは非常に難しい、まずその通信の性質からですね。さらに、そこの部分が機械的だということになってきて、さらに、その機械的にするときに対象不正行為の可能性のところを鑑みて自動選別するということになってくると、一般的なその個人の行為を追跡するというのは非常に、その段階で結構落ちてしまいますので難しいというふうに考えます。
以上です。
この発言だけを見る →結論として、一般の方のその個人の行動を網羅的に追跡するということは難しいというふうに考えます。
その一つの理由は、今回対象となるものが外内通信ということでして、一方当事者の同意と言っているのが日本の国内の事業者の側の同意ですね。そうすると、相手側は国外になりますので、この通信によって一般個人のその行動を追跡するというのは非常に難しい、まずその通信の性質からですね。さらに、そこの部分が機械的だということになってきて、さらに、その機械的にするときに対象不正行為の可能性のところを鑑みて自動選別するということになってくると、一般的なその個人の行為を追跡するというのは非常に、その段階で結構落ちてしまいますので難しいというふうに考えます。
以上です。
持
持永大#15
○参考人(持永大君) 御質問ありがとうございます。
個人を追跡できるのかというのは、まず選別後の情報なので、それはサイバー攻撃に関連している情報というふうに承知しておりますので、非常に難しいと。
例えば、サイバー攻撃に関連しているIPアドレスを事前に特定して、それらのIPアドレスの通信を丸ごと取ってこようみたいな話を懸念されるかとは思うんですけれども、まずその段階であっても、もしそのIPアドレスを監視しようとした場合には、サイバー通信情報監理委員会の方でそれは不適切な運用であるというふうにはねられるはずなので、今回のその法案の中で言われているような方式を使って個人の方を追跡するのは非常に難しいと言えます。
この発言だけを見る →個人を追跡できるのかというのは、まず選別後の情報なので、それはサイバー攻撃に関連している情報というふうに承知しておりますので、非常に難しいと。
例えば、サイバー攻撃に関連しているIPアドレスを事前に特定して、それらのIPアドレスの通信を丸ごと取ってこようみたいな話を懸念されるかとは思うんですけれども、まずその段階であっても、もしそのIPアドレスを監視しようとした場合には、サイバー通信情報監理委員会の方でそれは不適切な運用であるというふうにはねられるはずなので、今回のその法案の中で言われているような方式を使って個人の方を追跡するのは非常に難しいと言えます。
山
山谷えり子#16
○山谷えり子君 次に、アクセス・無害化措置の国際的な評価についてお伺いしたいと思います。
政府は、本法案は国家安全保障戦略の掲げるサイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させるという目標を実現する上で不可欠と説明をしています。しかし、この目標分かりにくいという指摘もなされておりまして、特にアクセス・無害化措置については、そもそも諸外国のアクセス・無害化措置は、対外非公表の活動として行われており、詳細が明らかになっていないものが多いと政府が答弁をしております。
政府のやろうとしている措置が欧米主要国と比べてどうなのか、我が国を守る上で十分なものとなっているのか、必ずしも明らかになってはいないと思います。また、逆の面では、国外に所在する攻撃サーバー等に対するアクセス・無害化措置について、武力攻撃や先制攻撃とみなされる危険性はないのか、また、他国の主権侵害となり、国際法違反となるおそれはないのかといった懸念の声も示されてきております。
そこで、持永参考人にお伺いしたいんですが、政府のやろうとしているアクセス・無害化措置について、欧米主要国が行っている同種のサイバー攻撃対処と比較をした場合、これらと遜色のないものになっているのかということをお伺いしたいと思います。
この発言だけを見る →政府は、本法案は国家安全保障戦略の掲げるサイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させるという目標を実現する上で不可欠と説明をしています。しかし、この目標分かりにくいという指摘もなされておりまして、特にアクセス・無害化措置については、そもそも諸外国のアクセス・無害化措置は、対外非公表の活動として行われており、詳細が明らかになっていないものが多いと政府が答弁をしております。
政府のやろうとしている措置が欧米主要国と比べてどうなのか、我が国を守る上で十分なものとなっているのか、必ずしも明らかになってはいないと思います。また、逆の面では、国外に所在する攻撃サーバー等に対するアクセス・無害化措置について、武力攻撃や先制攻撃とみなされる危険性はないのか、また、他国の主権侵害となり、国際法違反となるおそれはないのかといった懸念の声も示されてきております。
そこで、持永参考人にお伺いしたいんですが、政府のやろうとしているアクセス・無害化措置について、欧米主要国が行っている同種のサイバー攻撃対処と比較をした場合、これらと遜色のないものになっているのかということをお伺いしたいと思います。
持
持永大#17
○参考人(持永大君) 欧米主要国と遜色のない対応かどうかということなんですけれども、これは、今の見ている法案の中でいうと、欧米がやっていることというのに遜色ないことができそうではあると、制度上は。
それは、今まで政府の対処というのが、国内のかつ政府が管理しているコンピューターに対してのみ処置する、しかも被害が出た後に処置するということだったんですけれども、今回の法案では、政府が管理していない民間のコンピューターに対して被害が顕在化する前に対処できるという点で他国と遜色がないと言えます。
ただ、他国が、先ほど言われていたみたいに対外秘ということはちょっと違って、例えばアメリカの場合だと、先ほど言及した二四年一月のボルト・タイフーンの例では、実際にどういう対処をしたのかであったりとか、捜査令状を公開したりとか、それはアメリカの制度上、令状を取ってからやるという制度を彼らはつくっているのでそうなっているわけなんですけれども、そのときにでも、どういう対象のコンピューターに対してどれだけの期間実施して、その結果がどうであったかということをやって、透明性を確保して実施しています。
なので、欧米並みで遜色ないようにできるかどうかというのは今後の運用次第なんではないかなというふうに思います。
この発言だけを見る →それは、今まで政府の対処というのが、国内のかつ政府が管理しているコンピューターに対してのみ処置する、しかも被害が出た後に処置するということだったんですけれども、今回の法案では、政府が管理していない民間のコンピューターに対して被害が顕在化する前に対処できるという点で他国と遜色がないと言えます。
ただ、他国が、先ほど言われていたみたいに対外秘ということはちょっと違って、例えばアメリカの場合だと、先ほど言及した二四年一月のボルト・タイフーンの例では、実際にどういう対処をしたのかであったりとか、捜査令状を公開したりとか、それはアメリカの制度上、令状を取ってからやるという制度を彼らはつくっているのでそうなっているわけなんですけれども、そのときにでも、どういう対象のコンピューターに対してどれだけの期間実施して、その結果がどうであったかということをやって、透明性を確保して実施しています。
なので、欧米並みで遜色ないようにできるかどうかというのは今後の運用次第なんではないかなというふうに思います。
山
山谷えり子#18
○山谷えり子君 もう本当、今おっしゃった二〇二四年一月に米国政府が対処した中華人民共和国を背景とするボルト・タイフーンと呼ばれる組織による攻撃は、少なくとも五年間にわたって続いた、一方防御側は、兆候をつかんで対処するまでに二年半を費やしたと。これ本当に大変な難しさをはらんでいるというふうに、象徴的なケースであるというふうに思いまして、この課題はしっかりと受け止め続けていきたいというふうに思っております。
続きまして、酒井参考人、今と同じような質問なんですけれども、国際法の観点からタリン・マニュアル二・〇についても御説明いただきましたが、政府は、アクセス・無害化措置は、そもそも武力の行使と評価されるものではなく、武力攻撃や先制攻撃とみなされるものではない、また、国際法上許容される範囲で行うことは当然と答弁しております。
この国際法上許容される範囲、つまり違法性阻却が認められる範囲内で行うという考え方は国際的スタンダードに合致していると言えるのか。また、詳細は明らかになっていないとのことでありますけれども、外国ではアクセス・無害化措置の事例もあるようでありまして、こうした措置について、措置をされた国が国際法違反だと主張してきた事例などがあれば、併せてお伺いしたいと思います。
この発言だけを見る →続きまして、酒井参考人、今と同じような質問なんですけれども、国際法の観点からタリン・マニュアル二・〇についても御説明いただきましたが、政府は、アクセス・無害化措置は、そもそも武力の行使と評価されるものではなく、武力攻撃や先制攻撃とみなされるものではない、また、国際法上許容される範囲で行うことは当然と答弁しております。
この国際法上許容される範囲、つまり違法性阻却が認められる範囲内で行うという考え方は国際的スタンダードに合致していると言えるのか。また、詳細は明らかになっていないとのことでありますけれども、外国ではアクセス・無害化措置の事例もあるようでありまして、こうした措置について、措置をされた国が国際法違反だと主張してきた事例などがあれば、併せてお伺いしたいと思います。
酒
酒井啓亘#19
○参考人(酒井啓亘君) 御質問ありがとうございます。
まず、最初の方の御質問でございますけれども、国内法、失礼、国際法上許容される範囲というお話でしたけれども、先ほど御報告したとおり、アクセス・無害化措置については、そもそも合法だと、国際法上合法であるというふうに評価される場合もあれば、残念ながら、相手方の評価から見て違法と疑わしい場合というのももちろんあります。いずれにしても、諸外国の間、日本も含めてですけれども、国家間では、いかなる行為が域外管轄、執行管轄権の適用で主権侵害になるか、つまり国際違法行為になるかという点について、その基準自体は、どの国もこれは国際違法行為だということでは一致していると思います。そういう意味では、国際法の許容範囲というのはおおむね、抽象的には、一般論としては各国とも合意があるだろうと思います。
ただ、問題は、具体的に、じゃ、どの行為がその許容範囲に入るか入らないかという当てはめの問題でありまして、いかなる基準において執行管轄権の域外行使だというふうに見ているかとか、そういった点で各国にばらつきがある。その点で、国際法規則がやや不明確な部分がないわけではない。
本件の、本法案においては、むしろ日本政府の立場というのは、比較的多数の立場の、国家の立場に立って行動して、そしてこの法案を作っているわけでありますので、自信を持って国際社会でこれを主張していくということが、先ほど報告で申し上げたとおり、国際法規則を明確にしていく、そういった貢献をするものになるのではないかというふうに個人的には考えています。
それから、後半の御質問ですけれども、アクセス・無害化のような措置が外国によってとられて、そしてそれに対する国際法違反だという主張があったかどうかという御質問ですけれども、これはまず、私が知る限りは、明確にそういった違反ということを主張した例は存じ上げません。攻撃があったという、サイバー攻撃があったということで国際法違反だというふうに主張する場合はあるんですけれども、日本がこの法案で想定しているようなアクセス・無害化措置のような措置について、これは国際法違反だというふうに明言した例というのは、実際に事例があって明言したというのは私が知る限りはございません。
ただ、もしかしたら私が知らないだけであって、いろんなところで情報が共有されているのかもしれませんけれども、それはなぜかというと、やっぱり、もし仮にそれが国際法違反だというふうに主張する場合には、自らの領域においてそういう事例があったというふうなことを認めざるを得ないわけですね。それが、自己の領域の管理責任を問われる可能性があるだとか、ある意味自分の責任が国際法上問われる可能性があるということも一つの要因でしょうし、それから、そういった違法行為があったということを認めることによって自己の察知能力だとか対処能力というものを対外的には知られたくないということももしかしたらあるのかもしれません。
いずれにしても、余りそういった事例というのが顕在化していないということと私は承知しております。
この発言だけを見る →まず、最初の方の御質問でございますけれども、国内法、失礼、国際法上許容される範囲というお話でしたけれども、先ほど御報告したとおり、アクセス・無害化措置については、そもそも合法だと、国際法上合法であるというふうに評価される場合もあれば、残念ながら、相手方の評価から見て違法と疑わしい場合というのももちろんあります。いずれにしても、諸外国の間、日本も含めてですけれども、国家間では、いかなる行為が域外管轄、執行管轄権の適用で主権侵害になるか、つまり国際違法行為になるかという点について、その基準自体は、どの国もこれは国際違法行為だということでは一致していると思います。そういう意味では、国際法の許容範囲というのはおおむね、抽象的には、一般論としては各国とも合意があるだろうと思います。
ただ、問題は、具体的に、じゃ、どの行為がその許容範囲に入るか入らないかという当てはめの問題でありまして、いかなる基準において執行管轄権の域外行使だというふうに見ているかとか、そういった点で各国にばらつきがある。その点で、国際法規則がやや不明確な部分がないわけではない。
本件の、本法案においては、むしろ日本政府の立場というのは、比較的多数の立場の、国家の立場に立って行動して、そしてこの法案を作っているわけでありますので、自信を持って国際社会でこれを主張していくということが、先ほど報告で申し上げたとおり、国際法規則を明確にしていく、そういった貢献をするものになるのではないかというふうに個人的には考えています。
それから、後半の御質問ですけれども、アクセス・無害化のような措置が外国によってとられて、そしてそれに対する国際法違反だという主張があったかどうかという御質問ですけれども、これはまず、私が知る限りは、明確にそういった違反ということを主張した例は存じ上げません。攻撃があったという、サイバー攻撃があったということで国際法違反だというふうに主張する場合はあるんですけれども、日本がこの法案で想定しているようなアクセス・無害化措置のような措置について、これは国際法違反だというふうに明言した例というのは、実際に事例があって明言したというのは私が知る限りはございません。
ただ、もしかしたら私が知らないだけであって、いろんなところで情報が共有されているのかもしれませんけれども、それはなぜかというと、やっぱり、もし仮にそれが国際法違反だというふうに主張する場合には、自らの領域においてそういう事例があったというふうなことを認めざるを得ないわけですね。それが、自己の領域の管理責任を問われる可能性があるだとか、ある意味自分の責任が国際法上問われる可能性があるということも一つの要因でしょうし、それから、そういった違法行為があったということを認めることによって自己の察知能力だとか対処能力というものを対外的には知られたくないということももしかしたらあるのかもしれません。
いずれにしても、余りそういった事例というのが顕在化していないということと私は承知しております。
山
山谷えり子#20
○山谷えり子君 本当に、変化に応じた整理、対応、アップデートをしながら引き続き取り組んでいかなければならない課題かというふうに感じております。
続いて、上沼参考人に、有識者会議の委員でもいらっしゃいまして、サイバー通信情報監理委員会の実効性についてお伺いしたいと思います。
いわゆる三条委員会であるサイバー通信情報監理委員会は、審査や検査を通じて行政機関における法令遵守を確保し、制度の信頼性を確保していくという重要な役割を担うわけでありますが、この法案が成立した後、この委員会が実際に有効に機能していくということは非常に重要なことでありまして、どのようなことを重視すべきなのか。この内閣委員会におきましても、我が党自由民主党からは、委員会は、検査対象となる行政機関と一定の緊張関係を保ちつつも、同時に信頼される存在となることが必要と指摘しました。政府からも検査を受ける行政機関との信頼関係が必要になるとの答弁があったところでありますけれども、上沼参考人の御意見、御見解、お聞かせください。
この発言だけを見る →続いて、上沼参考人に、有識者会議の委員でもいらっしゃいまして、サイバー通信情報監理委員会の実効性についてお伺いしたいと思います。
いわゆる三条委員会であるサイバー通信情報監理委員会は、審査や検査を通じて行政機関における法令遵守を確保し、制度の信頼性を確保していくという重要な役割を担うわけでありますが、この法案が成立した後、この委員会が実際に有効に機能していくということは非常に重要なことでありまして、どのようなことを重視すべきなのか。この内閣委員会におきましても、我が党自由民主党からは、委員会は、検査対象となる行政機関と一定の緊張関係を保ちつつも、同時に信頼される存在となることが必要と指摘しました。政府からも検査を受ける行政機関との信頼関係が必要になるとの答弁があったところでありますけれども、上沼参考人の御意見、御見解、お聞かせください。
上
上沼紫野#21
○参考人(上沼紫野君) 御質問ありがとうございます。
信頼関係に関してはおっしゃるとおりだと思います。独立性がある機関ということは孤高を保つ機関と同義ではありませんので、独立性を保ちつつ、かつ、その重要な部分について円滑なコミュニケーションがなされなければ、この専門的な分野におけるその独立機関の有効性は確保できないというふうに思っております。
あと、もう一つ付け加えるとするならば、実効性のためには実際のその人的リソースが必要でして、それなりの組織が絶対必要ではないかというふうに考えておりますので、その独立性とふだんのコミュニケーションと人的なリソースというのが実効性を確保するために必要ではないかというふうに考えております。
この発言だけを見る →信頼関係に関してはおっしゃるとおりだと思います。独立性がある機関ということは孤高を保つ機関と同義ではありませんので、独立性を保ちつつ、かつ、その重要な部分について円滑なコミュニケーションがなされなければ、この専門的な分野におけるその独立機関の有効性は確保できないというふうに思っております。
あと、もう一つ付け加えるとするならば、実効性のためには実際のその人的リソースが必要でして、それなりの組織が絶対必要ではないかというふうに考えておりますので、その独立性とふだんのコミュニケーションと人的なリソースというのが実効性を確保するために必要ではないかというふうに考えております。
山
山谷えり子#22
○山谷えり子君 続いて、また上沼参考人にお願いいたします。
この委員会でもいろいろなやり取りがあったんですけれども、今回の法案では、基幹インフラ事業者へのサイバー攻撃について、アクシデントになる一歩手前のインシデントについても報告を求めるということになっていますけれども、基準が曖昧だと報告側に過度な負担を掛けてしまうということにもなろうかと思います。具体的な報告基準を作成するに当たりましてどのような点に留意すべきとお考えですか。
この発言だけを見る →この委員会でもいろいろなやり取りがあったんですけれども、今回の法案では、基幹インフラ事業者へのサイバー攻撃について、アクシデントになる一歩手前のインシデントについても報告を求めるということになっていますけれども、基準が曖昧だと報告側に過度な負担を掛けてしまうということにもなろうかと思います。具体的な報告基準を作成するに当たりましてどのような点に留意すべきとお考えですか。
和
上
上沼紫野#24
○参考人(上沼紫野君) ありがとうございます。ちょっと焦っちゃいました。
必要な点については、まず事前の関係事業者からの情報収集が必要かなというふうに考えています。そうでないと、実際の民間、民間というか事業者が必要だと考えているところと政府側で考えているところがずれる可能性があって、そのずれが恐らく一番の負担になってくるんですね。なので、そこを事前によくすり合わせをした上で、かつ、その一元的な報告というのが必要だと、一番重要ではないかというふうに考えております。
以上です。
この発言だけを見る →必要な点については、まず事前の関係事業者からの情報収集が必要かなというふうに考えています。そうでないと、実際の民間、民間というか事業者が必要だと考えているところと政府側で考えているところがずれる可能性があって、そのずれが恐らく一番の負担になってくるんですね。なので、そこを事前によくすり合わせをした上で、かつ、その一元的な報告というのが必要だと、一番重要ではないかというふうに考えております。
以上です。
山
山谷えり子#25
○山谷えり子君 続きまして、もう一度上沼参考人に、やはり内閣委員会でやり取りがあったんですけれども、中小企業対策についてであります。
デジタル化の進展や地政学リスクの高まり等に伴いましてサイバーリスクが高まっていることを踏まえますと、基幹インフラ事業者にとどまらず、一般の民間企業や地域の中小企業など産業界全体のサイバーセキュリティー対策の強化に向けた取組が重要と考えます。しかし、中小企業からは何をしていいか分からないという声も聞くわけでございまして、政府はサイバーセキュリティお助け隊サービスなどに取り組んでいるところではありますけれども、まだ余り知られていないということもあります。更に強化すべき取組、そしてまた課題についてお考えがあれば教えてください。
この発言だけを見る →デジタル化の進展や地政学リスクの高まり等に伴いましてサイバーリスクが高まっていることを踏まえますと、基幹インフラ事業者にとどまらず、一般の民間企業や地域の中小企業など産業界全体のサイバーセキュリティー対策の強化に向けた取組が重要と考えます。しかし、中小企業からは何をしていいか分からないという声も聞くわけでございまして、政府はサイバーセキュリティお助け隊サービスなどに取り組んでいるところではありますけれども、まだ余り知られていないということもあります。更に強化すべき取組、そしてまた課題についてお考えがあれば教えてください。
上
上沼紫野#26
○参考人(上沼紫野君) サイバーセキュリティお助け隊なんですけど、非常に良い取組だと思うんですが、残念なことによく知られていなくて、そういう意味で、必要な制度が、広報がきちんと届いているというのは極めて重要ではないかなというふうに考えました。それがまず一点目ですね。
あと、二点目に関して言うと、中小企業に対してそのサイバーセキュリティーという言葉自体が極めて高度だというふうに思ってしまい、何となく一〇〇%できないとやっても意味がないという諦めの境地になりがちだと思うんですね。ただ、実際に必要なことは割ともっと基礎的なところで、そこまで高いものがなくても効果があるんだということをやはりきちんと普及啓発していくということがその中小企業対策として重要ではないかというふうに思っております。
この発言だけを見る →あと、二点目に関して言うと、中小企業に対してそのサイバーセキュリティーという言葉自体が極めて高度だというふうに思ってしまい、何となく一〇〇%できないとやっても意味がないという諦めの境地になりがちだと思うんですね。ただ、実際に必要なことは割ともっと基礎的なところで、そこまで高いものがなくても効果があるんだということをやはりきちんと普及啓発していくということがその中小企業対策として重要ではないかというふうに思っております。
山
山谷えり子#27
○山谷えり子君 持永参考人にお伺いいたします。
大学で実際に教鞭を執られている中で、人材育成についてますます必要であるということをおっしゃられました。そして、今、意見陳述の中でも人材への投資も含めておっしゃっていただきましたけれども、最後に改めまして、この人材育成、人材投資への強化についてお考えがあれば。
この発言だけを見る →大学で実際に教鞭を執られている中で、人材育成についてますます必要であるということをおっしゃられました。そして、今、意見陳述の中でも人材への投資も含めておっしゃっていただきましたけれども、最後に改めまして、この人材育成、人材投資への強化についてお考えがあれば。
持
持永大#28
○参考人(持永大君) ありがとうございます。
人材育成を結構やろうというのは実は日本政府の中でももう十年以上続けてきているところでありまして、例えば総務省の情報通信研究機構であったりとか様々なところで人材育成について話が出るんですけれども、やはり他国と比較して総額が小さいであったりとかインパクトが小さいというのが原因だと思います。例えば、今年度、科学技術振興機構、科研費と呼ばれる、研究費の中で呼ばれているものがあるんですけれども、それ、大学の中で、大学の研究者とかを対象にした研究分野で情報セキュリティーに関する研究は三十六件なんですね。非常に少ないんです。
そういったことを考えても、やっぱり件数も少ないし、一つ一つの規模も小さいし、やっぱりそういったところが裾野の狭さみたいなものを生んでいて、であれば、やはりちょっと失敗を許容してばらまいて、もう少しいろんなことをやってみると、しばらくしたら、関係ないことでもほかの分野で芽が出るかもしれないしといった、ちょっと非常に、こう言うのは何ですけど、もっとばらまきをやってほしいというのが教育機関にいる者としては思う次第です。
この発言だけを見る →人材育成を結構やろうというのは実は日本政府の中でももう十年以上続けてきているところでありまして、例えば総務省の情報通信研究機構であったりとか様々なところで人材育成について話が出るんですけれども、やはり他国と比較して総額が小さいであったりとかインパクトが小さいというのが原因だと思います。例えば、今年度、科学技術振興機構、科研費と呼ばれる、研究費の中で呼ばれているものがあるんですけれども、それ、大学の中で、大学の研究者とかを対象にした研究分野で情報セキュリティーに関する研究は三十六件なんですね。非常に少ないんです。
そういったことを考えても、やっぱり件数も少ないし、一つ一つの規模も小さいし、やっぱりそういったところが裾野の狭さみたいなものを生んでいて、であれば、やはりちょっと失敗を許容してばらまいて、もう少しいろんなことをやってみると、しばらくしたら、関係ないことでもほかの分野で芽が出るかもしれないしといった、ちょっと非常に、こう言うのは何ですけど、もっとばらまきをやってほしいというのが教育機関にいる者としては思う次第です。
山