〇 大岡委員長
休憩前に引き続き会議を開きます。
質疑を続行いたします。石原宏高君。
〇 石原
自由民主党の石原宏高でございます。
いわゆるサイバー対処能力強化法について、早速質問をさせていただきたいと思います。 私も昨年の九月まで安全保障の首相補佐官を務めておりましたので、この法案の重要性というのは十二分に理解をしているところでありますが、既に委員会の質疑の中で多くの委員から質問がありましたけれども、私も気になるところは、やはり、能動的サイバー防御またアクセス・無害化措置が国際紛争に結びつくんじゃないか、若しくはそれがエスカレートして軍事紛争になったりしないんじゃないか、この点が一番気になるところであります。その点からまず質問をさせていただきたいと思います。 既に様々な国が、サイバー攻撃を受けて、それに対応してきたと思います。資料をお配りさせていただいております、これから配られるかもしれませんが、衆議院の調査室の資料をそのまま抜粋させていただきました。 資料一には、米、英、カナダの事例が記載されておりました。それぞれどのような措置が取られたのか。また、これは調査室の資料には載っていなかったんですが、政府として、関与が指摘された相手国の反応について説明をいただければと思います。
○ 飯島政府参考人
お答えを申し上げます。
諸外国のアクセス・無害化措置は、対外非公表の活動として行われており、詳細が明らかになっていないものが多いものと承知しております。 その上で、公開されている情報や報告書に従って申し上げれば、委員御指摘のとおり、例えば、米国では法執行機関がボルト・タイフーンによるボットネットワークに対してマルウェアを削除するコマンドを送信するなどの無害化措置を実施、また、カナダではインテリジェンス機関が政府ネットワークからの情報窃取防止目的で海外サーバーに対する無害化措置を実施、豪州ではインテリジェンス機関による国外からのサイバー犯罪の阻止、また、英国では国家サイバー部隊、NCFによる継続的なサイバー脅威への措置などが行われているものと認識をしているというところでございます。 この点、網羅的に把握しているものではございませんが、我が国のアクセス・無害化と類似の措置を実施したと見られる諸外国の事例につきまして、その関与が指摘をされた国からは、関与を否定するようなコメントなどがあったという報道は把握しているというところでございます。
○ 石原
把握されている無害化措置については国際紛争には至っていない。この説明を私も事前のレクで聞いたときにはっと思ったんですが、やはり、もし自国の軍隊とかのサーバーに対して無害化措置がされたことに対して非難をすれば、ある意味、自分たちがやっていることを認めてしまうみたいなことになるので、全く知らぬ、存ぜぬというふうに答えるケースが多いのかなというふうに感じたところであります。 次に、日本についてお伺いしたいというふうに思います。 サイバー攻撃はれっきとした犯罪行為ですから、実行犯を特定して検挙することが望ましいのは当然です。もう既に委員会でも質問があって、お答えがされているときもありますけれども、過去にそのような例はどんなものがあったか、もう一度御説明をいただきたいと思います。 そして、同じく衆議院の調査室の資料の二でありますけれども、中国や北朝鮮の国家や軍の関与している可能性が指摘されている事案について、政府としてパブリックアトリビューションを行っていると思いますけれども、既に午前中の三木委員の質問の中でパブリックアトリビューションについては説明をしていただいているので、その分は削っていただいても結構なんですが、私は午前中の議論を聞いていて、検挙ができないケースの場合にパブリックアトリビューションになるのかなというふうに感じたんですけれども、そういう理解でいいか、御回答いただければと思います。
○ 逢阪政府参考人
お答えいたします。
サイバー攻撃について、個別具体の事実関係に即して、刑事事件として取り上げるべきものがあれば、法と証拠に基づき厳正に対処しているところでございます。 例えば、平成二十八年から二十九年までの間、合計五回にわたり、住所、氏名等の情報を偽って日本のレンタルサーバーの契約に必要な会員登録を行った事件について、令和三年四月、警視庁が中国共産党員の男を被疑者として東京地方検察庁に書類送致しているところでございます。 その上で、当該事案では、被疑者によって契約された日本のレンタルサーバーがJAXA等に対するサイバー攻撃に悪用されており、その後の捜査等を通じて、約二百の国内企業等に対する一連のサイバー攻撃がTickと呼ばれるサイバー攻撃集団によって実行され、当該Tickの背景組織として、中国人民解放軍第六一四一九部隊が関与している可能性が高いと結論づけ、いわゆるパブリックアトリビューションを実施したところでございます。 こうしたパブリックアトリビューションとは、サイバー攻撃の主体を特定した上で、我が国として攻撃者を公表し非難する措置でありますが、その効果については、攻撃者の公表、非難と併せて、捜査や分析から得られた攻撃の手口が報道等を通じて幅広く周知されることにより、被害の未然防止に向けて一定の効果が期待できるものと認識しております。 検挙とパブリックアトリビューションの関係ですが、これは、検挙して、かつパブリックアトリビューションをするという場合もあり得ますし、検挙できなくてパブリックアトリビューションをするという場合も、いずれもあり得ると思います。 以上です。
○ 石原
ありがとうございます。
繰り返しになってしまいますけれども、これまでの審議において都度指摘されているということでありますけれども、国家によるサイバー攻撃が疑われる場合、不適切な対応をすれば、先ほどもお話をしました国際紛争に展開する可能性も全くなきにしもあらずということであります。 一方で、国民生活に重大な影響を及ぼすサイバー攻撃に対して、国民は、迅速かつ強力な対抗措置を多くの方が望んでいるんじゃないかと思いますけれども、通常、サイバー攻撃は複数の国のサーバーを経由して行われるため、関与する国も多いというふうに思います。一口に無害化といっても、取り得る手段も多岐にわたります。無害化が成功したとしても、またそのことを公表すれば、敵に日本の手のうちを知られることになるかもしれません。このように、サイバー攻撃へ適切に対処するためには、多くの要素を検討して、最も国益にかなった手段を適切に判断し、そして迅速に実行しなければなりません。 平大臣にお伺いいたします。 極めて困難な課題に対処することになると思いますけれども、今回の法案で、どのような方法で対処されていくのか、所見をお聞かせ願いたいと思います。
○ 平国務大臣
ありがとうございます。石原委員にお答えをいたします。
これまで政府において、攻撃側への対処として、サイバー攻撃の手口の公表やサイバー攻撃の主体を特定して公表するパブリックアトリビューションなどに積極的に取り組んできました。 今般の立法措置により、一定の要件を満たす場合には、我が国としてアクセス・無害化措置の実施も可能となります。この点で、アクセス・無害化措置は、公共の秩序の維持の観点から、警察権の範囲内で、比例原則に基づき、攻撃サーバー等にアクセスして不正プログラムを無害化する措置等を想定しており、措置の対象となるサーバー等に物理的被害や機能喪失等、その本来の機能に大きな影響を生じさせることは想定していません。サーバーそのものをぶっ壊すとか、よくアニメに出てくる、サーバー自体が火を噴くとか、そういうのはなくて、そういった攻撃をしようとした人がアクセスしようとしてもアクセスできなくなっていたとか、コマンドを送ろうとしてもコマンドが送れないとか、そういうイメージであります。そのようなことから、アクセス・無害化措置が起点となって予期せぬ国際紛争を招くようなことはないと考えております。 その上で、アクセス・無害化措置が国家安全保障の観点から整合性の取れた形で行われるよう、国家安全保障会議において迅速に議論し対処方針を定めることとし、また、今回の法案により新たに設置される内閣サイバー官を始めとする内閣官房の新組織と、国家安全保障局、NSSが連携して、様々な情勢を踏まえた上で、アクセス・無害化措置以外の対応も含めた、政府として取り得る手段を総合調整することとしております。加えて、迅速かつ効果的に対策を講じていくため、内閣官房、警察庁、防衛省及び外務省等の関係省庁間で、平素から緊密に連携をしてまいります。
○ 石原
ありがとうございます。
次に、事業者による情報セキュリティーインシデントの報告についてお伺いしたいと思います。 既に、個人情報の漏えいや重要インフラ分野において、個人情報保護法や業法により、企業に連絡義務を課しています。なぜ、今回の新法において、基幹インフラ事業者に対してサイバー攻撃の報告が義務化されるのでしょうか。お教えください。
○ 門松政府参考人
お答えいたします。
先生御指摘のとおり、現在、基幹インフラ事業者がサイバー攻撃を受けた場合には、法令等に基づきまして、業法等に基づくインフラ所管省庁への報告、また都道府県警への相談、通報であったりとか、個人情報保護委員会への報告が行われてきたところでございまして、内閣サイバーセキュリティセンターは、報告を受けたインフラ所管省庁等から情報提供を受けるという形になっておりました。一方で、石油分野を始めとして、基幹インフラ事業者であっても、法律に基づきサイバー攻撃に関連する報告を行う義務が明確に定まっていないといった分野も存在しているということも事実であります。 こうした中で、本法案が成立した暁には、ウイルスが見つかったが基幹インフラ事業者としての業務には影響が生じていないといったような、これまでの業法等の基準ではインシデント報告の対象となるのか曖昧であったような情報も含めて、基幹インフラ事業者から、直接、内閣総理大臣及び基幹インフラ所管大臣に報告が行われるということになり、また、内閣総理大臣が、迅速かつ業界横断的に情報を集約、整理、分析し、対処をしていくことが可能になるということでございます。 加えまして、民間事業者からは、インフラ所管省庁以外にも、例えば個人情報保護委員会であったりとか警察といった複数の窓口に報告すること、これが、負担が大きく時間がかかるという声もいただいておるところでございまして、関係府省と協力いたしまして、様式の統一や報告窓口の一元化、これをしっかり進めてまいりたいというふうに思っております。
○ 石原
本法律案において、基幹インフラ事業者との事前の協定に基づいて通信情報の利用が行われます。基幹インフラ企業は十五分野二百十五社とのことですが、その全てと協定を結ぶのでしょうか。そうでないとすれば、どのような優先順位をつけるのでしょうか。また、この十五分野の企業の子会社などとも協定を結ぶ必要があるのか。所見をお聞かせください。
○ 小柳政府参考人
お答えをいたします。
政府における人員あるいは予算には限りがございますところ、社会全体の重大サイバー攻撃対策のため、重要度が高いと考えられる分野や事業者を優先して協議を求めることが想定されるところでございます。 協定に向けた協議の求めの優先順位につきまして、具体的には、サイバー攻撃の状況でありますとか、攻撃を受けた場合の被害の範囲といった、そういう事情も踏まえましてよく検討してまいりたいというふうに考えております。 また、協定の締結については、基幹インフラ事業者の各法人単位で行うことを基本というふうに考えておりまして、子会社との協定の締結につきましては、個々の事例に即して判断してまいりたいというふうに考えてございます。
○ 石原
次に、協定の結ぶ時期について伺います。 必要な企業全てと一日も早く協定を結ぶことが望ましいことはもちろんです。一方で、協定はあくまで同意に基づくものであり、丁寧に説明して納得を得なければなりません。さらに、ソフト、ハードの両面において、情報提供のために企業に新たな負担を負わせることのないように配慮が必要ではないかと思います。 いつからいつまでに協定締結を結ぼうとしているのか。今、所見をお聞かせいただきたいと思います。
○ 小柳政府参考人
お答えいたします。
基幹インフラ事業者等との間の同意による協定でありますけれども、政府だけではなく、双方がそのメリットを認めて初めて締結がなされるものというふうに理解をしておりまして、企業の負担への配慮も重要であると考えております。 当事者協定に関する規定でありますが、公布の日から二年六か月以内での施行を予定しておりまして、本法律案の施行後速やかに協定の締結を進められるよう、法案の成立後、協定の締結に向けた準備を進めてまいりたいというふうに考えております。例えば、協定締結のための協議につきましては公布の日から一年以内で可能となりますため、こうした期間を活用して、政府から協定を締結するメリットを丁寧に御説明させていただくなど、協定の締結が促進されるよう努めてまいります。 また、協定におきましては、施設や設備の整備主体や費用負担に関する事項等についても定めることとしておりまして、企業に過度な負担を負わせないようにするためにも、こうした事項につきまして、事前に丁寧に協議をさせていただきたいというふうに考えております。
○ 石原
ありがとうございます。
次に、通信情報の取得についてお伺いしたいと思います。 協定を結んだ後に、実際に事業者から通信情報を取得する際には、当然、セキュリティー上万全を期した方法が取られなければならないと思います。どのような方法で取るのか、お聞かせ願えればと思います。
○ 小柳政府参考人
通信情報を取得する方法につきましては、協力いただく基幹インフラ事業者等との調整の上でその方法を決める必要がございますため、現段階で具体的にお示しすることは困難ではございますが、本法律案におきましては、取得通信情報の取扱いに係る安全管理措置が義務づけられておりまして、こうした措置も考慮し、セキュリティー上万全を期した方法を検討してまいりたいというふうに考えております。 安全管理措置の具体的な内容につきましては、既存の法令における安全管理措置等も参考にしながら、今後内閣府令で定めていくこととなりますが、その制定に当たっては、サイバー通信情報監理委員会への協議も含め、慎重に検討してまいります。
○ 石原
私は、もう四十年前ぐらいに銀行に勤めていたんですけれども、内為の送金なんかは、大企業だと一々紙に書くのは大変なんで、その頃はカセットテープみたいな、MDと呼んでいたかと思うんですけれども、そういうものに全部データを入れて、それで送金、送っていたんです。しかし、今の時代は、もうネットもつながっていますし、ただ、そうはいっても、普通にネットで重要な通信情報を送るわけにはいかないと思いますので、個人的には、恐らく専用回線を政府と引くようになったりするんじゃないかな。若しくは、さっき言った、ちょっと古臭いですけれども、そういうCDみたいなものにデータを入れて、ALSOKとか、会社名は言わない方がいいかもしれませんが、警備会社が一緒にくっついてきて届けたりするようになるんじゃないかと思います。 是非、そのときにお金がかかったら、私、事前のレクでは、協定の中でそういうコストについても協議をするという話もありましたので、適切なセキュリティー管理ができた、万全を期した方法で情報を受け取っていただければというふうに思います。 次に、外国の政府等に対する選別後通信情報の内容又は提供について御質問をさせていただければと思います。 昨年、台湾で新総統が誕生したときに、中国からと思われるサイバー攻撃によってパラオ政府のシステムがダウンをしました。そして、政府に勤めている職員に対する支払いが不可能になる事案がありました。パラオ政府の力では、単独でサイバー攻撃に対抗することが困難というふうに思います。この情報も、一説によるとアメリカ政府から教えてもらったような報道もされているようであります。 このようなときに、もし日本が何か情報を持っていて、それを提供する、被害を防げる、そんな事態も今後考えられると思いますが、本法律案において、特定被害防止目的のために必要があると認められる場合には、外国の政府に対して、選別後情報の提供ができると定められておりますけれども、具体的にどのようなケースが想定されるのか、教えてください。
○ 小柳政府参考人
お答えいたします。
本法律案第二十八条では、我が国の重要な電子計算機等に対するサイバー攻撃の被害の防止に必要な場合において、一定の要件を満たす外国政府等に対し、選別後通信情報を提供することができることとしております。 その具体的なケースといたしましては、例えば、我が国の重要電子計算機に対する攻撃に用いられている国外のボットネットワークなどの攻撃インフラのより網羅的な把握を行うために外国政府と連携して分析を行うといった場合や、その攻撃インフラが所在すると考えられる外国政府に対応を依頼する場合といったケースが想定されるところでございます。
○ 石原
同じく、内閣総理大臣が選別後通信情報を保護するために講ずることとされる措置に相当する措置を講じている者に対して、選別後情報を提供できるとされていますが、もう既に委員会でも同じ質問をされていますけれども、どのような基準を満たした相手なら情報提供ができるのでしょうか。もう少し加えて、今までの説明以上に説明ができたら説明してください。
○ 小柳政府参考人
お答えいたします。
御指摘のとおり、情報の提供に当たりましては、内閣総理大臣の講ずる保護措置に相当する法令上の措置又は運用上の措置が提供先において取られていることが確認できることが必要でございます。 その具体的な措置といたしましては、例えば、情報を取り扱うことのできる職員の範囲を必要最小限に制限することでありますとか、提供した情報の目的外利用を禁じるといった組織的保護措置のほか、受領した情報へのアクセス制限等の技術的保護措置等を想定しておりまして、これらの措置が内閣総理大臣が講ずる保護措置に相当するということを明示的に確認できた場合には、情報の提供は可能であるというふうに考えてございます。
○ 石原
あと、質問ができるか分かりませんけれども、やはり、どちらかというと先進国じゃないとなかなか難しいのかな。ただ、先進国じゃない、先ほどパラオの例も出しましたけれども、そういう小さな国々が攻撃を受けているケースもありますので、後ほどちょっと時間があれば、その点にも触れたいというふうに思います。 次に、サイバー攻撃に対応するための人材育成について質問をさせていただきたいと思います。 デジタル技術の進歩は、日進月歩です。残念ながら、サイバー攻撃は、今後より高度で巧妙になっていくでしょう。それに対応するには、高度な知識を持った人材の育成が不可欠です。サイバーセキュリティー確保の最前線である警察庁や自衛隊において、内部人材の育成、また外部人材の獲得、また海外派遣の形態など、現状と今後について御教示いただけますでしょうか。
○ 逢阪政府参考人
お答えいたします。
警察庁では、サイバー対処能力の一層の向上を図るため、全国の都道府県警察等に対して、サイバー人材の確保、育成に関する方針を示し、組織を挙げて全警察職員の対処能力の向上を図っているところでございます。 例えば、サイバー空間があらゆる犯罪に悪用され得ることから、全警察職員に対する学校教養等の実施、情報通信技術に関し、高度かつ最新の知識等を有する民間人材として都道府県警察が委嘱するテクニカルアドバイザーの活用等を通じ、警察全体の対処能力の底上げを図っているところでございます。 加えて、技術特化型のトップレベル人材を育成すべく、民間企業が実施する研修、訓練への参加、あるいは最先端の研究を行っている国内外の学術機関等への職員派遣などの取組も推進しております。 また、即戦力を確保する観点から、全国の都道府県警察において、民間企業での経験等を有する外部人材の中途採用、特別採用を推進しており、現在、全国で約四百六十人が在籍しているほか、警察庁においても、民間企業社員を官民人事交流制度により採用しております。 警察では、こうした取組を通じて、全国で約三千四百人のサイバー人材がサイバー部門において専従しており、サイバー特別捜査部を中心に、検挙と抑止の両面から、全国警察が一体となって取組を推進しているところでございます。引き続き、人材基盤の強化に努めてまいりたいと思います。
○ 家護谷政府参考人
防衛省からお答えいたします。
防衛省・自衛隊は、隊員のレベルと役割に応じまして、基礎的なものから高度なものまで様々な教育を行うことができる基盤を有しており、陸海空自衛隊の学校における教育や、海外のものを含む部外の教育機関を活用してサイバー専門部隊の隊員の育成を行っています。これに加えまして、自衛隊内のOJT、企業研修、国内外の教育機関への留学などを通じて更に高いレベルの人材育成も行っております。また、米国や英国を始めとする諸外国との間でサイバー演習や協議を積極的に行い、隊員が実践的な経験を積むことができる機会を確保しております。 さらに、サイバーの高度な専門的知見を持つ外部人材の確保のため、サイバー予備自衛官の拡充や官民人事交流制度の活用といった取組を通じま して、外部人材の取組を図っております。 防衛省・自衛隊といたしましては、今後も、サイバー専門教育の更なる拡充や諸外国とのサイバー防衛協力の強化などの取組を始め、隊員が実践的な知見を高めることができる機会を積極的に確保するとともに、サイバーの高度な専門的知見を持つ外部人材の確保を進め、自衛隊のサイバー分野における能力向上を進めてまいります。
○ 石原
演習を外国とやっているという話はいい話で、全てのことを教えてもらえないかもしれませんけれども、先進的な米国なんかともそれをやって、探って、彼らの先進的な技術を取り入れていっていただければと思います。 時間も残り少なくなりましたので、最後の質問になるかと思いますが、先ほどメンションしましたけれども、私は一年間、国家安全保障担当の首相補佐官を務めておりましたけれども、先ほどの例に挙げたパラオのように、私は、PALM10という三年に一度やる会議の、省庁間の準備会議の議長もやってきたんですが、サイバーテロの脅威は、先進国だけではなくて、小さな国にも広がっています。各国からの要請を受けて、外務省や総務省によるサイバー人材の育成のための様々な協力を行っております。今、先ほどお話をした大洋州の諸国に限らず、法の支配、民主主義など同じ価値観を持つ同志国がサイバー人材を育成することを日本は強力に支援していくべきだと考えます。 政府の考え、そして今までの取組についてお聞かせください。
○ 斉田政府参考人
お答え申し上げます。
近年、機微情報の窃取、重要インフラの機能停止等を目的とする高度なサイバー攻撃を始め、サイバー空間における脅威、これは安全保障上の大きな懸念となっております。こうした状況では、いかなる国も一国だけでは自国のサイバーセキュリティーを確保することはできず、またサイバー空間において一部の国の脆弱性が日本を含む世界全体のリスクにつながる、こういう観点から、途上国のサイバーセキュリティー能力構築支援、これは非常に重要であると考えております。 この認識の下、昨年七月に開催した第十回太平洋・島サミット、PALM10の首脳宣言及び共同行動計画において、サイバーセキュリティー能力の向上を含む技術と連結性、これを七つの重点協力分野の一つとしております。この中で、例えば、総務省によるサイバーインシデント発生時などを想定した実践的サイバー防御演習や、JICAによるサイバーセキュリティー政策能力向上やサイバー犯罪対処能力の向上、このための課題別研修などといった取組を太平洋島嶼国を含む途上国に対して実施してきております。 引き続き、内閣官房新組織及び総務省を始め、関係省庁と緊密に連携し、サイバー分野での途上国に対する能力構築支援を積極的に支援していく考えです。
○ 石原
大体時間が来ましたので、これで終わります。
ありがとうございました。
