サイバー攻撃を未然に防ぎ、迅速に対処するために政府が提出した「能動的サイバー防御関連法案」が修正の上で衆院を通過し、5月にも成立する見通しとなった。平時からの通信情報の監視や、攻撃元のサーバーへの侵入・無害化措置を可能にすることなどが狙い。近年、航空会社や金融機関などへのサイバー攻撃が相次いでおり、法整備が課題となっていた。
この法案の主な内容は(1)電力、通信、金融、輸送など基幹インフラ事業者が政府と協定を結び、通信情報の提供やサイバー攻撃時の報告を義務化(2)新設する独立機関「サイバー通信情報監理委員会」の承認を得た場合に日本を経由する海外関連通信情報を同意なしで取得し、利用・分析することが可能(3)重大なサイバー攻撃の恐れがある場合、警察と自衛隊は攻撃元のサーバーに侵入し無害化する措置を実行(4)サイバー通信情報監理委員会は通信の秘密を保障するため政府の運用を監視し、必要に応じ是正勧告する権限保有―などが挙げられる。
一方、立憲民主党と日本維新の会は、それぞれ個別に案を示して修正を求め、与党の自民、公明両党は衆院における審議段階で一定程度を受け入れた。その結果、通信の秘密やプライバシーを「不当に制限するようなことがあってはならない」と明記する条文を追加。サイバー通信情報監理委員会が国会に対して報告する事項を具体化し、施行3年後に見直す規定も盛り込まれた。
自民、立憲、維新3党の法案について責任ある立場の国会議員に話を聞いた。
【自民党】
岩田和親衆院議員(自民党 国防部会長)
能動的サイバー防御法案は、衆院では連合審査も含めて23時間の審議を行い、充実した議論ができたと思う。サイバー防衛は喫緊の課題であり、国として取り組まねばならず、非常に大事な法案だ。企業などに対するサイバー攻撃は増えており、2024年は約13秒に1回という頻度で起きている。航空会社や銀行といった社会の重要インフラを担う企業が被害を受けており、危機的な状況だ。このような施設がフリーズしたりすれば、社会全体に大きな影響を与える。
こうした攻撃の背後には、国家や政府レベルの組織が糸を引いている疑いがある。サイバー攻撃は有事の「前哨戦」として、いわゆる「グレーゾーン」という形で起こり得る。ウクライナの状況を見ても分かることだ。また、米グアムの通信網に対し、中国のボルト・タイフーン(Volt Typhoon)という集団が攻撃を仕掛けてきた事例もある。このような状況の下、有事における安全保障といった高いレベルまで含め、しっかり対応しなければならない。日本が置かれている安全保障環境は厳しい。
法案の内容は、官民連携、通信情報の利用、そしてアクセス・無害化措置がいわゆる「三本柱」だ。通信情報の利用は「通信の秘密」への配慮が論点となり、実際の運用では必要やむを得ない限度にとどめることを担保した。この点は野党の要求を受け入れて法案を修正したが、本来の法案の趣旨に沿ったものであり、前向きに受け止めている。サイバー通信情報監理委員会による国会への報告事項の具体化や、施行後3年の見直し規定についても盛り込んだが、これは法を適切に運用する上で意味のあることだ。
法が成立した後は、しっかり運用し、日本の安全保障に資する必要がある。大きな課題はサイバー防衛のための人材育成だ。日本では、想定される需要に対して17万人不足しているという指摘もある。防衛省にはサイバー防衛隊の拡充が絶対に必要だと考えるが、人材確保が追いつかない現状がある。国会の議論でも指摘されていたが、サイバー人材が政府機関や民間を「リボルビングドア」のような形で行き来する仕組みが必要だ。官民両方の人材のレベルアップが求められる。
【立憲民主党】
今井雅人衆院議員(衆院内閣委員会 野党筆頭理事)
今回の法案に点数を付けると100点満点で80点と考えている。残りの20点分は、国会での与野党による法案修正協議で、国会の関与の仕方を今後検討するという趣旨の規定を盛り込めなかったことが理由だ。政府が持っている関連情報を全部国会に出してもらうために、受け皿として国会内での機関設置を検討するという条項を入れたかった。しかし、政府が「相手に手の内をさらすことになる」と難色を示したため、できなかった。
法案修正では、わが党が主張し、憲法が基本的人権として定める「通信の秘密」を尊重するという規定を明記した。政府は「機械的情報しか取らないのであえて書く必要はない」と言っていたが、やはりきちんと文字で条文として残すことにより、通信の秘密を非常に重視していることが明確になる。これは大変意味のあることだ。
最近のサイバー攻撃による被害事例を見ると、政府のシステムだけでなく、病院や空港という民間の基幹インフラが対象となっている。多様化する攻撃に対応できる法律を作るのは急務だった。官民が連携し、政府が特定の基幹インフラ事業者と協定を結んで防御するという意味は大きい。サイバー攻撃の99%以上は海外から来ており、その攻撃元を無害化できるというのは、非常に有効な手段だ。
国会質疑で政府答弁を引き出し、防御のためにプログラムを壊すことは許されるが、エスカレートしてハードを壊すことは許されないという「境界線」をきちんと確認できた。こうした政府見解の整理もきちんと行っており、有効性の高い法案にすることができたと考えている。
【日本維新の会】
片山大介参院議員(日本維新の会 国会議員団 政務調査会長代行)
空港や金融機関など重要インフラへのサイバー攻撃が多発し、台湾有事も想定されるなか、わが党は以前から「能動的サイバー防御」の必要性を訴えてきたので、今回の法制度は、その第一歩として評価する。ただ、当初の政府案には不十分な点もあったので、衆院審議の中で、維新から提案して修正を行った。
修正点は、まず、国会の関与について。政府の行う「無害化措置」などに承認を与える「サイバー通信情報監理委員会」が適切に機能しているかどうかを国会が確認することになっているが、国会への報告項目が明文化されていなかったので、きちんと明文化した。
次いで、3年後の見直し規定。今回の法制度では、政府が取得・分析する通信情報に国内から国内への「内内通信」が入っておらず、サイバー攻撃が日々進化する状況を考えれば、「内内通信」を抜け穴とした攻撃も起こり得ると思う。なので、今後の動向に応じて、施行3年後に見直しできる規定を盛り込んだ。
一方、自衛隊の役割の明確化は、今後の課題として残った。今回の法制度では、サイバー攻撃にはまず警察が対応し、背後事情が判明してから、自衛隊が対応することになっているが、自衛隊がもっと早い段階で対応すべきではないかと思っている。修正するには、自衛隊法はじめ関連法の改正が必要になることなどから、今回は見送ったが、今後の課題になると思う。
法の成立後、政府は、通信情報の取得にあたって、IPアドレスや送信日時など機械的な通信情報のみを自動的に選別するシステムを使い、「通信の秘密」を侵さないようにする考えだが、そのシステムは、今後、開発するとしている。こうした点も含め、制度が実効性のあるものになるよう、しっかり見届けていきたい。
