サイバーセキュリティ戦略本部 第19回会合のなかで、
「国立研究開発法人情報通信研究機構の中長期目標の改正案に対するサイバーセキュリティ戦略本部の意見」が公表されています。
まずは、いわゆるNICT法改正をめぐるいろいろな問題について、ちょっと前のエントリで検討しておきました。
サイバーセキュリティ基本法(平成 26 年法律第 104 号)第 25 条第1項第1号に基づいて、とありますが、同号は、
第二十五条 本部は、次に掲げる事務をつかさどる。
一 サイバーセキュリティ戦略の案の作成及び実施の推進に関すること。
となっています。
なので、この条文は、サイバーセキュリティ戦略案の枕言葉となります。
同法第 12 条第5項において準用する同条第3項の規定は
5 前二項の規定は、サイバーセキュリティ戦略の変更について準用する。
となって、準用される3項は
3 内閣総理大臣は、サイバーセキュリティ戦略の案につき閣議の決定を求めなければならない。
ですね。なので、サイバーセキュリティ戦略の変更については、戦略本部がOKといっているという流れになります。
で、「サイバーセキュリティ戦略本部としては示された中長期目標の改正案については妥当な内容であると判断」というしコメントがでています。
でもって、良く考えると、サイバーセキュリティ戦略本部が、NICTの中長期計画案にコメントをつけることができる根拠条文は何?ということになります。
「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」の2条(国立研究開発法人情報通信研究機構法の一部改正)が、NICT法を改正しています。
それによって、前のエントリで触れた特定アクセス行為が新機構法8条2項によって認められています。そして、この特定アクセス行為に関する部分については、総務大臣は、サイバーセキュリティ本部の意見を聞くことができることになっています。
これは、上の「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」の附則2条(準備行為)2項において
総務大臣は、独立行政法人通則法(平成十一年法律第百三号)第三十五条の四第一項の規定により中長期目標(第二条の規定による改正後の国立研究開発法人情報通信研究機構法(以下この条及び附則第六条において「新機構法」という。)附則第八条第二項に規定する業務に係る部分に限る。)を変更しようとするとき、又は独立行政法人通則法第三十五条の五第一項の規定による中長期計画(新機構法附則第八条第二項に規定する業務に係る部分に限る。)の認可をしようとするときは、この法律の施行の日(以下この条において「施行日」という。)前においても、サイバーセキュリティ戦略本部の意見を聴くことができる。
となっています。厳密に考えると、以下のふれるように、この意見書は、新機構法附則第八条第二項に規定する業務に係る部分に限る中長期計画の認可に対する意見書のように思えます。
とすると、根拠条文として、上の附則2条(準備行為)2項をひいておくべきだったような気がします。
どうなのでしょうか。
それは、さておき、
サイバーセキュリティ戦略本部は、「総務大臣に対し、以下の事項を要請する。」として、特定アクセス行為に関する計画に関してと思われますが、
(1)調査の内容
実効性の高いものとなるように努めるとともに、適時に見直しが行われること
(2)調査の実施
十分な周知を行うとともに、機器の利用者への影響等を十分考慮すること。また、適切なパスワード設定の必要性について周知活動を行うこと
(3)調査の結果
調査手法の高度化/必要応じた情報共有
(4)関係省庁との連携
既に流通している IoT 機器等については、利用者、製造事業者、電気通信事業者等の様々な主体が関係することから、これらの有機的連携が確保された取組につながるよう、NISC をはじめとする関
係省庁との連携に努めること
の4項目が留意点として明らかにされています。
「NICT法改正と不正アクセス禁止法」のエントリで検討したことですが、NICTからするアクセス行為(適法なもの)による脅威があるか、どうか、というのは、被害システムとしては、わからないので、セキュリティからすると、それはそれで、問題が生じうるわけです。それでも、それを上回るメリットが、あるというのが法の態度なので、それについては、そういうものとして認識することになります。
しかしながら、単にアクセスするのみではなく、その後の調査行為も、不正アクセス禁止法違反とされないということになると考えられる(前のエントリ参照)とすれば、「十分な周知/機器の利用者への影響等を十分考慮」が必要になるのは、いうまでもありません。
また、それをふまえて、実際の調査手法についても「適時に見直しが行われる」ことが必要になるわけです。
