国連の国連政府専門家会合(GGE)については、このブログでも何回かとりあげたところです。特に第5会期が失敗したのについては、詳しく分析しています。

なお、会期の別などについては、外務省のページをどうぞ

でもって第6会期の報告書の速報コピーが公表されています。

報告書の構成は、1 序、2 現存・増大している脅威(Existing and emerging threats)、3 規範、ルール、原則(Norms, Rules and Principles)、4  国際法、5 信頼醸成措置、6 ICTセキュリティおよび能力構築のための国際協力および援助(. International cooperation and assistance in ICT security and capacity-building)、7 結論および将来の作業 から成り立っています。

それぞれについて、簡単にみていくことにします。そして、その上で、国際法の一般的な解釈をまとめているタリンマニュアル2.0を越えた部分があるのかどうか、という問題意識から、検討してみたいと思います。

1 序

この報告書が、総会決議73／266「国際安全保障におけるサイバー空間での国家の責任ある行動を推進する」に基づいていること(1)、過去の報告書、OEWGの報告書報告書を確認したものであること(2)、グループは、オープンで安全、安定、アクセス可能で平和なICT環境がすべての人にとって不可欠であり、国際的な平和と安全へのリスクを低減するために国家間の効果的な協力が必要であることを再確認します。ICT の平和目的での利用を促進することは、万人の利益にかない、共通の利益に不可欠である。主権、人権および基本的自由の尊重、ならびに持続可能なデジタル開発は、これらの努力の中心であること(5)などがのべられています。

2 現存・増大している脅威(Existing and emerging threats)

多くの国家が軍事目的でICT能力を開発しており、将来の国家間の紛争にICTが使用される可能性が高まっているという2015年報告書の評価を支持すること(7)、国家やその他のアクターを含む持続的脅威アクターによる悪質なICT活動は、大きなリスクであること(8)、国家やその他のアクターは、より複雑で洗練されたICT能力を政治的な目的などのために積極的に利用していること、国家がICTを活用した秘密の情報キャンペーンを悪意を持って利用するケースが増加していること、エスカレートする可能性があり、国際的な平和と安全を脅かし、また、個人に対しても直接的・間接的な被害を与える可能性があること(9)、重要インフラに対する有害な ICT 活動(特に、重要な情報インフラ、公衆に不可欠なサービスを提供するインフラ、インターネットの一般的な利用可能性または完全性に不可欠な技術インフラ、および医療部門の事業体)に影響を与える悪質なICT活動が懸念されること(10)、運用技術や、モノのインターネットを構成する相互接続されたコンピューティングデバイス、プラットフォーム、マシン、オブジェクトの脆弱性が悪意ある目的に悪用されないようにすることは、深刻な課題となっていること(11)、能力や資源の違い、ICT の利用に関連する国内の法律、規制、慣行の格差、また、このようなインシデントを軽減、調査、回復するために利用可能な既存の地域的、世界的な協力手段に対する認識やアクセスの不平等は、すべての国の脆弱性とリスクを高めること(12)などが、論じられています。

3 規範、ルール、原則(Norms, Rules and Principles)

15項は、規範の性質などについて論じています。なので、16項とあわせて、そのまま訳してみましょう。

15 当グループは、国家によるICTの利用に関して、国家の責任ある行動に関する自発的で拘束力のない規範が、国際的な平和、安全、安定に対するリスクを低減できることを再確認します。規範と既存の国際法は、互いに共存するものです。規範は、国際法に合致する行動を制限したり禁止したりするものではありません。規範は、国際社会の期待を反映し、国家の責任ある行動の基準を定めるものである。規範は、ICT 環境における紛争を防止し、その平和的利用に貢献し、世界の社会的・経 済的発展のための ICT の完全な実現を可能にするものである。

16. また、当グループは、規範、信頼醸成措置、国際協力、キャパシティ・ビルディングの相互関係を強調します。ICTのユニークな特性に鑑み、グループは、時間をかけて追加的な規範を策定することが可能であるという2015年の報告書の見解を再確認し、別途、適切であれば、将来的に追加的な拘束力のある義務を策定する可能性に留意する。

2015年報告書において、11の規範を認めていることもあり、追加の規範を定めました。規範の部分は、そのまま訳出します。

規範 13 (a) 国際的な平和と安全を維持することを含む国際連合の目的に沿って、各国は、ICTの利用における安定性と安全性を高めるための措置を開発・適用し、有害であると認められる、または国際的な平和と安全に対する脅威をもたらす可能性のあるICTの利用を防止するために協力すべきである。

19. 国際的な平和と安全の維持および国際協力は、国際連合の設立目的のひとつであること(19)、国際的な平和と安全の維持を脅かす可能性のある活動を実行するためのICTおよびICTネットワークを使用することを控えるよう、各国に奨励すること(20)などがのべられています。

規範13 (b) ICTインシデントの場合、国家は、事象のより大きな文脈、ICT環境における(責任)帰属の課題、結果の性質と程度など、すべての関連情報を考慮すべきである。

帰属は複雑な作業であり、ICT 事件の発生源を確定する前に広範な要因を 考慮すべきであることを認めている(22)。悪質なICT活動の対象となっている国、及びそのような悪質なICT活動が発生したと疑われている領域の国は、関連する管轄当局間で協議することが奨励されること(23)、 悪質な ICT 事件の被害者である国は、事件の評価においてあらゆる側面を考慮すべきであること(24)、他国に起因する悪意のある ICT 活動に対する被害国の対応は、平和的手段による紛争の解決や国際的に不正な行為に関するものを含め、国際連合憲章およびその他の国際法に基づく義務に従うべきであること。また、国家は、外交的、法的、その他の協議の選択肢をフルに活用するとともに、協議やその他の平和的手段による意見の相違や紛争の解決を可能にする自主的なメカニズムやその他の政治的公約を活用することができること(25). 国家は、ICTインシデントの重大性及び再現性を評価するために、関連する国家構造、ICT関連の政策、プロセス、法的枠組み、調整メカニズム、並びに関連するステークホルダーとのパートナーシップ及びその他の形態の関与を確立又は強化することができること(26)、 国家のコンピュータ緊急対応チーム（CERTs）／コンピュータ・セキュリティ・インシデント・レスポンス・チーム（CSIRTs）、国家のICT当局、および外交コミュニティ間を含む、地域レベルおよび国際レベルでの協力は、悪意のあるICTインシデントを検知・調査し、インシデントに関する結論を出す前に懸念や発見を立証する国家の能力を強化することができること(27)、各国は、多国間、地域、二国間、マルチステークホルダーのプラットフォームを利用して、異なるタイプの帰属をどのように区別するかなど、帰属に対する各国のアプローチや、ICTの脅威やインシデントに関する慣行を交換し、情報を共有することができルコト(28)などが論じられています。

規範13 (c) 国家は、自国の領土がICTを利用した国際的に不当な行為に利用されることを故意に許してはならない。

国家が、ICTを利用した国際的に不正な行為が自国の領土から発生している、または自国の領土を通過していることを認識した場合、または誠意をもって通知された場合には、その状況を検知し、調査し、対処するために、すべての適切かつ合理的に利用可能で実現可能な措置をとるという期待を反映していること(29)国家は

• (a) 本規範は、国家がその能力の範囲内で、比例的、適切かつ効果的な手段を用いて、国際法および国内法に合致した方法で、自国の領域内で進行中の活動を終了させるための合理的な措置を講じることを期待させるものである。とはいえ、国家が自国内のすべてのICT活動を監視できる、あるいは監視すべきであるとは考えられません。
• (b) 自国の領域内でICTを利用して行われた国際的に不正な行為に対処する能力がないことを認識している国は、国際法及び国内法に合致した方法で他国又は民間部門に支援を求めることを検討することができる。援助要請を策定し、これに対応するための構造やメカニズムを確立することは、この規範の実施を支援することになります。国家は、援助を提供する際には、誠意をもって国際法に従って行動すべきであり、援助を求めている国家や第三国に対して悪意のある活動を行うためにその機会を利用してはならない。
• (c) 被害を受けた国は、その活動が発生している国に通知すべきである。通知を受けた国は、協力と説明を容易にするために通知の受領を確認し、国際的に不正な行為が行われたかどうかを立証するために支援するあらゆる合理的な努力をすべきである。この通知の受領を確認することは、そこに含まれる情報に同意することを示すものではない。
• (d) 第三国の領域またはインフラから発生したICTインシデントは、それ自体が当該インシデントに対する当該国の責任を示唆するものではありません。また、自国の領土が不正な行為に使用されていることを通知することは、それ自体がその行為自体に対する責任を示唆するものではない。

といえること(30)が議論されています。

規範13（d）国家は、情報交換、相互支援、ICTを利用したテロリストや犯罪者の訴追、およびこのような脅威に対処するためのその他の協力的な措置を実施するための最善の方法を検討すべきである。国家は、この点において、新たな方法が開発されるべきか検討すべきである。

この規範は、犯罪者やテロリストが、勧誘、資金調達、訓練、扇動、攻撃の計画・調整、思想・行動の促進など、本報告書で取り上げられているような目的で、インターネットやICTを利用することによってもたらされる国境を越えた脅威に対処するための国際協力の重要性を各国に想起させるものであること(31) 、本規範の遵守は、犯罪者やテロリストのICT利用に対処するための技術的、法執行的、法的、外交的事項について国境を越えた協力を促進する国家政策、法律、構造、メカニズムの存在を意味すること(32)、国家は、国家間のICTセキュリティ意識を高め、オンライン・テロリストおよび犯罪活動の活動空間を減少させるために、関連する国家、地域および国際機関間の情報交換および支援を促進することができるメカニズムを強化し、さらに発展させることが奨励されること(33)、また、国連では、種々の決議がなされていること(34)が論じられています。

規範13（e） 国家は、ICTの安全な利用を確保するにあたり、表現の自由の権利を含む人権の完全な尊重を保証するために、インターネット上での人権の促進、保護および享受に関する人権理事会決議20／8および26／13、ならびにデジタル時代におけるプライバシーの権利に関する総会決議68／167および69／166を尊重すべきである。

本規範で言及されている決議およびそれ以降に採択された決議の採択は、国家によるICTの利用に関連して新たな課題やジレンマが生じていることを認識し、それらに対処する必要があることを示していること(37)、国家は、引用した決議に含まれる具体的な指針を考慮すべきであること(38)、人権の尊重と遵守を促進し、責任ある安全なICTの利用を確保するための国家の努力は、補完的で相互に補強し合う、相互依存的な努力であるべきであり、開かれた、安全で、安定した、アクセス可能で平和なICT環境を促進し、持続可能な開発目標（SDGs）の達成にも貢献することができ(39)。 すべての国にとって技術革新が重要であることを認識する一方で、新しく出現した技術は、人権やICTセキュリティに重要な影響を与える可能性があること(40)などが議論さています。

規範 13 (f) 国家は、国際法上の義務に反して、重要なインフラに意図的に損害を与えたり、公衆にサービスを 提供するための重要なインフラの利用と運用を損なったりするようなICT活動を行ったり、故意に支援したりしてはならない。

重要なインフラに意図的に損害を与えたり、公衆にサービスを提供するための重要なインフラの利用と運用を損なうICT活動は、国内、地域、世界に連鎖的な影響を及ぼす可能性があり、、住民に危害を加えるリスクを高め、エスカレートして紛争につながる可能性があること(42)、重要インフラが社会の重要な機能、サービス、および活動のバックボーンを形成していることから、国家資産としての重要インフラの基本的な重要性を指摘し、インフラが著しく損なわれたり、損傷を受けたりした場合、人的コストだけでなく、国家の経済、開発、政治的・社会的機能、および国家安全保障に多大な影響を与える可能性があること(43)、 これに関連して、各国家は、国家の優先順位と重要インフラの分類方法に従って、自国の管轄内でどのインフラまたはセクターが重要であるとみなすかを決定し、規範13(g)で述べたように、国家は自国の重要インフラを保護するために適切な措置を講じるべきであること(44)、 COVID-19のパンデミックでは、重要インフラに関する規範（本規範、規範(g)および(h)など）の実施などを通じて、ヘルスケアおよび医療インフラ・施設を保護することの重要性に対する認識が高まったこと(45)、 国家が実施または支援するICT活動であって、他国の重要インフラまたは不可欠な公共サービスの提供に影響を与える可能性のあるものが、本規範に合致し、国際的な法的義務に従って使用され、かつ包括的なレビューおよび監視の対象となることを保証するために、国家レベルで関連する政策および立法措置を講じることが奨励されること(46)が議論されている。

規範13（g） 国家は、総会決議58／199を考慮して、自国の重要インフラをICTの脅威から保護するために適切な措置を講じるべきである。

すべての国がその管轄下にある重要インフラをICTの脅威から保護することを確約し、この点における国際協力の重要性を再確認すること(47)、 国がインフラまたはセクターを重要と指定することは、当該インフラまたはセクターを保護する上で有用であること(48)。 一部の国は、地域的または国際的にサービスを提供するインフラのホストとして機能しており、このようなインフラに対するICTの脅威は、不安定な影響を与える可能性があること(49)、関連するインフラの所有者及び運営者との国境を越えた協力を奨励し、当該インフラに与えられたICTセキュリティ対策を強化し、当該インフラに影響を与えるICTインシデントを検知・緩和するための既存のプロセス及び手順を強化または補完的に開発することができること(49)などが議論されてい。

規範13 (h) 国家は、重要なインフラが悪意のあるICT行為の対象となっている他国からの適切な支援要請に対応すべきである。また、国家は、主権を十分に考慮した上で、自国の領土から発せられる他国の重要インフラを狙った悪意のあるICT行為を緩和するための適切な要請に対応すべきである。

重要なインフラが悪意のある ICT 行為の対象となっている他国からの支援要請に 対応するためには、国際協力、対話、およびすべての国の主権への適切な配慮が中心となることを各国に想起させること(51)、国家は、支援要請を受けた場合、提供する能力と資源があり、かつ、状況に応じて合理的に利用可能で実行可能な支援を提供すべきであること(52)、 国際的な平和と安全を脅かす可能性のある ICT インシデントを検知し、緩和するために 必要な国家構造とメカニズムを備えることは、本規範の効果的な実施を可能にすること(53)、 他国に支援を要請し、支援要請に応えるための共通で透明性のあるプロセスと手順は、この規範で述べられている協力を促進することができること(54)、悪意のある活動が特定の国の領土から発生している場合、要請された支援を提供するという申し出と、そのような支援の実施は、被害を最小限に抑え、誤解を避け、拡大のリスクを減らし、信頼を回復するのに役立つこと(55)などが論じられています。

規範13 (i) 国家は、エンドユーザーがICT製品のセキュリティに自信を持てるように、サプライ チェーンの完全性を確保するための合理的な措置を講じるべきである。国は、悪意のある ICT ツールや技術の拡散、および有害な隠れた機能の使用を防止するよう努めるべきである。

ICT サプライチェーンの完全性及び ICT 製品のセキュリティを確保し、悪意のある ICT ツール及び技術の拡散、並びに有害な隠れた機能の使用を防止することは、この点において、国際安全保障、並びにデジタル及び広範な経済発展にとって、ますます重要であること(56)、開放性を促進し、サプライチェーンの完全性、安定性、安全性を確保するための合理的な措置には以下が含まれること(57)。

• (a) 国の国際的な義務に沿って、サプライチェーンのリスク管理のための包括的で透明性のある、客観的で公平なフレームワークとメカニズムを国レベルで整備すること。このような枠組みには、新技術の利点とリスクを含む様々な要因を考慮したリスク評価が含まれる。
• (b) ICT 製品及びサービスの完全性と安全性に対する国際的な信頼を構築し、品質を高め、 選択肢を促進するために、ICT 機器及びシステムのサプライヤー及びベンダーによるグッドプ ラクティスの採用を客観的に促進する政策及びプログラムを確立すること。
•  (c) 世界の社会・経済の発展を高め、国際的な平和と安全の維持に貢献するためのICTの完全な実現を可能にするとともに、国家の安全と公益を守るために、すべての国家が平等に競争し、革新できるようにする方法について、国の政策や、国連やその他の場における国家や関連アクターとの対話において、関心を高めること。
• (d) サプライチェーン・リスク管理に関する二国間、地域間、多国間レベルでのグッドプラクティスの交換、サプライチェーン・セキュリティのためのグローバルに相互運用可能な共通ルール・基準の開発・実施、サプライチェーンの脆弱性を減少させることを目的としたその他のアプローチなどの協力的な措置。

悪意のある ICT ツール及び技術の開発及び拡散、並びにバックドアを含む有害な隠された機 能の使用を防止するために、国家は、国家レベルで以下を実施することを検討することができること(58)

• (a) ICT 製品の設計、開発及びライフサイクル全体に安全性とセキュリティを組み込むことを ICT ベンダーに要求することなどにより、サプライチェーンの完全性を強化する措置。この目的のために、国は独立した公正な認証プロセスの確立を検討することもできる。
• (b) データ及びプライバシーの保護を強化する立法及びその他のセーフガード
• (c) 重要インフラを含むシステム及びネットワークの機密性、完全性及び可用性を損なう可能性のある有害な隠れ機能の導入及びICT製品の脆弱性の利用を禁止する措置。

国家は、ICT 製品のサプライチェーン・セキュリティを含め、ICT のセキュリティを向上させるために、民間部門と市民社会が適切な役割を果たすことを引き続き奨励し、その結果、本規範の目的の達成に貢献すべきであること(59)が論じられています。

規範13（j） 国家は、ICT及びICTに依存するインフラに対する潜在的な脅威を制限し、場合に よっては排除するために、ICTの脆弱性についての責任ある報告を奨励し、当該脆弱性に対 して利用可能な救済策に関する関連情報を共有すべきである。

ここは面白いので、そのまま訳します。

60. 本規範は、悪意のある行為者による悪用の可能性を低減するために、ICT の脆弱性が迅速に対処されることの重要性を各国に喚起するものである。ICT の脆弱性を適時に発見し、責任を持って開示・報告することは、有害または脅迫的な行為を防 ぎ、信頼と信用を高め、国際的な安全と安定に対する関連する脅威を軽減することができる。

61. 脆弱性開示政策・プログラム及び関連する国際協力は、このような開示を日常化するために、 信頼性のある一貫したプロセスを提供することを目的としている。調整された脆弱性開示プロセスは、脆弱な製品がもたらす社会への被害を最小化し、国や緊急対応チーム間でのICT脆弱性の報告や支援要請を体系化することができる。このようなプロセスは、国内法との整合性を図るべきである。

62. 国家、地域、国際レベルで、国家は、国際的な平和と安全、人権と基本的自由に対するリスクをもたらす可能性のある誤用から保護する手段として、ICT 脆弱性の取り扱いに関する意思決定を導き、その商業的流通を抑制するための公平な法的枠組み、政策、プログラムを導入することを検討することができる。また、研究者やペネトレーション・テスターを法的に保護することも検討できます。

63. さらに、国家は、関連する産業界や他の ICT セキュリティ関係者と協議の上、関連する国際技術基準に沿って、責任ある脆弱性の報告と管理、報告プロセスにおける様々な利害関係者のそれぞれの役割と責任、深刻な ICT インシデントに関する技術情報の共有を含む、開示または公に共有されるべき技術情報の種類、機密データの取り扱い方法、情報のセキュリティと機密性の確保について、ガイダンスとインセンティブを策定することができる。

64. これまでのGGEにおける信頼醸成と国際協力、支援、キャパシティビルディングに関する提言は、責任ある脆弱性の開示のために各国が導入できるメカニズムとプロセスに関する共通の理解を深める上で、特に有用です。各国は、この目的のために、既存の多国間、地域、小地域の機関や、さまざまな利害関係者が参加するその他の関連チャンネルやプラットフォームの活用を検討することができます。

 

規範13 (k) 国家は、他国の公認緊急対応チーム（コンピュータ緊急対応チームまたはサイバーセキュリティ事件対応チームと呼ばれることもある）の情報システムに危害を加える活動を行ったり、故意に支援したりしてはならない。国家は、公認緊急対応チームを利用して、悪意のある国際的活動を行ってはならない。

CERT／CSIRTまたは他の公認対応機関が、ICTインシデントの管理および解決に おいて独自の責任と機能を有し、それによって国際的な平和と安全の維持に貢献する重要な役割を果た しているという事実を反映し、また、ICTインシデントの即時的および長期的な悪影響を効果的に検知し、軽減するためにも不可欠であること(65)、 国家安全保障、国民の保護、および ICT 関連事件に起因する経済的損失の防止における重要 な役割を認識し、多くの国は、CERTs／CSIRT を重要インフラの一部として分類していること(66)。各国は、公認の緊急対応チームを悪意のある国際的活動に使用せず、公認の緊急対応チームの活動の指針となる活動領域と倫理原則を認め、尊重することを公に宣言したり、措置を講じたりすることができること(67)、 国家は、CERTs／CSIRT を含む指定された役割と責任を有する国家の ICT セキュリティインシデント管理フレームワークなどの他の措置を導入し、CERTs／CSIRT および国家、地域、国際レベルの他の関連するセキュリティおよび技術機関の間の協力および調整を促進することも検討できること(68)などが議論されています。

4  国際法

国家が国際法、特に国連憲章の義務を遵守することが、ICTの利用における国家の行動にとって不可欠な枠組みであることを強調していること(69)、国際法といっているのは、主権の平等、国際平和と安全および正義が損なわれないような方法での平和的手段による国際紛争の解決、国家の領土保全または政治的独立に対する武力による威嚇または使用、あるいは国際連合の目的に反するような方法での武力による威嚇または使用を国際関係において行わないこと、人権および基本的自由の尊重、他国の内政への不介入などである(70)、本グループは、国家によるICTの利用に国際法がどのように適用されるかについて、2015年GGE報告書の評価と勧告に、以下のような追加的な理解を提供すること(71)とされていて、追加される事項は以下のとおりです。

• a）国際連合憲章第2条3項および第6章に基づく義務に従い、ICTの利用を含むあらゆる国際紛争の当事国は、その継続が国際的な平和と安全の維持を危うくする可能性がある場合、まず第一に、憲章第33条に記載された手段、すなわち、交渉、調査、調停、和解、仲裁、司法的解決、地域的な機関や取り決めへの依存、または自ら選択した他の平和的手段によって解決を図ることに留意する。また、平和的手段による紛争の解決に関連するその他の憲章条項の重要性にも留意する。
• b）当グループは、国家の主権及び主権に由来する国際的な規範及び原則が、国家によるICT関連活動の実施及びその領土内のICTインフラに対する管轄権に適用されることを再確認する。国際法に基づく既存の義務は、国家のICT関連活動に適用されます。国は、特に、政策及び法律を定め、自国のICTインフラをICT関連の脅威から保護するために必要なメカニズムを確立することにより、自国のICTインフラに対する管轄権を行使する。
• (c) 不干渉の原則に従い、国家は、ICT を利用する場合も含め、他国の内政に直接的または間接的に介入してはならない。
• d）ICT の利用において、また国際連合憲章に従い、国家はその国際関係において、いかなる国家の領土保全または政治的独立に対する武力の威嚇または使用、あるいは国際連合の目的に反するその他の方法を慎まなければならない。
• e）人類共通の利益のために情報通信技術を平和的に利用するという国際社会の願望を強調するとともに、本憲章が全体として適用されることを想起し、国際法に合致し、本憲章で認められている措置をとる国家の固有の権利と、この問題に関する継続的な研究の必要性を改めて指摘した。
• f）グループは、国際人道法は武力紛争の状況においてのみ適用されることに留意した。2015年の報告書で指摘された、適用可能な場合には人道、必要性、比例、区別の原則を含む確立された国際法の原則を想起した。グループは、これらの原則が国家によるICTの利用にいつどのように適用されるかについて、さらなる研究の必要性を認識し、これらの原則を想起することは、決して紛争を正当化したり、助長したりするものではないことを強調した。
• g）当グループは、国家は、国際法に基づき国家に帰すべき国際的に不当な行為に関する国際的な義務を果たさなければならないことを再確認する。また、国家は、ICTを利用した国際的に不当な行為を行うためにエージェントを利用してはならず、自国の領土が非国家主体によってそのような行為に利用されないように努めるべきであることを再確認する。同時に、当グループは、ICT活動が開始されたことを示すもの、あるいはその他のものが、テリトリーに由来するものであることを想起します。同時に、ICT活動がある国の領域またはICTインフラから開始された、またはその他の方法で発生したという表示は、その活動をその国に帰属させるには不十分な場合があることを想起し、国に対して提起された不正な行為の組織化および実施の告発は立証されるべきであることを指摘します。国際的に不正な行為に対する国家の責任の発動には、複雑な技術的、法的、政治的な検討が必要である。

国際法の特定のルールや原則が国家によるICTの利用にどのように適用されるかについて、国家が国連で一斉に継続的に議論し、意見交換することは、共通理解を深め、誤解を避け、予測可能性と安定性を高めるために不可欠であること(72)、グループのマンデートに従い、国家によるICTの利用に国際法がどのように適用されるかというテーマについて、参加している政府専門家の自発的な国内貢献をまとめた公式の大要[提供される文書記号]は、国連軍縮局のウェブサイトで公開される(73)ことが論じられています。

5 信頼醸成措置

、信頼醸成措置（CBM）が安定を促進し、誤解、エスカレーション、紛争のリスクを低減するのに役立つこと(74)、1988年に国連軍縮委員会で採択され、決議43／78（H）で総会のコンセンサスにより承認された「信頼醸成措置のためのガイドライン」や、CBMとその運用に関連する地域・小地域レベルでの新たな慣行を考慮することが奨励されること(75)。

協力的措置

連絡先

政策レベルおよび技術レベルで適切な連絡先（PoC）を特定することにより、国家間の安全で直接的な通信を促進し、深刻なICTインシデントの防止と対処、および危機的状況における緊張の緩和に役立てることができる(76)。PoC を設立したり、PoC ネットワークに参加したりする場合の国の検討事項があること(77)、 グローバルな ICT セキュリティの脅威に対処するには、包括的かつ普遍的なグローバルアプローチが必要であること(78)。

対話と諮問

各国は、国連事務総長に対し、地域及び小地域レベルで既に実施されているPoCネットワークに関連する教訓、グッドプラクティス及びガイダンスについて、全加盟国間の自発的な交換を促進するよう要請することができること(79)、地域団体は、ICT インシデントに起因する誤解、エスカレーション、紛争のリスクを軽減する CBMs の開発と実施において大きなステップを踏んでいること(80)、国家コンピュータ緊急対応チームおよび他の権限を有する組織に関連する協力策を継続的に 強化するために、国家は、既存の地域および世界の緊急対応組織およびネットワークを通じて、国家 CERTs／CSIRT の設立および維持、ならびに事故管理に関する情報および優良事例の共有および普及を奨励することができること(81)、

透明性対策

ICT セキュリティインシデント及びその他の関連する脅威に関する各国の見解及び実践を交換し、ICT セキュリティに関する助言、ガイダンス、エビデンスベース、意思 決定を裏付けるデータを公開することにより、自発的に透明性を行使することは、信頼と予測可能性を構築し、誤った解釈やエスカレーションの可能性を低減し、組織や機 関が適切なリスク管理の意思決定を行う上で重要であること(82)、 国家の行動の透明性と予測可能性をさらに高め、より広範な見解と経験に触れ、国家の備えと増大する脅威の早期認識を強化するために、国家は、二国間、小地域、地域及び多国間のフォーラムや非公式協議の場を利用して、既存及び新規のICTセキュリティ関連の脅威及びインシデントに関する情報及びグッドプラクティス、教訓又はホワイトペーパー、ICT製品の脆弱性分析のための国家戦略及び基準、ICTインシデントをインシデントの規模と深刻さの観点から分類するための国家的アプローチを含む、リスク管理及び紛争予防のための国家及び地域的アプローチなどを自主的に共有することを検討することができること(83)、 国家は、これらの既存のフォーラムを利用して、ICT セキュリティに対する国家アプロー チ、データ保護、ICT 対応重要インフラの保護、ICT セキュリティ機関の使命と機能、国または 組織レベルでの ICT 戦略、およびそれらが活動する際の法的および監視体制について、立場を 明確にし、自主的に情報を交換することもできる(84)、 各国は、重要インフラ保護の重要性についての認識を高め続け、重要インフラのステークホルダー間の情報共有を促進し、グッドプラクティスとガイダンスを共有することが奨励されること(85)。

などが論じられています。

6 ICTセキュリティおよび能力構築のための国際協力および援助(. International cooperation and assistance in ICT security and capacity-building)

ICTセキュリティとキャパシティビルディングの分野における協力と支援の重要性、および当グループのマンデートのすべての要素におけるその重要性が強調されるべきこと(87)、 ICT セキュリティとキャパシティ・ビルディングにおける国際協力と支援は、脅威を検知、調査、対応するための国家の能力を強化し、すべての国家が ICT の利用において責任ある行動をとる能力を有することを保証し、また、すべての国が必要なレベルの保護と重要インフラのセキュリティを達成し、適切なインシデント管理能力を持ち、自国の領土から発せられた、または自国に影響を与えた悪意のあるICT活動があった場合に、支援の要請に応じることができるようにすることができること(88)、ICT セキュリティとキャパシティビルディングにおける国際協力と支援をさらに強化し、種々の分野で各国を支援することを提言すること(89)、 デジタル・デバイドを解消し、すべての国がこれらの分野の支援やキャパシティ・ビルディングの恩恵を受けられるようにするために、各国は可能な限り財源や技術的・政策的な専門知識を提供し、ICTセキュリティを強化するための努力において支援を要請する国を支援すること(90)、ICT セキュリティ及びキャパシティ・ビルディングにおける国際協力・支援を推進するにあたり、キャパシティ・ビルディングの自発的、政治的中立、互恵的な性質が強調されること(91)などが論じられています。

7 結論および将来の作業

ここは、そのまま訳します。

93. 国家のICTへの依存度が高まる中、国際安全保障の文脈におけるICTの利用における国家の責任ある行動の共通の枠組みを遵守することは、すべての国家が技術の恩恵を受け、その誤用から保護し、対応するために不可欠である。

94. 共通の理解と効果的な実施を促進することに焦点を当て、これまでの報告書の提言に基づいて、当グループは、ICT セキュリティの分野における既存および潜在的な脅威に協力的な措置が効果的に対処するために国家が取るべきアプローチを特定し、より明確にしてガイダンスを提供した。これらのアプローチは、本報告書の「責任ある国家行動の規範・規則・原則」、「国際法」、「信頼醸成」、「国際協力とキャパシティビルディング」のセクションで明確に説明されており、それぞれのセクションは、過去のGGE報告書で作成された責任ある国家行動の必須要素を引き継いでいる。

95. グループはまた、今後の作業のための潜在的な分野を特定したが、これには以下が含まれるが、これらに限定されるものではない。

• (a) 二国間、地域間、多国間レベルでの協力関係を強化し、既存の脅威や新たな脅威、ICTの悪意ある利用がもたらす国際平和と安全への潜在的なリスク、ICTを活用したインフラの安全性に関する共通理解を醸成する。
• (b) 国家の責任ある行動のための規範、規則及び原則、並びに規範及びCBMの実施における国及び地域の慣行、並びに国家によるICTの利用に国際法がどのように適用されるかについて、さらなる詳細な議論のために国際法の特定のトピックを特定することを含め、意見の共有及び交換を行う。
• (c）上記パラグラフ90を考慮し、すべての国が国際的な平和と安全の維持に貢献できるよう、本報告書の評価と提言に関する国際協力と能力開発をさらに強化すること。
• (d）適切な場合には、責任ある行動の枠組みを実施するための努力に、民間企業、学界、市民社会、技術コミュニティなど、その他の重要な利害関係者の関与を促進するメカニズムを特定すること。
• (e）すべての加盟国にサービスを提供しているUNIDIRに要請するとともに、他の適切なシンクタンクや研究機関に本報告書で取り上げられているテーマについて関連する研究を行うよう促す。

96. グループは、国連の後援のもと、国際安全保障の文脈におけるICTに関する包括的で透明性のある交渉プロセスを継続することを奨励する。これには、総会決議75／240に基づいて設立された「情報通信技術の利用における安全保障に関するオープンエンド・ワーキング・グループ2021-2025」を含み、これを認める。同グループは、将来の作業がGGEとOEWGの累積作業の上に構築されることを推奨する。

97.グループは、国連およびその他の地域的・多国間的フォーラムにおいて、責任ある国家の行動の枠組みを促進するための努力を継続し、包括的かつ合意に基づいた、行動志向の透明性の高い方法で、定期的な対話、協議、能力開発を支援することを奨励する。これに関連して、OEWGの結果と一致するように、当グループは、ICTにおける責任ある国家の行動を推進するための様々な提案に留意し、特に、ICTの利用におけるコミットメント、特に行動計画の実施における国家の能力を支援する。これらの提案を検討する際には、国連への国家の平等な参加を通じて、すべての国家の関心と利益が考慮されるべきである。この点で、行動計画は、総会決議75／240に基づいて設立されたオープン・エンド・ワーキング・グループのプロセスを含め、さらに詳しく検討されるべきである。

98. 当グループは、加盟国が本報告書および過去のGGEの評価と勧告、ならびにOEWGの最終報告書（A／75／816）の結論と勧告を参考にし、これらをどのようにしてさらに発展させ、実施するかを検討することを勧告する。

報告書をどう評価するのか

報告書を順番に見ていったときに、どのように評価するべきであるのか、ということになるかと思います。個人的には、「規範」という用語についての問題点を指摘することができるように思います。

この報告書では、規範(Norm)を

自発的で拘束力のない規範

に限って、議論しているように思えます。しかしながら、ここであげられている規範13(a)から(h)までは、対応する国際法のルールを指摘することができるかと思います。その意味で、「拘束力のある」ものになっているのです。そして、国際法のルールは、いままでに構築された条約等、国際慣習法などによって詳細に構築されているわけなので、それと比較するときに「規範」の議論が、何か物足りないと感じてしまいます。

もっとも、規範についての議論が、信頼醸成措置（CBM）や能力開発をも、その守備範囲とすることから、その意味で、国際法とは、別個の議論としてなされることの重要性は否定しません。その意味で、むしろ、規範を「拘束力」とは、中立なものとして

行為者の適切な行為の標準とそれを確保するための仕組み

と定義すれば、いいのにと考えたりしています。

それは、さておいて、行為の標準という部分について比較した場合についてどうか、とうことになります。ここで、サイバーセキュリティにかかわる国際法の一般的な見解としてのタリン・マニュアル2.0を例にとってみると、上の規範で上がっている規範13 (i)のサプライチェーン、規範13 (j)の脆弱性の責任ある開示については、具体的なコメントがなされていないところになります。(「脆弱性の責任ある開示」については、私のエントリの「脆弱性の開示の枠組を深く勉強したい人に-ワクチンの予約システムの報道に関して」を参照ください)

これらは、主として民間企業/人に関する行為の表現という意味になるので、その意味からも国際法の直接に関与する問題ではありません。

その意味で、サプライチェーンと脆弱性の位置づけについての問題は、規範という枠組のなかで論じるのにふさわしい問題かもしれません。

なお、サプライチェーンについては、「 GCSCスタビリティ報告書　分析５」を、脆弱性については、「GCSCスタビリティ報告書　分析6」をも参照ください。もっとも、これらの観点について一定の仕組みを整備する義務が国家には存在するという形で考えると、今後、国際法の議論のなかに取り込まれることもあるかもしれません。タリン・マニュアルについては、3.0が準備中であることが明らかにされていますが、これらの論点が国際法の議論になかに入ってくるのか入ってくる場合に、どのような形で入ってくるのか、という点には、注目がなされるものと考えます。