令和５年3月28日に自由民主党政務調査会(経済安全保障推進本部、安全保障調査会、サイバーセキュリティ対策本部、デジタル社会推進本部経済安全保障上の重要政策に関する提言)が、「経済安全保障上の重要政策に関する提言」を公表しています。提言自体のリンクは、こちらです。提言本体。

内容としては、(1)セキュリティ・クリアランス(SC)制度の導入、(2)サイバーセキュリティ(CS)の確保、(3)経済インテリジェンス(El)の強化、に関わるものです。以下、内容を見ていきます。

1 セキュリティ・クリアランス(SC)制度の導入

1.1 概念

セキュリティクリアランス制度というのは、

　　　機密情報（classified information）などの情報に対してアクセスしうる地位やその地位を付与する制度そのもののことをいいます。機密情報を取り扱う者について、その情報を保全する意思および能力があるか否かを、その忠誠心、性格、誠実さ、信頼性に基づきあらかじめ判断し、その判断に基づいて、判断の可否、取り扱われる情報の格などを決めて取り扱う仕組みの全体をいいます。

概念を上のように定めた場合、わが国においても、特定秘密保護法によって、クリアランス制度が準備されてきています。同法は、「我が国の安全保障（国の存立に関わる外部からの侵略等に対して国家及び国民の安全を保障することをいう。以下同じ。）に関する情報のうち特に秘匿することが必要であるものについて、これを適確に保護する体制を確立した上で収集し、整理し、及び活用することが重要であることに鑑み、当該情報の保護に関し、特定秘密の指定及び取扱者の制限その他の必要な事項を定めることにより、その漏洩の防止を図り、もって我が国及び国民の安全の確保に資することを目的」とする法律です。

同法では、民間企業との関係で見るときには、第5条「特定秘密の保護措置」の適合事業者の定め（4項）、従業者の定め（5項、6項）と第8条「適合事業者への特定秘密の提供」が興味を引きます。そして、同法11条は、取扱者の制限として、特定秘密の取扱いの業務は、当該業務を行わせる行政機関の長若しくは当該業務を行わせる適合事業者に当該特定秘密を保有させる場合には、適性評価を実施しなければならないといしています。　適性評価は、行政機関の長による適性評価の実施（12条）によって定められている手続きに従い、評価対象者に告知の上で、その同意を得て（同条3項）、実施がなされます。評価の対称となる事項は、特定有害活動との関係、犯罪及び懲戒の経歴に関する事項、情報の取扱いに係る非違の経歴に関する事項、薬物の濫用及び影響に関する事項、精神疾患に関する事項、飲酒についての節度に関する事項、信用状態その他の経済的な状況に関する事項です（同2項）。

しかしながら、このような制度では、実際の役に立たないということが指摘されています。

1.2 有識者会議

まず、これらの整理については、「経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議」での議論もすすんでいます。

そもそもの問題意識は

先進諸国では、「一定の経済に関する事項を含む重要情報を取り扱う者」に、「セキュリティ・クリアランス」を付与する制度があるが、日本では同様の制度となっていないこともあり、海外における政府調達や民間企業間の取引においても、日本企業が不利な状況に直面するケースもあると承知している。

例えば、日本企業の従業員にセキュリティ・クリアランスがないために、ビジネスに必要な重要情報を得られないなどの例もうかがっている。今後、日本企業がビジネスチャンスを失ったり、共同研究から外されるようなことがあってはならない。

ということのようです(第一回会議議事要旨)。

1.3 整備の方向性にたいしての示唆

この方向性については、提言においては、情報区分の見直しと保全措置についての見直しが提言されています。これについては、有識者会議での議論の分析のほうが意味をもつかと個人的には考えているので、分析については、別の機会にと考えています。

2 サイバーセキュリティ(CS)の確保

2.1 提言の構成

ここで提言の目的の前に課題認識等を見ていきます。この後では、課題認識、能動的サイバー防御(アクティブ・サイバー・ディフェンス(ACD))の必要性、多様主体との連携、民間ニーズがあげられています。そのような文脈のもとで、

 新たな国家安全保証戦略では、能動的サイバー防御の導入、サイバー安全保証分野における情報収集・分析能力の強化、能動的サイバー防御の実施のための体制整備が謳われ、新組織の設置、必要な法制度の整備がメイキされた。本CS提言は、その具体化に監視、ACDの実施等を中心に必要な体制と昨日の国家つを提言するものである。

としています。

実際に実施される改革の項目としては、

• 政府の体制・ガバナンス
• ACD機能
• インテリジェンス機能
• 民間セクターCS強化機能
• 行政セクターCS強化機能
• CS人材の強化

が上がっています。

これらの項目をどのように考えるかというと、ACDどいう概念がきわめて広範であることとも関係して、個人的には、ACD機能を果たすための組織的整備・法的整備・情報的整備ということで整理できるように思います。民間セクターCS強化機能/行政セクターCS強化機能/CS人材の強化において種々の項目があげられていますが、それらは、従来の取り組みの延長線上のもののように思います。そめの意味で、ACD機能を中心に整理し直すのが、各項目を理解するのに有意義であるように思えます。

2.2 ACDの機能

ということでコアとなるACD機能をみます。私のブログでは、ACDというのは、結局、きわめて広範なアンブレラの概念で、攻撃がなされた段階で、それに対抗する目的をもった行為一般という意味にしかならないだろうと分析したところです(EUにおけるアクティブサイバー防御の概念と是非の質問の無意味さ)。 一方、政治的には、憲法9条の「神話」との関係で「能動的」というのは、一定の政治的インパクトがあるのでしょう。この「提言」においては、

ACDに関する実施権限などの法整備 、既存関連法令との関係整理 を含め、有識者会議を設置するなどして十分に審議を行い、実効的な実施権限を担保する制度を整備すること。国内と国外のそれぞれに対するACD実施について、違法性阻却その他の法的正当化の必要性も含め、国際法や国内法の制約に対する法的整理を早急に行うこと。ACDの機能としては、下記を検討すること。

• 攻撃者が悪用するサーバの探知のための情報収集
• 攻撃を防ぐための手段
• サイバー・インテリジェンス収集分析
• 民間セクターのインシデント調査･支援・対処調整
  官民情報共有等の連携強化

があげられています。ここで興味深いのは「に関する実施権限などの法整備」のところで、

警察官職務執行法の法理をベースとしつつ、サイバー空間の警察権を担保する新しい制度を創設することが考えられる。

とふれられているところです。

また、既存関連法制との関係整理としては、

攻撃者の処罰に関する法律として、｢刑法｣｢不正アクセス禁止法｣｢不正競争防止法｣、事業者等に義務を課す法律として、｢サイバーセキュリティ基本法｣｢経済安全保障推進法｣｢電気通信事業法、その他の事業法｣｢個人情報保護法｣｢会社法｣の他、国際条約等がある。

が上がっています。

でもって、実際にどのような作戦が議論されるのか、ということになります。攻撃者が悪用するサーバの探知のための情報収集、攻撃を防ぐための手段として、具体的にどのような手法が議論されのか、ということによります。

ところでこの法律の整備を考える場合に、誰がこれを行うのか、というのがきわめて重要になってきます。海外をみると、軍もしくは、情報機関になりますが、それらは、運営としては一体化されている(アメリカやイギリス)ということになります。わが国においては、情報機関については、民主的なコントロールという観点がでてこないこともあって、実際のオペレーションにどれだけ関与することが考えられているのかは未知数です。しかしながら、そのような誓約のなかで、サイバーセキュリティの情報活動のために政府の体制・ガバナンスについての提言は興味深いところがあります。

2.3 情報活動のための政府の体制・ガバナンスの整備

オペレーションの分析においては、としていますが、実際においては、これらの分類が現実にフィットしないという問題も生じています。その点で一番問題となるのは、

有事平時に関わらず、インシデントの事前予防から事後対処までのあらゆる状況を対象とし、攻撃者のアトリビューションや無力化、攻撃の影響の軽減等のフルスペックのACDを含む、包括的CS対策の実施権限を実効的に担保する制度とすること。

ということかと思います。

政府の体制・ガバナンスの提言を見ていきます。そこでは、

1. 内閣サイバーセキュリティセンター(NISC)は発展的に改組し、CS戦略本部の事務機能(政策企画立案調整)とは別に、全く新しく実運用機能を内閣官房に設置すること。新組織は、ACDの実施機能、民問及び行政セクターのCS対処機能、インテリジェンス収集分析共有機能、官房機能等を設置し、実効的な権限を付与すること。
2. その他､CS分野の政策の一元的な総合調整機能、国際連携の推進等に関する一元的な司令塔機能を整備すること。
3. 新組織には、必要に応じて本提言のSCを含む情報保全制度を適用すること。
4. 新組織は、拡大インテリジェンスコミュニティに加えること。
5. 新組織と、関連組織のCS戦略本部(CS政策司令塔)、NSS(国家安全保障司令塔)、デジタル社会推進会議(標準化を含むデジタル政策司令塔)との関係については、政策と運用の適切な連携を念頭に置き、関係を整理すること。
6. 防衛省･自衛隊及び警察庁等については、それぞれの目的に応じたACD実施が可能となるよう制度設計を行うこと。
7. ガバナンス体制を構築し、制度的に担保すること。

とされています。これについては、以下のような図で説明がなされています。なお、個人的に法的論点となりそうなところを赤で示してみました。

 

個人的には、「ハックのライセンス-英国サイバーフォース「実践-責任あるサイバーパワー」の公表」 でも

サイバー領域での活動の合理的なコントロールという観点からは、実際の運用上は、情報活動と軍事活動の一体的な運用が必要になるにもかかわらず、わが国の議論では、その点にふれている議論がなかなかないように思います。その意味で、このような具体的な例は、わが国におけるサイバー防衛という観点からもきわめて参考になる興味深いものであるというような気がします。

と考察したところです。この図をACDの実施という観点から捉えることにします。

基本的には、安全保障観点からのサイバーセキュリティの問題は、主としてサイバーインテリジェンスの観点からとらえることがいいのだろうと思っています。インテリジェンスのもととなるデータについては、右のボックスの対処調整組織が脆弱性情報やISPで取得される情報を収集して、それを他の情報とあわせて共有して、分析するとなるのだろうとおもいます。分析は、内閣情報調査局ということになるのだろうとおもいます。

でもって、具体的に軍事のオペレーションになるのか、法執行のオペレーションになるのか、この運用部門からの指揮がなされていく、ということになるのだろうとおもいます。

そうだとすると、この提言は、情報活動と軍事活動の一体的な運用という方向性にしたがって提言であるということはいえるでしょう。この提言の目指すものについては、世界的な趨勢にマッチしているものという評価は可能だろうとおもいます。

 3 経済インテリジェンス(EIの強化)

これは、現状認識のもと、

• 省庁によっては経済安全保障に対する意識や対応に温度差があるほか所管省庁が明確でない場合もあるため、各省庁からのEI情報の集約が必ずしも合理的に図れていない。
• EI情報に関するNSSの政策機能を更に強化し、より積極的に情報部門に情報関心を示す必要がある。
• また、国家安全保障上の動的リスクが顕在化した際の対処については、事態室が初動の司令塔機能を担うとされているが、特に経済安全保障上の動的リスクを含む場合は、政府が一体的な初動対処を有効に行うためのEI情報の一元的集約は十分とは言えない。
• EI情報の分野は幅広く専門性も高いため、抜本的な体制強化が必要であるほか、経済安全保障政策の一体的な推進の必要からＮＳＳやＣＩＲＯとのより積極的な連携が必要である。
• また、拡大インテリジェンスコミュニティ関係省庁以外の各省庁については、省庁間での意識や対応に温度差やズレがある。(そもそも国家安全保障戦略上の問題意識が全て省庁で共有されているわけではなく、前例がない未経験のリスク対応には消極的な傾向が見られる。省庁内部で政策企画立案から実施までのインテリジェンス・サイクルが十分に稼働していないためEI情報が集約されていない場合がある)
• 国際的なEI情報収集のための人的情報収集活動が決定的に脆弱である。
  という課題認識がなされています。

そこで、EI能力の抜本的強化を強く政府に求めるとしています。

そもそも、何をもって、経済インテリジェンスというかという問題があります。この提言書自体には、経済インテリジェンスの定義自体はありません。ただし、同提案の現状認識のところに

民間企業や大学等を含む官民が国内外に保有する専門性の高い幅広い分野の情報(経済的威圧の政策情報、研究・技術・資源等の特性情報、貿易・投資・市場・商取引等の経済情報、人的・物的・資金的・知的・制度的な資本情報を含む有形無形の情報)

という表現があるので、これをもとに考えられているものと推測はできます。個人的には、経済インテリジェンスは、

わが国の独立に影響を及ぼしうるインテリジェンスであって経済的な側面に関するもの

というように捉えて論じることにします。

内容としては

1. 情報部門(ＣＩＲＯ及び各省庁等)と政策部門(NSS及び各省庁等)の間のEIエコシステムの強化(インテリジェンス・サイクル稼働体制)
2. ＮＳＳを中心とした政策部門の強化
3. CIROを中心とした集約分析機能の強化
4. 各省庁の収集分析機能の強化
5. 官民若しくは国際の共同対処を念頭においた情報共有メカニズムの強化
6. 官民ビッグデータを活用した情報収集分析、サイバー空間のインテリジェンス、ディスインフォメーションといった､新たな分野への対応
7. ガバナンス
8. 人材育成・採用の各側面で改善に取り組むこと。

があげられています。

自分なりの観点から注目すべき提言をここに見ていきます。

3.1 情報部門(ＣＩＲＯ及び各省庁等)と政策部門(NSS及び各省庁等)の間のEIエコシステムの強化(インテリジェンス・サイクル稼働体制)

これは情報部門(内閣情報調査室(ＣＩＲＯ)及び各省庁等と国家安全保障局(ＮＳＳ)及び各省庁等の間の経済インテリジェンスのエコシステムの強化ということです。

このなかで、対象とすべき分野と活動として「対外活動・対内活動・人的活動・サイバー活動等」があげられています。サイバー作戦の文脈として考えると、サイバー作戦の状況・対象の分析・利用される脆弱性・標的となっている企業の分析・予測などを提供する仕組みというのまで考えているのかどうか、それを分析できるのか、また、共有できるのか、そこをきちんと仕組みの目的と考えているといいなあと思います。

「El情報に関する人的活動の在り方」というのも具体的にどのような者を考えているのか、は、よくわからないのですが、上のようなサイバー作戦に関する情報があったとします。というか、まず、そのような情報をどのようにして入手する、できると思っているのか、国のサイトのセキュリティの情報は、どこに集められ、分析されているのか、ISPの情報はどうか、また、分析するための人材はどうかというのもこのような検討範囲になるのかもしれません。国のサイトのセキュリティの情報は、どこに集められ、分析されているのかというのは、2の「2.3 情報活動のための政府の体制・ガバナンスの整備」とも関連しそうです。具体的にどのように展開されるのかが興味深いところです。

3.2 NSSを中心とした政策部門の強化

これについては、国家安全保障局(NSS)と各省庁にわけて考察がされています。

NSSについて

各省庁に対するリスクシナリオを合む情報関心の提示・情報集約分析・対処企画立案といった政策企画立案の運用機能の抜本強化を図ること

とされており、そのなかで、

特にディスインフォメーションを含む新たな分野の情報を活用した戦略コミュニケーションや戦略的情報発信を含む能動的な対処能力の強化を進めること。

とされているのは、興味深いところです。国家安全保障に偽/誤情報問題が入ってくる(当然に、国家支援のそれらの行為)のが明らかにされているのは、興味深いです。また、各省庁については、

経済安全保障担当官を設置した上で、経済安全保障に係る政策部門の機能を強化

とされています。

3.3 内閣情報調査室(CIRO)を中心とした集約分析機能の強化

これは、上の3.2に加えて、

　(ＣＩＲＯ設置根拠及び権限の明確化)

ＣＩＲＯは、内閣の情報収集・集約及び分析等を司る機関であるが、より効果的に機能させるための方策を講じること。内閣法を改正し。内閣情報調査局(仮称)とすることや。各省庁または各省庁所管の政府系機関から必要な範囲で直接EI情報を集約できる仕組みの創設などが考えられる。

(ＣＩＲＯ体制強化)
CIROは、専門性が高く幅広い分野のEI情報を収集・集約分析するため。国際情勢の知見に加え、産業構造や企業経営、国際金融や貿易、原子力を含む科学技術やその動向、更には各国の技術開発・保有の状況や犯罪事例等に関する知見等を有する職員の拡充を図ること。

情報機関設置ということがいわれていたわけですが、内閣情報調査室を設置根拠を明確にして、しかも、その活動の権限を明確にすべきということが提案されています。上の2.3でもって、内閣官房のなかの情報部門が、サイバーセキュリティの運用部門とインテリジェンスを共有するということが指摘されています。厳密にいうと、2.3の提言との関係がよく分かりませんが、国家安全保障のコアなところにサイバーインテリジェンスもいちづけられているということになるものと考えられます。

英国においては、1994年情報サービス法があるのですが、わが国において、そのような情報活動の民主的コントロールという手法の採用がありうるか、という論点があるというのが私の認識です。この点は、GW中の課題として勉強したいとおもいます。

その余として

• CIROの政策部門との連携強化
• CIRO新たな分野への対応
• 拡大インテリジェンスコミュニティ

があげられています。法的な観点からのコメントとしては、特にないようにおもいます。

3.4 各省庁の収集分析機能の強化

これは、各省庁ごとに政府全体のEIエコシステム強化を念頭に、経済安全保障担当官を設置した上で、

NSS及びCIROとの連携を強化し、更に本経済安保本部が累次に亘り提言を重ねてきた内容の実施を図り、それに必要なEl収集分析の機能及び体制の強化を図ること。特に人的情報収集体制の強化を図ること。また、既存関連法のみで十分なEI情報の収集が可能かどうか検討すること。

なっています。法的な関心としては、「既存関連法のみで十分なEI情報の収集が可能かどうか検討すること。」ということかとおもいます。

自分的に感覚のある経済産業省/総務省ですと

• 脆弱性情報の収集・集約・分析
• トラフィックデータの収集・集約・分析

について、この既存関連法のみで十分なEI情報の収集が可能かどうか検討すること、というのが、のしかかって来そうな気がします。では、具体的にどうなのか、ということですが、そこから先は、こちらとしてもインテリジェンスになりますので、インテリジェンスの対価というものがあるかと思っています。その他の省庁さんもかまいません。お気軽にご相談ください(？)。

ただし、経済産業省については、

JETRO等の在外活動機関の体制強化を検討すること。また、貿易管理部門以外の個別産業からエネルギー・デジタルを含めた省内EI情報の集約を積極的に図るとともに、ＮＳＳと密接に連携して経済安全保障政策の一体的運用に努めること。外為法に基づく貿易管理に万全を尽すこと。

となっており、脆弱性情報についての言及がありません。あと、総務省さんは、具体的な言及がありません。

3.5 その他

• 官民若しくは国際の共同対処を念頭においた情報共有メカニズムの強化
• 官民ビッグデータを活用した情報収集分析、サイバー空間のインテリジェンス、ディスインフォメーションといった､新たな分野への対応
• ガバナンス
• 人材育成・採用の各側面で改善に取り組むこと。

については、法的な観点から確認しておくべき事項は、いまのところないかなという印象です。