2022年の国家安全保障戦略での「能動的サイバー防御」の採用のコメント以来、何かと議論のあった「能動的サイバー防御」についての法案が公表されており、4月4日に、衆院内閣委員会で賛成多数で可決されました。
法案自体としては、「サイバー対処能力強化法案及び同整備法」ということになります。正式な名称は、「重要電子計算機に対する不正な行為による被害の防止に関する法律案」と「重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案」ということになります。
この点についての私のブログは、あまりに多いので、なんなのですが、とりあえずは、「能動的サイバー防御-「サイバー安全保障分野での 対応能力の向上に向けた提言」(その1)-官民連携の強化」のエントリを紹介しておきます。
でもって、国会においては、修正がなされた上(修正案のリンク)で、衆議院を通過しています。ここで、法案を見ながら、検討していきたいと思います。
1 概要
1.1概要
今回の概要はこちらです。
- 「重要電子計算機に対する不正な行為による被害の防止に関する法律案」(新法)
- 「重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案」(整備法)
の二つの法律によるものです。
1.2 説明資料
説明資料は、こちらです。 内容としては
- 検討の背景(3-4)
- 法案について(5-22)
となります(数字は、スライドの頁)。
かなり盛りだくさんです。今回の分野としては、
- 官民連携
- 通信情報の利用
- アクセス・無害化措置
- 組織・体制整備等
の分野にわたって、制定法が整備されたということになります。
条文については、1と2については、「重要電子計算機に対する不正な行為による被害の防止に関する法律案(サイバー対処能力強化法案)」が定めており、3と4については、 「重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案(サイバー対処能力強化法整備法案)」が定めています。
これを図示したものは、こんな感じです。
各分野ごとに気になるところをみていきます。
2 「重要電子計算機に対する不正な行為による被害の防止に関する法律案(サイバー対処能力強化法案)」
新法といわれる「重要電子計算機に対する不正な行為による被害の防止に関する法律案(サイバー対処能力強化法案)」についてみていきます。法案については、こちらです。
2.1 目的等
目的としては、
この法律は、インターネットその他の高度情報通信ネットワークの整備、情報通信技術の活用の進展、国際情勢の複雑化等に伴い、そのサイバーセキュリティが害された場合に国家及び国民の安全を害し、又は国民生活若しくは経済活動に多大な影響を及ぼすおそれのある国等の重要な電子計算機のサイバーセキュリティを確保する重要性が増大していることに鑑み、重要電子計算機に対する特定不正行為による被害の防止のための基本的な方針の策定、特別社会基盤事業者による特定侵害事象等の報告の制度、重要電子計算機に対する国外通信特定不正行為による被害の防止のための通信情報の取得、当該通信情報の取扱いに関するサイバー通信情報監理委員会による審査及び検査、当該通信情報等を分析した結果の提供等について定めることにより、重要電子計算機に対する不正な行為による被害の防止を図ることを目的
とするとされています(第1条)。図示するとこんな感じでしょうか。
定義(2条)としては、サイバーセキュリティの定義は、サイバーセキュリティ基本法と同一(2条1項)なので、問題ないでしょう。「重要電子計算機」が定義されています。
「重要電子計算機」とは、次の各号のいずれかに該当する電子計算機(略)をいう。
一 次に掲げる者が使用する電子計算機のうち、そのサイバーセキュリティが害された場合において、当該者における重要情報(日米相互防衛援助協定等に伴う秘密保護法(昭和二十九年法律第百六十六号)第一条第三項に規定する特別防衛秘密、特定秘密の保護に関する法律(平成二十五年法律第百八号)第三条第一項に規定する特定秘密、防衛省が調達する装備品等の開発及び生産のための基盤の強化に関する法律(令和五年法律第五十四号)第二十七条第一項に規定する装備品等秘密又は重要経済安保情報の保護及び活用に関する法律(令和六年法律第二十七号)第三条第一項に規定する重要経済安保情報である情報をいう。第三号において同じ。)の管理又は重要な情報システムの運用に関する事務の実施に重大な支障が生ずるおそれがあるものとして政令で定めるもの(次号に該当するものを除く。)
イ 法律の規定に基づき内閣に置かれる機関若しくは内閣の所轄の下に置かれる機関、宮内庁、内閣府設置法(平成十一年法律第八十九号)第四十九条第一項若しくは第二項に規定する機関、国家行政組織法(昭和二十三年法律第百二十号)第三条第二項に規定する機関若しくは会計検査院又はこれらに置かれる機関
ロ 地方公共団体
ハ 独立行政法人(独立行政法人通則法(平成十一年法律第百三号)第二条第一項に規定する独立行政法人をいう。ホにおいて同じ。)
ニ 地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。ホにおいて同じ。)
ホ 法律により直接に設立された法人、特別の法律により特別の設立行為をもって設立された法人(独立行政法人を除く。)又は特別の法律により設立され、かつ、その設立に関し行政庁の認可を要する法人(地方独立行政法人を除く。)のうち、政令で定めるもの
二 特定社会基盤事業者(経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(令和四年法律第四十三号)第五十条第一項に規定する特定社会基盤事業者をいう。次項において同じ。)が使用する電子計算機のうち、そのサイバーセキュリティが害された場合において、同条第一項に規定する特定重要設備の機能が停止し、又は低下するおそれがあるものとして政令で定めるもの(当該特定重要設備の一部を構成するものを含む。)
三 重要情報を保有する事業者(第一号ハからホまでに該当する法人を除く。)が使用する電子計算機のうち、そのサイバーセキュリティが害された場合において、当該事業者における重要情報の管理に関する業務の実施に重大な支障が生ずるおそれがあるものとして政令で定めるもの(前号に掲げるものを除く。)
また
- 特定不正行為
- 特定侵害事象
- 通信情報(媒介中通信情報、当事者管理通信情報、取得通信情報)
- 国外通信特定不正行為
- 機械的情報(IPアドレス、指令情報、その他内閣布令で定める情報)
- 通信情報保有機関
が定義されています。ここで、「特定不正行為」をみると、
一 刑法(明治四十年法律第四十五号)第百六十八条の二第二項の罪に当たる行為->不正指令電磁的記録供与
二 不正アクセス行為(不正アクセス行為の禁止等に関する法律(平成十一年法律第百二十八号)第二条第四項に規定する不正アクセス行為をいう。第八十条第一項において同じ。)
三 電子計算機を用いて行われる業務に係る刑法第二編第三十五章の罪に当たる行為であって、当該電子計算機のサイバーセキュリティを害することによって行われるもの(当該電子計算機に接続された電気通信回線の機能に障害を与えることによって行われるものを含む。)->業務妨害罪
があげられています。これ以外の概念については、関連する部分でみていきます。
3条は、基本方針です。具体的な内容としては
- 重要電子計算機に対する特定不正行為による被害の防止に関する基本的な事項
- 第13条に規定する当事者協定の締結に関する基本的な事項
- 通信情報保有機関における通信情報の取扱いに関する基本的な事項
- 第37条の規定による情報の整理及び分析に関する基本的な事項
- 総合整理分析情報の提供に関する基本的な事項
- 第45条第1項に規定する協議会(第29条及び第37条において単に「協議会」という。)の組織に関する基本的な事項
- 前各号に掲げるもののほか、重要電子計算機に対する特定不正行為による被害の防止に関し必要な事項
なので、特に問題はないかと思います。
2.2官民連携
官民連携としては、
- 基幹インフラ事業者によるインシデント報告等
- 情報共有・対策のための協議会の設置
- 脆弱性対応の強化
にわけて論じられています。
2.2.1 基幹インフラ事業者によるインシデント報告等
これは、「重要電子計算機に対する不正な行為による被害の防止に関する法律案」の第2章 「特別社会基盤事業者による特定侵害事象等の報告等」です。具体的な内容としては
- 特定重要電子計算機の届出(4条)
- 特定侵害事象等の報告(5条)
- 命令(6条)
- 内閣総理大臣の意見の陳述(7条)
- 安全管理措置等(8条)
- 報告又は資料の提出(9条)
- 指導および序言(10条)
になります。このキーポイントとなるのが、特定侵害事象等の報告(5条)となるかと思います。
第5条 特別社会基盤事業者は、特定重要電子計算機に係る特定侵害事象又は当該特定侵害事象の原因となり得る事象として主務省令で定めるものの発生を認知したときは、主務省令で定めるところにより、その旨及び主務省令で定める事項を特別社会基盤事業所管大臣及び内閣総理大臣に報告しなければならない。
特定侵害事象というのは、
重要電子計算機に対する特定不正行為により、当該重要電子計算機のサイバーセキュリティが害されることをいう。
になります(2条5項)。サイバーセキュリティの定義は、サイバーセキュリティ基本法(平成26年法律第104号)第2条に規定するサイバーセキュリティになる(2条1項)なので
電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていること
となります。必要な措置が講じられ、適切に維持管理されていることを、サイバーセキュリティと呼んでいるわけですが、理屈としては、「情報の漏えい、滅失又は毀損」が生じたかということになるだろうと思います。
比較法的には、NIS指令2(ブログですと、EU におけるサイバーセキュリティ関係の法と規則-欧州連帯法(Solidarity Act)・NIS2指令など)とかでも、義務づけられているとおりです。
2.2.2 情報共有・対策のための協議会の設置
これは、サイバー対処能力強化法の第9章 「協議会」です。これは、45条です。
- 重要電子計算機に対する特定不正行為による被害の防止のための情報共有及び対策に関する協議会の設置(サイバーセキュリティ協議会を廃⽌し、強化・新設)(1項)
- 構成員(2項)
- 提供用総合整理分析情報その他の情報の共有(3項)
- 必要な取組(4項)
- 必要な情報に関する資料の提出、意見の開陳、説明その他の協力を求める(5項)
- 資料提出時の意見(6項)
- 守秘義務(7項)
などが定められています。
内閣総理大臣は、重要電子計算機に対する特定不正行為による被害を防止するため、内閣総理大臣及び関係行政機関の長により構成される重要電子計算機に対する特定不正行為による被害の防止のための情報共有及び対策に関する協議会(以下この条において「協議会」という。)を組織するものとする
ということになります(45条1項)。
2.2.3 脆弱性対応の強化
これは、「電子計算機等供給者に対する情報提供等」(42条)で定められています。
これについては、有識者委員会での検討が、現実に整備されていて実施されている脆弱性の早期警戒パートナーシップと無関係に議論されているように見えることを批判したところです(ブログ)。
ここでまず注意すべきことは「脆弱性」が定義されています。
電子計算機のサイバーセキュリティを害するおそれがある電子計算機又は電子計算機に組み込まれるプログラムに含まれる要因(当該電子計算機の通常予見される使用形態によらないことにより生ずるものを除く。)をいう。(当該電子計算機の通常予見される使用形態によらないことにより生ずるものを除く。)をいう。以下この条において同じ。
経済産業省の「ソフトウエア製品等の脆弱性関連情報に関する取扱規定」においては、「コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所(ウェ
ブアプリケーションにあっては、アクセス制御機能により保護すべき情報等に不特定又は多数の者がアクセスできる状態を含む。)をいう。 」とされていて外部からの攻撃が誘因とするという限定がなされています。
解釈論としては、上の定義では、外部からの攻撃によらないでも機密性に反してしまうようなポイントをどうするか、という点についての問題が残るかもしれません。
認知
条文としては、電子計算機等供給事業所管大臣は、
- 「総合整理分析情報その他の情報」により
脆弱性を認知したときは
- 「脆弱性に関する周知等用総合整理分析情報その他の情報」を提供するとともに、
- 当該情報又は当該脆弱性への対応方法について、公表その他の適切な方法により周知することができる
とされています(42条1項)。
もっとも、どのようにして脆弱性を認知するのか、という問題があります。開発者みずから認知することもあるでしょうか、研究者が発見することもあるでしょう。このような研究者が発見した場合に、どのように開発者にスムーズに脆弱性情報が伝達されて、一般に悪用されないうちに、対策がとれるのか、ということになります。そのための枠組が、「脆弱性早期警戒パートナーシップ」になるわけです。今一つの問題は、政府の管理しているホームページ、アプリケーションについての脆弱性についてどのように対応するべきか、ということかあります。
防止等措置
- 脆弱性を認知した場合であって
- 特定不正行為による被害の防止のために必要があると認めたとき
は、被害を防止するために必要な措置を講ずるよう要請することができる(同条2項)とされています。
また、内閣総理大臣又は特別社会基盤事業所管大臣の意見を述べる権限が定められています(3項)。また、同大臣等は、計算機等供給者に対しての報告または、資料の提出を求めることができること(4項)、供給者は、対応の努力義務を有すること(5項)が定められています。また、これらの規定は、国外の供給者に対しても効力を有する旨が記載されています(6項)。
認知の枠組
電子計算機等供給事業所管大臣が脆弱性を認知するとなっているのですが、どのような枠組で認知するのか、というのに関しては、「サイバーセキュリティ基本法第7条2項」が準備されます。これは、「重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案(サイバー対処能力強化法整備法案)」の12条です。
(サイバーセキュリティ基本法の一部改正)
第12条 サイバーセキュリティ基本法(平成二十六年法律第百四号)の一部を次のように改正する。
2 情報システム若しくはその一部を構成する電子計算機若しくはプログラム、情報通信ネットワーク又ティに対する脅威により自らが供給した情報システム等に被害が生ずることを防ぐため、情報システム等の利用者がその安全性及び信頼性の確保のために講ずる措置に配慮した設計及び開発、適切な維持管理に必要な情報の継続的な提供その他の情報システム等の利用者がサイバーセキュリティの確保のために講ずる措置を支援する取組を行うよう努めるものとする。
となっています。これは、利用者が、セキュリティの確保のために、講じる措置を支援する取組を(供給者が)おこなうようにするということです。
PSIRTが一般化してきていますね。「PSIRT(ピーサート)とは? CSIRTとの違いも解説」(日立ソリューションズ・クリエイトの解説)は、こちらです。今後は、このような規定やEUのサイバーレジリエンス法とかの影響もあり、さらに一般化するかと思います。これについては、テーマとしてきわめておおきいので、別の機会に委ねます。
分析情報の提供
「総合整理分析情報」というのは、国の行政機関に対し、37条の規定により整理又は分析した情報をいいます。
37条は、
報告等情報、選別後通信情報(前条の規定により選別後通信情報とみなされるものを含む。以下同じ。)、提供用選別後情報、協議会を通じて得た情報その他の情報が重要電子計算機に対する特定不正行為による被害の防止に有効に活用されるよう、当該情報の整理及び分析を行うものとする
としているので、「総合整理分析情報」というのは、「重要電子計算機に対する特定不正行為による被害の防止に有効に活用されるように取り扱われる報告等情報、選別後通信情報(前条の規定により選別後通信情報とみなされるものを含む。以下同じ。)、提供用選別後情報、協議会を通じて得た情報その他の情報」をいうことになるかと思います。
国外の提供業者への効力
脆弱性情報の取扱については、そのプログラムの供給者が国外にあったとしても、国内に影響が及ぶ以上は、これに応じてもらわないといけないわけです。42条6項は、この旨を明らかにしています。
6 前各項の規定は、国外に所在する電子計算機等供給者が、国内に所在する者に対し電子計算機等の供給を行った場合についても、適用する
早期警戒パートナーシップも、「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(2024年一部改正版)で
(第一)4 本規程の適用範囲
本規程は、日本国内で利用されているソフトウエア製品又は主に日本国内からのアクセスが想定されているウェブサイトで稼働するウェブアプリケーションに係る脆弱性であって、その脆弱性に起因する影響が不特定又は多数の者に及ぶおそれのあるものに適用する。
明らかにしていたわけで、その意味で枠組としての先見性があると評価すべきであると考えています。(もともとは、2004年から、このように定めていたわけです)
2.3 通信情報の利用
これは、概要によるとき
我が国に対するサイバー攻撃の実態を把握するため、通信情報を利用し、分析。これらについては、独立機関がチェック。制度設計に当たっては、「通信の秘密」に十分配慮
とされています。概要では、
- 基幹インフラ事業者等との協定(同意)に基づく通信情報の取得
- (同意によらない)通信情報の取得
- 自動的な方法による機械的情報の選別の実施
- 組織的な整備
にわけて論じられています。ということで、それぞれについてみていきます。
仕組みのポイントとしては、24/7のサイバー情報分析体制を整えたというところなのだろうと思います。
2.3.1 通信情報の概念
ここで、上の議論の重要な概念となるのが、「通信情報」になります。これは、2条6項で「通信情報」とは、次の各号のいずれかに該当する情報をいうとして
一 事業電気通信役務(電気通信事業者(電気通信事業法(昭和五十九年法律第八十六号)第二条第五号に規定する電気通信事業者をいう。以下同じ。)が営む電気通信事業(同条第四号に規定する電気通信事業をいう。第十七条第一項において同じ。)により提供される同法第二条第三号に規定する電気通信役務をいう。以下同じ。)によって媒介される通信により送受信が行われる情報であって、当該電気通信事業者が管理しているもの(第三号、第十一条第三項及び第十七条第一項において「媒介中通信情報」という。)
二 当事者設備(通信の当事者が使用する電気通信設備(電気通信事業法第二条第二号に規定する電気通信設備をいう。以下同じ。)をいう。以下この号において同じ。)から事業電気通信役務に係る電気通信設備に送信される情報若しくは事業電気通信役務によって媒介された通信により当事者設備に送信された情報又はこれらの情報の送受信に係る電気通信(同条第一号に規定する電気通信をいう。以下同じ。)の通信履歴に係る情報であって、当該通信の当事者が管理しているもの(次号及び第十三条において「当事者管理通信情報」という。)
三 媒介中通信情報又は当事者管理通信情報を複製した情報であって、内閣総理大臣が提供を受けたもの(その全部又は一部を複製し、又は加工したものを含み、第二十九条に規定する提供用選別後情報であるものを除く。以下「取得通信情報」という。)
とされています。これについては、英国法では、
| 通信内容(content of communication) | 通信と電気通信事業者、電気通信サービス又は電気通信システムに関連して、通信の要素、又は通信に添付された、又は通信に論理的に関連するデータで、(もしあれば)通信の意味と合理的に考えられるものを明らかにするもの | 261条(6)項 |
| 通信データ | イベントデータ | 261条(6)項 |
| 通信に関する一定のエンティティデータ | 261条(6)項 |
とされているところです。また、立法の解説のところにスライド(サイバー対処能力強化法案※1及び同整備法案※2について)があります。そのスライドですと、データの構造をもとに、電子メールに係る通信情報内の「コミュニケーションの本質的内容」についての説明が
となされています。コンテンツとそれ以外といっても、では、subject部分は、どうなんだ、という話があるので、「コミュニケーションの本質的内容」という用語で、「Communication」を特定したわけです。
Communicationというのは、英語では、意思伝達の内容をいうわけで、Privileged Communicationという概念は、弁護士が、いつ、何時、誰とあったか、という形式的な事実までは及びません。その意味で、”Secrecy of Communication”を外形的な事実までに拡張している日本の解釈は、世界的にみて肥大化しているだろうというのが、私の20年来の主張になります。このような当たり前のことを認めるのに20年もかかったのですね。誰も、私の説とのシンクロを褒めてくれませんけど。
2.3.2 基幹インフラ事業者等との協定(同意)に基づく通信情報の取得
これは、
内閣総理大臣は、基幹インフラ事業者等との協定に基づき、通信情報を取得(このうち、外内通信に係る通信情報を用いて分析を実施、当該事業者に必要な分析結果を提供)
するものであると説明されています(概要)。
これは、「同意」とされていますが、もともと、通信における「当事者」の同意というのは、「両」当事者の同意とされてきました。
たとえば、吉展ちゃん事件では、逆探知ができないのではないかという話になった昭和38年05月07日の衆議院地方行政委員会においては、逆探知ができなかったのかどうかという質問がなされた(項目71)が、この点についてまず、「アメリカ等に行なわれておりますような、いわゆる盗聴方式というものは、現在わが国の憲法上許されざることであると同時に、われわれの方ではそういう捜査方針をとっていない」という回答がなされている(項目72)。この際の捜査に関しては、捜査にあたり電話端末からの通話を録音して、モニターするというものにすぎなかった。その後、公開捜査になると、この録音が公開されたということもあった 。また、この審議のなかで、通信の途上において警察等の取得が許容される当事者の同意について、原則として両当事者であるが、やむを得ない場合については一方の同意ということも、ありうるとされている(項目21)。
もっとも、現時点では、端末の当事者から委託を受ければ、いろいろいな対応ができます(たとえば、DDoS対応のサービス)。なので、法解釈の文脈だと、この一方当事者の理論が、法文として明確化がされたものとして理解しておきます。(解説とかは、まだ、分析していません)
また、「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン」によると、「原則として契約約款等に基づく事前の包括同意のみでは、一般的に有効な同意と解されていない」ものの
マルウェアの感染防止に有効な手段であるマルウェア配布サイトへのアクセスに対する注意喚起における IP アドレス又はURL の利用、マルウェア感染による被害の防止に有効な手段であるマルウェア感染端末とC&C サーバ等へのアクセスの遮断における FQDN の利用等の場合に関しては、個別の同意がある場合のほか、契約約款に基づく事前の包括同意であっても、一定の条件の下においては、有効な同意と考えられる。
が、例外として記載されるようになっています。
実際の法律案を見ていきます。
第三章 当事者協定の条文としては、
- 特別社会基盤事業者との協定の締結(11条)
- 特別社会基盤事業者以外の事業電気通信役務の利用者との協定の締結(12条)
- 電気通信事業者に対する協議の求め(13条)
- 当事者協定を締結したときのサイバー通信情報監理委員会への通知(14条)
- 通信情報の取得(15条)
- 通信情報の提供を受けた内閣総理大臣の措置(16条)
が提案されています。
11条をみると
内閣総理大臣は、特別社会基盤事業者との間で、内閣総理大臣が、当該特別社会基盤事業者を通信の当事者とする通信情報の提供を受けた上で、当該通信情報のうち外内通信情報(略)に該当するものを用いて、当該特別社会基盤事業者が使用する特定重要電子計算機その他の電子計算機のサイバーセキュリティの確保を図るために必要な分析を行い、その分析の結果及びこれに関連する情報(第二号及び第十六条において「個別分析情報」という。)を当該特別社会基盤事業者に提供することを内容とする協定であって、次に掲げる事項を含むものを締結することができる。
となっています。ここで、ポイントは、外内通信情報になるかと思います。外内通信情報というのは、アイ・ピー・アドレス等から判断して、国外設備から国内設備に送信される電気通信に関する通信情報ということになります。
この外内通信情報について分析・結果および関連情報を当該特別社会基盤事業者に提供することを内容とする協定になります。図示をするとこのような感じかと思います。
この協定によって、内閣総理大臣が、外内通信情報を取得するという立て付けになります。
2.3.3 (同意によらない)通信情報の取得
外外通信目的送信措置
第四章は、「外外通信目的送信措置」です。具体的な条文として
- 外外通信目的送信措置(17条)
- サイバー通信情報監理委員会の承認(18条)
- 措置期間の延長(19条)
- 電気通信事業者に対する協力の求め(20条)
になります。ここで、ポイントとなる「外外通信目的送信措置」というのは、
- 外外通信であって、
- 重要電子計算機に対する国外通信特定不正行為のうち
- その実行のために用いられる電子計算機、当該電子計算機に動作をさせるために用いられる指令情報その他の当該国外通信特定不正行為に関する実態が明らかでないために当該国外通信特定不正行為による重要電子計算機の被害を防止することが著しく困難であり、かつ、この項の規定による措置以外の方法によっては当該実態の把握が著しく困難であるものに関係するもの
- 特定の国外関係電気通信設備を用いて提供される事業電気通信役務が媒介する国外関係通信に含まれると疑うに足りる場合
必要と認めるときは、
- 当該国外通信特定不正行為に関する第二十二条第二項に規定する選別の条件を定めるための基準(同項において「外外通信選別条件設定基準」という。)を定め、
- サイバー通信情報監理委員会の承認を受けて、
- 当該国外関係通信により送受信が行われる媒介中通信情報の一部(当該国外関係電気通信設備の伝送容量の百分の三十を上限とする。)が複製され、内閣総理大臣の設置する設備(第三十二条第一項及び第三十三条第一項において「受信用設備」とという)に送信されるようにするための措置
を、内閣総理大臣が講じることができるとされています。
媒介中通信情報の一部(が複製され、内閣総理大臣の設置する設備に送信されることになります。要するに、通信のトレース装置ということになるのでしょうか。また、電気通信事業者の協力も興味深いです。具体的には、
内閣総理大臣は、外外通信目的送信措置の実施に関し、国外関係電気通信設備を設置する電気通信事業者(以下この条、第三十二条第一項及び第三十三条第一項において「国外関係電気通信事業者」という。)に対し、当該国外関係電気通信設備に関する情報の提供、当該実施のための機器の接続その他の必要な協力を求めることができる。この場合において、当該国外関係電気通信事業者は、正当な理由がない限り、これを拒んではならない
となっています。実際には、むしろ、事業者のほうがネットワークの観測でもって、「特定不正行為」があるのが疑われるよ、ということになって、それを前提に、内閣総理大臣の設備への転送、協力の要請、それに対する協力、と指針でいくということになるのだろうと思います。これも図示をしてみましょう。取得の対象は、「外外通信」における媒介中通信情報の一部です。
だとすると、「特定不正行為」があるのが疑われるよ、という情報を、事業者がどのように内閣総理大臣と共有するのかな、ということがありますが、これは、ガイドラインあたりが整理されるだろうと考えています。
2.3.4 特定外内通信目的送信措置及び特定内外通信目的送信措置
第6章は、特定外内通信目的送信措置及び特定内外通信目的送信措置になります。
条文としては、
- 特定外内通信目的送信措置 (32条)
- 特定内外通信目的送信措置 (33条)
です。
特定外内通信目的送信措置 (32条)
特定外内通信目的送信措置については、上の「外外通信目的送信措置」と構造は一緒です。最初が、「外内通信であって」ということになります。
- 重要電子計算機に対する国外通信特定不正行為に用いられていると疑うに足りる状況のある
- 特定の国外設備を送信元とし、又は当該国外通信特定不正行為に用いられていると疑うに足りる状況のある特定の機械的情報(略)が含まれているもの
- 分析をしなければ当該国外通信特定不正行為による重要電子計算機の被害を防止することが著しく困難であり、かつ、この項の規定による措置以外の方法(次条第一項に規定する特定内外通信目的送信措置を除く。)によっては当該特定外内通信の分析が著しく困難である場合
必要と認めるときは、
- この項の規定による措置により取得通信情報を取得した場合における第三十五条第二項に規定する選別の条件を定めるための基準(同項において「特定外内通信選別条件設定基準」という。)を定め
- サイバー通信情報監理委員会の承認を受けて
- 国外関係電気通信事業者の設置する特定の国外関係電気通信設備であって当該国外関係電気通信設備を用いて媒介される国外関係通信に当該特定外内通信が含まれると疑うに足りるものにより送受信が行われる
- 国外関係通信媒介中通信情報が複製され、受信用設備に送信されるようにするための措置(以下「特定外内通信目的送信措置」という。)
内閣総理大臣が講ずることができる、とされています。これも図示してみましょう。
特定内外通信目的送信措置 (33条)
これも対象が、「内外通信であって」ということになります。
- 内外通信(略)であって、
- 重要電子計算機に対する国外通信特定不正行為に用いられていると疑うに足りる状況のある特定の国外設備を送信先とし、
- 又は当該国外通信特定不正行為に用いられていると疑うに足りる状況のある特定の機械的情報が含まれているものの分析をしなければ
- 当該国外通信特定不正行為による重要電子計算機の被害を防止することが著しく困難であり、
- この項の規定による措置以外の方法によっては当該特定内外通信の分析が著しく困難である場合において、
必要と認めるときは、
- 当該措置により取得通信情報を取得した場合における同条第二項に規定する選別の条件を定めるための基準(同項において「特定内外通信選別条件設定基準」という。)を定め、
- サイバー通信情報監理委員会の承認を受けて
- 国外関係電気通信事業者の設置する特定の国外関係電気通信設備であって当該国外関係電気通信設備を用いて媒介される国外関係通信に当該特定内外通信が含まれると疑うに足りるものにより送受信が行われる国外関係通信媒介中通信情報が複製され、受信用設備に送信されるようにするための措置(以下「特定内外通信目的送信措置」という。)を講ずることができるとされています。
2.3.5 当事者協定又は外外通信目的送信措置により取得した取得通信情報の取扱い
第5章は、「当事者協定又は外外通信目的送信措置により取得した取得通信情報の取扱い」になります。条文としては
- 定義(21条)
- 自動選別の実施(22条)
- 利用および提供の制限(23条)
- 非識別化措置等(24条)
- 選別後通信情報の保存期間等(25条)
- 安全管理措置等(26条)
- 関係行政機関の分析への協力(27条)
- 外国の政府等に対する選別後通信情報の提供(28条)
- 提供用選別後情報の作成(29条)
- サイバー通信情報監理委員会への通知(30条)
- 通信情報保有機関における選別後通信情報の取扱い(31条)
になります。
情報は取得・取扱・提供の段階で考えられます(通信の秘密の禁止行為定義が、積極的取得・窃用・漏えいで考えられるのに対応します)。あとは、消去・廃棄があるわけですが、これは、省略。(ちなみに小西葉子先生の「現代の諜報・捜査と憲法 自由と安全の日独比較研究」384頁にこのプロセスについての記述があります)
自動選別を行うことがポイントになりますが、これは、
当該取得通信情報の中から以下を満たす機械的情報であるもののみを選別して自動的な方法(第35条第1項において「自動的方法」という。)で行われる記録する措置であって、選別が完了する前に当該取得通信情報が何人にも閲覧その他の知得をされない方法で行われます(22条1項)。具体的な要件としては
- 第15条の規定により取得した取得通信情報については、外内通信により送受信が行われたものであること。
- 外外通信目的送信措置により取得した取得通信情報については、外外通信により送受信が行われたものであること。
- 当該取得通信情報に係る対象不正行為に関係があると認めるに足りる状況のあるものであること。
その選別の手法としては、IPアドレス、指令情報、探索が容易になると看取るに足りる状況のある情報を用いて選別がなされます。
また、31条で、具体的な選別後通信情報の提供が論じられています。
2.3.6 特定外内通信目的送信措置又は特定内外通信目的送信措置により取得した取得通信情報の取扱い
第七章 特定外内通信目的送信措置又は特定内外通信目的送信措置により取得した取得通信情報の取扱い になります。条文としては
- 定義(34条)
- 自動的方法により取得通信情報を選別して記録する措置の実施 (35条)
- 取得通信情報の取扱いに関する規定の適用 (36条)
になります。
上で内閣総理大臣は、取得通信情報を取得するわけですが、それについてまず、対象の外内通信、内外通信なのか、そして、対象不正行為に関係があると認めるに足りる状況のあるものであること、かを自動的方法で、選別する措置をしなけれければなりません(35条1項)。ここで、「対象不正行為」については、上でみた「特定不正行為」の定義が参考になります。
また、内閣総理大臣が
- 特定外内通信目的送信措置又は特定内外通信目的送信措置により取得通信情報を取得した場合
- 特定外内通信目的送信措置又は特定内外通信目的送信措置により取得した取得通信情報を
- 外外通信目的送信措置により取得した取得通信情報と、前条第一項の措置を自動選別と、当該措置により得られた取得通信情報(当該取得通信情報を複製し、又は加工して作成された情報(提供用選別後情報となったものを除く。)を含む。)を
選別後通信情報とそれぞれみなして、第23条から第31条までの規定を適用する、とされています。
2.3.7 総合整理分析情報等の提供
第8章は、総合整理分析情報等の提供 です。条文としては
- 内閣総理大臣による情報の整理及び分析 (37条)
- 行政機関等に対する情報提供(38条)
- 外国の政府等に対する情報提供 (39条)
- 特別社会基盤事業者に対する情報提供 (40条)
- 電子計算機を使用する者に対する周知等(41条)
- 電子計算機等供給者に対する情報提供等(42条)
- 情報提供に関する配慮 (43条)
- 安全管理措置等 (44条)
になります。
情報の整理および分析は、内閣総理大臣の権限となります。
- 報告等情報、選別後通信情報(前条の規定により選別後通信情報とみなされるものを含む。以下同じ。)、提供用選別後情報、協議会を通じて得た情報その他の情報
- 重要電子計算機に対する特定不正行為による被害の防止に有効に活用されるよう
当該情報の整理及び分析を行うことができるとなります。
2.4 サイバーセキュリティ情報の分析のための組織整備について
結局、上の仕組みで収集された情報をどのようにして分析して、インテリジェンスにしていくのか、というのがポイントになるのがわかります。でもって、この組織・体制等の整備の部分は、「重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律」で論じられています。
条文自体は、こちらです。 この法律は、上記の全体図のうち、関連する部分を線で囲むとこのような感じです。
でもって、組織・体制整備等についてみていくと具体的には
この三つから構成されています。この部分は、
能動的サイバー防御を含む各種取組を実現・促進するため、司令塔たる内閣官房新組織の設置 等、政府を挙げた取組を推進するための体制を整備(内閣官房(司令塔・総合調整)と内閣府(実施部門)が一体となって機能)
させるというものだそうです。これらをみていきます。
2.4.1 サイバーセキュリティ戦略本部の強化
これは、さらにサイバーセキュリティ戦略本部の改組とその機能強化があります。
サイバーセキュリティ戦略本部を・本部長:内閣総理大臣・本部員:全ての国務大臣とする組織に改組するのですが、条文としては、
- (整備法12条3項)第28条第1項中「内閣官房長官」を「内閣総理大臣」に改め、同条第3項中「、第3号及び第5号」を「から第4号まで及び第6号」に改め、同条第5項を削る。
- (同)第30条第2項中「次に掲げる者(第1号から第6号までに掲げる者にあっては、副本部長に充てられたものを除く。)」を「本部長及び副本部長以外の全ての国務大臣」に改め、同項各号を削り、同条の次に次の1条を加える。
となります。
また、(サイバーセキュリティ推進専門家会議)として
第30条の2 本部に、サイバーセキュリティ推進専門家会議(以下この条において「専門家会議」という。)を置く。
2 専門家会議は、次に掲げる事務をつかさどる。
一 第26条第3項の規定により本部長に意見を述べること。
二 前号に掲げるもののほか、サイバーセキュリティに関する施策で重要なものについて調査審議し、必要があると認めるときは、本部長に意見を述べること。
とされています。
機能に関しては、サイバーセキュリティ戦略本部の所掌事務に追加がされますが、これは、
- 同号を同項第四号とし、同項第2号の次に次の一号を加える。
三 重要社会基盤事業者等におけるサイバーセキュリティの確保に関して国の行政機関が実施する施策の基準の作成(当該基準の作成のための重要社会基盤事業者等におけるサイバーセキュリティの確保の状況の調査を含む。)及び当該基準に基づく施策の評価その他の当該基準に基づく施策の実施の推進に関すること。
とされています(12条)。
2.4.2 内閣サイバー官の設置
サイバーセキュリティの確保に関する総合調整等の事務を掌理する内閣サイバー官を内閣官房に新設します。具体的には、内閣サイバー官は、国家安全保障局次長を兼務し、さらに、内閣サイバーセキュリティセンター(NISC)の改組は政令で実施予定とのことです。条文としては15条(内閣法の一部改正)です。それによって
第19条の2 内閣官房に、内閣サイバー官一人を置く。
2 内閣サイバー官は、内閣官房長官、内閣官房副長官及び内閣危機管理監を助け、次に掲げる事務を掌理する。
一 第12条第2項第2号から第5号までに掲げる事務のうちサイバーセキュリティ(サイバーセキュリティ基本法(平成26年法律第104号)第2条に規定するサイバーセキュリティをいう。)の確保に関するもの(国家安全保障局、内閣広報官及び内閣情報官の所掌に属するものを除く。)
二 サイバーセキュリティ基本法第17条第5項の規定により内閣官房において処理することとされたサイバーセキュリティ協議会の庶務
三 サイバーセキュリティ基本法第35条の規定により内閣官房において処理することとされたサイバーセキュリティ戦略本部に関する事務
3 第15条第4項から第6項までの規定は、内閣サイバー官について準用する。
となります。
もっとも、内閣サイバーセキュリティセンター(NISC)の改組が、上記情報分析・提供等のために重要になるだろうと考えられるので、具体的には、それらの規定をみてみないと今回の改正の全ぼうは見えてこないということなのだろうと思います。
2.4.3 内閣府特命担当大臣の設置等
官民連携や通信情報の利用に関する事務を内閣府の所掌事務に追加、これら事務を掌理する内閣府特命担当大臣の設置が可能となります。条文としては
- 第3条第2項中「安全の確保」の下に「、国等の重要な電子計算機等に対する不正な行為による被害の防止のための措置の適正な実施を確保するための審査及び検査の遂行」を加える。
- 第4条第1項に「37 重要電子計算機(重要電子計算機に対する不正な行為による被害の防止に関する法律(令和七年法律第▼▼▼号)第二条第二項に規定するものをいう。第三項第二十七号の七において同じ。)に対する特定不正行為(同条第四項に規定するものをいう。同号において同じ。)による被害の防止のための基本的な政策に関する事項」を追加
- 第4条第3項第27号の六の次「27の7 重要電子計算機に対する不正な行為による被害の防止に関する法律に基づく重要電子計算機に対する特定不正行為による被害の防止に関する事務に関すること(他省及び金融庁の所掌に属するものを除く。)」を追加する。
- 第4条第3項第59号の3の次に「59の4 重要電子計算機に対する不正な行為による被害の防止に関する法律第48条に規定する事務 37 重要電子計算機(重要電子計算機に対する不正な行為による被害の防止に関する法律(令和7年法律第▼▼▼号)第2条第2項に規定するものをいう。第3項第27号の7において同じ。)に対する特定不正行為(同条第四項に規定するものをいう。同号において同じ。)による被害の防止のための基本的な政策に関する事項」を追加する
となります。
2.5 法的な論点について
この「重要電子計算機に対する不正な行為による被害の防止に関する法律案」をみて興味深かったことは
- 緊急時に限る措置ということではない
- 通信について、通信情報として内容以外を通信情報として取り扱っている
- 通信について、外国と国内という切り口が導入されている。
- 電気通信事業法とかの関係について、全く出てこないのが不思議
- 内閣総理大臣の権限として整理されている
をあげることができるかと思います。ちょっと、コメントしてみます。
緊急時に限る措置ということではない
まず、この法案の特徴は、国家安全保障戦略においては、
武力攻撃に至らないものの(even if they do not amount to an armed attack)、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合に、これを未然に排除し(eliminating in advance the possibility of serious cyberattacks)/またはこのようなサイバー攻撃が発生した場合の被害の拡大を防止するために(preventing the spread of damage in case of such attack)
能動的サイバー防御(active cyber defense)を導入する
とさていたわけで、そこでは、具体的な事態に応じた状況での国の権限という制定法の枠組が準備されることになるだろうと想定されていました。しかしながら、実際には、24/7での通信情報の分析権限を内閣総理大臣にあたえているという枠組が採用されています。
- 協定による場合は、特に、状況についての限定がありません。
- その他の場合には、国外通信特定不正行為による重要電子計算機の被害を防止することが著しく困難であり、かつ、この項の規定による措置以外の方法によっては当該実態の把握が著しく困難であるものに関係するものが、特定の国外関係電気通信設備を用いて提供される事業電気通信役務が媒介する国外関係通信に含まれると疑うに足りる場合などの要件
があります。後者の場合については、上のような事態ごとの分析に類似していますが、基本的には、違うアプローチであるように思います。この点は、この枠組の特徴ということがいえるかと思います。
通信について、通信情報として内容以外を通信情報として取り扱っている
憲法の一般の解釈(私の説以外)にせよ、電気通信事業法の解釈にせよ、
「通信の秘密」の保護する範囲については、「保障の対象となる『すべての形式の通信』は、通信の内容にとどまらないこと当然である。差出人・発信人・受取人・受信人の氏名・住所はもとより、通信配達の日時や、郵便物ないし電信・電話の差し出し個数ないしするなど通信にかかわるすべての事実に及ぶ」とされている。
というのが一般です。しかしながら、この「重要電子計算機に対する不正な行為による被害の防止に関する法律案」は、内容(「コミュニケーションの本質的内容」)以外を通信情報としている点で非常に興味深いものといえます。そもそも、Communicationという用語自体が、意思伝達の内容を意味するに過ぎず、それ以外は、意思伝達の秘密(Secrecy of Communicationは、本来、こう訳されるべきだったんだろうと)としては、保護されていないのではないか、という根本的な問題を示唆しているように思えたりします。
通信について、外国と国内という切り口が導入されている。
いままでの憲法や電気通信事業法の議論においては、国際通信であるかどうか、というのを意識して議論がなされたということは、基本的には、なかったように思います。が、この法律では、通信について外国外国・外国から国内に、国内から外国に、という状況ごとに、法律の適用を変えているところが興味深いです。
この点について、憲法や通信法において、どのような整理が今後なされるのだろうか、というのは、個人的に興味があります。
電気通信事業法とかの関係について、出てこないのが不思議
国内の通信における秘密の保護は、電気通信事業法において4条の秘密の保護をはじめとする規定によって保護されていると理解しています。ですが、ここでは、電気通信事業法との関係が議論されません。内閣総理大臣の命令権は、それ自体として、電気通信事業法との関係が議論されるはずのものかと思いますが、特別法として、一般法に優先されるという立て付けになるのだろうと思いますが、それが説明とかされないのはなんなのだろうかという個人的な感想を持っています。
内閣総理大臣の権限として整理されている
結局、対外的な権限の問題として議論されているので、上の通信目的送信措置についても主体が内閣総理大臣としなります。そのための分析の実際は、NISCがこれをになうということになってくるのだろうということです。
