立憲民主・社民・無所属

現状としては、広くはそうだけれども、かといって、外国にサーバーがあるから日本人の人のその情報が収集されないということではないということなのではないかと思います。 　つまり、情報収集活動を具体的に言うと、このＩＰアドレスからプロバイダー等に開示請求して個人を特定することも、不正な行為による被害の防止を図る目的であれば、条文上、これ禁止されていないということになりますでしょうか。

先ほどの答弁にもあったんですけれども、捜査目的に使うことはない、通常想定されないということであって、そういう必要性が生じたときにはできないわけではないということだと思うんですね。 　ここが重要なポイントであって、あのときの状況を考えればそれは想定されていなかった、しかし、具体的にそうせざるを得ない状況が生じたので、これは重要電子計算機に対する不正な行為による被害の防止を図ることという目的の範囲に合致するので行いましたという答弁が可能になるのではないかという懸念があるわけですね。 　個人を特定することが条文上制限されていない場合に、その個人が誰とどのようなやり取りをしているかなどのメールの内容を日常的に把握することも条文上禁止されていない。 　先ほど、想定していないというふうな話ではありましたけれども、これは条文上禁止されていないということで、やるかどうかではなく、あくまで条文上できる

ただ、技術上は可能だということだとは思うんです。ＩＰアドレスからその個人を特定してその先に進むことも、手続を踏んでいけば可能な範囲に、この目的に合致するものであればできるのではないだろうかと。それはこの法文の中では禁止はされていないという、その法の隙間みたいなものはこの中に込められているのではないかという、私のこの今質問でございます。 　技術的に難しいとかプロバイダーが応じないとか、そういうことはあるのかもしれませんけれども、警察や公安調査庁が来て協力を要請されたら、なかなかやっぱりこれ断りづらいと思うんです。当面は通信の秘密を守らなければならないと抑制的に運用していくんだと思いますけれども、将来ずっとそうであるかというと、様々な疑念も生じまして、条文上であくまでも禁止されていないことは将来の可能性としてやるかもしれない。 　先ほど、小さく産んで大きく育てることはないとおっしゃいました

何度も申し上げますけれども、そのようには利用しない、その範囲内であるというふうに御答弁いただいて、後々、この法解釈に関して今の答弁がしっかり生きて、きちんとその目的の範囲内であるということが明確になればいいんですけれども、じゃ、その目的の範囲内というのは、もうこれも繰り返しになりますけど、この概念上の範囲を超えて、手段としては禁止をされていないというわけですから、拡大解釈をされて必要の範囲内で活用されてしまう、利用されてしまうということがあり得るのではないだろうかと思います。 　先ほどもお話にありましたけれども、通信の秘密についても、憲法第十二条及び第十三条の規定からして、公共の福祉の観点から必要やむを得ない限度において一定の制約に服すべき場合があるというような考え方の下に今回の法案も作られていると思うんですけれども、この公共の福祉の観点というのをどう考えるかというときに、先ほどの概念図

名古屋港運協会は当初は単なるシステム障害が発生したというふうに考えていたようですけれども、本法案が成立していたらもっと早い段階でサイバー攻撃を受けたと認識できたのかということ、また、政府や警察がサイバー攻撃を受けたと知るのも早くなって、政府としても対処できるようになっていたということでよろしいんでしょうか。

あくまで仮定の話ということで、どんなことが可能であったかという御答弁をいただいたとは思いますが、これ実際にコンテナターミナルにおける情報セキュリティ対策等検討委員会が、同年、二〇二三年の七月に行われていまして、今回の事案における主な問題点としてということで幾つか挙げております。一つは、保守作業に利用する外部接続部分のセキュリティー対策が見落とされていたこと、二つ目、サーバー機器及びネットワーク機器の脆弱性対策が不十分であったこと、三、バックアップの取得対象と保存期間が不十分であったこと、四、システム障害時の対応手順が未整備であったことなどが挙げられていて、結局、その感染経路も保守用のＶＰＮではないだろうかとは言われているんですが、確定的なことはまだ分かっていないということなんですよね、ほかの可能性も否定されていないということで。 　かつ、このＶＰＮ機器及び物理サーバーに関して数か月前から

情報共有に関しましても、サイバーインテリジェンス情報共有ネットワーク、ＣＣＩ、こういうものもあって、一応情報収集はしていたんだけれども、そこに加盟しているものももちろん全部ではないし、非常に被害が潜在化していると。まあ、自分たちのところが感染した、何か問題があったというと信用問題に関わるので伝えないことが多かったというようなこともあったということで、今回義務化されることによってのメリットというのはもちろんあるんだと思います。 　その上で、今回のこの名古屋港の攻撃者というのが、いろいろ調べていった結果、ロックビットというランサムウェア攻撃者グループだったということで、これ、ロックビットって結局外国政府を背景にした組織なんですか、どうなんでしょうか。

報道の方が先んじているということですけれども。 　三日間、港湾のコンテナの搬入、搬出作業がストップをしたという事案でございます。これ、相当の物流が止まりました。この法案があったら、サイバー攻撃を受けたことを政府も把握できて、さらにアクセス・無害化措置もこれ実行できた、実行したということなのか、また、被害を食い止めるために、攻撃者であるロックビットがどういう組織なのか把握する前に、緊急性があると判断してアクセス・無害化措置に踏み切っていたという可能性があるんだろうかどうなんだろうかという疑問が生じたんですが、この点、お答えできる範囲で答えていただきたいと思います。

ということで、可能性もあるんだというような御答弁をいただいたということだと思いますが、このアクセス・無害化措置が一体本当にどの程度まで可能なのかということで、今ちょっと具体的に名古屋港の事案を基にお話をしましたけれども、ちょっと具体的に、実際今起きているものに対して、サイバー防御の能力を向上させるのだ、能動的サイバー防御が必要なのだということでこの法律を議論しているので、実際にどの程度防げるのかというのは皆さんにこの法律の実効性に関して具体的にイメージをしていただくためにちょっとあえて質問させていただきました。 　今のことにも関連すると思いますが、他国へのアクセス・無害化措置に関して伺います。 　アクセス・無害化措置を行う対象は、攻撃者そのものではなくて、踏み台となっているサーバー等に対して行うことの方が多いのではないか、ちょっと先ほどもお話ししましたけれども。で、我が国のサーバーなど

逆に、自分たちもそういう今攻撃を受けているという認識の下にこの無害化措置を行うという法律まで作ろうとしているわけですから、日本が全くそういう対象にならないということ自体がむしろお気楽な話ですので、想定はされているんだとは思います。 　海外のサーバーなどに対して無害化措置を実施した後に、そのサーバーなどの所在している国の政府などから無害化措置によって不具合が生じて損害が発生したなどの申出があった場合に、警察そして防衛省は具体的にどのような無害化措置を行ったのかなどの説明をするのかどうか、緊急性があったなどの違法性阻却事由について証拠を示して説明ができるのかどうか、教えていただきたいと思います。