参議院

本当にそういうシナリオもあると思いますので、先ほどの迅速な開催体制も含めて、しっかりと体制を整えていただきたいと思います。 　その中で、差し迫った事態で執行官の判断で現場対応を行った場合には、この責任の所在というのはどこに最終的には、先ほどもありました、帰結をしていくのかということを伺いたいと思います。 　つまり、その執行官がやったことで何か大変なことが起こってしまった、その場合、訴訟リスクというのはどこに来るのかということなんですよね。お医者様の手術のことでいえば、医師が重大な過失を犯してオペに失敗してしまって命に関わるようなことが起こってしまった場合には、当然ながら、病院の方じゃなくてその医師本人に責任がかぶされる、かぶされるというか、本人が責任を負うわけです。この場合、責任の所在、執行官が一義に負うのか、そうではないのか、その辺り整理して教えてください。

お答え申し上げます。 　私、先ほど、改正後の警察官職務執行法等の要件を満たしているかどうかの判断というのは組織的に慎重になされることが適当であるので、措置の実施主体が警察庁長官等又は防衛大臣の指揮を受けて行うということを御答弁させていただきました。そういうことでございますので、アクセス・無害化措置を実施した結果につきましては、一義的には、行政機関の個々の職員ではなくて措置を実施した行政機関が責任を負うものというふうに考えておるというところでございます。 　その上で申し上げますと、警察及び自衛隊がアクセス・無害化を実施するに当たりましては、措置の適正性を確保する観点から、警察庁長官又は防衛大臣の指揮を受けるとともに、原則としてサイバー通信情報監理委員会の承認を得ると、受けるということとしておりまして、サイバー攻撃に利用されているサーバー等であると認めた理由、サイバー攻撃による危害の防止と

措置をしたその本人の方に責任は来ないということで、そういう意味では、現場の執行官というのはある意味そこは守られているとは思うんですけど、一方で、しっかりとその技術の担保であるとか、しっかりと手順をどう踏むであるとかというものは、逆にしっかりとそこはつくっていかないといけないのかなというふうに今の答弁を聞いて思いましたので、人材の育成という面もるるこの委員会で議論をされていますけれども、そこも本当にしっかりやらないといけないなというふうに思います。 　ちょっと通告のやつで一つ後回しにしたいと思います。国外サーバーへの措置と協定というところの観点で伺いたいと思います。 　例えば、もうこれは本当例えばの話なんですけど、米国内のサーバーが何者かに乗っ取られて我が国の重要インフラの攻撃の踏み台となる、踏み台だけだったらいいんですけれども、それこそＣ２サーバーぐらいまで乗っ取られてしまって我が国の

仮定の御質問にお答えすることは控えさせていただきます。 　その上で一般論を申し上げますと、サイバー攻撃に対しては、サイバー攻撃に対してはサーバー所在国の政府機関等と連携して対処を行うことも想定されますが、サイバー攻撃の特性である攻撃者の優位性、瞬時拡散性及び越境性を鑑みれば、それのみで被害の未然防止、拡大防止が困難となるようなケースも想定をされています。 　このため、今回の法整備では、アクセス・無害化措置を実施する要件については、新設する警職法第六条の二第二項において、加害関係電子計算機や加害関係電磁的記録を認めた場合であって、そのまま放置すれば人の生命、身体又は財産に対する重大な危害が発生するおそれがあるため緊急の必要があるときとされていることなどから、各種情報を総合的に勘案しつつ、これらの要件を含む警職法改正案等の規定を満たす場合にはアクセス・無害化措置は可能です。 　なお、この

今の質問を伺ったのは、先ほど石垣委員からもありましたけれども、協定とかというのをやっぱりしっかりと実は結んでおく方が効果的に対処できるのではないかということです。 　先ほど大臣からも御答弁ありましたけれども、場合によっては協力をして何か対処をするということもあるというふうに伺いました。そういう意味で、効果的、即時的な対応をするためには、バイ、二国間ですね、であるとか多国間のサイバー協定も必要だとやっぱり思います。いわゆる犯罪人の引渡条約みたいなものもありますけれども、あれはやっぱりアメリカの例えば、仮定の話ですけれども、米国内に日本の刑法上で触れてしまった人がいて、それを日本からわざわざ飛行機に乗って警察官が捜査をして逮捕するというのは非効率だということで、それは協定を結んでいるわけですね。 　なので、そういう意味では、何かそういうサイバー攻撃があった場合に、やはり協定を結んでおいて、

お答え申し上げます。 　国連憲章全体を含む既存の国際法がサイバー行動にも適用されるということは、国連における議論を通じて確認されております。武力攻撃に至らないものの、国や重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがあるなどの場合に、未然防止又は被害拡大防止のために国外のサーバー等をアクセス・無害化措置を行うことは、国際法上一定の状況において許容されているものと認識しております。 　我が国がアクセス・無害化措置を行うに当たっては、国際法上許容される範囲内で措置を行うことは当然であり、また、サイバー攻撃による危害を防ぐために最小限の、必要最小限の措置として行うものであって、当該措置をとった場合の影響が最小限となるように措置を実施することになります。国際法上許容される範囲内で措置を行うことを確保する観点から、措置の実施主体が警察庁長官又は防衛大臣を通じてあら

少し次の質問にも関わってくるんですけれども、国際間の共通認識であるとかそういうルールの中でできるという話でしたけれども、例えばなんですが、我が国が主導して攻撃をするんじゃなくて、他国から例えば日本のサーバーを介して攻撃を更に第三国にした場合に、その第三国が、日本から攻撃が来たぞということで、この日本のサーバーに対して何かしらアクセス・無害化措置も含めた対抗措置をとってくると。ただ、これはいわゆる偽旗作戦、偽の旗と書きますけれども、偽旗作戦みたいなものがあった場合に、我が国から本当はやるつもりじゃなかったのに、なぜか我が国が攻撃を受けている、でも、何か自分の国が踏み台になっているか分からないので、やられたと思ってこちらはやり返す。もう仕掛けた国が一番それは、いわゆる漁夫の利というかなんですけれども、そういうことも今後あり得るかなというふうに思うんですね。 　その中で、しっかりと他国とやっぱ

奥村委員の指摘されたようなケースは今後起こり得るとは思います。 　その上で、今般の法整備によるアクセス・無害化措置は、サイバー攻撃により重大な危害が発生するおそれがある場合等において、その危害の発生を防止するために、攻撃に使用されているサーバー等に対しネットワークを介して危害の防止のために必要な措置をとるものです。 　御指摘の他国が我が国に対してアクセス・無害化措置を行った場合の対応については、個別具体的な状況に即して様々な情報を総合して判断するものであり一概にお答えはできませんが、あえて一般論として申し上げれば、まず事実関係の把握等努めるとともに、仮に我が国の主権が不当に侵害される行為が確認されれば、当然でありますけれども、抗議又は再発防止を求めることを含め、しかるべき対応をしていきます。 　いずれにせよ、サイバー空間における脅威にはどの国も一国だけでは対応できません。自国の体制及

そういう意味では、しっかりと、例えばホットラインであるとかそういうことも、いわゆる物理的な軍事衝突じゃないけれども、そういう体制も今後は必要なのかなというふうに思っていますので、いまだ個別の事象にはなかなか答えられないという話でしたけれども、その辺りもしっかりと想像して制度設計、今後はしていくべきかなというふうに思います。 　少し切り口を変えて、次の質問に移りたいと思います。 　この攻撃の自動検知からアクセス・無害化に至る中で、人というのが情報に触れるのはどの段階でしょうか、自動から人の判断に移る段階ですね。 　つまり、誰がいつどの分析情報にアクセスしたかというのはやはりしっかりと追跡できる体制を整えるべきだと思います。透明性確保のために、アクセスログに関してはブロックチェーンであるとかバックアップとか技術的要件というのもしっかりと定めていかないといけないというふうには思っています。

本法律案では、取得した通信情報については、閲覧その他の人による知得を伴わない自動的な方法により不正な行為に関係があると認めるに足りる機械的情報のみを選別をして記録をし、それ以外のものを、それ以外のものを終了後に直ちに消去するよう法的な義務として定めており、政府の職員が確認するのはあくまでこの自動選別後の通信情報、つまり攻撃に用いられると考えられるＩＰアドレスやコマンド等に限られます。その上で、選別後の通信情報については、本法律案で、内閣総理大臣はその安全管理のために必要かつ適切な措置を講じなければならない旨を規定をしています。 　その具体的な内容としては、通信情報の取扱いの業務を行わせる職員の範囲を適切に定めることのほか、例えば御指摘のような情報のアクセス制限の設定等の組織的安全管理措置を講ずることも想定されますが、技術的事項も含め、詳細については今後内閣府令で定めることとしており、その