参議院

御質問ありがとうございます。上沼の方からお答えをまずさせていただきます。 　結論として、一般の方のその個人の行動を網羅的に追跡するということは難しいというふうに考えます。 　その一つの理由は、今回対象となるものが外内通信ということでして、一方当事者の同意と言っているのが日本の国内の事業者の側の同意ですね。そうすると、相手側は国外になりますので、この通信によって一般個人のその行動を追跡するというのは非常に難しい、まずその通信の性質からですね。さらに、そこの部分が機械的だということになってきて、さらに、その機械的にするときに対象不正行為の可能性のところを鑑みて自動選別するということになってくると、一般的なその個人の行為を追跡するというのは非常に、その段階で結構落ちてしまいますので難しいというふうに考えます。 　以上です。

御質問ありがとうございます。 　個人を追跡できるのかというのは、まず選別後の情報なので、それはサイバー攻撃に関連している情報というふうに承知しておりますので、非常に難しいと。 　例えば、サイバー攻撃に関連しているＩＰアドレスを事前に特定して、それらのＩＰアドレスの通信を丸ごと取ってこようみたいな話を懸念されるかとは思うんですけれども、まずその段階であっても、もしそのＩＰアドレスを監視しようとした場合には、サイバー通信情報監理委員会の方でそれは不適切な運用であるというふうにはねられるはずなので、今回のその法案の中で言われているような方式を使って個人の方を追跡するのは非常に難しいと言えます。

次に、アクセス・無害化措置の国際的な評価についてお伺いしたいと思います。 　政府は、本法案は国家安全保障戦略の掲げるサイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させるという目標を実現する上で不可欠と説明をしています。しかし、この目標分かりにくいという指摘もなされておりまして、特にアクセス・無害化措置については、そもそも諸外国のアクセス・無害化措置は、対外非公表の活動として行われており、詳細が明らかになっていないものが多いと政府が答弁をしております。 　政府のやろうとしている措置が欧米主要国と比べてどうなのか、我が国を守る上で十分なものとなっているのか、必ずしも明らかになってはいないと思います。また、逆の面では、国外に所在する攻撃サーバー等に対するアクセス・無害化措置について、武力攻撃や先制攻撃とみなされる危険性はないのか、また、他国の主権侵害となり、国際法違反となるおそ

欧米主要国と遜色のない対応かどうかということなんですけれども、これは、今の見ている法案の中でいうと、欧米がやっていることというのに遜色ないことができそうではあると、制度上は。 　それは、今まで政府の対処というのが、国内のかつ政府が管理しているコンピューターに対してのみ処置する、しかも被害が出た後に処置するということだったんですけれども、今回の法案では、政府が管理していない民間のコンピューターに対して被害が顕在化する前に対処できるという点で他国と遜色がないと言えます。 　ただ、他国が、先ほど言われていたみたいに対外秘ということはちょっと違って、例えばアメリカの場合だと、先ほど言及した二四年一月のボルト・タイフーンの例では、実際にどういう対処をしたのかであったりとか、捜査令状を公開したりとか、それはアメリカの制度上、令状を取ってからやるという制度を彼らはつくっているのでそうなっているわけな

もう本当、今おっしゃった二〇二四年一月に米国政府が対処した中華人民共和国を背景とするボルト・タイフーンと呼ばれる組織による攻撃は、少なくとも五年間にわたって続いた、一方防御側は、兆候をつかんで対処するまでに二年半を費やしたと。これ本当に大変な難しさをはらんでいるというふうに、象徴的なケースであるというふうに思いまして、この課題はしっかりと受け止め続けていきたいというふうに思っております。 　続きまして、酒井参考人、今と同じような質問なんですけれども、国際法の観点からタリン・マニュアル二・〇についても御説明いただきましたが、政府は、アクセス・無害化措置は、そもそも武力の行使と評価されるものではなく、武力攻撃や先制攻撃とみなされるものではない、また、国際法上許容される範囲で行うことは当然と答弁しております。 　この国際法上許容される範囲、つまり違法性阻却が認められる範囲内で行うという考え方

御質問ありがとうございます。 　まず、最初の方の御質問でございますけれども、国内法、失礼、国際法上許容される範囲というお話でしたけれども、先ほど御報告したとおり、アクセス・無害化措置については、そもそも合法だと、国際法上合法であるというふうに評価される場合もあれば、残念ながら、相手方の評価から見て違法と疑わしい場合というのももちろんあります。いずれにしても、諸外国の間、日本も含めてですけれども、国家間では、いかなる行為が域外管轄、執行管轄権の適用で主権侵害になるか、つまり国際違法行為になるかという点について、その基準自体は、どの国もこれは国際違法行為だということでは一致していると思います。そういう意味では、国際法の許容範囲というのはおおむね、抽象的には、一般論としては各国とも合意があるだろうと思います。 　ただ、問題は、具体的に、じゃ、どの行為がその許容範囲に入るか入らないかという当て

本当に、変化に応じた整理、対応、アップデートをしながら引き続き取り組んでいかなければならない課題かというふうに感じております。 　続いて、上沼参考人に、有識者会議の委員でもいらっしゃいまして、サイバー通信情報監理委員会の実効性についてお伺いしたいと思います。 　いわゆる三条委員会であるサイバー通信情報監理委員会は、審査や検査を通じて行政機関における法令遵守を確保し、制度の信頼性を確保していくという重要な役割を担うわけでありますが、この法案が成立した後、この委員会が実際に有効に機能していくということは非常に重要なことでありまして、どのようなことを重視すべきなのか。この内閣委員会におきましても、我が党自由民主党からは、委員会は、検査対象となる行政機関と一定の緊張関係を保ちつつも、同時に信頼される存在となることが必要と指摘しました。政府からも検査を受ける行政機関との信頼関係が必要になるとの答

御質問ありがとうございます。 　信頼関係に関してはおっしゃるとおりだと思います。独立性がある機関ということは孤高を保つ機関と同義ではありませんので、独立性を保ちつつ、かつ、その重要な部分について円滑なコミュニケーションがなされなければ、この専門的な分野におけるその独立機関の有効性は確保できないというふうに思っております。 　あと、もう一つ付け加えるとするならば、実効性のためには実際のその人的リソースが必要でして、それなりの組織が絶対必要ではないかというふうに考えておりますので、その独立性とふだんのコミュニケーションと人的なリソースというのが実効性を確保するために必要ではないかというふうに考えております。

続いて、また上沼参考人にお願いいたします。 　この委員会でもいろいろなやり取りがあったんですけれども、今回の法案では、基幹インフラ事業者へのサイバー攻撃について、アクシデントになる一歩手前のインシデントについても報告を求めるということになっていますけれども、基準が曖昧だと報告側に過度な負担を掛けてしまうということにもなろうかと思います。具体的な報告基準を作成するに当たりましてどのような点に留意すべきとお考えですか。

あっ、挙手を。