参議院

ありがとうございました。 　目的外利用については前回の委員会の中で石垣委員からも厳しく指摘がされたところでございまして、やっぱり目的外利用そのものについてやめるべきだということを原則にしながら、せめて法文にその目的、いわゆる限定列挙でですね、止めるべきだというようなことも指摘をさせていただいているところでございますので、同じ問題意識だということを改めて私の方からも表明しておきたいというふうに思います。 　次に、持永参考人にお話をお伺いしたいと思います。 　今日もお話の中でありましたし、お書きになった文章についても拝読をさせていただきました。その中で一つ、サイバー攻撃に対する情報共有の受皿はたくさんあるけれども、情報分析結果の共有が進んでいない、今日もお話の中であったと思います、そういう御指摘がされていました。 　その例示として、警察が捜査情報を他の機関と共有することはまれだというよ

御質問ありがとうございます。 　情報共有がうまく進まない原因としては、やはり、これは政府の報告書の中でも何度か言われているんですけれども、組織の縦割りというのが非常に問題だと。これは二〇一三年ぐらいからずっと言われていて、そういった政府の報告書で自身が言っているにもかかわらず、やはりその数字を見ても件数が少ないという状況を見れば、やはりそういった問題は解消していないと。やはり、この法案が出てきたのは、そういった状況を変えようということで、新たに内閣官房に組織をつくって、新たな組織の下でやっていこうということだと認識しています。 　根本的な原因がそこで新しい組織ができたからって解消されるのかというのは、本当にこの法律ができて運用されてみて、民間事業者からそういった組織がどう評価を受けるかというところで決まってくるのだと思います。

ありがとうございました。 　もう一点、持永参考人にお尋ねをしたいんですけれども、先ほど中小企業に対するセキュリティーの強靱化のお話についてございました。同じような問いになって恐縮なんですけれども、今度は持永参考人に、中小企業セキュリティーの強靱化のためのサポートあるいは費用等々について、先ほども御指摘がありましたけれども、今経産省が行っているものだけでは僕は不十分だというふうに思っています。 　持永参考人から見たときに、サイバーセキュリティー全体のサイバーセキュリティーの高度化に取り組むためには、中小企業に対してより具体的な支援としてどのような支援が必要であるというふうにお考えになっているのかという点を是非お聞かせをいただきたいと思います。

ありがとうございます。 　中小企業に関しては、長い間こちらも、私も実際に町工場の方に、最近パソコン使っていますかみたいな形で、ソフトウェア使っていますかみたいな感じで、うちはインターネットつながっていないから大丈夫だよみたいな、そういう感じで来るんですけど、実際にはインターネットにつながっていなくてもサイバー攻撃を受ける可能性はあって、そういったことというのは、重要インフラで例えばやられているような対策でも、やはりインターネットから切り離していればオーケーとかそういうものではないということが今の現状なんです。 　そういった認識をやはり中小企業の方に持っていただくというのが第一で、それがうまく機能するかというと、やはり中小企業の方にとってみれば、追加の作業を、セキュリティー対策取れよみたいな感じで、多分お金をあげてもどうやってお金使っていいか分からなくて、何というんですか、自分たちが関係

ありがとうございました。サプライチェーン全体でサイバーセキュリティー強度をどう上げていくかという観点からの御回答、御指摘だったというふうに思います。 　それからもう一つ、人材育成、これも持永参考人なんですけれども、人材育成に関して、先ほどもこれも御指摘あったところでございますけれども、とりわけ今日の持永参考人のお話の中で、やっぱり国としてもっともっと人に投資をすべきだというお話と併せて、給与制度等を含めた公務員制度の見直しというような観点からの御指摘もいただいただろうというふうに思います。 　一つ、政府の人材確保という観点では、御回答になった、御指摘になった御意見の中でいろいろな御示唆いただいたところでございますけれども、地方公共団体のサイバーセキュリティー人材の確保ということについては、政府、国よりもかなり厳しいなというふうに思っています。 　この地方公共団体のサイバーセキュリティ

ありがとうございます。 　地方公共団体の方も、非常に先進的な取組をされている方がいる一方で、全然やっぱり人がいなくてできないという方もいらっしゃると。その中で、やっぱり困っているのは、昔からある情報システムをどうやってセキュリティー対策したらいいんだろうみたいなことを考えられる人がいないというところで、やはり国の方でシステムをまた、何というんですかね、一からつくるというのはちょっと言い過ぎなんですけれども、うまくセキュリティーが回るようなシステムとして、その地方公共団体にシステムを提供するということをした方がいいと思うんです。 　というのは、地方公共団体は、もうシステム更新のお金がなくて、古いシステムを使って、それがサイバー攻撃を受けてやられちゃうみたいな、そういうパターンもあるので、できれば国側としては、そのセキュリティー対策やれよと言うだけではなくて、実際にそのシステムを国側でも提

御回答いただいた新たなシステムの関係については、今、標準化であるとか、それからガバメントクラウドの課題であるとか、国の政策に基づいて地方公共団体も前に進めようとしているところではあるんですけれども、これなかなかやっぱり進まないんですね、予算の面と人の面というところがあって。ただ、おっしゃっていただいたように、そのことが単に業務の効率化を図るという観点からだけではなくてセキュリティーという観点からも重要、必要なんだということで、必要な予算を投じるべきだということについてはしっかり参考にさせていただきたいと思います。ありがとうございました。 　引き続いて、酒井参考人に、これちょっと具体的なお話になって恐縮なんですけれども、この法律をよく読んでいくと、いわゆる対外、外国との関係でこれをどう理解すればいいのかなと、よく分からないところがあるんですね。 　一つ、在日米軍が使用する電子計算機に対す

御質問ありがとうございます。 　まず、その在日米軍のサーバー等が攻撃にさらされるという状況を考えた場合に、そのサーバーどこにあるのかということも問題になると思います。例えばそれが日本国内に置かれているということであれば、そこに至るアクセス、相手側からのですね、攻撃側からのアクセスというのは、これは当然日本の主権侵害行為に当たる可能性が出てくるということになるんだろうと思うんですね。そういう意味では、被害国という概念をリジッドに考えても、その場合には日本も含まれるということになるんだろうと思います。 　他方、例えばその米軍、在日米軍のサーバー等々が日本の領域外に所在するといった場合にでも、じゃ、日本に対して自衛隊に要請があって、それが何らかの措置を求めるということがあるかどうか、これはそのときになってみないとちょっと分からないんですけれども。今申し上げた限りでいうと、日本に直接確かに被害

ありがとうございました。 　難しいんですよね。考えれば考えるほどいろんなケースが想定をされて、そのケースごとに要請が阻却できるかどうかという判断が恐らく出てくるんではないかなと思うんです。その判断をその時々によって瞬時に行っていくということが本当に可能なんだろうかということが非常に疑問に思っていまして、そこも含めて、今後やっぱり審議の中でしっかりと追及をして政府の見解求めていきたいなというふうに改めて思いました。 　もう一点、外外通信の関係について、酒井参考人に続いてお尋ねをしたいと思います。 　今回の法案の中では、監理委員会の承認を受けて、海底ケーブルを通じて送受信される海外通信の情報のコピーというものを政府のサーバーに送信、保存することを可能とするというような中身になっている。 　この他国のサーバー等から情報をコピーをするという措置について、これは国際法上、何というんでしょうね

御質問ありがとうございます。 　そのコピーの対象となるものが何かによって評価が変わってくるように思います。もちろん、個人情報データというものがコピーされるということであれば、それは、どういう目的かにもよりますけれども、本法案で考えられていることであれば、やはりそれは域外執行措置、執行管轄権の適用ということで、相手方の考え方次第ではありますけれども、相手国にとっての主権侵害行為になり得るということだろうと思います。 　ただ、報告の中でも申し上げたとおり、サイバー空間を通じたそういった諜報活動だとか、あるいは部分的にその情報にアクセスするというようなことも、国によってはそれは執行管轄権の行使ではないのだというふうに理解をする国、イギリスなんかはそうだと思いますけれども、ありますので、そういった国との関係では、同じ措置であっても国際法上合法な行為だというふうにこちらは主張することができるとい