参議院

ありがとうございました。 　やっぱり、国際的な共通ルールというものがまだ未確立だというようなことで、おっしゃったように、相手方がどう捉えるかというところで変わってくるということだと思うんですね。だから、やっぱり早急な国際的な共通ルールが必要だというふうに思いますけれども、その共通ルールが確立する前の今の段階でのこの法律が危険性をはらむといいますか、いうものであるというようなことについては、改めてお話を聞いても、やっぱりちょっと危ないところあるなというふうに思ったところでございます。 　今日は参考になりました。ありがとうございました。 　質問を終わります。

公明党の竹谷とし子でございます。 　四人の先生方、大変参考になるお話をありがとうございます。 　まず、持永参考人に幾つかお伺いしたいと思います。 　今日のお話の中でもありましたけれども、横断的な情報収集、分析と円滑な対処という観点で、事前にいただいた先生の書物等も学ばせていただいた中で、やはり我が国のこの体制というのが例えばアメリカと比較した場合に非常に規模が小さいという、そういう御指摘がございました。例えば、二〇一八年時点のＮＩＳＣが他省庁や民間企業からの出向者を含め百九十一名体制であった、米国の類似組織と比較すると、国家サイバー長官室の最大七十五名、サイバーセキュリティー社会基盤安全保障庁の二〇二三年時点での三千百六十一名と比べて大幅に小規模であるという、そういう御指摘をいただいております。 　規模だけではなくて、もちろん中の機能というものが一番重要ではあると思いますけれども、

ありがとうございます。 　私の意見として、日本がアメリカと同等の規模を持つべきかと言われれば、それは私は違うというのが意見です。というのは、アメリカとは、例えば、ＧＤＰの規模でいっても違うし、持っているもの、土地の広さであったりとか範囲も違う、見ている範囲も違うわけなので、全く同じものでは、レベルではないとはいえど、今の状況からすれば、少なくとももう少し拡大する必要があるだろうと。 　よく私がやるのは、その組織的な分析というときに、そのカウンターパートはどこの組織なんだろうというふうに見ていくんですけれども、今、例えば、内閣サイバーセキュリティセンターのカウンターパートであるような米国のサイバーセキュリティー・インフラストラクチャー・セキュリティー・エージェンシーというところは数千人規模でいると。中身を見てみると、機能的に見ると、ほぼほぼ同じ、重要インフラを守りましょうであったりとか、

ありがとうございます。 　本当に、法律を作ったとしても、やはりそれを運用できるような人材がいなければ、絵に描いた餅といいますか、全く意味をなさないということになってしまいますので、先生の最後の科学技術・人材への投資というところが、山谷先生からも言及ありましたけれども、大変重要な部分ではないかというふうに思っております。 　プロパーから育てていくということも必要だというふうに思います。先生今おっしゃったように、研究者というか、その技術を持った人ということでありますので、必要な知識やまた経験をプロパーで入っていただいて身に付けていくという場合に、誰かに習わなければいけないというふうに思います。そうしたときに、やはり先行する他国なのか、あるいは先行する民間企業でも、私もサイバーセキュリティーの専門の人材がいらっしゃるそういう会社に視察もさせていただいたことがあるんですけれども、その民間企業の

ありがとうございます。 　まさにおっしゃるとおりで、誰からそういったスキルを学ぶのかというのが非常に重要だと思います。現状では、思い切ったことをやろうとすると不正アクセス禁止法に抵触するので、余り思い切ったことは誰もできないというのが日本の現状ではあります。ただ、そうではあっても、やはり守る側の立場の技術を高めようとするのは、非常に技術的なコミュニティーの方もいらっしゃいますし、政府の方でも幾つか取組をされているので、そういったところで技術を養成することはもちろん今可能ではあると思います。 　今回の例えばアクセス・無害化みたいなのに関わるような技術は誰から教えてもらったらいいですかといったところで、多分そういうことができるのは国内でも結構限られた人であるというふうには認識をしています。特に、私は、アクセス・無害化は、非常に技術的にどうその権利保護であったりとかそういったことを認識しなが

先生をもってしてもやはり難しいことだということなので、これよくしっかり考えていかなければいけないことなんだなというのをよく今も認識をさせていただきました。大変重要な御意見であったというふうに思います。ありがとうございます。 　それから、幾つも重要なことを御指摘をいただいたんですけれども、やはりサイバーの世界は国境がないので、国際連携を想定した運用にするべきだということ、本当におっしゃるとおりだというふうに思います。また、今のお話とも関係しますけれども、やはり官だけではなくて民も連携をするということが大変重要だというふうに思います。 　先生のお話の中でも、この情報共有ということについて民間をよく活用していった方がいいということで、重要インフラ事業者とＮＩＳＣ間での共有件数を先生の書籍でも、書物でも三桁単位ぐらいの数であるというのに対して、ＪＰＣＥＲＴ／ＣＣが受け付けたインシデント報告、調

ありがとうございます。 　情報共有の阻害要因としてよく民間事業者の方から伺っていた話は、やはりその監督官庁に自分のところでサイバーセキュリティーインシデントが起きましたと報告するのをすごい嫌がるというのは、それは後で行政指導につながるかもしれないということもあるので、非常に慎重にならざるを得ないと。一方で、そのＪＰＣＥＲＴコーディネーションセンターに報告しても別にそういった罰則があるわけでもないしというところで、むしろどうやって対処すればいいかとすぐ教えてくれるというのでその件数になっているわけなんです。 　なので、もし今後、政府の方で情報を例えばインシデント報告しなさいよみたいな義務をつくるときには、あくまでその報告だけであって、そういった罰則につながるようなことではないので、むしろ報告することがインセンティブになるというような制度づくりが今後必要だと思います。

とても的確な御指摘をいただいたというふうに思います。ありがとうございます。 　先生にもう一点だけ伺いたいんですけれども、今日いただいた資料の一ページ目のところにありましたけれども、サイバー攻撃の洗練化と防御の限界というところの限界のところに関係するんだと思うんですけれども、現状の対処にはコストと網羅性の限界がありますというお話がありました。防御側が全方位の守りを固めることは高コストであり、網羅的かつ完璧な対策は難しいというのが本当にそうだというふうに思っておりまして、特に重要インフラにつながっている中小企業の対策というのが、大手の企業に比べるとやはりコスト的な問題、また人材的な問題もあって非常に脆弱であるということを指摘を受けております。 　こちらでも、悪用されているコンピューターの修復を管理者の自主的な行動に委ねている点ということで具体的に御指摘もいただいておりますけれども、この中小

ありがとうございます。 　中小企業対策は、先ほどもちょっと申し上げたんですけれども、非常に発注元と発注を受ける側としての関係性は非常に強くて、発注元から追加でセキュリティー対策をしてくださいねといったときに、やはりその追加料金なしでセキュリティー対策してくださいということが多いと。というのは、元々のその下見積りの段階で得られるのは成果品に対してのみ見積りをしているので、そういった追加対策をすることの費用が含まれていないということで、発注元に対して例えばセキュリティー対策の費用を上乗せするような制度をつくったりとか、そういったことを契約条項に盛り込むようにしたりとかというのが、国が直接支援、お金をあげて支援するよりもずっと効果的であると。というのは、委託元から、委託元の管理責任としてその下請の人が例えば責任を負うようなことにもなりかねないので、できるだけその対策を求めるのであれば、それに追

大変にありがとうございます。参考になりました。 　続いて、上沼先生にお伺いしたいというふうに思います。 　事前また事後的、事前の規制及び事後的是正手段ということで、今日御説明、配付いただきました資料の十一ページ、十二ページ、十三ページにあるところでございますけれども、この独立機関による監視、これが事前、事後で非常に重要なものだというふうに考えておりますけれども、こちら、どのような機能、また規模感とかですね、もし先生のイメージがあれば御参考までにお伺いできればというふうに思います。 　また、この独立機関、実施、運用する機関にも人材は必要だと思うんですけれども、独立機関でもやはりそれ相応の人材が必要だというふうに思います。また、規模感といったときに、どういう仕組みをつくるかによってどれぐらいの規模感になるかというのも変わってくるというふうに思います。できるだけ効率化していくための仕組みと