参議院

現行のサイバーセキュリティ協議会は、サイバーセキュリティ基本法に基づくものでございます。官民が相互に連携をし、サイバーセキュリティーの確保に資する情報を迅速に共有することにより、サイバー攻撃による被害の予防と拡大防止に一定の成果を上げてきたものと認識をしております。具体的には、例えば構成員となっているセキュリティーベンダーがサイバー攻撃に関する専門的な分析内容を持ち寄り、対応策等を整理した上で他のメンバーに共有等を行うなどしております。 　他方で、国家を背景とした高度なサイバー攻撃への懸念の拡大や社会全体におけるデジタルトランスフォーメーションの進展を踏まえると、政府が率先をして情報提供し、官民双方向での情報共有を更に強化、強力に推進する必要があると考えております。 　このような問題意識の下、サイバー対処能力強化法案における情報共有及び対策に関する協議会については、政府が新たな権限の下

好循環となるように我々もしっかり応援していきたいと思います。 　本法案の中では、基幹インフラ事業者に対して、インシデント報告や保有する電子計算機の登録など様々な義務を課しております。意味のある情報提供を行っていくためにもまず情報収集が必要になるのは理解しますが、一方で、事業者の負担が過度に重くならないようにも配慮する必要があるのではないでしょうか。 　基幹インフラ事業者に課される義務の内容とその目的についてお伺いをしたいと思います。

お答えいたします。 　基幹インフラ事業者でございますが、サイバー攻撃によりそのシステムに障害が発生した場合、国家及び国民の安全を損なう事態が生じるおそれがあるということでございまして、官民連携してサイバーセキュリティーの確保に取り組む必要性が特に高いということで、一定の電子計算機を導入した場合の届出であったりとか、サイバーセキュリティーインシデントが発生した場合等の報告を義務付けるということとさせていただいております。 　政府としては、これから、これらの情報を整理、分析をするとともに、サイバー攻撃による被害の防止に必要な情報を政府が事業者に提供するなど官民双方向での情報共有を促進することとしておるわけでございますが、まさに先生御指摘のとおりで、これらの取組の実効性あるものとするためには、業界ごとのシステム特性に配慮するなど、例えば設備産業であったら、例えば電力とかですね、設備産業であれ

また、これらの義務はいずれも基幹インフラ事業者を対象とするものですが、我が国全体のサイバーセキュリティー向上に向けては、そのサプライチェーンを構成する基幹インフラ事業者以外の事業者の対策も必要となると思います。特に中小企業については、サイバーセキュリティー対策に積極的な投資を行う体力がそもそもないといった方も多い。そういった中で、国としての支援をお考えだと思います。 　中小企業向けのサイバーセキュリティー対策について、どのようにお考えでしょうか。

我が国の経済の基盤となる中小企業のサイバーセキュリティー対策の強化は喫緊の課題であり、サプライチェーン全体の防護の観点からも重要であると認識をしています。 　サイバー対処能力強化法案においては、サイバー攻撃による被害の防止のために必要があると認めるときは、基幹インフラ事業者以外の事業者に対しても国が適切な情報提供を行うこととしているほか、情報共有、対策のための官民による協議会を設置することとしており、中小企業等を含めたサイバーセキュリティーの対策の強化を図ってまいります。 　また、中小企業の支援策といたしましては、私の所管ではありませんが、経済産業省においてサイバーセキュリティー対策の実施に役立つガイドラインの作成をしております。また、システムの異常の監視、緊急対応の支援などのサービスをまとめて提供するサイバーセキュリティお助け隊サービスの導入促進などの取組を行っています。 　このサ

お助け隊、広めていきます。広め隊になろうと思います。よろしくお願いします。皆さんも是非、お助け隊、地元に帰ったら、お助け隊、お助け隊と、よろしくお願いします。 　民間事業者からは、サイバー攻撃を受けた際、広報や政府への報告について、やはりこれはレピュテーションリスクが気になるという声もあります。政府にインシデント報告を行う際の内容には公表前の経営に関わる情報が含まれていることもあろうかと思いますし、例えば届出を求める基幹インフラ事業者のネットワーク構成というのも非常に機密性が高い情報ではないかと思います。 　民間事業者に安心して情報提供を行っていただくためにも、政府としても情報管理が厳格に行われていくべきだと思いますが、お考えをお聞かせください。

お答えいたします。 　もう先生御指摘のとおりでございまして、まず、この法案では、基幹インフラ事業者に対しまして、一定の電子計算機を導入した場合の届出、サイバーセキュリティーインシデントが発生した場合の報告を義務付けておるわけでございますが、加えまして、協議会の構成員に対しまして資料の提出など必要な協力を求めることができることとしているところでございまして、これらの中には、事業者にとって機微な情報、これが含まれることもあり得るということは十分承知をしております。 　その上で、この本法案においては、政府が取得した情報に係る安全管理措置を講じなければならないということを明確化し、また、情報提供に際しては関係者の権利利益の保護に配慮しなければならないとして、さらに、関係業務に従事する職員等の守秘義務についても規定をしているということでございまして、守秘義務に違反した場合の罰則については、国家公

民間への様々な配慮や官の心得なども御答弁をいただいたところであります。官民連携の強化がなくしてはなし得ないことだと思いますので、しっかりやっていただきたいというふうに思います。 　次に、各論に入らせていただきたいと思います。 　第四条で規定しております特定重要電子計算機の届出について、具体的にどのような機器の届出を求めることになるのか、お聞かせください。

お答えいたします。 　第四条で規定されている特定重要電子計算機の届出、これ法律では特別社会基盤事業者に対する届出なんですが、これまあ要は基幹インフラ事業者のことですが、基幹インフラ事業者に対して届出を求める特定重要電子計算機の具体的な範囲でございます。 　例えば、よく言われるファイアウォールであったりとかＶＰＮ装置と言われる、要するに事業者の内部システムと外部のインターネットの接点となるような機器、これを届出いただくと。また、認証サーバーとよく言われますが、システム管理において重大な役割を果たしている機器、こういうものを想定しているということでございます。 　ただ、その上で、それぞれの具体的な範囲ですが、これ今後政令で規定していくことになると思いますが、業界ごとのシステムの特性、これをよく配慮した上で、事業者の皆様、また専門家の御意見賜りながら丁寧に制度設計をし、御相談しながら進めて

届出を求める対象の設備は、事業者が保有する特に重要な設備になると理解をしております。ネットワークの規模が大きい基幹インフラ事業者には相当の負担を求めることになると思います。 　経済安全保障推進法においては、国外から行われる行為によって我が国の基幹インフラの安定的なサービス提供が妨害されることを防ぐため、一定の重要設備の導入に当たって事前審査を求めてまいりました。本法案においては、届出を受けた特定重要電子計算機に関する情報について、政府としてどのように活用していくおつもりでしょうか。