参議院

お答えいたします。 　基幹インフラ事業者から届出をいただきました特定重要電子計算機の情報についてですが、これ、政府において整理、分析を行った上でですが、当該機器を供給したベンダーさん、また基幹インフラ事業者に対して、政府が把握した公表前、公表前の脆弱性情報を迅速に提供を行って守りを固めていただくといったようなことを考えていたり、また、ベンダーに対しまして、脆弱性が悪用されたかどうかの確認方法など必要な情報提供を要請する、こういったことに活用してまいりたいと考えております。 　これらの取組によりまして、政府として、基幹インフラ事業者のサイバーセキュリティー確保に万全を期してまいりたいというふうに考えておるということでございます。

基幹インフラ事業者の中にも、自社が保有する資産を網羅的に把握するのはとても大変だという企業は少なくないというふうに聞いています。このようなときに、中小規模の事業者による特定重要電子計算機の届出については政府としてどのように対応するおつもりでしょうか。

本法案では、基幹インフラ事業者に対し特定重要電子計算機の届出を義務付けるところ、委員御指摘のとおり、中小規模の事業者を始め、事業者にとって過度な負担とならないように制度運用が重要だと考えております。このため、その具体的な運用方法を規定する政令や主務省令を定めるに当たっては、事業者や専門家の皆さんの御意見を丁寧に伺いながら、業界ごと、企業規模ごとのシステム特性などを考慮しつつ、検討を進めてまいります。 　また、実際の資産届出に当たっては、事業者からの届出が円滑に行われるよう政府から助言を行うなど、特に中小規模の事業者に配慮した形で行ってまいりたいと考えております。

協議会での情報には、機微なものや我が国の情報収集能力を知ることのできるものが含まれている可能性もあります。この点、現行のサイバーセキュリティ協議会においても、機微度の高い情報をやり取りするカテゴリーには原則外資系法人は参加できないとされてきました。 　今般、国家を背景とする主体からの攻撃を想定して対策を講じていこうとする以上、こうした主体がサイバー空間のみで我が国を攻撃してくるのではなく、現実空間でのインテリジェンス活動も並行して行ってくることも想定しなければなりません。こうした観点からは、機微情報の窃取を目的に協議会に入ろうとする者を排除する仕組みを構築することも重要ではないかと思いますが、どのように取り組まれるでしょうか。

本法案では、内閣総理大臣が整理、分析したサイバー攻撃による被害を防止するための情報を共有すること等により、構成員における被害を防止をすることを目的として、情報共有及び対策に関する協議会を設置することとしております。 　本協議会では、構成員における被害の防止を図るため、政府からサイバーの専門家が求める技術情報や経営者の判断に必要な攻撃目的等に関する情報を積極的に提供していくことを想定しており、こうした情報の中には、攻撃者の詳細な活動状況やインフラ設備の具体的な脆弱性など、秘匿性の高い情報も含まれることが想定をされています。 　このため、今委員御指摘のケースも含めて、協議会の設置目的に照らして構成員を検討することとしており、本法律案においては、内閣総理大臣が必要と認めるときに限り、事業者をその同意を得て協議会に加入させることができることとした上で、協議会構成員に対しては一定の情報管理や守秘

今後考えられていくんでしょうけど、守秘義務も、これだけ人材が流動化していく世の中でありますので、しっかりと配慮が必要なのではないかなと思います。退職後どこに行かれるか分からないということもあろうかと思いますので、様々配慮していただきながら決めていただきたいなと思います。 　次に、インシデント報告について伺います。 　第五条において、基幹インフラ事業者が特定侵害事象や特定侵害事象の原因となり得る事象を認知した場合に政府へ報告を行うことを義務付けています。特にサイバー攻撃は、例えば停電が発生した場合、通信障害が発生した場合というような、インシデントの発生が明白でないような例も多く存在するわけであります。政府として具体的にどのような事象が発生した場合に報告を求めるのか、お考えをお聞かせください。 　また、報告の対象をある程度明確にしておかないと、事業者が判断に迷ってしまうということもあろう

お答えいたします。 　本法案においては、特定重要電子計算機に係る特定侵害事象又は今御指摘がありました当該特定侵害事象の原因となり得る事象として主務省令で定めているものの発生を認知した場合にインシデント報告ということとなっております。 　このうち、特に特定侵害事象の原因となり得る事象でございますが、特定重要電子計算機に保管されているシステム管理者等のＩＤ、パスワードが窃取され、システム全体への広範な攻撃が可能になった、可能になったような段階、そういったことが判明した場合であったりとか、特定重要電子計算機において、マルウェア自身、自体は見付かっていない状態でもその実行された痕跡が残っていると、そういった場合、そういったことが判明した場合について報告を求めることを想定をしております。 　この報告対象が不明確な場合、事業者が判断に迷うというのは御指摘のとおりでございまして、先ほど大臣から、内

第六条において、インシデント報告等を怠ったと認める場合には、報告を行うことを罰則付きで命令することができるとしています。 　特定侵害事象の原因となり得る事象のような、いわゆるおそれに該当する内容について対象とするのは、事業者にとってはいろんな意見もあるんではないかと思いますが、そのかじ取りを、バランスが大事だと思いますが、どのように取り組んでいかれるでしょうか。

本法案においては、特定重要電子計算機に係る特定侵害事象又は当該特定侵害事象の原因となり得る事象として主務省令で定めるものの発生を認知した場合にはインシデント報告を行わなければならない旨を定めています。 　その上で、基幹インフラ事業者を標的とする高度な侵入、潜伏能力を伴うサイバー攻撃を防ぐためには、過去に国内外で発生した事案を踏まえると、特定侵害事象の原因となり得る事象として、先ほど答弁したように、事務方から答弁ありましたが、したような事象についても報告を求め、政府において整理、分析を行った上で必要な情報提供を行うことが必要であると考えております。 　いずれにいたしましても、報告対象が不明確な場合、事業者が判断に迷うことになることから、主務省令において報告対象の具体化に当たっては、専門家や事業者の意見を踏まえながら丁寧に制度設計を行ってまいります。 　この法律は、官民連携がしっかり機能

ありがとうございました。民間の声も聞きながら、実効性のある中身にしていただきたいというふうに思っています。 　ありがとうございました。