参議院

国民民主党・新緑風会の芳賀道也です。 　総務委員会の委員として質問をさせていただきます。 　四月二十四日の内閣委員会で同じ会派の竹詰議員も質問で触れておりましたが、ここ数年、自治体の運営する各種の施設がサイバー攻撃の被害に遭っています。二〇二一年十月には徳島県のつるぎ町立半田病院、二〇二二年十月には大阪市住吉区にある大阪急性期・総合医療センター、二〇二三年七月に名古屋港コンテナターミナル、二〇二四年十月には奈良県にある斑鳩町立図書館が、それぞれランサムウェアによるサイバー攻撃を受けました。 　衆議院での法案審議を通じて、法案二条で規定する重要電子計算機以外についても、関連法案のアクセス・無害化措置の対象としてサイバー攻撃を受けた民間コンピューターも含まれるということが確認されました。 　そこで、具体的な例を挙げて伺います。 　大阪府の大阪急性期・総合医療センターへのランサムウェア

アクセス・無害化措置を行うか否かについて、実際に発生したサイバー攻撃の個別具体的な状況に即して様々な情報を総合して要件該当性を含めた判断を行うべきものであることから、御指摘のような仮定に基づく質問にお答えすることは困難でありますが、その上で、あえて申し上げればでありますが、アクセス・無害化措置を実施する要件については、警職法の改正案の第六条の二第二項において、加害関係電気通信や加害関係電磁的記録を認めた場合であって、そのまま放置すれば人の生命、身体又は財産に対する重大な危害が発生するおそれがあるため緊急の必要があるときとされていることなどから、各種情報を総合考量しつつ、これらの要件を含む警職法改正案の規定を満たす場合には警察によるアクセス・無害化措置は可能です。 　また、自衛隊法改正案第八十一条の三に基づく通信防護措置の実施については、警職法の要件に加えて、一定の重要電子計算機に対する特

重大な影響が生じるおそれがあるときは可能だという答弁だと思いますが、では、それをどう判断するかというのが一つポイントになると思うんですが、例えば公立病院に接続している給食会社へのサイバー攻撃があった場合、その攻撃で単に給食会社で被害が終わるのか、それとも病院にまで被害が及んで重大な危害がもたらされる可能性があるのか、危険性があるのかについてはどのような基準で判断されるのでしょうか。例えば、給食会社へのランサムウェアの攻撃によって公立病院の給食システムのＩＰアドレスやＩＤ、パスワードが盗み取られたことが分かったら警察や自衛隊によるアクセス・無害化措置の発動が可能になると、こういう理解でよろしいんでしょうか。いかがでしょうか。

繰り返しになるんですが、アクセス・無害化措置を行うか否かについては、実際に発生したサイバー攻撃の個別具体的な状況に即して様々な情報を総合して要件該当性を踏まえて判断を行うべきものであります。なので、なかなかお答えは困難であります。 　その上で、これ用意された答弁がさっきと全く一緒なので読んでもしようがないと思いますので。これ、かなり難しい事案だと思います。その病院自体がいわゆる重要インフラだと、基幹インフラだと認定をされて、その根幹に関わる重要サーバーが攻撃をされていると、若しくは攻撃をされるリスクがあるといったときに、この法律は主にそういった重要インフラの基幹サーバー、いわゆる重要電子計算機を守ると。 　ただ、その周辺からの攻撃もありますし、この場合は給食事業者が踏み台になっているということだと思いますので、そうした攻撃のボットネットワーク全体を分析をして、どうもこの給食会社のサーバ

重大な被害が起こる前に防ぐというのは大事だと思いますので、こうしたこともしっかり検討、ルールを定めて防いでいただきたいと思います。 　さらに、アクセス・無害化措置に関連して伺います。 　徳島県のつるぎ町立半田病院がサイバー攻撃を受けた際の被害について、一部でこう報じられております。確かに、つるぎ町長の方針で、ランサムウェアで攻撃を仕掛けた犯罪集団に身の代金を払わず、新たなシステムを組み直すことで本格的な診療を再開しました。ただ、過去の電子カルテや検査結果のデータを復旧させるために、町立病院は修復する会社に七千万円を支払い、その中からサイバー攻撃を掛けた犯罪者集団に修復会社が三百万円の身の代金を払って秘密の鍵、秘密キーを受け取った可能性があると報じられております。この秘密キーを手に入れなければ、つるぎ町立半田病院の過去のカルテなどデータの修復は数学的に不可能だったと報じられています。

お答えを申し上げます。 　先ほど、まさにこのアクセス・無害化措置を実施する要件というのを大臣の方から御説明させていただきました。警職法六条の二第二項において、加害関係電気通信や加害関係電磁的記録を認めた場合であって、そのまま放置すれば人の生命、身体又は財産に対する重大な危害が発生するおそれがあるため緊急の必要があるときとされておりますという、こういう各種情報を総合考量しつつ、これら要件を含む警職法改正案の規定を満たす場合にはアクセス・無害化ができるということでございます。

より無害化ですから、これデータが復元できないと著しい影響があるとか、生命、財産に危害加えると、加わるということがあるわけですから、これ、無害化措置の一環としてこうした秘密キーを、まあ身の代金を払うというのは問題でしょうから、身の代金を払わないで交渉することも無害化の一環として認められるのかどうか。これ改めてできるかできないか、お伺いします。

今回の法律は、そういった通信情報を利用、分析をして、悪さをするサーバーを特定をして、それがたとえ外国にあったとしても、いわゆるアクセスして無害化するという法律であって、今委員の御指摘は、もう侵入されて暗号化されてしまったと、データが、それは回復するのはやっぱり厳しいと思います。それを政府が代わって交渉することはできません。 　専らその国家を背景とした今サイバー攻撃が増えていく中でこの法律の重要性が増しているわけでありますが、多分、ランサムウェアで暗号化して身の代金というのは、これもう犯罪の方になりますので、警察がしっかり捜査をして、そういう悪いやつを捕まえて、ちゃんと罪を償わせるということだろうと思います。

そうしたことも含めて具体的な対応が必要になるケースもあると思いますので、そうした検討もより深めていただきたいと思います。 　次に、地方公共団体の情報システム標準化について質問をさせていただきます。 　確かに、今年度末、つまり二〇二六年三月末までだった自治体の情報システム標準化の期限が、二〇三〇年度末、二〇三一年三月末までの延長が認められましたが、標準化の現場では幾つもの混乱が起きております。 　その一つが、標準化システムにシステム外のデータを移す際の仕様です。固定資産税は標準化二十業務の一つとされていますが、土地、家屋の固定資産税の評価業務システムは総務省の政省令によって標準化の対象外となっています。このため、自治体独自の方法で土地、家屋の固定資産税評価したデータを標準化準拠システムに橋渡しする方法も各自治体それぞれが別になります。地方自治体情報システム標準化の標準仕様書の機能要件を

お答え申し上げます。 　固定資産税は、課税対象となります土地、家屋の評価、課税標準額の計算、税額の計算、さらには賦課処理という流れで課税事務が行われるものでございます。 　このうち、委員御指摘の最初に行われる評価につきましては、市町村長が地域の実情に応じて様々な補正を設けて評価を行うことが認められております。このため、自治体間で事務処理の内容が共通しておらず、システム標準化の対象外となっているところでございます。 　一方で、固定資産税の課税標準額の計算などの業務につきましてはシステム標準化の対象でございまして、市町村長が行った評価に基づく土地評価情報や家屋評価情報といった必要なデータをこれらのシステムに受渡しするよう、機能要件において明確にしておるところでございます。 　委員御指摘の受渡しに関しましては、標準準拠システム以外のシステムと標準準拠システムとのデータ連携につきまして、デ