内閣委員会

先ほどの答弁にもあったんですけれども、捜査目的に使うことはない、通常想定されないということであって、そういう必要性が生じたときにはできないわけではないということだと思うんですね。 　ここが重要なポイントであって、あのときの状況を考えればそれは想定されていなかった、しかし、具体的にそうせざるを得ない状況が生じたので、これは重要電子計算機に対する不正な行為による被害の防止を図ることという目的の範囲に合致するので行いましたという答弁が可能になるのではないかという懸念があるわけですね。 　個人を特定することが条文上制限されていない場合に、その個人が誰とどのようなやり取りをしているかなどのメールの内容を日常的に把握することも条文上禁止されていない。 　先ほど、想定していないというふうな話ではありましたけれども、これは条文上禁止されていないということで、やるかどうかではなく、あくまで条文上できる

メールの内容については、機械的情報には該当しませんので直ちに消去されますから、御指摘のようなことはございません。

ただ、技術上は可能だということだとは思うんです。ＩＰアドレスからその個人を特定してその先に進むことも、手続を踏んでいけば可能な範囲に、この目的に合致するものであればできるのではないだろうかと。それはこの法文の中では禁止はされていないという、その法の隙間みたいなものはこの中に込められているのではないかという、私のこの今質問でございます。 　技術的に難しいとかプロバイダーが応じないとか、そういうことはあるのかもしれませんけれども、警察や公安調査庁が来て協力を要請されたら、なかなかやっぱりこれ断りづらいと思うんです。当面は通信の秘密を守らなければならないと抑制的に運用していくんだと思いますけれども、将来ずっとそうであるかというと、様々な疑念も生じまして、条文上であくまでも禁止されていないことは将来の可能性としてやるかもしれない。 　先ほど、小さく産んで大きく育てることはないとおっしゃいました

他目的利用の範囲については、第二十三条第四項第一号に基づき、個別に慎重に検討した上で、協定当事者からの具体的な明確な同意を得て、その同意の範囲内で実施することになっています。加えて、他目的利用をする場合であっても、その利用は、先ほど御指摘ありましたけど、第一条に基づき、法目的の範囲内に限定されています。これらのことは、衆議院の修正で定められた第二条の二の規定、衆議院で追加されたやつですね、通信の秘密に関するところでありますけれども、その規定により明確になっていると考えています。 　以上申し上げたとおりなので、他目的利用の範囲は、法案において既に個別かつ一律に限定されていると考えておりますので、修正は必要ないと考えております。

何度も申し上げますけれども、そのようには利用しない、その範囲内であるというふうに御答弁いただいて、後々、この法解釈に関して今の答弁がしっかり生きて、きちんとその目的の範囲内であるということが明確になればいいんですけれども、じゃ、その目的の範囲内というのは、もうこれも繰り返しになりますけど、この概念上の範囲を超えて、手段としては禁止をされていないというわけですから、拡大解釈をされて必要の範囲内で活用されてしまう、利用されてしまうということがあり得るのではないだろうかと思います。 　先ほどもお話にありましたけれども、通信の秘密についても、憲法第十二条及び第十三条の規定からして、公共の福祉の観点から必要やむを得ない限度において一定の制約に服すべき場合があるというような考え方の下に今回の法案も作られていると思うんですけれども、この公共の福祉の観点というのをどう考えるかというときに、先ほどの概念図

お答えいたします。 　令和五年七月四日に発生いたしました名古屋港におけるサイバー攻撃事案でございます。 　この日の早朝に、名古屋港の統一ターミナルシステムの作動が停止したことがシステムを運用する名古屋港運協会により確認されました。この時点においては、作動停止について、サイバー攻撃であるか否かも含め原因が判明しておりませんでした。その後、システム専用のプリンターから脅迫文書が印刷されたため、名古屋港運協会から愛知県警察本部に連絡した結果、ランサムウェアに感染した可能性があるとの見解が示されました。これらを踏まえて、翌七月五日に、名古屋港運協会より、システム障害の原因がランサムウェアへの感染であると判明したことなどが公表されております。 　本事案の発生により、名古屋港では約三日間にわたりコンテナの搬入、搬出作業が停止する事態となりました。 　以上でございます。

名古屋港運協会は当初は単なるシステム障害が発生したというふうに考えていたようですけれども、本法案が成立していたらもっと早い段階でサイバー攻撃を受けたと認識できたのかということ、また、政府や警察がサイバー攻撃を受けたと知るのも早くなって、政府としても対処できるようになっていたということでよろしいんでしょうか。

本法案の官民連携の強化、通信情報の利用、攻撃者のサーバー等へのアクセス・無害化、三つを取組の柱とする能動的サイバー防御を導入するものでありますが、これにより政府がインシデント報告や通信情報、協議会を通じて得られた情報などを整理、分析した上で、事業者への情報提供やアクセス・無害化などを活用することとしております。 　その上で、御質問の名古屋港の事案については、あくまで仮定の質問であるため明確にお答えすることは困難でありますが、例えば、今回の制度整備により得られた情報や分析結果により、悪用された機器の脆弱性や攻撃に用いられた攻撃者のＩＰアドレス等に関する注意喚起を行うことで、事業者の対策を促し、被害を未然に防ぐことや被害を最小化することに貢献できた可能性もあるものと考えております。

あくまで仮定の話ということで、どんなことが可能であったかという御答弁をいただいたとは思いますが、これ実際にコンテナターミナルにおける情報セキュリティ対策等検討委員会が、同年、二〇二三年の七月に行われていまして、今回の事案における主な問題点としてということで幾つか挙げております。一つは、保守作業に利用する外部接続部分のセキュリティー対策が見落とされていたこと、二つ目、サーバー機器及びネットワーク機器の脆弱性対策が不十分であったこと、三、バックアップの取得対象と保存期間が不十分であったこと、四、システム障害時の対応手順が未整備であったことなどが挙げられていて、結局、その感染経路も保守用のＶＰＮではないだろうかとは言われているんですが、確定的なことはまだ分かっていないということなんですよね、ほかの可能性も否定されていないということで。 　かつ、このＶＰＮ機器及び物理サーバーに関して数か月前から

一般論ですけれども、今のところは被害が発生をしてから所管省庁に報告をすることになっていますが、インシデントの時点で、例えばその侵入された痕跡があるとか、その時点で情報共有をされることになります。さらには、いろんな情報ソースから今回の法律が成立すると情報収集できますので、今こういった勢力がこういった国でこういうインフラを対象にしてこういった攻撃をしているといった情報も共有できることになりますし、また重要電子計算機を届出していただくことになるので、どこかでその重要電子計算機の脆弱性が明らかになったら、今までは各企業が囲い込んでいたわけですね、どういうサーバーを使っているかも情報共有ができていなかったので。で、我々の方で、その脆弱性のある重要電子計算機を持っているインフラ事業者に対して、蓋然性が高ければ、こういう脆弱性がありますからパッチを当ててください、ソフトウェアを変えてくださいと言うことも