内閣委員会

大臣、御説明ありがとうございました。しっかり今のお話も基幹事業インフラ、インフラ事業者も聞いていると思いますので、また私もそれはお伝えしていきたいと思います。 　この基幹インフラ事業者におけるサイバーセキュリティーの人材の育成と確保についてもお尋ねしていきたいと思います。 　特に中小企業においては、大企業に比べてよりサイバーセキュリティー人材の育成、確保が難しい状況にあります。経団連や日本商工会議所の意見にも、官民一体となってサイバーセキュリティー人材の育成、確保を推進する必要があるというふうに意見がされております。 　例えば、先行する国の好事例として、イギリスにおいては、サイバーセキュリティー人材の育成、確保に関して必要な国家予算を充当し、サイバースキルの階層に応じたトレーニングを無料で提供する例があると聞いております。我が国もそうした先行事例に学ぶべきことがあると思っております。

お答え申し上げます。 　サイバー攻撃の脅威が深刻化する中で、委員御指摘ありましたように、官民一体となってサイバーセキュリティー人材の育成や確保を進めること、これは非常に重要な課題であると認識しているところでございます。 　そこで、現在、政府におきましては、サイバーセキュリティー人材が担う役割や職種ごとに必要となる知識やスキルを体系的に整理、明確化することによりまして人材の可視化を図る、そういった枠組みの整備、これを検討しているところでございます。その上で、この枠組みを例えば研修プログラムの提供でありますとか求人などの場面におきまして官民が利用することによって、官民両者が連携して必要な人材育成・確保策を講じていけるような、そういう環境整備を行っていく予定としているところでございます。 　また、本年の十一月でございますが、若手人材向けの国際的なサイバー競技会でありますインターナショナル・

御回答ありがとうございました。 　ちょっと今の中で更に聞きたいのは、今の取組は理解できたんですけれども、その際に、先ほど私御紹介したイギリスは、政府のお金で、民間側はいわゆる無料でというふうにやっているというふうにお聞き及びしたんですけれども、今御説明していただいたものは、国が主導となってやっていこうとしているのか、あるいはまだそこら辺は制度設計がされていないのか、ちょっともう一つそこを教えてください。

お答え申し上げます。 　先ほど私、二点ほど御説明させていただきました。 　一点目は、いわゆる人材の可視化を図るような枠組みの整備でございます。これは今政府が、我々が主体となって検討しておりますけれども、一方で民間におきましても類似の取組というのを行われているところでございます。したがいまして、そういった取組を行っている民間団体とも協力をしながら制度整備を進めていく、今その検討をしている最中でございます。 　それから、サイバー競技会、国際的な競技会の件でございます。こちらは、先ほど申し上げました我々内閣サイバーセキュリティセンターと民間のコミュニティーとの共催という形で今準備を進めているところでございます。 　以上でございます。

理解できました。 　官民協議会に関して先ほど触れてもらったんですけど、電力について一つの例示としてお伺いしたいと思います。 　電力の情報共有・分析センター、電力ＩＳＡＣというのがございます。この中で何をやっているかというと、会員間で信頼と互助の精神に基づきサイバーセキュリティーに関する情報等を交換あるいは分析している、そういったセンターでございます。 　このＩＳＡＣの意見には、特定社会基盤事業者に指定されている四十六者のみならず、製造しているベンダーとか、セキュリティーベンダー、重要インフラに関連するステークホルダーも含めた官民協議会が望ましいという意見が出されているというふうに聞いております。 　この協議会に何者に、またどのように参加してもらうかということについてはこれまで私も質問していて、今後検討するということだったんですけれども。この中で、その情報を、政府の情報を伝えるという

お答えいたします。 　政府からの情報提供の在り方、これは受け手となる事業者の利便性や意向を強く反映する必要がございます。 　その意味で、有識者会議等において、御指摘ありました電力ＩＳＡＣさんとかにもお話を伺って検討を進めているわけでございますが、一方で、これ例えばサイバー攻撃は、大量の通信を送り付けてホームページの閲覧を不可能にするＤＤｏＳ攻撃とか、こういうものはすぐにサイバー攻撃だと分かります。一方で、長期間にわたり被害組織のシステムに潜伏し、検知されないようにしながら情報窃取を行う高度な攻撃など、すぐにはサイバー攻撃だか分からないというようなものまで様々あります。その場合によって対応は異なるわけでございます。 　例えば、停電が起きてすぐサイバー攻撃だと分かる場合もありますし、停電が起きて原因を究明していってやっとサイバー攻撃だと分かる場合もある。その場合によって行動が変わるわけで

とても、今の後半のところは、具体的にどういうふうなことを、事業者等の意見も聞きながら今検討をしていただけるということでしたので、よろしくお願いします。 　もう一つ、インシデント報告、その事業者側から来る報告についても意見を私も聞いております。 　このインシデント報告の義務化の対象について、事業者での円滑な対応が期待されるということで、行動計画に示される重要インフラサービス障害の報告に係る法令、ガイドラインなど、これ、既存にもこういったガイドラインがございます。既存の根拠法令等と今回この法律で行われる報告義務の対象とが整合を取っていただきたいというような意見を私も聞きました。 　この既存の根拠法令等における報告義務の対象と整合を取るということに、これに対する意見についてどのようにお答えになるか、教えてください。

お答えいたします。 　御指摘のとおり、有識者会議において、電力ＩＳＡＣさんからは、業法における報告義務等と整合を取るべきとの御意見をいただいております。 　具体的には、電気事業法では停電など電力の供給支障等が発生した場合に報告を求めているのに対して、本法案では事業者がサイバー攻撃の発生を認知した場合に報告を求めるという形になっています。 　このため、例えばサイバー攻撃により停電が発生した場合に両方の法律が適用される可能性があることから、電力ＩＳＡＣさんからは、サイバー攻撃に関する報告窓口の一元化や政府内での省庁間の密な連携などについて御要望をいただいておるというところでございまして、この新法における具体的な報告対象や方法、今後、専門家や事業者の皆様の御意見を聞きながら丁寧な制度設計を行っていく考えですが、その際、関係省庁と協力し、報告窓口の一元化等についても取り組んでまいります。

私も、窓口の一元化あるいは報告様式の統一化、できたら簡素化というのを聞いておりますので、いろいろ工夫をしてこれからもいただきたいと思います。 　ちょっと次に、サイバーセキュリティーを産業としてどう考えていくかということについてお尋ねしていきます。 　我が国のサイバーセキュリティーは、必要な技術や製品の多くを海外に依存しているというふうに言われております。民間企業がサイバーセキュリティーに熱心になれるかどうかは、サイバーセキュリティー自体がビジネスとして成り立つかどうかということも関係あると思っております。特にスタート時においては設備投資のリスクが高いですので、国などからの支援も必要だと思いますけれども、自立的に産業として成り立つことが設備投資と、あとは人への投資ということも拡大し、そして技術の進展にもつながるものと思っております。 　経産省に伺いますけれども、このサイバーセキュリティ

お答え申し上げます。 　日本のセキュリティー製品のユーザーは、利用実績があることなどを求める傾向が強いです。したがいまして、例えば米軍が使っているとかですね、そういったような形で外国製品が使われるケースが多い。したがって、国内で流通するセキュリティー製品は実績があるアメリカとかイスラエルとかそういった海外製が中心でありまして、国内の結構技術力があっていい製品開発しているスタートアップなんかの事業者にとっては、どうマーケットインするか、販路開拓、事業拡大、これが難しい課題であるというふうに認識をしています。我が国における様々な攻撃に対する対処能力を高める観点からも、これもうまさに委員御指摘のとおり、こうした状況を打破する必要があるだろうと。 　したがいまして、経済産業省では、国内で有望なセキュリティー製品やサービスが創出されるための検討を進め、必要な政策対応の考え方を三月に取りまとめたと