内閣委員会

お助け隊、広めていきます。広め隊になろうと思います。よろしくお願いします。皆さんも是非、お助け隊、地元に帰ったら、お助け隊、お助け隊と、よろしくお願いします。 　民間事業者からは、サイバー攻撃を受けた際、広報や政府への報告について、やはりこれはレピュテーションリスクが気になるという声もあります。政府にインシデント報告を行う際の内容には公表前の経営に関わる情報が含まれていることもあろうかと思いますし、例えば届出を求める基幹インフラ事業者のネットワーク構成というのも非常に機密性が高い情報ではないかと思います。 　民間事業者に安心して情報提供を行っていただくためにも、政府としても情報管理が厳格に行われていくべきだと思いますが、お考えをお聞かせください。

お答えいたします。 　もう先生御指摘のとおりでございまして、まず、この法案では、基幹インフラ事業者に対しまして、一定の電子計算機を導入した場合の届出、サイバーセキュリティーインシデントが発生した場合の報告を義務付けておるわけでございますが、加えまして、協議会の構成員に対しまして資料の提出など必要な協力を求めることができることとしているところでございまして、これらの中には、事業者にとって機微な情報、これが含まれることもあり得るということは十分承知をしております。 　その上で、この本法案においては、政府が取得した情報に係る安全管理措置を講じなければならないということを明確化し、また、情報提供に際しては関係者の権利利益の保護に配慮しなければならないとして、さらに、関係業務に従事する職員等の守秘義務についても規定をしているということでございまして、守秘義務に違反した場合の罰則については、国家公

民間への様々な配慮や官の心得なども御答弁をいただいたところであります。官民連携の強化がなくしてはなし得ないことだと思いますので、しっかりやっていただきたいというふうに思います。 　次に、各論に入らせていただきたいと思います。 　第四条で規定しております特定重要電子計算機の届出について、具体的にどのような機器の届出を求めることになるのか、お聞かせください。

お答えいたします。 　第四条で規定されている特定重要電子計算機の届出、これ法律では特別社会基盤事業者に対する届出なんですが、これまあ要は基幹インフラ事業者のことですが、基幹インフラ事業者に対して届出を求める特定重要電子計算機の具体的な範囲でございます。 　例えば、よく言われるファイアウォールであったりとかＶＰＮ装置と言われる、要するに事業者の内部システムと外部のインターネットの接点となるような機器、これを届出いただくと。また、認証サーバーとよく言われますが、システム管理において重大な役割を果たしている機器、こういうものを想定しているということでございます。 　ただ、その上で、それぞれの具体的な範囲ですが、これ今後政令で規定していくことになると思いますが、業界ごとのシステムの特性、これをよく配慮した上で、事業者の皆様、また専門家の御意見賜りながら丁寧に制度設計をし、御相談しながら進めて

届出を求める対象の設備は、事業者が保有する特に重要な設備になると理解をしております。ネットワークの規模が大きい基幹インフラ事業者には相当の負担を求めることになると思います。 　経済安全保障推進法においては、国外から行われる行為によって我が国の基幹インフラの安定的なサービス提供が妨害されることを防ぐため、一定の重要設備の導入に当たって事前審査を求めてまいりました。本法案においては、届出を受けた特定重要電子計算機に関する情報について、政府としてどのように活用していくおつもりでしょうか。

お答えいたします。 　基幹インフラ事業者から届出をいただきました特定重要電子計算機の情報についてですが、これ、政府において整理、分析を行った上でですが、当該機器を供給したベンダーさん、また基幹インフラ事業者に対して、政府が把握した公表前、公表前の脆弱性情報を迅速に提供を行って守りを固めていただくといったようなことを考えていたり、また、ベンダーに対しまして、脆弱性が悪用されたかどうかの確認方法など必要な情報提供を要請する、こういったことに活用してまいりたいと考えております。 　これらの取組によりまして、政府として、基幹インフラ事業者のサイバーセキュリティー確保に万全を期してまいりたいというふうに考えておるということでございます。

基幹インフラ事業者の中にも、自社が保有する資産を網羅的に把握するのはとても大変だという企業は少なくないというふうに聞いています。このようなときに、中小規模の事業者による特定重要電子計算機の届出については政府としてどのように対応するおつもりでしょうか。

本法案では、基幹インフラ事業者に対し特定重要電子計算機の届出を義務付けるところ、委員御指摘のとおり、中小規模の事業者を始め、事業者にとって過度な負担とならないように制度運用が重要だと考えております。このため、その具体的な運用方法を規定する政令や主務省令を定めるに当たっては、事業者や専門家の皆さんの御意見を丁寧に伺いながら、業界ごと、企業規模ごとのシステム特性などを考慮しつつ、検討を進めてまいります。 　また、実際の資産届出に当たっては、事業者からの届出が円滑に行われるよう政府から助言を行うなど、特に中小規模の事業者に配慮した形で行ってまいりたいと考えております。

協議会での情報には、機微なものや我が国の情報収集能力を知ることのできるものが含まれている可能性もあります。この点、現行のサイバーセキュリティ協議会においても、機微度の高い情報をやり取りするカテゴリーには原則外資系法人は参加できないとされてきました。 　今般、国家を背景とする主体からの攻撃を想定して対策を講じていこうとする以上、こうした主体がサイバー空間のみで我が国を攻撃してくるのではなく、現実空間でのインテリジェンス活動も並行して行ってくることも想定しなければなりません。こうした観点からは、機微情報の窃取を目的に協議会に入ろうとする者を排除する仕組みを構築することも重要ではないかと思いますが、どのように取り組まれるでしょうか。

本法案では、内閣総理大臣が整理、分析したサイバー攻撃による被害を防止するための情報を共有すること等により、構成員における被害を防止をすることを目的として、情報共有及び対策に関する協議会を設置することとしております。 　本協議会では、構成員における被害の防止を図るため、政府からサイバーの専門家が求める技術情報や経営者の判断に必要な攻撃目的等に関する情報を積極的に提供していくことを想定しており、こうした情報の中には、攻撃者の詳細な活動状況やインフラ設備の具体的な脆弱性など、秘匿性の高い情報も含まれることが想定をされています。 　このため、今委員御指摘のケースも含めて、協議会の設置目的に照らして構成員を検討することとしており、本法律案においては、内閣総理大臣が必要と認めるときに限り、事業者をその同意を得て協議会に加入させることができることとした上で、協議会構成員に対しては一定の情報管理や守秘