内閣委員会

これは実際に、委員の選定に関しては、基本的に副業もない方々ということであります。専任をしていただくということでもありますし、こうした皆さん方が二十四時間三百六十五日待機するというのは非常に大変なことだと思います。労苦を伴います。 　したがって、これは相当な工夫が要ると思います。オンラインも含めて適切な対応を取るというお話でありましたが、ここは迅速かつ万全な対応が取れるように、この組織体制というものも十分に努めていただく必要があると申し上げておきたいと思います。 　こうした状況で、私は、二十六日に質疑をさせていただいたときに平大臣に質問をした。それは、様々な状況が起きる、アクセス・無害化措置も含めて、それが、国会への報告が年次報告のような形ということになりはしないかということで、都度都度対応はできないのかということをお尋ねしました。これに対して、平大臣の御答弁は、このような御答弁でした。

警察及び自衛隊がアクセス・無害化措置を行うことができるのは、加害関係電気通信又は加害関係電磁的記録を認めた場合であって、そのまま放置をすれば人の生命、身体又は財産に対する重大な危害が発生するおそれがあるため緊急の必要があるときであり、措置を取る際には、原則、あらかじめサイバー通信情報監理委員会の承認を得ることとなります。 　当該承認の求めに当たっては、例えば、特定の事業者に対するサイバー攻撃に悪用されており、具体的な危害を生じさせる懸念があるためアクセス・無害化措置を行う必要のある特定の攻撃サーバー等、特定の攻撃サーバー等を示した上で承認を求めることを想定をしています。なお、委員会に示すこの対処すべき攻撃サーバー等については、一回の承認の求めであっても、必要があれば複数のサーバー等になる場合もあり得るというふうに考えております。 　都度都度が難しいと申し上げたのは、日本国政府の対処能力

ということは、今のお話だと、最後におっしゃった、つまり、攻撃サーバーの特定を行う、図る、そして個別の承認を行っていく。連続的に当然発生する可能性はあるんですが、しかし、ここはあくまでもサーバーの特定を行うことが第一義だ、こういう理解でよろしいですか。

そういう理解で結構です。 　例えば、ボルト・タイフーンみたいな著名な攻撃者がいて、それに対する防御をまるっと承認してくださいというのはないです。そういう攻撃者がやってくる攻撃、ＡパターンとかＢパターンごとに攻撃の仕方が違って、それの対応の仕方も違いますので、その攻撃パターンごとにサーバーを特定をして、それに対して承認を取る。ただ、サーバーは複数ある可能性もありますので、一つとは限らない、そういうことであります。

ありがとうございます。 　これは極めて重要でして、この承認の単位というものがどういうものかによって、この委員会の審査の精度といいますか、いわゆる対処能力というものも含めて重要なポイントになるんですね。 　私も懸念していたのは、これが包括的に、あるいは網羅的に承認というようなことになってしまうと、長い戦い、継続的というところで承認となってしまうと、これは本当に形骸化してしまいかねないんですね。 　今、大臣は明確に、サーバーの特定ということと、もちろん、ボットのような攻撃の場合は複数のサーバーということはあり得るけれども、個別の事案として申請並びに承認ということを行っていくという答弁をいただきましたので、これは実務上極めて重要な御答弁をいただけたというふうに思います。都度対応ということも個別の対応ということで理解をいたしました。ありがとうございます。 　その上で、また、さらには、委員会

お答え申し上げます。 　本法律案第六十四条第二項では、検査等の実施に当たり、委員会が資料の提出又は説明を求めたときは、通信情報保有機関は、原則としてこれに応じなければならない旨を規定をしています。また、第六十五条では、通信情報保有機関が検査に対し協力する義務を定めています。 　その上で、例えば、通信情報保有機関が検査を忌避している場合には、前条の第六十四条第二項及び第六十五条に違反していると委員会が認めて、第六十六条の規定により、委員会から通信情報保有機関に違反の通知がされると通常考えられ、通知を受けた通信情報保有機関には是正等の措置を講ずる義務が生じることとなります。 　委員会の立入りによる通信情報保有機関の情報システムの確認については、本法律案第六十四条第一項において、検査等のために委員会が実地調査をすることができる旨を規定しております。通信情報保有機関には検査に協力する義務があ

忌避もできなければ、またそのような行動をすれば是正措置がなされるということであり、かつ、立入り、実地調査、その場合も、システムの開示並びにこれに対する使用の許可も与えるということである。つまり、検査に行くのは指定職員等々だと思うんですが、立入り、実地、委員の場合もあるかもしれませんが、当然、データ含めた様々な情報を見るわけです。単に紙の書類を見るということではないかと思います。その意味で、パソコンを含めた様々な端末を動かすことができるということであるということを今確認をさせていただきました。 　これも極めて重要です。どのような、データを含めて、それを管理し、監視しているのか、これを専門家が見ること、実際に確認すること、極めて重要だと思いますので、そこに関しての大臣からの御答弁で確認ができました。 　この実地調査については、同僚議員始め様々な議員の皆さんも質問をされておられます。ここも確

お答えいたします。 　御指摘の三月二十一日の質疑におきましては、当事者協定で取得する通信情報に内内通信が含まれ得ることを踏まえつつ、内内通信の分析をしていないことを実地調査で確認する方法として、資料等によって確認することを一つの方法としてお答えしたものでございます。 　この場合、内内通信の通信情報は自動選別で取り除くことになりますので、確認する資料等といたしましては、例えば自動選別に用いたＩＰアドレスに関する記録が考えられますが、この記録につきましては、文書であることもあると思いますし、電磁的記録であることもございます。ですので、システムに記録されているものというものも含まれるということでございます。

これも、実際に電磁的な記録も確認をしていただくということで、ここは重要だと思っておりました。資料というものが紙ベースだけではない、実際に監視している状況の確認が実地調査の中で行われる。資料等というのは、今参考人がおっしゃった電磁的な記録も含むということでありました。これも確認をさせていただきました。 　また、これは別の日ですが、十九日、これは自民党の尾崎議員の質疑の中で答弁としてあったものでありますが、尾崎議員の質疑で、継続的な検査を実施ということで答弁をされているんですね。これは平大臣の御答弁ですが、継続的な検査については、必ずしも膨大なデータをずっと処理するという必要があるものではありません、このように述べられております。 　さて、この継続的検査というのはどのように行われることを想定されているんでしょうか。これは、小柳さん。

お答えいたします。 　検査の具体的な方法でありますけれども、検査の有効性と効率性の観点を踏まえながら委員会によって判断されるものと考えておりますが、例えば、通信情報保有機関が委員会に行う各通知の内容でありますとか状況を確認して、必要に応じて更に資料の提出を求めるといった方法、それから、定期的に通信情報保有機関で作成されている記録や資料の提出を求める方法、あるいは、必要な場合に実地検査で通信情報の取扱状況を確認したり、又は通信情報保有機関の職員に説明を求めるといった方法などが考えられるところでございまして、また、これらの方法を組み合わせるといったことも考えられるところでございます。