安全保障委員会

○重徳委員　立憲民主党の重徳和彦です。 　本日は、能動的サイバー防御について質問させていただきます。 　二〇二二年末に、政府は国家安全保障戦略を策定されました。時同じくして立憲民主党も、十二月二十日に外交・安全保障戦略の方向性という文書を発表いたしました。その中で、サイバー安全保障基本法のような包括的な立法を早急に検討すべきであるということを申し上げておりますが、いまだ政府からは肝腎なその法案が出てきていないという状況にあります。論点もたくさんありますので、この安全保障委員会の場で論じてみたいと思います。 　サイバー攻撃は、従来の火力による攻撃と異なる点も多いんですけれども、まず初めに、法律への当てはめを確認したいと思います。 　サイバー攻撃が武力攻撃事態と判断されるのは、どのような条件、どのような時点で誰が判断するのか、事態認定されたらどんな対処ができるのか、お答えください。

○萬浪政府参考人　お答え申し上げます。 　まず、どのようなサイバー攻撃であれば武力攻撃に当たるかにつきましては、個別の状況に応じて判断すべきものであると考えておりますが、一般論として申し上げれば、サイバー攻撃のみであっても、例えば、物理的手段による攻撃と同様の極めて深刻な被害が発生し、これが相手方により組織的、計画的に行われている場合には武力攻撃に当たり得ると考えます。 　また、次に、時点の件でございますけれども、武力攻撃の発生の時点につきましては、従来より、現実に被害を受けた時点ではなく、他国が武力攻撃に着手した時点であると解しており、かかる考え方は、相手方によるサイバー攻撃が武力攻撃に当たる場合についても同様であると考えております。 　さらに、その上で、手続の件でございますけれども、一般に、武力攻撃事態に至ったときには、政府は、事態対処法等に基づき、事態の経緯、その認定、当該認定

○重徳委員　ありがとうございます。 　個別に判断は当然のことですが、その攻撃が組織的、計画的であるかどうかなどを判断するということであります。いわば、従来型の火力による攻撃であろうとサイバー攻撃であろうと、類似する部分は当然たくさんあって、対処できることも、物理的な反撃を含めて、武力攻撃事態と認定されれば物理的な反撃も可能であると。 　ここまでは、ある意味当然のことだと思うんですが、問題は、サイバー攻撃が武力攻撃事態に至らない場合だと思うんですね。物理的な反撃は当然できないという段階であります。それでも、放置するとサイバー攻撃による被害が拡大するおそれがある場合もあるということで、その被害拡大を防止するために能動的サイバー防御を導入するということを、これは政府が言っているわけであります。 　ちょっと具体的に、アメリカの有名なサイバー事案を挙げてみたいと思います。二〇二一年五月、アメリ

○木原国務大臣　いろいろな施設へのサイバー攻撃があるかと思いますが、それが武力攻撃に当たるかについては、いろいろな要素をやはり勘案しなきゃいけないというふうに思っております。例えば、その時点の国際情勢であったり、また、相手方が意図を明示しているかどうかとか、あるいは、その攻撃の手段であったり態様、個別の状況に応じてこれは判断すべきものと思います。 　ですので、一般論として申し上げると、サイバー攻撃のみであっても、物理的手段による攻撃と同様の極めて深刻な被害が発生して、これが相手方により組織的、計画的に行われている場合には武力攻撃に当たり得るというふうに思います。 　コロニアル・パイプラインのケースが同様に日本であった場合にというのは、なかなかそれは当てはめとして難しい状況でありますが、米国の国防省の資料を委員は御存じかと思いますけれども、物理的手段により実行された場合に国連憲章第二条第

○重徳委員　参考になるということでありますが、明言はされませんでしたけれども、基本的に、このコロニアル・パイプラインが武力攻撃事態だとはちょっと考えにくいのかなという趣旨の御答弁だと一応理解をしたいと思います。それは一つの海外での事例なので、当てはめる必要も別にないのかもしれませんが、ちょっと参考の事例として挙げさせていただきました。 　このときに、武力攻撃事態に該当しないとなると、やはり能動的サイバー防御を仕掛けたいということであります。でも、一番の恐らく問題は、攻撃者を特定するのが大変だということだと思います。アトリビューションというんですけれども、攻撃者の特定であります。 　そこで、今日お配りの政府の国家安全保障戦略二〇二二の、太文字にしております、アンダーラインを引いてあります（イ）というところに、「国内の通信事業者が役務提供する通信に係る情報を活用し、攻撃者による悪用が疑われ

○木村政府参考人　憲法二十一条第二項に規定いたします通信の秘密でございますけれども、いわゆる自由権的、自然権的権利に属するものでありますから、最大限に尊重されなければならないものであるということでございます。 　その上で、通信の秘密につきましても、憲法第十二条、第十三条の規定からして、公共の福祉の観点から必要やむを得ない限度において一定の制約に服すべき場合があると考えられております。

○重徳委員　ありがとうございます。 　今、法制局の方から御答弁いただいたように、通信の秘密についても一定の制約に服すべき場合があるということでございます。 　そこで、政府に質問なんですけれども、サイバー上の攻撃者の特定は、通信の秘密との関係で、一定の制約に服すべき場合に当たり得るのではないかと思うんですけれども、いかがでしょうか。

○木村政府参考人　通信の秘密でございますけれども、公共の福祉のために必要やむを得ない限度において一定の制約に服すべき場合があるということはもちろん言えるわけでございますけれども、重要な人権でございまして、これを制約することにつきましては、具体的なその制度設計に当たりまして、その目的あるいは必要性、合理性等について十分慎重に検討すべきものであると考えられます。 　いずれにいたしましても、御指摘の攻撃者の特定と公共の福祉の関係を含めまして、制度設計の中で議論していくべきものであると考えておりまして、現時点では当局に具体的な法案等が示されているわけではございませんので、これ以上のお答えは困難であるということで御認識いただければと思います。

○重徳委員　今検討中で、まさになかなか出てこないなという状況にあるわけですから、検討されているところだと思いますが、要するに、現状、日本には、攻撃者の特定、アトリビューションのための法制がないということであります。 　一方で、アメリカの先ほど御紹介したコロニアル・パイプラインのケースでは、これは具体的に犯行グループを突き止めているわけですから、これは攻撃者の特定を恐らくサイバー上も行っているのであろうということからすると、能動的サイバー防御といった法的根拠があるんだろうと思います。 　そして、まあ、それはアメリカの法律ですから、それはおいておいて、ただ、共通するものとしては国際法がありますよね。国際法上、アメリカのアトリビューションのための、今回、このコロニアル・パイプラインのケースで行われた行為というものがどのように評価されているのか。武力攻撃事態に至らない時点でありますので、国際法

○松尾政府参考人　お答え申し上げます。 　アクティブサイバーディフェンスについては、国際的に確立した定義というものはございません。その上で、サイバー行動の国際法上の評価については、個別具体的な状況に応じて判断されるため、一概にお答えすることは困難でございます。 　その上で、サイバー行動に適用される国際法について、一般論として申し上げれば、二〇二一年に公表したサイバー行動に適用される国際法に関する日本政府の基本的な立場でお示ししたとおり、我が国としては、国際違法行為に対し対抗措置を取ることは一定の条件の下で国際法上認められており、また、国連国際法委員会が作成した国家責任条文第二十五条に示された要件に合致する場合には緊急状態を援用することも国際法上認められていると考えております。