内閣官房内閣審議官

お答えいたします。 　もう先生御指摘のとおりでございまして、行政機関が自らサイバーセキュリティーの確保についてふだんからきちんと確認をして是正していくことは重要でございます。 　国家安全保障戦略においても、最新のサイバー脅威に常に対応できるようにすると、そのために、政府機関のシステムを常時評価して、政府機関の脅威対策やシステムの脆弱性等を随時是正するための仕組みを構築するというふうに書かれているところでございます。これに関して、今回の法改正によって、サイバーセキュリティーの確保の状況の評価、これが戦略本部の新たな事務として追加されることになっております。 　これまで、各政府機関の情報システムに対して生じた脅威等については、内閣サイバーセキュリティセンターが各省庁に対して自主的な対応を求めるということを行ってまいったわけでございますが、今回の改正によって、こうした取組が戦略本部長である

お答えいたします。 　アクセス・無害化措置の内容としては、例えば、攻撃者が利用しているサーバー等に対し遠隔からログインを行い、当該サーバー等にインストールされているプログラム等を確認した上で、当該サーバー等が攻撃に用いられないよう、インストールされている攻撃のためのプログラムの停止や削除、攻撃者が当該サーバー等へアクセスできないような設定の変更等の措置を行うことを想定しています。 　これら以外についても、委員から今御指摘のあった手法も含めまして、危害防止を図るために通常必要と認められる程度において措置を行うことはあり得ますが、いずれにしても、アクセス・無害化の具体的手法につきましては個別具体の状況に応じて適切に判断していくということになるというところでございます。

お答えいたします。 　本法案において、基幹インフラ事業者が使用する電子計算機のうち、そのサイバーセキュリティーが害される場合において、特定重要設備の機能が停止し、又は低下するおそれがあるもの、これを特定重要電子計算機と定義をしておるわけでございます。 　その上で、この特定重要電子計算機の具体的な範囲でございますが、例えば、ファイアウォールやＶＰＮ装置などといった特別社会基盤事業者の内部システムと外部システム、外部のインターネットとの接点となるような機器であったりとか、認証サーバーといったシステムの管理において重大な役割を果たしている機器等を想定しております。今後、業界ごとのシステム特性などを考慮しつつ、事業者、専門家の御意見聞きながら具体的な対象範囲を検討していきたいと考えております。 　また、届出を求める内容でございますが、今後、主務省令で定めていくこととしておりますが、先ほど御指

お答えいたします。 　御指摘の協議会でございます。構成員における被害の防止を図るため、政府からは、サイバーの専門家が求める技術情報や経営者の判断に必要な攻撃目的等に関する情報を積極的に提供していくということを想定しておりまして、こうした情報の中には攻撃者の詳細な活動状況やインフラ設備の具体的な脆弱性といった秘匿性の高い情報も含まれ得ることが想定されるというものでございます。こうした秘匿性の高い情報も共有できるように、協議会構成員に対しては一定の情報管理や守秘義務を義務付けるということにしております。 　さらに加えて、一定の機微な情報についても適切な情報管理の下で事業者が取り扱えるようにするために、セキュリティークリアランス制度の活用についても必要な検討をしていくということでございます。

お答えいたします。 　協議会の構成員に関しましては、基幹インフラ十五業種に該当する事業者や、これら事業者との取引がある事業者、すなわち先生御指摘のとおりでございますが、それに加えまして、基幹インフラ事業者には該当しないインフラ事業者であったりとか、システムやソフトウェアの提供やセキュリティー対策を行うベンダー、さらには機微技術を保有する事業者などにも必要に応じて参加していただくということを想定しております。

お答えいたします。 　協議会の運営でございます。現在、様々、専門家の皆様、関係業界の皆様と御相談しながら制度設計進めているところですので、一概に申し上げられるわけではありませんが、共有する情報の内容や目的、参加人数、これは適切に設定しないと効率的な会議にならないのではないかというのは、まさに問題意識持って今検討を進めているところでございます。 　具体的に、会議形式であれば、こういったこのサイバーセキュリティーの分野は通常、参集型とオンライン型をうまく使い分けながら効率的にやるという会議が多いと思います。そういうこともしっかり考えつつ、また、情報共有システムをうまく活用しようなんというのも普通の動きだと思いますので、そういうことは考えながら進めたいと思いますし、また、名前は適切かどうかあれですが、分科会というかグループ構成、こういったものを考えながら、基幹インフラ事業者の分野や業種、業態

お答えいたします。 　協議会においては、参加する構成員は、政府から被害の防止のための情報提供を受けることができる一方で、協議会で知り得た情報の適正な管理や、被害の防止のための必要な情報に関する資料について求めがあった場合にはその提出といった対応、これが必要になるということでございます。そのため、これ内閣総理大臣が必要と認める場合に構成員として協議会に参加いただくに当たっては、当事者から事前の同意を得る、先生御指摘のとおりであります。 　御指摘のこの事前の同意を得るに当たっては、これも先ほどおっしゃったとおりで、求められる対応事項について丁寧に説明する、これは極めて必要ですし、これ政府、当然としてしっかりやりたいというふうに思っています。また、この同意を得る方法については、これ当然、御指摘の方法、書面とかそういう形になろうかと思います。まだ決まっておりませんが、当然、適切なものになるよう

お答えいたします。 　強制でエンフォースして入る出るということではないものですから、まさに入る出るの御意思というのがあるというところがあるので同意という形になるわけですね。本当にそういう意思があったのかというのは、同意が何かにエビデンスとして残っていないといけないわけですから、おっしゃったような書面とかそういうことは当然想定し得るものだと思いますので、決まっていませんが、そういった運用に当然になるのではないかというふうに思っております。

先生御指摘のとおりで、政府に情報提供を行った企業が不利益を被らないようにする、これはもう当然だと思いまして、官民がウィン・ウィンの関係を構築していくことが重要だというふうに承知をしています。 　この点、今法案の施行に当たっては、被害情報の意図しない流出等、これは防止しなければいけません。報告を受けた情報の安全管理に万全を期すこと、これは大前提だと思っています。このため、本法案において、情報提供を受けた政府による安全管理措置、これを明確に規定をいたしました。国家公務員法と比較しまして、守秘義務違反に対する罰則を引き上げるということをしております。 　また、情報提供した企業以外に対して情報提供を行う場合、こういった場合には、当該企業に関する秘匿性の高い情報を削除するなど、情報を提供した企業の権利利益に配慮すべきこともきちんと定めております。 　その上で、情報提供した企業に対しては政府から

お答えいたします。 　先生御指摘のとおり、官民連携による情報共有を推進するに当たっては、民間事業者が過度な負担が掛からないような制度設計、制度運用を行うことは極めて重要だと承知しておりまして、有識者会議においては、インシデント報告の一元化、また、報告様式の統一化を進めることが必要である旨の提言をいただいておるところでございます。 　サイバー対処能力強化法案においては、対処の迅速化を図るため、基幹インフラ事業者によるインシデント報告を内閣総理大臣及び特別社会基盤事業所管大臣に同報する旨を規定しておりますが、さらに、システム整備により報告窓口を一本化いたしまして、また、報告を受けた情報を関係省庁にも共有できるような環境を整備してまいりたいと考えております。 　こうした取組を通じまして、情報共有に伴う民間事業者の負担軽減をこれしっかり図ってまいりたいと思っております。