経済産業省大臣官房サイバーセキュリティ・情報化審議官

○政府参考人（上村昌博君）　お答えいたします。 　今委員御指摘のように、日本の半導体産業、かつて世界一の売上げも誇っておりましたけれども、その後シェアを大きく落としてきたわけであります。そこを今また改めて成長産業、基幹産業として、政府としても支援をしていこうという、こういう状況であります。 　そのために、国内に対して、国際的な企業の誘致であったりとか、それから半導体の研究開発に対する支援、また人材育成等も進めてきているところでありますが、ここについては、今先ほど来の御論議にありましたように、じゃ、それがその目標のとおり具体的に形になっていくのか、じゃ、その際にどこに留意するのか、じゃ、国際的に、相手もやはりウィン・ウィンの、これは交渉と調整と協業ということかと思いますので、そこをしっかり見定めて、具体的な施策を常に状況を見ながら対応していくことが大事だと思っています。 　特に、技術に

○上村（昌）政府参考人　お答えいたします。 　サイバー攻撃が高度化、多様化する中で、サイバーセキュリティー対策を担う人材の育成は極めて重要であります。一方、委員御指摘のとおり、我が国の企業などにおいて、サイバーセキュリティー人材を十分に確保できないといった声があることも承知をしております。 　このため、経済産業省では、ＩＰＡを通じまして、経済社会を支える重要インフラや産業基盤などのセキュリティーリスクに対応する人材を育成する中核人材育成プログラム、それから、若年層を対象に、第一線の技術者からの高度な技術教育を提供するセキュリティ・キャンプ、また、サイバーセキュリティーの国家資格であります情報処理安全確保支援士制度などの取組を進め、サイバーセキュリティー人材の育成、確保に努めているところであります。 　今後とも、これらの施策の拡充をすることも含めまして、サイバーセキュリティー人材の育成

○上村（昌）政府参考人　あらゆるものがネットワークにつながって、サイバー攻撃が社会や産業に大きな影響を及ぼし得るようになっている中で、サプライチェーン全体のセキュリティー向上の推進は必要不可欠だと認識をしております。 　経済産業省では、これまで産業界と協業しつつ、サイバーセキュリティ経営ガイドライン、それから産業分野別のガイドラインなどの整備を推進をいたしまして、各企業などによる積極的な取組を促してまいりました。 　他方で、ガイドラインに基づいて、では具体的にどこまで対策を進めるべきなのかが企業などに必ずしも分かりにくいということ、それから、委員御指摘のように、取引先から様々な対策水準を要求されるといった課題もあることは承知をしております。 　このために、諸外国による取組も参考といたしまして、既存ガイドラインなどと整合性を図りつつ、各企業の業種、規模ごとに実施すべき対策水準の設定や、

○上村（昌）政府参考人　サイバーセキュリティー対策は企業の規模に関係なく大変重要であります。中小企業を含めまして、サプライチェーン全体でセキュリティーレベルを上げていくことが必要となります。特に、大企業と同じような対策を講じることが難しい中小企業に対してのきめ細やかな支援が必要不可欠だと考えています。 　中小企業においては、セキュリティー対策の実践に当たりまして、具体的な対策が分からないといった課題、あるいは必要な予算の確保が難しいといった課題があると認識をしております。 　このため、経済産業省では、ＩＰＡを通じまして、中小企業向けのセキュリティーガイドラインの作成、それから異常監視やサイバー攻撃を受けた際の初動対応支援、保険など、中小企業に必要な対策を安価かつワンパッケージにまとめましたサイバーセキュリティお助け隊サービスの普及、それから、各種補助金の申請要件などにセキュリティー対策

○上村（昌）政府参考人　委員御指摘のとおり、サイバーセキュリティーを確保するための制度構築に当たりましては、産業界と連携した普及促進をきちっと進めていくことが極めて大事かと思っておりますし、政府調達などを通じました活用の促進、また国際的な制度調和を促すことで実効性を強化していくことが重要であります。 　ソフトウェアなどを製造する企業が設計段階から安全性を確保されている製品を責任を持って提供をする、いわゆるセキュア・バイ・デザイン、この概念が国際的に提唱をされてきております。昨年十月に、委員御指摘のとおり、我が国政府もそのガイダンスに共同署名をしております。 　こうした国際的な議論、また近年のサイバー攻撃の実態を踏まえまして、経済産業省では、ソフトウェアの部品構成表であるいわゆるＳＢＯＭの活用促進、それから、一定のセキュリティー基準を満たすＩｏＴ製品にラベルを付与するラベリング制度の構築

○政府参考人（上村昌博君）　お答えいたします。 　経済産業省では、高度化、巧妙化するサイバー攻撃に対応することのできるセキュリティー人材の育成、確保のために、サイバーセキュリティーの初の国家資格であります情報処理安全確保支援士制度を平成二十八年度に創設をしております。技術進歩、社会情勢の変化により、必要とされる知識等は時々刻々と変化をしてまいりますので、令和二年には、情報処理の促進に関する法律を改正しまして、この資格の登録に三年の有効期限を設ける更新制を導入しております。 　各国の類似の試験について、その難易度の水準を一概に比較することは困難ではありますけれども、例えば米国の民間団体が認定する類似の資格でありますＣＩＳＳＰにおいて求められる知識あるいは能力、そして更新制が設けられているということを踏まえましても、こうした他国の類似資格とも引けを取らないものというふうに考えております。

○政府参考人（上村昌博君）　お答えいたします。 　透明化法の趣旨でございますけれども、これは、イノベーションと規律のバランスを取りながら、デジタルプラットフォームの透明性と公正性を向上させることを目的としております。このデジタルプラットフォーム事業者は、イノベーションの担い手でもあります。中小企業等に国内外の新規顧客の開拓機会を提供するなど、我が国の経済社会にとって重要な存在であります。 　一方で、中小企業等が大規模なデジタルプラットフォームを利用せざるを得ない状況が生じている場合には、事前の説明もないままに取引条件が一方的に変更される、あるいは取引拒絶の理由が示されない、取引先事業者の問合せや意見に対応する体制、手続が不十分、自社サービスを優遇しているとの懸念があるといった取引上の課題が様々に懸念をされております。 　このため、本法は、国民生活の向上及び国民経済の健全な発展に寄与す

○政府参考人（上村昌博君）　お答えいたします。 　経産省内に生成ＡＩなど、その外部のクラウドベースのサービスを利用するための規定はございます。そこにおいては、機密性のあるような情報は扱わないということですとか、その上で、この外部サービスを有効に活用する際には留意点も必要だということでありまして、保存された情報を自由に利用されてしまうおそれがあること、あるいは国がそれを使うことによって国民一般に安全、安心なサービスだと、推奨と受け取られるおそれがあるということ、外部サービス提供者が何かあったときに一切の責任を負わないおそれがある、こういったことを考えながらリスクを評価するということであります。そのために、外部サービスの名称であったり、じゃ、どのようにその利用目的、職員が使うのか、またその際の情報の格付などなどについてきちんと確認をし、利用の可否を決する、そのような規定になってございます。

○政府参考人（上村昌博君）　基本的に各情報については所管の課室というものがその情報の重要性等について判断をしますので、そこの課室長が一義的な責任者になってまいります。

○上村政府参考人　お答えいたします。 　昨今のＤＸの進展やサプライチェーンの多様化等によりまして、サイバーリスクが急速に高まっていると認識をしています。サイバーインシデント等に伴う経済的損失については、御指摘の試算を含めて多様なものがあろうかというふうに思ってございます。 　こうした現状を踏まえて、機密情報の漏えいや金銭の搾取、事業活動の停止など、企業や社会に様々な被害をもたらすサイバー攻撃への対策の強化は、政府としても重要な課題であります。 　したがって、先週取りまとめた経済総合対策においても、中小企業における対策の強化を始め、産業界におけるサイバーセキュリティー対策の強化に向けた施策を盛り込んでおります。 　引き続き、我が国産業界へのサイバー攻撃を抑制、防御し、事業活動への影響を最小化するための様々な取組を進めていきたいと考えております。