経済産業省大臣官房サイバーセキュリティ・情報化審議官

○上村政府参考人　もちろん、一〇〇％完全に守れるというものはこの世になかなか存在しないんですが、ただ、現状のデジタルのＤＸの度合い、そしてそれに対するセキュリティー防御、これもお互い守ることの具体的な策を共有しながら進めてきておりますので、そのレベルで最高の、その時点時点で検証された最大限守れるものをしっかり取り組んでくる、これは政府あるいは重要インフラ等においての共通的なものかと思います。

○上村政府参考人　歴史的には、情報セキュリティーからサイバーセキュリティーを、サイバーセキュリティ基本法も含めて、これはすなわち、デジタルがもう神経網のように経済社会に行き渡っておりますので、情報を守る、ただそれだけでは、例えば事業停止につながるような話については難しいので、ここはよりサイバーという形で、情報も含めてしっかり守っていくということかと思ってございます。

○上村政府参考人　実は、ただ、暗号というのは、根本的には数学的な原理でございまして、正直一〇〇％安全なのはないというのがもう科学的にも言われ、したがって、だからこそ英知を結集して常に検証しながら、ある暗号がこの瞬間はよくても常にそれが危殆化、すなわち危なくないかをチェックする、いろいろな目で見る。だから、一般的には、広く公開された情報できちんと検証するのが国際的な形になっております。そこは御理解を賜れればと思ってございます。

○上村政府参考人　サイバー攻撃が産業あるいは社会に大きな影響を及ぼすようになっている中におきまして、企業規模にかかわらず、その経営者に、サイバーセキュリティーを経営上の重要課題であると認識し対策を進めていただくことが重要と考えております。 　そして、昨今、サプライチェーンの弱点を悪用した攻撃が行われている状況も踏まえますと、中小企業を含めサプライチェーン全体でのセキュリティー向上に向けた取組を推進していくことが必要であります。 　他方で、委員御指摘のように、民間調査の中には、日本企業の経営層によりますサイバーセキュリティー対策への理解につきまして、他国と比べて、その関与度合いを含め、低いという状況になっているものもあると承知をしています。 　このため、経済産業省におきましては、経営者が取り組むべき対策などを分かりやすく示した、サイバーセキュリティ経営ガイドラインや産業分野別ガイドライ

○政府参考人（上村昌博君）　お答えいたします。 　今委員御指摘のように、日本の半導体産業、かつて世界一の売上げも誇っておりましたけれども、その後シェアを大きく落としてきたわけであります。そこを今また改めて成長産業、基幹産業として、政府としても支援をしていこうという、こういう状況であります。 　そのために、国内に対して、国際的な企業の誘致であったりとか、それから半導体の研究開発に対する支援、また人材育成等も進めてきているところでありますが、ここについては、今先ほど来の御論議にありましたように、じゃ、それがその目標のとおり具体的に形になっていくのか、じゃ、その際にどこに留意するのか、じゃ、国際的に、相手もやはりウィン・ウィンの、これは交渉と調整と協業ということかと思いますので、そこをしっかり見定めて、具体的な施策を常に状況を見ながら対応していくことが大事だと思っています。 　特に、技術に

○上村（昌）政府参考人　お答えいたします。 　サイバー攻撃が高度化、多様化する中で、サイバーセキュリティー対策を担う人材の育成は極めて重要であります。一方、委員御指摘のとおり、我が国の企業などにおいて、サイバーセキュリティー人材を十分に確保できないといった声があることも承知をしております。 　このため、経済産業省では、ＩＰＡを通じまして、経済社会を支える重要インフラや産業基盤などのセキュリティーリスクに対応する人材を育成する中核人材育成プログラム、それから、若年層を対象に、第一線の技術者からの高度な技術教育を提供するセキュリティ・キャンプ、また、サイバーセキュリティーの国家資格であります情報処理安全確保支援士制度などの取組を進め、サイバーセキュリティー人材の育成、確保に努めているところであります。 　今後とも、これらの施策の拡充をすることも含めまして、サイバーセキュリティー人材の育成

○上村（昌）政府参考人　あらゆるものがネットワークにつながって、サイバー攻撃が社会や産業に大きな影響を及ぼし得るようになっている中で、サプライチェーン全体のセキュリティー向上の推進は必要不可欠だと認識をしております。 　経済産業省では、これまで産業界と協業しつつ、サイバーセキュリティ経営ガイドライン、それから産業分野別のガイドラインなどの整備を推進をいたしまして、各企業などによる積極的な取組を促してまいりました。 　他方で、ガイドラインに基づいて、では具体的にどこまで対策を進めるべきなのかが企業などに必ずしも分かりにくいということ、それから、委員御指摘のように、取引先から様々な対策水準を要求されるといった課題もあることは承知をしております。 　このために、諸外国による取組も参考といたしまして、既存ガイドラインなどと整合性を図りつつ、各企業の業種、規模ごとに実施すべき対策水準の設定や、

○上村（昌）政府参考人　サイバーセキュリティー対策は企業の規模に関係なく大変重要であります。中小企業を含めまして、サプライチェーン全体でセキュリティーレベルを上げていくことが必要となります。特に、大企業と同じような対策を講じることが難しい中小企業に対してのきめ細やかな支援が必要不可欠だと考えています。 　中小企業においては、セキュリティー対策の実践に当たりまして、具体的な対策が分からないといった課題、あるいは必要な予算の確保が難しいといった課題があると認識をしております。 　このため、経済産業省では、ＩＰＡを通じまして、中小企業向けのセキュリティーガイドラインの作成、それから異常監視やサイバー攻撃を受けた際の初動対応支援、保険など、中小企業に必要な対策を安価かつワンパッケージにまとめましたサイバーセキュリティお助け隊サービスの普及、それから、各種補助金の申請要件などにセキュリティー対策

○上村（昌）政府参考人　委員御指摘のとおり、サイバーセキュリティーを確保するための制度構築に当たりましては、産業界と連携した普及促進をきちっと進めていくことが極めて大事かと思っておりますし、政府調達などを通じました活用の促進、また国際的な制度調和を促すことで実効性を強化していくことが重要であります。 　ソフトウェアなどを製造する企業が設計段階から安全性を確保されている製品を責任を持って提供をする、いわゆるセキュア・バイ・デザイン、この概念が国際的に提唱をされてきております。昨年十月に、委員御指摘のとおり、我が国政府もそのガイダンスに共同署名をしております。 　こうした国際的な議論、また近年のサイバー攻撃の実態を踏まえまして、経済産業省では、ソフトウェアの部品構成表であるいわゆるＳＢＯＭの活用促進、それから、一定のセキュリティー基準を満たすＩｏＴ製品にラベルを付与するラベリング制度の構築

○政府参考人（上村昌博君）　お答えいたします。 　経済産業省では、高度化、巧妙化するサイバー攻撃に対応することのできるセキュリティー人材の育成、確保のために、サイバーセキュリティーの初の国家資格であります情報処理安全確保支援士制度を平成二十八年度に創設をしております。技術進歩、社会情勢の変化により、必要とされる知識等は時々刻々と変化をしてまいりますので、令和二年には、情報処理の促進に関する法律を改正しまして、この資格の登録に三年の有効期限を設ける更新制を導入しております。 　各国の類似の試験について、その難易度の水準を一概に比較することは困難ではありますけれども、例えば米国の民間団体が認定する類似の資格でありますＣＩＳＳＰにおいて求められる知識あるいは能力、そして更新制が設けられているということを踏まえましても、こうした他国の類似資格とも引けを取らないものというふうに考えております。