総務省サイバーセキュリティ統括官

○山内政府参考人　お答え申し上げます。 　現行法におきまして、特定アクセス行為に係る業務に関しましては、通信事業者への通知業務以外に外部委託に関する規定が特段ありませんでした。したがいまして、実行上、ＮＩＣＴにおいても外部委託を行ってまいりませんでした。 　今般、ＮＯＴＩＣＥの調査対象の拡大が行われまして、体制の強化も必要になるということがございます。特定アクセス行為による調査が引き続き厳格な条件に基づいて適切に実施されるということを確保しながら、ＮＩＣＴにおいて体制の確保をするために、外部委託が可能な範囲や要件について新たに定めるということにしております。 　具体的には、今委員御指摘のとおり、特定アクセス行為自体については委託は不可といたします。その上で、得られた情報の処理、分析に係る業務については、総務大臣の認可事項に係る実施計画の中で、委託先の選定基準が定められていることですと

○山内政府参考人　お答え申し上げます。 　先ほど御説明をいたしましたが、当時、まず、特定アクセス行為、実際にＩＤ、パスワードを入力して調査を行った結果を得ること、それから、その結果に基づいて電気通信事業者に対して通知を行うこと、大きく、御指摘のとおり、二つの行為がございます。 　これに関して明確な切り分けが、まだ当時、始める前の状態で、そこまで認識ができていないこともあって、当時の関係者の方からの御答弁があったと認識をしてございますが、この度、先ほど御質問もいただいたとおり、体制の強化をする必要がある、業務を拡充するといった観点で、それぞれ、法律との整合性を考えながら、委託ができる範囲、委託がやはり不可能ではないかと考える場合を分けて対応するということを考えているところでございます。

○山内政府参考人　お答え申し上げます。 　先ほどお答えを申し上げておりますが、まず、特定アクセス行為そのものというのは、実際にＩＤ、パスワードを入力して結果を得ることというのが特定アクセス行為でございます。実際にそれを通知することというのがＮＩＣＴの法律の中でも決まっていて、ここの部分については明確な定めが見えていなかったことがございますので、これに関して私どもの中でも議論をした上で、そこの部分を委託が可能ではないかということで、規定を切り分けて今作っているという形になってございます。

○山内政府参考人　お答え申し上げます。 　仮に委託をした者が悪意を持って漏えいするようなことがあった場合には、御指摘のとおり、非常に大きな問題が生じるというふうに認識をしてございます。 　したがいまして、ＮＩＣＴが仮に委託を行う場合には、ＮＩＣＴが行っている情報の安全管理措置と同様の措置が講じられるということを実施計画において定めた上で、総務大臣は委託先における当該情報の適切な取扱いの確保の措置の内容の妥当性を判断した上で実施計画の認可を行うということを考えてございます。 　さらに、特定アクセス行為で得られた情報の処理、分析に係る業務の委託に従事する者については、ＮＩＣＴ職員と同等の秘密保持義務が課されるとともに、違反した場合の罰則規定も設けられるということになります。 　本法案の制度的な枠組みの中で外部委託が行われる場合でも、情報が厳格に管理をされ、適切に業務が行われるというふう

○山内政府参考人　お答え申し上げます。 　今委員御指摘のとおり、情報をしっかり管理するということが非常に大切でございます。したがいまして、当該情報の管理はＮＩＣＴ内で行うということを想定しております。

○山内政府参考人　お答え申し上げます。 　今の関係が生じるのは、特定アクセス行為を行っているＮＩＣＴから実際にその情報を活用して通信事業者に対する提供を行う委託事業者に対する関係というふうに認識しておりますが、この関係に関しましては、実施計画の中で何を指図するかということを決めることになりますので、それ以外は、逆に言うと、法律に定められた行為に基づいて様々なことを行うということと認識してございます。 　逆に、それ以外のことを、もし何らかの形で計画に外れたことをやるのであれば、計画と合わない、整合しないということになりますので、これは実施計画に違反をすることになります。

○山内政府参考人　お答え申し上げます。 　現状でここまで正確な区分ができておりませんが、外部委託を行う場合に当たっては、外部委託業者についてはＮＩＣＴの職員とはまず異なります。特定アクセス行為自体ができないということを考えますと、ＮＩＣＴで具体的な安全管理措置を今後検討いたしますが、恐らくは異なる、同じ場所には置くことが困難でございますので、安全管理措置を異なるところで行うということになるかというふうに想定してございます。

○山内政府参考人　お答え申し上げます。 　今の御希望は、この後の議論によるかというふうに思っておりますが、まず、私どもの定めに基づいてお話をいたしますと、実施計画に記載された極めて限られた職員を除いて、調査を実施する区画への入退室は禁じられているという形になってございます。これがＮＩＣＴにおける極めて厳格な安全管理措置の内容でございますので、私ども総務省の職員も含めて、ここの中の所在、それから、そこがどうなっているかということは承知をしていない状況でございます。こういう安全管理措置を実際には行っているところでございます。

○山内政府参考人　お答え申し上げます。 　今委員御指摘のとおり、今般、ＮＩＣＴが実施をしている若手向けのサイバー人材育成プログラム、ＳｅｃＨａｃｋ３６５、この修了生が大学への威力業務妨害等の容疑で逮捕、起訴されたということは大変遺憾に思っております。 　サイバーセキュリティーの知識や技術は、サイバーセキュリティーの向上に役に立つのと同時に、悪用されるおそれもございます。したがいまして、知識や技術について教育をする際には、併せて倫理面についても教育をするということが大変重要でございます。 　従来より、ＳｅｃＨａｃｋ３６５の中でも倫理教育を実施しており、修了生の多くは、起業若しくはプログラムの成果を学会発表するなど、サイバーセキュリティー分野の第一線で活躍をしております。 　今般の事案を踏まえて、総務省としては、ＮＩＣＴと連携をいたしまして、プログラム内での倫理教育や講義内容それから講

○山内政府参考人　お答えさせていただきます。 　総務省所管の国立研究開発法人情報通信研究機構、ＮＩＣＴでございますが、こちらでは、世界最大規模のサイバー攻撃観測・分析システムなど、サイバーセキュリティー分野における最先端の研究開発を実施をしております。 　このＮＩＣＴの研究開発成果は、地方公共団体におけるマルウェアの感染端末、サイバー攻撃の検知等にも役立てられておりまして、地方のサイバーセキュリティー強化にも貢献をしております。 　また、これまでＮＩＣＴが培ってまいりました膨大なサイバー攻撃関連情報、サイバーセキュリティーに関する知見を活用した産学官による連携基盤、これを令和三年度に設立をいたしました。このＣＹＮＥＸによりまして、日本発の脅威情報を生成、発信をすることで、社会全体のサイバーセキュリティー対処能力の向上に寄与することを目指しております。 　総務省としては、引き続き、Ｎ