山内智生

○山内政府参考人　お答え申し上げます。 　まず、特定アクセス行為によって収集する情報でございますが、これはＩｏＴ機器の利用者とＮＩＣＴとの当事者の通信内容でございますので、第三者間の通信の内容を含まないため、通信の秘密には該当しないということになります。 　また、特定アクセス行為は総務大臣が適正かつ確実に実施されると認めた計画に従って行うこととしておりますので、計画で認められた以上の操作、情報収集は行いません。 　例えば、具体的には、特定アクセス行為の実施に当たりましては、計画に基づいて可能な限りシステムで調査を自動化して、必要以上の情報を収集する余地がないように運用することとしております。 　また、実施に際して、計画に基づいた全ての特定アクセス行為に係る通信記録は定期的に監査をしております。これによって不正な利用がないことを確認するとともに、特定アクセス行為を行うＮＩＣＴ職員につ

○山内政府参考人　お答え申し上げます。 　ＮＯＴＩＣＥによる注意喚起の対象となった脆弱性のあるＩｏＴ機器については、その発売年について分析をしております。その結果、十年以上前に発売された機器が全体の約半分、それから、このプロジェクトが始まった二〇一九年以前に発売された機器が全体の九割以上を占めているということが明らかになっております。 　注意喚起を受けた利用者の中では、先ほど委員御指摘のとおり、法人ユーザーが多い。法人の比率が個人の比率の三倍以上になっているということが分かっております。また、注意喚起を行った企業においてＩｏＴ機器の管理者が明確でないということが、これも課題として分かっておりまして、こういうものが、なかなか、実効性を上げるある意味での課題になっているというふうに承知をしております。

○山内政府参考人　お答え申し上げます。 　今委員御指摘のとおりですが、法人利用者につきましては、法人利用者そのものというよりも、機器の設置や管理にシステムインテグレーターが関与しているということが多いと承知をしております。したがいまして、利用者に対する注意喚起も必要でございますが、システムインテグレーターによる取組を進めるということが重要だと思っております。 　ＮＯＴＩＣＥのプロジェクトで観測結果が分かりまして、脆弱性のあるＩｏＴ機器についての情報が把握できますと、対応すべき脆弱性、それを解消する方策を技術的に、具体的に分かる形でシステムインテグレーターに対して助言それから情報提供を行うという形を考えてございます。これによりまして、分からないといった、そういう状態をまず解消して、システムインテグレーターが積極的に対応いただける、こういう効果的な対策を是非推進していきたいというふうに思っ

○山内政府参考人　お答え申し上げます。 　今御指摘がございましたとおりでございますが、通常、電気通信事業者を通じた注意喚起については主にメールや郵送によって実施をされるという形になってございます。これは実際には事業者によって判断をされるというものでございますが、私どもが承知をしている主な方法はこの二つということでございます。

○山内政府参考人　お答え申し上げます。 　まず、管理者への通知業務を行うに当たっては、サイバー攻撃に悪用されるおそれのある機微な情報を扱っているということから、情報の適切な管理を行うための適切な制度的、技術的知見を有する組織に委託する必要があると認識をしてございます。 　したがいまして、本法案では、上記要件を満たす組織として、サイバー攻撃に関する情報共有の体制を持っている委員御指摘の協会、認定送信型対電気通信設備サイバー攻撃対処協会、これを定義いたしまして、委託可能な組織として規定しているという状態でございます。 　この協会とは、サイバー攻撃への対処に関する業務を適正かつ確実に行うことができる能力を有するなど、所要の要件を満たす団体として、これも御指摘がございました電気通信事業法に基づいて総務大臣が認定するという形になってございます。 　したがいまして、所要の要件を満たす団体につい

○山内政府参考人　お答え申し上げます。 　まず、サイバー空間の環境を見ますと、ＩｏＴ機器の利用はどんどん拡大をしている、ＩｏＴ機器を悪用するサイバー攻撃も多様化をしている。これも御指摘がございましたが、ＮＯＴＩＣＥの業務量は開始当初から比較いたしますと増大する傾向にございます。 　また、サイバー攻撃の多様化に対応するため、注意喚起の対象も拡大をしてまいりました。したがいまして、体制や人員の拡充が必要になるということを認識してございます。 　今後とも、ＮＩＣＴそれからＩＣＴ―ＩＳＡＣとも連携をして、予算等によるそういう強化も含めて、体制、人員の強化に努めてまいりたいというふうに考えてございます。

○山内政府参考人　お答え申し上げます。 　ＮＩＣＴ法において、ＮＩＣＴは特定アクセス行為とその結果に基づく電気通信事業者への通知を行うということとされております。利用者への注意喚起はＮＯＴＩＣＥに参加する電気通信事業者の負担によって行っている、こういう構造でございます。 　注意喚起の方法は個々の事業者に委ねられておりますが、共通的な部分、例えばＩｏＴ機器の設定マニュアルの作成、それから利用者からの一般的な問合せの窓口の運営というものについては、総務省が一括して支援することで業務の効率化を進めてございます。 　御指摘がございました改正法の第十四条第七号のロにあります助言及び情報の提供、これはＮＩＣＴの専門的な知見を必要とするものを想定しております。これに対比となる、先ほど申し上げたマニュアルの作成それから問合せの窓口といった運営等の業務の効率化に関する業務は、役割分担をいたしまして、引

○山内政府参考人　お答え申し上げます。 　ＩｏＴ機器を対象にしているというふうに申し上げておりますが、ＩｏＴ機器とは、そもそも、インターネット・オブ・シングス、物がインターネットにつながっているという状態でございまして、ここには電波、無線ＬＡＮ等の無線技術に関わりが深いというものが多数ございます。したがいまして、電波の適正な利用を確保するためには、ＩｏＴ機器に係るセキュリティーの確保を図っていくということが不可欠だというふうに考えてございます。 　この取組においては、無線技術を活用したＩｏＴ機器の利用者に対する注意喚起を通じて基本的な理解を深めることで、感染通信、攻撃通信などによる不要な電波の発射が抑制されるというふうに期待をしております。 　これによって、安心、安全に電波を利用できる環境が整備されて、もって効率的な電波の利用の促進がされるという観点から、先ほど御指摘のあった電波利用

○山内政府参考人　お答え申し上げます。 　御指摘いただきましたとおり、通信事業者への通知、機器の利用者への注意喚起については、ＩｏＴ機器のセキュリティー対策に対する利用者の意識が十分でないこと、ＩｏＴ機器の管理者が不明であるということから、対応が進まない場合が多数あるというふうに認識をしてございます。 　今御指摘のあったＩｏＴ機器の適正な管理に向けた周知啓発の強化、これはもちろんでございますが、これに加えまして、累次にわたって注意喚起に応じない場合、通信事業者が利用者の機器の接続を拒否できる要件それから手続等を定めたガイドラインを策定して、基準の明確化を図ることで対策の実効性を向上させていきたいというふうに考えてございます。 　また、通信事業者への通知、機器利用者への注意喚起によって地道に一台ずつ対処するのに加えて、メーカーへの働きかけというものによって、実際の成果としても、数万台規

○山内政府参考人　お答え申し上げます。 　ＩＤ、パスワードに不備があるＩｏＴ機器の調査に関しましては、ＮＯＴＩＣＥのプログラムに参加をしている通信事業者、合計で七十九社でございます、この七十九社のネットワークの下で、インターネットに直接接続されている約一億台のＩｏＴ機器を対象に実施してまいりました。 　この調査によりＩＤ、パスワードに不備がある機器が見つかった場合には、通信事業者への通知、機器の利用者への注意喚起を行って、ＩＤ、パスワードの変更対応をお願いしてまいりました。調査開始以来、これまでの累計で延べ約十万件の通知を行っております。 　この結果として、通知それから機器利用者への注意喚起によって、直接的には数千台程度のＩｏＴ機器についてＩＤ、パスワードの脆弱性の解消につながったと考えております。 　これに加えまして、ＩＤ、パスワードに不備が多く見つかった機器のメーカー、このメー