門松貴

お答えいたします。 　特定侵害事象の原因となる事象でございますが、例えば、特定重要電子計算機に保管されているシステム管理者等のＩＤ、パスワードが窃取され、システム全体に広範な攻撃が可能になったことが判明している、そういった場合、また、特定重要電子計算機において、マルウェア自体は見付かっていないがその実行された痕跡が残されているようなことが判明している場合、こういった場合についてを想定しているということでございます。

お答えいたします。 　現行のサイバーセキュリティ基本法に基づくサイバーセキュリティ協議会、現行の協議会は、官民が相互に連携することでサイバーセキュリティーの確保に資する情報を官民で迅速に共有する、これが基本的な考え方でできているものであります。 　その上で、本法案の情報共有及び対策に関する協議会については、政府が新たな権限の下で収集した情報を内閣総理大臣が整理、分析し、その結果をサイバー攻撃による被害防止のために協議会の構成員に共有する旨を新たにきちんと規定をしております。 　また、政府が保有する秘匿性の高い情報についても共有できるように、協議会の構成員による安全管理措置を法定いたしました。守秘義務違反に対する罰則を引き上げているということでございまして、こうした点が主な違いになっているということでございます。

お答えいたします。 　まず、本法案においては、特定重要電子計算機に係る特定侵害事象、これと、当該特定侵害事象の原因となり得る事象として主務省令で定めるものの発生を認知した場合にはインシデント報告という、行わなければならないという旨を定めておるわけでございます。 　そのうち、特定侵害事象としては、特定重要電子計算機においてマルウェアが実行されることが判明した場合であったり、ネットワーク機器の脆弱性を悪用することなどにより特定重要電子計算機に対して不正アクセス行為が行われたことが判明した場合、また、ランサムウェアによる暗号化や大量のパケットを送り付けるＤＤｏＳ攻撃のような特定重要電子計算機の機能を低下又は停止させられたことが判明した場合において報告を求めることを想定しております。 　また、特定侵害事象の原因となり得る事象としては、特定重要電子計算機に保管されているシステム管理者等のＩＤ、

お答えいたします。 　先生御指摘のとおり、地方公共団体のサイバーセキュリティー確保は重要な課題でございます。現状、サイバーセキュリティ基本法で、地方公共団体を重要社会基盤事業者等、要は重要インフラ等として位置付けておりまして、これまでも内閣サイバーセキュリティセンターから必要な情報提供を行ってきたということでございます。 　その上で、国家を背景とした重要インフラに対する高度なサイバー攻撃への懸念の拡大等を踏まえまして、官民連携の取組を更に強化する必要があるとの問題意識から、本法案においては、地方自治体を含む電子計算機の使用者に対して、サイバー攻撃による被害の防止のための情報を政府が提供すること、また内閣総理大臣が必要と認める場合に協議会に構成員として参加いただくことなどを可能とする規定を設けているという状況にあります。 　そして、先生の御質問ございました地方公共団体の協議会への参加の

まず、この協議会とクリアランスの関係ですけれども、協議会においては、必要に応じて、必要に応じて一定の機微な情報についても構成員に提供することが想定されるわけでございまして、そういった情報の提供に当たっては、セキュリティークリアランスの制度の活用も考えられるということでございます。 　先生御指摘のように、協議会の構成員となった地方自治体に対しても、ケースとして、重要経済安保情報を提供する場合、これも想定されるわけでございます。このときなわけですけれども、その場合はまさに重要経済安保情報保護活用法に基づきまして必要な手続を行うという形になるということでございます。

お答えいたします。 　本法案における協議会ですが、事業者における迅速な対策に資する情報、これを政府から適切なタイミングで提供すること、これが一番重要なんではないかというふうに考えております。そんな中で、構成員における被害の防止に資するものとして政府から提供する情報は、例えばサイバーの専門家が求める技術情報であったりとか経営者の判断に必要な攻撃目的等に関する情報、こういった情報を積極的に提供していくことを想定しているということでございます。 　このうち、特にサイバーの専門家が求める技術情報、これについては、提供に当たり必ずしもセキュリティークリアランス制度の活用が求められるとは限らないといったものではないかと想定されるわけですが、いずれにせよ、この制度の活用が必要な情報と必要ない情報、その情報の切り分けといいますか、そういった扱いを状況に応じてした上で構成員に対して適時適切に情報を供給で

お答えいたします。 　先生御指摘のとおり、サイバー攻撃の初期侵入手口の一つとして、不審メールを送り付けて添付ファイルを開かせることなどによってマルウェアに感染させると、こういった手法があるということでございます。こうした不審メールですけど、そのメールを契機として基幹インフラ事業者の特定重要電子計算機にマルウェアが感染してしまったと、そういった場合はこの当該基幹インフラ事業者からの報告が行われることになるわけでございますので、こういった場合、一定程度捕捉することが可能なんだろうというふうに思っています。 　いずれにせよ、今回の法制度、法案において、インシデント報告の具体的な範囲について今後検討をしていきますが、事業者の負担等にも配慮しつつ、今後、専門家の意見も伺いながら詳細な制度の検討を進めてまいりたいというふうに考えております。

お答えいたします。 　本法案では、まさに内閣総理大臣が整理、分析したサイバー攻撃による被害を防止するための情報を共有すること等により、構成員の重要電子計算機に対するサイバー攻撃による被害の防止をすることを目的として、情報共有及び対策に関する協議会を設置するわけでございますが、この目的の達成のためには、電子計算機の使用者のみならず、製品ベンダーやセキュリティーベンダーについても協議会に御参加いただいて、脆弱性情報や対策情報を共有することが必要になるわけであります。 　そのようなベンダーについては、外国企業も多いことを考えれば、協議会に参加いただくことは当然あり得るんだろうというふうに思います。ただし、当然こうした情報管理等に係る措置が十分に講じられないような可能性がある者については、そもそも協議会構成員には加えないというような運用になろうかというふうに思っております。

お答えいたします。 　先ほど先生からもお話ありましたこの協議会では、サイバーの専門家が求める技術情報であるとか経営者の判断に必要な攻撃目的に関する情報を積極的に提供していくことを想定しているわけでございますが、このほか、本法案では、協議会構成員の間で被害防止のための対策に関する事項等を協議できると規定をしています。 　例えば、公表されていない脆弱性情報の共有と分析であるとか、さらには日頃からの対応策など、各事業者におけるベストプラクティスを意見交換を行うといったようなことも想定して取組を行うことも考えられるということでございます。 　こうした取組通じまして、我が国のサイバーセキュリティーの強化に資するように、今後、事業者のニーズ踏まえながら、具体的な制度設計について関係者の御意見踏まえながら進めてまいりたいというふうに思っております。

お答えいたします。 　御指摘のとおりでございまして、第七十一条において、国の行政機関のほか、情報処理推進機構と情報通信研究機構について相互に緊密に連携し、協力しなければならない旨規定をしているわけでございます。 　両独立行政法人、いずれもサイバーセキュリティーに係る高い専門性と情報収集能力を有しているわけでございまして、日頃からサイバー空間の観測や分析、脆弱性情報の管理、事業者への支援、注意喚起を行っているわけでございます。 　本法案の中では、例えば第四十二条の部分ですが、脆弱性の対処について定められているところでございますが、これを例に取ると、両法人においては、例えば、まずＮＩＣＴさんの観測網との関係で、サイバー空間における脆弱性悪用情報を監視する内容を利用させていただいたり、ＩＰＡの早期警戒パートナーシップに基づく脆弱性情報の集約、管理、さらにはＮＩＣＴ、ＩＰＡ双方から電子計算機