門松貴

お答えいたします。 　この製品名の等に当たる部分、今後まさにこれ主務政令で定めていきますので、よく関係業界、事業者の皆様と御相談をしていくということだと思いますが、現時点では、製造者名であったりとか、インターネットから一定のネットワーク機器を通じて特定重要設備と接続されるまでの機器同士の関係を示すネットワーク構成図、製造者名やネットワーク構成図といったものを想定しているということであります。

お答えいたします。 　本法案において、まずサイバーセキュリティーとは、サイバーセキュリティ基本法第二条に規定をしておりまして、電磁的方法により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損とあるんですけど、その防止その他の当該情報の安全管理のための必要な措置、また情報システム及び情報通信システムの安全性及び信頼性の確保のための必要な措置が講じられ、その状態が適切に維持管理されていることをサイバーセキュリティーと定義しています。 　なので、特定重要電子計算機のサイバーセキュリティーが害された状態というのは、まさにサイバー攻撃等によりこれらの措置が講じられた状態が損なわれたということが指されるということでございます。

お答えいたします。 　特定侵害事象の原因となる事象でございますが、例えば、特定重要電子計算機に保管されているシステム管理者等のＩＤ、パスワードが窃取され、システム全体に広範な攻撃が可能になったことが判明している、そういった場合、また、特定重要電子計算機において、マルウェア自体は見付かっていないがその実行された痕跡が残されているようなことが判明している場合、こういった場合についてを想定しているということでございます。

お答えいたします。 　現行のサイバーセキュリティ基本法に基づくサイバーセキュリティ協議会、現行の協議会は、官民が相互に連携することでサイバーセキュリティーの確保に資する情報を官民で迅速に共有する、これが基本的な考え方でできているものであります。 　その上で、本法案の情報共有及び対策に関する協議会については、政府が新たな権限の下で収集した情報を内閣総理大臣が整理、分析し、その結果をサイバー攻撃による被害防止のために協議会の構成員に共有する旨を新たにきちんと規定をしております。 　また、政府が保有する秘匿性の高い情報についても共有できるように、協議会の構成員による安全管理措置を法定いたしました。守秘義務違反に対する罰則を引き上げているということでございまして、こうした点が主な違いになっているということでございます。

お答えいたします。 　まず、本法案においては、特定重要電子計算機に係る特定侵害事象、これと、当該特定侵害事象の原因となり得る事象として主務省令で定めるものの発生を認知した場合にはインシデント報告という、行わなければならないという旨を定めておるわけでございます。 　そのうち、特定侵害事象としては、特定重要電子計算機においてマルウェアが実行されることが判明した場合であったり、ネットワーク機器の脆弱性を悪用することなどにより特定重要電子計算機に対して不正アクセス行為が行われたことが判明した場合、また、ランサムウェアによる暗号化や大量のパケットを送り付けるＤＤｏＳ攻撃のような特定重要電子計算機の機能を低下又は停止させられたことが判明した場合において報告を求めることを想定しております。 　また、特定侵害事象の原因となり得る事象としては、特定重要電子計算機に保管されているシステム管理者等のＩＤ、

お答えいたします。 　先生御指摘のとおり、地方公共団体のサイバーセキュリティー確保は重要な課題でございます。現状、サイバーセキュリティ基本法で、地方公共団体を重要社会基盤事業者等、要は重要インフラ等として位置付けておりまして、これまでも内閣サイバーセキュリティセンターから必要な情報提供を行ってきたということでございます。 　その上で、国家を背景とした重要インフラに対する高度なサイバー攻撃への懸念の拡大等を踏まえまして、官民連携の取組を更に強化する必要があるとの問題意識から、本法案においては、地方自治体を含む電子計算機の使用者に対して、サイバー攻撃による被害の防止のための情報を政府が提供すること、また内閣総理大臣が必要と認める場合に協議会に構成員として参加いただくことなどを可能とする規定を設けているという状況にあります。 　そして、先生の御質問ございました地方公共団体の協議会への参加の

まず、この協議会とクリアランスの関係ですけれども、協議会においては、必要に応じて、必要に応じて一定の機微な情報についても構成員に提供することが想定されるわけでございまして、そういった情報の提供に当たっては、セキュリティークリアランスの制度の活用も考えられるということでございます。 　先生御指摘のように、協議会の構成員となった地方自治体に対しても、ケースとして、重要経済安保情報を提供する場合、これも想定されるわけでございます。このときなわけですけれども、その場合はまさに重要経済安保情報保護活用法に基づきまして必要な手続を行うという形になるということでございます。

お答えいたします。 　本法案における協議会ですが、事業者における迅速な対策に資する情報、これを政府から適切なタイミングで提供すること、これが一番重要なんではないかというふうに考えております。そんな中で、構成員における被害の防止に資するものとして政府から提供する情報は、例えばサイバーの専門家が求める技術情報であったりとか経営者の判断に必要な攻撃目的等に関する情報、こういった情報を積極的に提供していくことを想定しているということでございます。 　このうち、特にサイバーの専門家が求める技術情報、これについては、提供に当たり必ずしもセキュリティークリアランス制度の活用が求められるとは限らないといったものではないかと想定されるわけですが、いずれにせよ、この制度の活用が必要な情報と必要ない情報、その情報の切り分けといいますか、そういった扱いを状況に応じてした上で構成員に対して適時適切に情報を供給で

お答えいたします。 　先生御指摘のとおり、サイバー攻撃の初期侵入手口の一つとして、不審メールを送り付けて添付ファイルを開かせることなどによってマルウェアに感染させると、こういった手法があるということでございます。こうした不審メールですけど、そのメールを契機として基幹インフラ事業者の特定重要電子計算機にマルウェアが感染してしまったと、そういった場合はこの当該基幹インフラ事業者からの報告が行われることになるわけでございますので、こういった場合、一定程度捕捉することが可能なんだろうというふうに思っています。 　いずれにせよ、今回の法制度、法案において、インシデント報告の具体的な範囲について今後検討をしていきますが、事業者の負担等にも配慮しつつ、今後、専門家の意見も伺いながら詳細な制度の検討を進めてまいりたいというふうに考えております。

お答えいたします。 　本法案では、まさに内閣総理大臣が整理、分析したサイバー攻撃による被害を防止するための情報を共有すること等により、構成員の重要電子計算機に対するサイバー攻撃による被害の防止をすることを目的として、情報共有及び対策に関する協議会を設置するわけでございますが、この目的の達成のためには、電子計算機の使用者のみならず、製品ベンダーやセキュリティーベンダーについても協議会に御参加いただいて、脆弱性情報や対策情報を共有することが必要になるわけであります。 　そのようなベンダーについては、外国企業も多いことを考えれば、協議会に参加いただくことは当然あり得るんだろうというふうに思います。ただし、当然こうした情報管理等に係る措置が十分に講じられないような可能性がある者については、そもそも協議会構成員には加えないというような運用になろうかというふうに思っております。