門松貴

お答えいたします。 　先ほど先生からもお話ありましたこの協議会では、サイバーの専門家が求める技術情報であるとか経営者の判断に必要な攻撃目的に関する情報を積極的に提供していくことを想定しているわけでございますが、このほか、本法案では、協議会構成員の間で被害防止のための対策に関する事項等を協議できると規定をしています。 　例えば、公表されていない脆弱性情報の共有と分析であるとか、さらには日頃からの対応策など、各事業者におけるベストプラクティスを意見交換を行うといったようなことも想定して取組を行うことも考えられるということでございます。 　こうした取組通じまして、我が国のサイバーセキュリティーの強化に資するように、今後、事業者のニーズ踏まえながら、具体的な制度設計について関係者の御意見踏まえながら進めてまいりたいというふうに思っております。

お答えいたします。 　御指摘のとおりでございまして、第七十一条において、国の行政機関のほか、情報処理推進機構と情報通信研究機構について相互に緊密に連携し、協力しなければならない旨規定をしているわけでございます。 　両独立行政法人、いずれもサイバーセキュリティーに係る高い専門性と情報収集能力を有しているわけでございまして、日頃からサイバー空間の観測や分析、脆弱性情報の管理、事業者への支援、注意喚起を行っているわけでございます。 　本法案の中では、例えば第四十二条の部分ですが、脆弱性の対処について定められているところでございますが、これを例に取ると、両法人においては、例えば、まずＮＩＣＴさんの観測網との関係で、サイバー空間における脆弱性悪用情報を監視する内容を利用させていただいたり、ＩＰＡの早期警戒パートナーシップに基づく脆弱性情報の集約、管理、さらにはＮＩＣＴ、ＩＰＡ双方から電子計算機

お答えいたします。 　サイバーセキュリティ戦略本部では、まさに重要インフラのサイバーセキュリティに係る行動計画を策定しておりまして、情報通信、電力、金融等の十五分野を重要インフラとして指定した上で、障害対応体制の強化であったり、安全基準等の整備、浸透等に取り組んでまいりました。 　この特に安全基準等の整備、浸透の一環として、各重要インフラ分野に共通して求められるセキュリティー対策であります安全基準等策定指針を策定する等々によって重要インフラ事業者等の自主的な取組を促すというのがこれまででございました。 　今回、サイバーセキュリティ基本法の改正において、これらの取組を更に実効性を高めるといった観点から、戦略本部において、重要インフラを所管する各省庁が統一的に実施すべき施策の基準というものを作り、各省庁では統一基準に基づき重要インフラ事業者等に一定の対策を求めるといった施策を実施すること

お答えいたします。 　もう先生御指摘のとおりでございまして、行政機関が自らサイバーセキュリティーの確保についてふだんからきちんと確認をして是正していくことは重要でございます。 　国家安全保障戦略においても、最新のサイバー脅威に常に対応できるようにすると、そのために、政府機関のシステムを常時評価して、政府機関の脅威対策やシステムの脆弱性等を随時是正するための仕組みを構築するというふうに書かれているところでございます。これに関して、今回の法改正によって、サイバーセキュリティーの確保の状況の評価、これが戦略本部の新たな事務として追加されることになっております。 　これまで、各政府機関の情報システムに対して生じた脅威等については、内閣サイバーセキュリティセンターが各省庁に対して自主的な対応を求めるということを行ってまいったわけでございますが、今回の改正によって、こうした取組が戦略本部長である

お答えいたします。 　本法案において、基幹インフラ事業者が使用する電子計算機のうち、そのサイバーセキュリティーが害される場合において、特定重要設備の機能が停止し、又は低下するおそれがあるもの、これを特定重要電子計算機と定義をしておるわけでございます。 　その上で、この特定重要電子計算機の具体的な範囲でございますが、例えば、ファイアウォールやＶＰＮ装置などといった特別社会基盤事業者の内部システムと外部システム、外部のインターネットとの接点となるような機器であったりとか、認証サーバーといったシステムの管理において重大な役割を果たしている機器等を想定しております。今後、業界ごとのシステム特性などを考慮しつつ、事業者、専門家の御意見聞きながら具体的な対象範囲を検討していきたいと考えております。 　また、届出を求める内容でございますが、今後、主務省令で定めていくこととしておりますが、先ほど御指

お答えいたします。 　御指摘の協議会でございます。構成員における被害の防止を図るため、政府からは、サイバーの専門家が求める技術情報や経営者の判断に必要な攻撃目的等に関する情報を積極的に提供していくということを想定しておりまして、こうした情報の中には攻撃者の詳細な活動状況やインフラ設備の具体的な脆弱性といった秘匿性の高い情報も含まれ得ることが想定されるというものでございます。こうした秘匿性の高い情報も共有できるように、協議会構成員に対しては一定の情報管理や守秘義務を義務付けるということにしております。 　さらに加えて、一定の機微な情報についても適切な情報管理の下で事業者が取り扱えるようにするために、セキュリティークリアランス制度の活用についても必要な検討をしていくということでございます。

お答えいたします。 　協議会の構成員に関しましては、基幹インフラ十五業種に該当する事業者や、これら事業者との取引がある事業者、すなわち先生御指摘のとおりでございますが、それに加えまして、基幹インフラ事業者には該当しないインフラ事業者であったりとか、システムやソフトウェアの提供やセキュリティー対策を行うベンダー、さらには機微技術を保有する事業者などにも必要に応じて参加していただくということを想定しております。

お答えいたします。 　協議会の運営でございます。現在、様々、専門家の皆様、関係業界の皆様と御相談しながら制度設計進めているところですので、一概に申し上げられるわけではありませんが、共有する情報の内容や目的、参加人数、これは適切に設定しないと効率的な会議にならないのではないかというのは、まさに問題意識持って今検討を進めているところでございます。 　具体的に、会議形式であれば、こういったこのサイバーセキュリティーの分野は通常、参集型とオンライン型をうまく使い分けながら効率的にやるという会議が多いと思います。そういうこともしっかり考えつつ、また、情報共有システムをうまく活用しようなんというのも普通の動きだと思いますので、そういうことは考えながら進めたいと思いますし、また、名前は適切かどうかあれですが、分科会というかグループ構成、こういったものを考えながら、基幹インフラ事業者の分野や業種、業態

お答えいたします。 　協議会においては、参加する構成員は、政府から被害の防止のための情報提供を受けることができる一方で、協議会で知り得た情報の適正な管理や、被害の防止のための必要な情報に関する資料について求めがあった場合にはその提出といった対応、これが必要になるということでございます。そのため、これ内閣総理大臣が必要と認める場合に構成員として協議会に参加いただくに当たっては、当事者から事前の同意を得る、先生御指摘のとおりであります。 　御指摘のこの事前の同意を得るに当たっては、これも先ほどおっしゃったとおりで、求められる対応事項について丁寧に説明する、これは極めて必要ですし、これ政府、当然としてしっかりやりたいというふうに思っています。また、この同意を得る方法については、これ当然、御指摘の方法、書面とかそういう形になろうかと思います。まだ決まっておりませんが、当然、適切なものになるよう

お答えいたします。 　強制でエンフォースして入る出るということではないものですから、まさに入る出るの御意思というのがあるというところがあるので同意という形になるわけですね。本当にそういう意思があったのかというのは、同意が何かにエビデンスとして残っていないといけないわけですから、おっしゃったような書面とかそういうことは当然想定し得るものだと思いますので、決まっていませんが、そういった運用に当然になるのではないかというふうに思っております。