門松貴

お答えいたします。 　御指摘の重要インフラ事業者と基幹インフラ事業者でございますが、共に国民生活及び経済活動の基盤となるインフラ事業を行う者を指すわけでございますが、このうち、まず重要インフラ事業者。 　これは、サイバーセキュリティ基本法に基づきまして、その機能が停止し、又は低下した場合に国民生活又は経済活動に多大な影響を及ぼすおそれが生じるものに関する事業を行う者が幅広く、幅広く位置付けられているということでございまして、先ほど先生からもお話がありました、自主的かつ積極的にサイバーセキュリティーの確保に努めることが求められているというものでございます。 　一方で、基幹インフラ事業者でございますが、こちらは、経済安保推進法に基づきまして、その安定的な提供に支障が生じた場合に国家及び国民の安全を損なう、安全を損なう事態を生じるおそれがあるものの提供を行う者として二百十五者に限り指定され

お答えいたします。 　基幹インフラ事業者でございますが、サイバー攻撃によりそのシステムに障害が発生した場合、国家及び国民の安全を損なう事態が生じるおそれがあるということでございまして、官民連携してサイバーセキュリティーの確保に取り組む必要性が特に高いということで、一定の電子計算機を導入した場合の届出であったりとか、サイバーセキュリティーインシデントが発生した場合等の報告を義務付けるということとさせていただいております。 　政府としては、これから、これらの情報を整理、分析をするとともに、サイバー攻撃による被害の防止に必要な情報を政府が事業者に提供するなど官民双方向での情報共有を促進することとしておるわけでございますが、まさに先生御指摘のとおりで、これらの取組の実効性あるものとするためには、業界ごとのシステム特性に配慮するなど、例えば設備産業であったら、例えば電力とかですね、設備産業であれ

お答えいたします。 　もう先生御指摘のとおりでございまして、まず、この法案では、基幹インフラ事業者に対しまして、一定の電子計算機を導入した場合の届出、サイバーセキュリティーインシデントが発生した場合の報告を義務付けておるわけでございますが、加えまして、協議会の構成員に対しまして資料の提出など必要な協力を求めることができることとしているところでございまして、これらの中には、事業者にとって機微な情報、これが含まれることもあり得るということは十分承知をしております。 　その上で、この本法案においては、政府が取得した情報に係る安全管理措置を講じなければならないということを明確化し、また、情報提供に際しては関係者の権利利益の保護に配慮しなければならないとして、さらに、関係業務に従事する職員等の守秘義務についても規定をしているということでございまして、守秘義務に違反した場合の罰則については、国家公

お答えいたします。 　第四条で規定されている特定重要電子計算機の届出、これ法律では特別社会基盤事業者に対する届出なんですが、これまあ要は基幹インフラ事業者のことですが、基幹インフラ事業者に対して届出を求める特定重要電子計算機の具体的な範囲でございます。 　例えば、よく言われるファイアウォールであったりとかＶＰＮ装置と言われる、要するに事業者の内部システムと外部のインターネットの接点となるような機器、これを届出いただくと。また、認証サーバーとよく言われますが、システム管理において重大な役割を果たしている機器、こういうものを想定しているということでございます。 　ただ、その上で、それぞれの具体的な範囲ですが、これ今後政令で規定していくことになると思いますが、業界ごとのシステムの特性、これをよく配慮した上で、事業者の皆様、また専門家の御意見賜りながら丁寧に制度設計をし、御相談しながら進めて

お答えいたします。 　基幹インフラ事業者から届出をいただきました特定重要電子計算機の情報についてですが、これ、政府において整理、分析を行った上でですが、当該機器を供給したベンダーさん、また基幹インフラ事業者に対して、政府が把握した公表前、公表前の脆弱性情報を迅速に提供を行って守りを固めていただくといったようなことを考えていたり、また、ベンダーに対しまして、脆弱性が悪用されたかどうかの確認方法など必要な情報提供を要請する、こういったことに活用してまいりたいと考えております。 　これらの取組によりまして、政府として、基幹インフラ事業者のサイバーセキュリティー確保に万全を期してまいりたいというふうに考えておるということでございます。

お答えいたします。 　本法案においては、特定重要電子計算機に係る特定侵害事象又は今御指摘がありました当該特定侵害事象の原因となり得る事象として主務省令で定めているものの発生を認知した場合にインシデント報告ということとなっております。 　このうち、特に特定侵害事象の原因となり得る事象でございますが、特定重要電子計算機に保管されているシステム管理者等のＩＤ、パスワードが窃取され、システム全体への広範な攻撃が可能になった、可能になったような段階、そういったことが判明した場合であったりとか、特定重要電子計算機において、マルウェア自身、自体は見付かっていない状態でもその実行された痕跡が残っていると、そういった場合、そういったことが判明した場合について報告を求めることを想定をしております。 　この報告対象が不明確な場合、事業者が判断に迷うというのは御指摘のとおりでございまして、先ほど大臣から、内

お答えいたします。 　現行のサイバーセキュリティ基本法に基づくサイバーセキュリティ協議会、こちらは、官民が相互に連携することで、サイバーセキュリティーの確保に資する情報を官民で迅速に共有できるようにするものであります。 　その上で、現行の協議会の機能に加えて、本法案の、情報共有及び対策に関する協議会、これについては、まず、政府が新たな権限の下で収集した情報を内閣総理大臣が整理、分析し、その結果をサイバー攻撃による被害防止のために協議会の構成員に共有する、その旨がまず規定されておりまして、また、政府が保有する秘匿性の高い情報についても共有できるように、協議会の構成員による安全管理措置を法定したほか、守秘義務違反に対する罰則の引上げ、これも行っておりまして、こうした点が主な違いになっておるということでございます。

お答えいたします。 　先生御指摘のとおりの、情報共有及び対策に関する協議会におきましては、サイバー攻撃の目的や背景など一定の機微な情報について取り扱うことを想定しております。そのため、構成員に対しては、情報の安全管理措置や守秘義務を求めた上で、秘匿性の高い情報を含めた情報提供を行うということとしており、これを基本にしております。 　その際に、重要経済安保情報を共有すること、これも考えられます。こうした情報の共有を希望する協議会の構成員に対しては、適合事業者に認定した上で、取り扱うことが見込まれる者に必要な適性評価を実施するといったことを今考えておるということでございます。

お答えいたします。 　先生からも御指摘いただいていますように、有識者会議では、産業界をサイバー安全保障の顧客としても位置づけることが重要、また、政府が率先して情報提供し、官民双方向の情報共有を促進すべきと御提言をいただいたところでございます。 　この背景を率直に申しますと、これまで内閣サイバーセキュリティセンターでは、ともすると民間事業者に対して一方的な情報提供を求めて十分なフィードバックが行われないといったような批判があったことも事実であります。 　こうした反省を踏まえまして、情報提供に貢献した民間事業者に対しては政府の側から積極的にフィードバックを行うなど、情報提供を行うことにメリットを感じていただける制度運用、これに努めてまいりたいというふうに考えております。これにより、官民双方向の情報共有が我が国全体のサイバーセキュリティーの対策強化につながるという好循環を実現できる仕組みに

お答えいたします。 　御指摘のとおり、サイバー安全保障の実効性を高めるためには、演習などを通じましてサイバー攻撃への対処体制の有効性を検証して、継続的な改善を図ることが重要であると認識をしております。 　政府としては、情報通信、電力、金融などの重要インフラ事業者が、また、協議会メンバー、ＩＳＡＣ等が参加いたしまして、また、事情が許す限り閣僚も参加して実施をする全分野一斉演習、これを二〇〇六年から毎年継続的に実施をしております。さらには、昨年度から、各組織の連携に焦点を当てた官民連携演習を新たに実施しております。こうした演習を通じまして、一定の対処経験を積むことで実践的対応力の強化を図っているということでございます。 　今後は、更に演習体制の強化を検討いたしまして、重要インフラ事業者等におけるインシデント対処能力の向上、また官民連携の強化に取り組んでまいりたいと考えております。