門松貴

お答えいたします。 　先生からも御指摘いただいていますように、有識者会議では、産業界をサイバー安全保障の顧客としても位置づけることが重要、また、政府が率先して情報提供し、官民双方向の情報共有を促進すべきと御提言をいただいたところでございます。 　この背景を率直に申しますと、これまで内閣サイバーセキュリティセンターでは、ともすると民間事業者に対して一方的な情報提供を求めて十分なフィードバックが行われないといったような批判があったことも事実であります。 　こうした反省を踏まえまして、情報提供に貢献した民間事業者に対しては政府の側から積極的にフィードバックを行うなど、情報提供を行うことにメリットを感じていただける制度運用、これに努めてまいりたいというふうに考えております。これにより、官民双方向の情報共有が我が国全体のサイバーセキュリティーの対策強化につながるという好循環を実現できる仕組みに

お答えいたします。 　御指摘のとおり、サイバー安全保障の実効性を高めるためには、演習などを通じましてサイバー攻撃への対処体制の有効性を検証して、継続的な改善を図ることが重要であると認識をしております。 　政府としては、情報通信、電力、金融などの重要インフラ事業者が、また、協議会メンバー、ＩＳＡＣ等が参加いたしまして、また、事情が許す限り閣僚も参加して実施をする全分野一斉演習、これを二〇〇六年から毎年継続的に実施をしております。さらには、昨年度から、各組織の連携に焦点を当てた官民連携演習を新たに実施しております。こうした演習を通じまして、一定の対処経験を積むことで実践的対応力の強化を図っているということでございます。 　今後は、更に演習体制の強化を検討いたしまして、重要インフラ事業者等におけるインシデント対処能力の向上、また官民連携の強化に取り組んでまいりたいと考えております。

お答えいたします。 　本法案では、複数の業界からのインシデント報告であったりとか通信情報の利用、協議会を通じた情報提供について規定しておりまして、政府はこれまで以上に情報収集能力を高めることができるようになるものと認識をしております。 　このため、サイバー攻撃が起こる前においてはその兆候、また実際にサイバー攻撃が起こった場合においてはその被害状況について、より速やか、かつ、より詳細に把握することができるようになりまして、インフラ事業者はもちろん、インフラ事業者以外の関係者に対しましても、対処の一環として、より有用な情報を提供することができるようになるものと考えております。 　今後、省令等によりしっかり詳細内容を定めてまいりますが、こうした制度を通じて、業界を横断するような大規模なサイバー攻撃に対してもより効果的に対応できるようにしてまいります。

お答えいたします。 　本法案では、政府がインシデント報告等によって取得した情報に関しては必要な安全管理措置を講じるということ、また、こうした情報に関わる職員に対して守秘義務を課す、さらには、守秘義務に違反した場合には国家公務員法の守秘義務違反より重い罰則を科することとしており、先生御指摘のような、企業から提供された情報につきましては、政府において適切に管理をしていく体制を取りたいというふうに思っております。 　一方で、情報を提供した企業以外に対して情報提供を行う場合、こうした場合には、秘匿性の高い情報を削除するなど、情報を提供した企業の権利利益に十分配慮したいというふうに思っております。 　こうした取組を通じて、企業からの懸念にしっかりと対応してまいりたいというふうに考えております。

お答えいたします。 　先生御指摘のとおり、電気通信事業者は情報通信やサイバー空間に関する深い知見を有しているということでございまして、例えば昨年開催されたサイバー安全保障での対応能力の向上に向けた有識者会議、こちらにおきましては、デジタルインフラは特に重要なインフラであるといった趣旨の指摘もございました。 　こうした中で、我が国のサイバーセキュリティー向上に向けた取組を推進するに当たりましては、電気通信事業者との連携を深めていく、これは重要だというふうに承知をしております。 　その上で、本法案で規定する協議会でございますが、電気通信事業者を始めとするサイバーセキュリティーに深い知見を有する事業者にも御参加いただきまして、その分析のノウハウ等も活用いただきながら、サイバー攻撃による被害防止のための取組を強化してまいりたいというふうに思っております。

お答えいたします。 　先生御指摘のとおり、現在、基幹インフラ事業者がサイバー攻撃を受けた場合には、法令等に基づきまして、業法等に基づくインフラ所管省庁への報告、また都道府県警への相談、通報であったりとか、個人情報保護委員会への報告が行われてきたところでございまして、内閣サイバーセキュリティセンターは、報告を受けたインフラ所管省庁等から情報提供を受けるという形になっておりました。一方で、石油分野を始めとして、基幹インフラ事業者であっても、法律に基づきサイバー攻撃に関連する報告を行う義務が明確に定まっていないといった分野も存在しているということも事実であります。 　こうした中で、本法案が成立した暁には、ウイルスが見つかったが基幹インフラ事業者としての業務には影響が生じていないといったような、これまでの業法等の基準ではインシデント報告の対象となるのか曖昧であったような情報も含めて、基幹インフ

お答えいたします。 　本法案でございますが、基幹インフラ事業者に対し特定重要電子計算機の届出を義務づけ、先生おっしゃるとおりでございまして、御指摘のとおり、事業者に対して過度な負担にならないようにすること、また、届出の明瞭な基準を示すことが制度の運用をしていく上で重要だというふうに、それはもう承知をしているところでございます。 　これらの具体的な運用方法を規定する主務省令を定めるに当たっては、事業者の予見可能性を高める、これが極めて重要だと承知をしておりまして、事業者や専門家の御意見も丁寧に伺いながら、業界ごとのシステム特性などを考慮しつつ、これは十五分野二百十五事業者が今指定されておるわけでございますが、みんな違うと思います。そんな中で、しっかりそういった特性を考慮しながら検討を進めてまいりたいというふうに考えております。

お答えいたします。 　経済安全保障推進法における導入等計画書の届出、これと、本法案における特定重要電子計算機の届出は違うものではあるんですが、一部届出の対象設備について重複するものがあることは事実であります。 　その上で、経済安全保障推進法は、特定重要設備が特定妨害行為の手段として使用されるおそれが大きいかどうかを事前に届出を求めて、その内容を審査するというプロセスを取ります。法目的上、それをせざるを得ません。一方で、本法案は、政府から基幹インフラ事業者に情報提供をするのが目的でありまして、特定重要設備の機能に影響を与えるネットワーク機器等を事後的にお届けいただくということでございます。 　それぞれの制度趣旨や届出のタイミングを踏まえると、両制度の手続を完全一体化するというのはなかなか難しいかなというふうに思っております。 　ただ、先生御指摘のとおりで、事業者の過度な負担にならない

お答えいたします。 　本件も、先生御指摘のとおりだと思います。 　本法案で、基幹インフラ事業者に対して、特定侵害事象等が発生した場合には、政府による対処や分析に必要な情報の報告を求めることを義務づけておるわけでございますが、御指摘のとおり、例えば、ＮＩＣＴに対する報告は、十三秒に一回とか、そんなものを全部報告するなんというのは不可能でありまして、効果的かつ効率的にどこまで御報告いただくかということは極めて重要だと思います。 　報告対象となる事象や報告方法等を明確にします。した上で、予見可能性を高めて、事業者の負担が過大にならないようにしていきたいと考えておりまして、この制度設計でも、事業者や専門家の皆さんの意見を十分に踏まえて対応してまいりたいと思います。

お答えいたします。 　先生御指摘のとおり、民間事業者から提供された情報については機微なものも含み得ることでございますので、本法案では、適切な管理が行われるよう安全管理措置や守秘義務等をきちんと規定をしておるということでございまして、本法案の施行に当たっては、必要な取組を講じることによって情報管理にも万全を期してまいりたいというふうに考えております。