重徳和彦

○重徳委員　そこで、ちょっと確認的な意味も含めて質問なんですが、経団連から、今回、特定秘密とセキュリティークリアランスの法案が別の制度として設計されたということの結果、コンフィデンシャル情報は扱えるけれども特定秘密に当たるトップシークレット、シークレット情報には触れられないというのが今回のセキュリティークリアランスの資格であるということになってしまった。その結果、先ほど大臣、国によって制度がいろいろだというような言われ方もしましたけれども、ここで経済界が懸念をされているのは、我が国の事業者が、コンフィデンシャル情報のみに触れられる制度なんだけれども、仮に、海外においてはトップシークレットも触れられるんだよ、したがって、それ級のセキュリティークリアランスを海外から求められた場合に対応できないじゃないか、こういう指摘がございます。 　こういったことも承知の上でといいましょうか、大丈夫なんだと

○重徳委員　これはまた施行後も追いかけていかなくちゃいけないテーマだと思っております。 　ありがとうございました。

○重徳委員　立憲民主党の重徳和彦です。 　本日は、能動的サイバー防御について質問させていただきます。 　二〇二二年末に、政府は国家安全保障戦略を策定されました。時同じくして立憲民主党も、十二月二十日に外交・安全保障戦略の方向性という文書を発表いたしました。その中で、サイバー安全保障基本法のような包括的な立法を早急に検討すべきであるということを申し上げておりますが、いまだ政府からは肝腎なその法案が出てきていないという状況にあります。論点もたくさんありますので、この安全保障委員会の場で論じてみたいと思います。 　サイバー攻撃は、従来の火力による攻撃と異なる点も多いんですけれども、まず初めに、法律への当てはめを確認したいと思います。 　サイバー攻撃が武力攻撃事態と判断されるのは、どのような条件、どのような時点で誰が判断するのか、事態認定されたらどんな対処ができるのか、お答えください。

○重徳委員　ありがとうございます。 　個別に判断は当然のことですが、その攻撃が組織的、計画的であるかどうかなどを判断するということであります。いわば、従来型の火力による攻撃であろうとサイバー攻撃であろうと、類似する部分は当然たくさんあって、対処できることも、物理的な反撃を含めて、武力攻撃事態と認定されれば物理的な反撃も可能であると。 　ここまでは、ある意味当然のことだと思うんですが、問題は、サイバー攻撃が武力攻撃事態に至らない場合だと思うんですね。物理的な反撃は当然できないという段階であります。それでも、放置するとサイバー攻撃による被害が拡大するおそれがある場合もあるということで、その被害拡大を防止するために能動的サイバー防御を導入するということを、これは政府が言っているわけであります。 　ちょっと具体的に、アメリカの有名なサイバー事案を挙げてみたいと思います。二〇二一年五月、アメリ

○重徳委員　参考になるということでありますが、明言はされませんでしたけれども、基本的に、このコロニアル・パイプラインが武力攻撃事態だとはちょっと考えにくいのかなという趣旨の御答弁だと一応理解をしたいと思います。それは一つの海外での事例なので、当てはめる必要も別にないのかもしれませんが、ちょっと参考の事例として挙げさせていただきました。 　このときに、武力攻撃事態に該当しないとなると、やはり能動的サイバー防御を仕掛けたいということであります。でも、一番の恐らく問題は、攻撃者を特定するのが大変だということだと思います。アトリビューションというんですけれども、攻撃者の特定であります。 　そこで、今日お配りの政府の国家安全保障戦略二〇二二の、太文字にしております、アンダーラインを引いてあります（イ）というところに、「国内の通信事業者が役務提供する通信に係る情報を活用し、攻撃者による悪用が疑われ

○重徳委員　ありがとうございます。 　今、法制局の方から御答弁いただいたように、通信の秘密についても一定の制約に服すべき場合があるということでございます。 　そこで、政府に質問なんですけれども、サイバー上の攻撃者の特定は、通信の秘密との関係で、一定の制約に服すべき場合に当たり得るのではないかと思うんですけれども、いかがでしょうか。

○重徳委員　今検討中で、まさになかなか出てこないなという状況にあるわけですから、検討されているところだと思いますが、要するに、現状、日本には、攻撃者の特定、アトリビューションのための法制がないということであります。 　一方で、アメリカの先ほど御紹介したコロニアル・パイプラインのケースでは、これは具体的に犯行グループを突き止めているわけですから、これは攻撃者の特定を恐らくサイバー上も行っているのであろうということからすると、能動的サイバー防御といった法的根拠があるんだろうと思います。 　そして、まあ、それはアメリカの法律ですから、それはおいておいて、ただ、共通するものとしては国際法がありますよね。国際法上、アメリカのアトリビューションのための、今回、このコロニアル・パイプラインのケースで行われた行為というものがどのように評価されているのか。武力攻撃事態に至らない時点でありますので、国際法

○重徳委員　一般論としてでありますが、対抗措置又は緊急避難ということもあり得るだろうという御答弁でした。 　ちょっと重ねての質問になりますけれども、アメリカでは、国際法上も認められるであろう、こういったことができるわけですけれども、日本ではできないのはなぜですか。

○重徳委員　今、飯島審議官、二回繰り返されましたように、欧米主要国と同等以上に向上させるということでありますので、是非しっかり頑張っていただきたいと思います。 　今まで議論していたのは、何らかのサイバー攻撃が起こった後の対処についてであります。次に、まだ何も具体的には起こっていないんだけれども、いわば平時のサイバー空間の警戒監視、情報収集について質問をさせていただきたいと思います。 　本論は安全保障上の必要性がある場合の情報収集についてなんですけれども、安全保障以外にも日常的にサイバー空間の監視が必要な場面というのはいろいろあると思うんですけれども、現行法上、何ができるんですか。

○重徳委員　打合せとちょっと違う、防衛省にまとめて警察庁とか総務省とかがやっていることも答えていただくような打合せだったと思いますが、まあ、いいです、ややこしいので。 　時には、警察が令状を取って、通信傍受法という法律がありますので、それで捜査するという局面があると思います。これは安全保障そのものではありませんね。それから、被害を受けた、これは別に防衛上という意味じゃないですけれども、被害を受けた方の同意を得て通信事業者がＩＰアドレスを割り出すとかいうこともあるし、通信事業者がネットの運用を停止するとか、いろいろな場面が、防衛省以外の、平時の役割を果たしている。 　これらは、ちょっと事前に勉強させていただいたところ、当事者の同意を取っているとか、あるいは法律上、違法性の阻却と位置づけられているとか、かつ必要最小限度の範囲での制約を課すものである、こんなふうに位置づけられているということ