能動的サイバー防御法案の国会審議状況を適宜まとめています。
コメント以下部分は私見です。
1 通信情報の利用について
通信の秘密との関係
通信当事者の同意がない場合であっても、国・基幹インフラ事業者等の重要な機能がサイバー攻撃により損なわれることを防ぐという高い公益性があること、他の方法によっては実態の把握・分析が著しく困難である場合に限って通信情報の利用を行うこと、一定の機械的な情報のみを自動的な方法により選別して分析すること、独立性の高いサイバー通信情報監理委員会が審査や検査を行うことなどから、通信の秘密に対する制約が公共の福祉の観点から必要やむをえない限度にとどまる制度としている。コミュニケーションの本質的内容ではない機械的情報も通信の秘密との関係で適切に保護されなければならないと考えている。よって電子メールアドレスは非識別化している(2025年3月18日衆議院本会議 石破総理答弁)。
コメント 当事者協定には当てはまらないのではないか?
通信情報の利用の結果、選別され取得される「機械的情報」とは何か?
ホームページやSNSの場合については、例えばコンピューターの間で自動的に行われる接続先のウェブページのデータの送信を求める情報やその求めを受け入れた旨を知らせる情報が想定される(2025年3月18日衆議院本会議 石破総理答弁)
コメント ある人が何に関心を持っているのかにつながる情報が取得されうるということにならないか?ある意味図書館の利用履歴に匹敵する情報ではないか?
携帯電話の番号、LINEのアカウントも含まれる(2025年3月21日衆議院内閣委員会 小柳内閣官房内閣審議官答弁)
非識別化措置
メールアドレスの非識別化措置が必要なのは、メールアドレスに名前の文字列が含まれているような場合(2025年3月21日衆議院内閣委員会)
コメント メールアドレスに文字列が含まれていないとしても、広い範囲で発信に使っている場合などは個人識別可能なのではないか?
当事者協定について
当事者協定の当事者
基幹事業者として自治体も含まれる(2025年3月21日衆議院内閣委員会 政府答弁)
法文上は役務の利用者であれば対象となりうるが、実際には数に限りがある(2025年3月21日衆議院内閣委員会 政府答弁)
当事者協定の締結
不利益な取り扱いを背景として協定を締結しても、それは同意に基づく協定とは言えず、そのような協定に基づく通信情報の利用は通信の秘密との関係で問題をはらむ。よって、政府としては、協定に応じなかった事業者に不利益を与えることはない(2025年3月21日衆議院内閣委員会 平デジタル大臣答弁)
内々通信情報の取得
効果的な分析を行うのに必要な場合には、当事者の合意を得た上で、一定量の通信情報を取得することはありうるし、その中に内々通信が入ることはありうる。しかし、本法案で内閣総理大臣が分析できるのは外内通信情報のみ(2025年3月21日衆議院内閣委員会 平デジタル大臣答弁)
当事者協定により内閣総理大臣が得る通信情報の内容
事業者のサイトに接続した利用者の住所、電話番号等が含まれる可能性はある(2025年3月21日衆議院内閣委員会 政府答弁)
当事者協定による通信情報の利用と通信の秘密
自動的な方法によって、不正な通信と関係があると考えられる機械的情報のみを選別の対象とし、分析の対象としている。選別された情報はサイバー防御以外の目的のための目的での利用を原則として禁止している。独立機関によるチェックもある。よって問題とはならない(2025年3月21日衆議院内閣委員会 平デジタル大臣答弁)
コメント 23条4項により、当事者協定で得られた選別後通信情報について内閣総理大臣は自由に使えるので、大臣答弁は誤り。サイバー防御の必要性を要件としない当事者協定による通信情報の利用規定は通信の秘密との関係で大きな問題をはらむ。
協定の公表
事業者の希望を踏まえて個別に考える(2025年3月26日衆議院内閣委員会 政府答弁)
コメント 事業者とやりとりする市民は、何もわからないまま、通信情報を取られ続けることになりかねない。
個々の市民の同意
事業者において、政府に提供される通信情報に特定個人の情報が含まれるかどうかを判断するのが困難であることから、ここの特定個人の同意を得るのも困難
目的外利用
(目的外利用禁止規定が当事者協定の場合には適用されないが)選別後通信情報は一定のサイバー攻撃に関連する機械情報なので、サイバー防御の目的にのみ通常使われる(2025年3月26日衆議院内閣委員会 政府答弁)
コメント 政府が悪用する危険性についてあまりにも無頓着
当事者協定の目的外利用としては、サイバーセキュリティ強化のため、他の行政機関やセキュルティ会社に提供することを想定している(2025年4月4日衆議院内閣委員会 平サイバー担当大臣答弁)
警察や自衛隊にも、目的外利用できるとの規定は準用される(2025年3月26日衆議院内閣委員会 政府答弁)
(選別後通信情報が市民監視に使われないか?)一定のサイバー攻撃に関するものとして選別された情報なので、広い市民の情報が含まれるものではない(2025年3月26日衆議院内閣委員会 政府答弁)
得られた情報で武力攻撃事態を認定することはありうる(2025年4月2日衆議院内閣委員会 平サイバー大臣答弁)
選別後通信情報の捜査利用
(選別後通信情報を捜査利用するのではないかとの質問に対し)通信の本質的内容を含まないので、捜査に利用するのは限定的例外的場合。捜査利用する場合は令状を取得する(2025年4月2日衆議院内閣委員会 政府答弁)
捜査目的とサイバー防御目的は異なるので、選別後通信情報を捜査利用することはできない(2025年4月2日衆議院内閣委員会 政府答弁)
コメント 答弁が矛盾している。前者は捜査利用ができることを前提にした答弁。アクセス・無害化のために警察に提供された選別後通信情報をわざわざ令状で差し押さえする?
個人情報保護法
個人識別される機械的情報については個人情報保護法が適用される(2025年3月26日衆議院内閣委員会 政府答弁)
外国政府への提供
攻撃インフラの網羅的な把握のために外国政府と共同しての分析が必要な場合、外国にあるサーバーへの対応を依頼する場合が考えられる(2025年4月2日衆議院内閣委員会 政府答弁)
提供できるのは、情報を扱う職員を必要最小限に制限している、目的外利用を禁止している、アクセス制限などから、内閣総理大臣が行っている措置と同等と明示的に確認できる場合(2025年4月2日衆議院内閣委員会 政府答弁)
重要電子計算機以外への攻撃の場合
武力攻撃がされているときは、重要電子計算機以外の電子計算機に攻撃がされている場合でも、重要電子計算機に攻撃がされていると推認され、通信情報の利用をなしうる(2025年4月4日衆議院内閣委員会 政府答弁)
コメント 対象を広げすぎではないか
2 アクセス・無害化措置
アクセス・無害化措置の国際法上の違法性
対抗措置や緊急避難として違法性が阻却されうる。アクセス・無害化措置は、国や重要インフラなどに対する重大なサイバー攻撃を認知、人の生命身体財産への重大な危害を防止する緊急の必要があるときなどに公共の秩序の維持の観点から警察権の範囲内で攻撃サーバー等にアクセスして不正プログラムを無害化する措置などを想定している。このアクセス・無害化措置は、比例原則に基づき、目的を達成するために必要最小限度の措置として行われるものであり、措置の対象となるサーバー等に物理的被害や機能喪失などその本来の機能に大きな影響が生ずることは想定していない。(2025年3月18日衆議院本会議 石破総理答弁)。
コメント 想定されると言っている内容が条文と整合しない。
緊急状態とは、国によるある行為が、重大かつ急迫した危険から不可欠の利益を守るための唯一の手段であり、相手国などの不可欠の利益に対する深刻な侵害とならないといった一定の要件を満たす場合に当該行為の違法性が阻却されるという考え方(2025年3月18日衆議院本会議 石破総理答弁)。
コメント 答弁で説明している緊急状態と条文と整合しない。
(違法性阻却事由がある場合にだけ行使しうることを明確化する条文にすべきではないかとの質問に対し)外務大臣が違法性阻却事由について確認するので、そのような条文にする必要はない(2025年4月2日衆議院本会議 国家公安委員長答弁)
コメント 警職法の条文が緊急避難法理の要件を満たしていないことは政府も認めている
緊急の必要性とは?
いつでもサイバー攻撃が敢行されてもおかしくないという状況にあるとき。例えば、マルウェアの感染を発見し、いまだ発動していないが、C2サーバーと定期的に通信を行っていることが認められるため攻撃者の意図次第でいつでもサイバー攻撃が行われると認められる場合(2025年3月19日衆議院内閣委員会 飯島内閣官房内閣審議会答弁)
コメント:緊急避難の要件を満たすためには、「おかしくないとき」ではなく、「いつでもサイバー攻撃が敢行されるおそれがあるとき」であることが必要なのではないか?具体例も、攻撃者が即座に攻撃を意図していることを認定できなくても緊急の必要性を認めるというものであり、これでは緊急性の要件を満たすとは言えないのではないか?
アクセス・無害化措置を行う基準
国毎の事情を考慮するかどうか等の具体的な基準については、敵を利することになるので明らかにできない(2025年4月4日衆議院内閣委員会 政府答弁)
防御対象となるインフラ
重要インフラなどに限られず、特段の限定はない(2025年4月2日衆議院内閣委員会 政府答弁)
6条との違い
6条の2は、サイバー空間における瞬時拡散性から、「重大な危害をもたらすおそれ」との要件をもうけている(2025年4月4日衆議院内閣委員会 平サイバー大臣答弁)
自衛隊がアクセス・無害化措置を行う場合
特に高度に組織的かつ計画的な行為というのは、国が行うことを想定しているが、国が行う場合に限られない(2025年3月18日衆議院本会議 石破総理答弁)。
例えば、国家のリソースを投ずることなどによって、最適な攻撃機会を狙って、対象システム内に長期間にわたって潜伏できる、高い組織性や計画性を有し、高度な堅牢性を備えた攻撃インフラを構築し、未知の脆弱性やマルウェアなどの高度な手法を用いるなどの特徴を有する場合(2025年3月21日衆議院内閣委員会 政府答弁)
委員会の承認を得るいとまがない特段の事由
サイバー攻撃により基幹インフラ事業者に現に重大な障害が発生している状況が想定される(2025年3月18日衆議院本会議 石破総理答弁)。
委員会には暇がないことの疎明資料も提出する(2025年4月2日衆議院本会議 石破総理答弁)。
外務大臣との協議
外務大臣の同意がない限り無害化措置はしない(2025年3月21日衆議院内閣委員会 飯島内閣官房内閣審議会答弁)
外務大臣は、同意にあたり、無害化措置が国際法上の違法性阻却事由を満たすかどうかなどを検討する(2025年3月21日衆議院内閣委員会 政府答弁)
外務大臣は、国際法上許されない措置については、同意しない(2025年4月2日衆議院内閣委員会 外務大臣答弁)。
アクセス無害化措置の方針決定や関係省庁間の平素からの連携の中で外交的観点も考慮される(2025年4月2日衆議院内閣委員会 外務大臣答弁)。
外務大臣が同意するにあたっては、国際法上違法かどうかだけで判断する(2025年4月4日衆議院内閣委員会 石破総理大臣答弁)。
アクセス・無害化措置の手順
NSCの四大臣会合で対処方針を定め、内閣官房の新組織(新NISC)がサイバー安全保障担当大臣の指導を受け、NSSと連携して総合調整機能を発揮し、共通の方針のもとで警察と自衛隊が緊密に連携して対処(2025年3月26日、4月4日衆議院内閣委員会 平デジタル大臣答弁)
キャンペーン毎に四大臣会合を開く(2025年4月4日衆議院内閣委員会 政府答弁)
アクセス・無害化措置の具体的やり方
攻撃等に使用されているサーバー等に対し遠隔からログインを行い、当該サーバー等にインストールされているプログラムなどを確認した上で、当該サーバー等が攻撃に用いられないよう、インストールされている攻撃のためのプログラムの停止、削除や、攻撃者が当該サーバーにアクセスできないような設定変更が想定されている(2025年3月18日衆議院本会議 石破総理答弁)。
警察からプロバイダにIPアドレス情報の提供を求めることは想定していない(2025年4月2日衆議院内閣委員会 国家公安委員会委員長答弁)。
自衛隊、防衛庁がプロバイダにIPアドレス情報の提供を求める意義は小さい(2025年4月2日衆議院内閣委員会 防衛大臣政務官答弁)。
得られる情報
アクセス・無害化措置の過程で、個人識別が可能な通信情報を取得することはありうる(2025年4月2日衆議院内閣委員会 平サイバー大臣答弁)。
取得した通信情報は危害防止以外には使わない(2025年4月2日衆議院内閣委員会 平サイバー大臣答弁)。
コメント そのように言える条文上の根拠がない
取得した情報を捜査に使うことは想定していない(2025年4月4日衆議院内閣委員会 政府答弁)。
コメント 条文上禁止されていないのではないか
令状主義
刑事責任追及に結び付く作用を有するものではなく、重大な危害の防止という極めて公益性の高い目的のもとで実施するものであり、制約される権利の程度は合理的かつ必要な最小限度にとどまることなどから、過去の判例に照らしても裁判所の令状は要しない。さらに適正手続きの観点からサイバー通信情報監理委員会の事前承認等を得ることとしており、令状主義の形骸化といった指摘はあたらない(2025年3月18日衆議院本会議 石破総理答弁)
コメント:アクセスで得られた情報が刑事責任追及に使われない保証はないので、令状主義の問題は残るのではないか?海外での捜査として許されないのではないか?
武力攻撃事態での対応
防衛出動の一環としてサイバー行動することがありうる。それは本法案とは別に行われる(2025年3月21日衆議院内閣委員会 政府答弁)
武力該当性
通常兵器による有形力の行使と同様の深刻な被害をもたらすことは想定されず、武力の行使には該当しない(2025年4月4日衆議院内閣委員会 平サイバー大臣答弁)
警察の海外での権限行使
警察法は国外での警察の権限行使を排除しておらず、警職法も海外で適用できる。海外における捜査は国際捜査共助によるが、アクセス・無害化は捜査ではなく、警職法に基づく危害防止措置(2025年4月2日衆議院内閣委員会 国家公安委員長答弁)
誤って損害を与えた場合
国内の場合は国家賠償法により対応。国外の場合は国家責任条文において個々のケースに応じ判断するが、一概にこたえるのは困難。原状回復、損害賠償、陳謝、再発の防止等により責任を解除することとなり、相手国の国内法も踏まえつつ、個別に適切に対応(2025年4月2日衆議院内閣委員会 平サイバー大臣答弁)
原状回復について国内法がなくとも、憲法98条にもとづき、必要な対応をしていくことになる(2025年4月2日衆議院内閣委員会 政府答弁)
必要最小限度として許される範囲
必要最小限のアクセス・無害化措置は、システムを壊さないようなもの。武力の行使の場合はシステム破壊まで許容される(2025年4月2日衆議院内閣委員会 政府答弁)。
3 第三者委員会
国会への報告内容
アクセス・無害化措置の承認申請・承認件数、事後通知の件数、同意によらない通信情報取得申請の件数、第三者委員会の勧告の概要、職員に対する懲戒請求の概要(2025年3月26日衆議院内閣委員会 平サイバー大臣答弁)
コメント これでは平常の制度運用について国会は実質的にはチェック不可能
自衛隊の措置について国会にその都度報告するのは利敵行為になり相当ではない(2025年3月26日衆議院内閣委員会 平サイバー大臣答弁)
自衛隊による防護措置の特別の必要、措置が必要であったのか、特定不正行為の内容、防護の対象となる重要電子計算機、実施した措置の内容(自衛隊、警察とも)、当該措置を実施した期間(自衛隊、警察とも)、警察庁との連携、事前承認か事後の通知かの国会報告について、一律に明文化するのは、敵に手の内をさらすことになるので難しい。国会からの要請があれば法令に基づき適切に対応(2025年4月2日衆議院内閣委員会 平サイバー大臣答弁)
政府の能力、態勢を示す情報を国会に出すことには慎重であるべき。それ以外については検討の余地hがある(2025年4月4日衆議院内閣委員会 平サイバー大臣答弁)
クリアランス
重要経済安保情報保護法で委員長はクリアランス対象外。委員について除外するかどうかは法成立後、内閣府と協議。専門委員、職員はクリアランスが必要(2025年4月2日衆議院内閣委員会 平サイバー大臣答弁)
第三者委員会は特定秘密、重要経済安保情報を取り扱うことがありうる(2025年4月2日衆議院内閣委員会 平サイバー大臣答弁)。
審査基準
警察等は、対象サーバーが攻撃を行っていると判断した根拠、防御のための措置の内容など委員会に示し、委員会は危害防止のために通常認められる措置と認められるかなど、当該承認の求めが適切かどうか判断することとなり、比例原則に沿わない場合には委員会は承認をしない(2025年4月2日衆議院内閣委員会 平サイバー大臣答弁)。
アクセス・無害化措置の審査単位
特定のサーバーを特定して審査を求めるが、複数のサーバーを特定して審査を求めることもありうる。個別の攻撃毎に審査を求める。ボルトタイフーンという攻撃者で審査を求めるのではなく、攻撃パターン毎に審査を求める(2025年4月2日衆議院内閣委員会 平サイバー大臣答弁)。
検査
実地検査においてシステムを実地検査することはありうる(2025年4月2日衆議院内閣委員会 平サイバー大臣答弁)
内々通信記録がないかどうかはIPアドレスの記録(紙、電磁的記録)を検査して調べることになるが、システム内の記録を検査することもありうる(2025年4月2日衆議院内閣委員会 政府答弁)
継続的検査は、委員会において、保有期間が行う通知や状況を踏まえ、必要に応じて資料の提示を求めるという方法、定期的に保有期間に資料の提出を求める方法、必要に応じて実地検査を行い、または保有期間の職員に説明を求めるという方法、これらの組み合わせなどが考えられる(2025年4月2日衆議院内閣委員会 政府答弁)
(抜き打ち検査がなされるという理解でよいかとの質問に対し)良い(2025年4月2日衆議院内閣委員会 平サイバー大臣答弁)
第4 その他
基本方針についてパブコメに付すことはありうる(2025年4月2日衆議院内閣委員会 政府答弁)。
サイバー攻撃のみで武力攻撃とみなすことはありうる(2025年4月4日衆議院内閣委員会 政府答弁)。
さいとうゆたか法律事務所トップはこちらです。
