「サイバー空間における安全保障」について

2014.6.11

○高木(美)委員 公明党の高木美智代でございます。

今、集団的自衛権につきましては、目に見える安全保障ということで、議論は広く行われている最中でございます。一方で、コンピューターネットワークのいわゆる仮想的空間、サイバー空間における安全保障も急務でございます。

昨今の報道によりますと、米中間におきましても、中国の一方的な海洋進出をめぐる対立の激化に加えまして、サイバー空間におきましても、中国軍所属の五人が米企業に対してサイバー攻撃を仕掛けた、それによりまして起訴されたという事例も伝えられております。我が国におきましても、こうしたサイバーセキュリティ基本法成立は急務であると考えております。

我が党の遠山議員におかれましては、サイバー攻撃対処検討委員会の委員長として活躍をいただきまして、また、先般は平井座長を中心に、与党サイバーセキュリティ体制強化に関するワーキングチームということで、約四回議論を重ねまして、野党にも働きかけ、本日、委員長提案の運びとなったことを私は高く評価させていただきたいと思います。私もワーキングチームの一員に加えさせていただきました。

まず、遠山議員にお伺いいたします。

本法案を閣法ではなくて議員立法とした趣旨につきまして、その立法意思、また主なポイント等を含めまして、国民の皆様によくおわかりになりますように、説明をお願いしたいと思います。

〔委員長退席、橘委員長代理着席〕

○遠山委員 高木議員におかれましては、先ほど御自身でもおっしゃっておりましたとおり、与党のワーキングチームで一緒に議論をしながら本法案をつくり上げたわけでございまして、私からも感謝を申し上げたいと思います。

また、当委員会の与野党の理事を初め委員の皆様から御理解をいただきまして、本日、提案に至りましたこと、大変感無量に思っているところでございます。

ただいま御質問ございました、今回なぜ議員立法なのかということでございますが、先ほど来、平井議員からるる御答弁がありましたとおり、我が国は現在大変なサイバー攻撃にさらされておりまして、これは、国家の政府機関に対するもの、あるいは国会そのものに対するもの、また重要インフラを担う事業者に対するもの、さまざまございます。危機は相当深刻な状況にあるというふうに認識をしております。

また、先ほども御答弁ありました、スマートフォンの急速な普及、あるいは自動車とか家電製品がインターネットに接続されるようになってきておりまして、こうしたものもサイバー攻撃の対象になっているという状況から、脅威が拡散しているというふうに思っております。

私も、公明党内の先ほどおっしゃっていただいた立場上、さまざまな調査研究、ヒアリングをしてまいりました。

私が個人的に一番驚いたのは、スマートフォンをウイルスに感染させまして、持ち主が知らない間にスマートフォンの録音機能をオンにして、例えば、一時間ひそかにそれを録音して、ファイルにして、さらに御丁寧にその添付ファイルをウイルスが指定する電子メールの宛先に送る。まさに、昔でいいますと007の映画の中で出てくる秘密兵器のようなことが現在行われている、現実に。持ち主は気づかないそうでございます。ですから、私たちの個人的な会話を一時間とられて、知らないところの電子メールに送られて、それでも本人は気づかないという、攻撃というか、ツールが既にあるということも専門家から伺いました。

また、これは有名な話でございますが、昨年だったと思いますけれども、アメリカのハッキングの公開実験の場で、ネットにつながったトヨタのプリウスがハッキングされて、ドライバーが右折しようとしているときに左折させるということを実際に実演したということも報道されているわけでございます。

このような状況に鑑みまして、サイバーセキュリティーに関する基本理念あるいは基本的施策、それらを強い政治的なリーダーシップのもとで推進するための基本的枠組みを立法府が明確化することによって、政府のみならず、民間も含めて、関係者が一丸となって、スピード感を持って対策に取り組むことが必要であるというふうに思っております。

そのためにも、今回、サイバーセキュリティーに関する施策を総合的かつ効果的に推進するための法律を議員立法として制定することは大変な意義があると思っておりますし、また喫緊の課題でありまして、ぜひ、本日の審議を経て、参議院に送付をしていただいて、今国会で成立をさせていただきたいと心から期待をしているところでございます。

以上です。

○高木(美)委員 ありがとうございました。

今お話を伺いながら、我が国でも、最近、治安のための監視カメラが数万台、もっと大きな規模かもしれませんが、配備されておりますが、その監視カメラを踏み台にしたり、あと、パソコンのルーターを持ち歩いている方も多くいらっしゃいますが、そこからマルウエアが拡散されたり、本当にさまざまな事例が伝えられているところでございます。

こういう問題意識を含めまして、昨年、内閣委員会の代表メンバーで、平井議員を先頭にエストニアを訪問いたしまして、そこでの説明が、やはり私は立法化への確信となりました。世界一のIT国家であるエストニアは、国政レベルの電子投票、デジタル署名、医療のIDカード、e―Policeなどを実現しております。ITを活用することによって、国民にとっても企業にとっても、社会がより便利になり、効率的になるからという説明でした。

二〇〇七年、先ほどもお話ありましたとおり、大規模なサイバー攻撃を受けまして、政府のシステムはダウンしなかったけれども怖かったということを政府関係者は異口同音に語っておりました。そこで結論としておっしゃっていたことは、セキュリティーを確保するためには、開発デザインの段階から機密性を考慮すること、また、一〇〇%のセキュリティーはあり得ないので、リスクマネジメントを考えることが重要、こうしたお話を伺いました。

我が国におけるサイバー空間の信頼性と安全性を確保するためには、この法案の第二条にありますが、「サイバーセキュリティ」の定義に、「必要な措置が講じられ、その状態が適切に維持管理されていることをいう。」このようにありますように、サイバー空間の衛生を確保する、安全性と信頼性、クリーンな状態で感染をしない、また、そのような機器を推奨する、心配なものは輸入しないというような、こういう衛生を確保することが基本であると考えます。

このために本法律案にはどのようなことが定められているのか、遠山議員に伺います。

○遠山委員 お答え申し上げます。

本法案では、サイバーセキュリティーの確保のために、国や地方公共団体、また、先ほども申し上げました重要インフラ事業者、サイバー関連事業者あるいは教育機関等の関係者の責務、そして、国民については努力について定めるとともに、これらのおのおのの主体者が責務を果たせるよう、国が行うべき基本的な施策について定めております。

少し具体的に申し上げますと、例えば、地方公共団体、地方の自治体やあるいは中小企業がもちろん自主的にサイバーセキュリティーの確保に努めていただくことを責務として規定をする一方で、国がこれらの主体の各種相談に応じ、必要な情報の提供や助言を行う旨も規定をしているわけでございます。

この点につきましては、与党の協議の中でも、私ども公明党の方から、もちろん、国やあるいは大手企業も、必ずしもサイバーセキュリティーについての十分な人材が確保されているとは言いがたい面もございますが、そうは言っても、高木議員の御指摘でもあったわけですけれども、日本の企業の九十数%を占める中小零細企業の皆様方は、日進月歩でどんどん技術が高度化をしているサイバー空間の事柄について、必ずしも十分に対応していくことができないという状況でございますので、やはり大事なことは、国がしっかりと、中小零細企業の皆さんでサイバーセキュリティーを確保したいという意向を持っておられる方々に丁寧に相談に応じ、必要な、そして適切かつ専門的なアドバイスを提供していくということが大事なのではないかというふうに思っております。

なお、国民につきましては、サイバーセキュリティーの確保に必要な注意を払うように努める旨が規定されているわけでございますが、この点につきましても、国がサイバーセキュリティーに関する教育及び学習の振興を図る努力、また、啓発及び知識の普及、こういったことに取り組む、その他の必要な施策もしっかりと講じていくことが大事だと思っております。

最後に、個人的に付言をさせていただければ、先ほどの平井委員の答弁にもありましたように、サイバーセキュリティーに関する人材の育成と確保に、やはり予算もしっかり増額をして、日本全体として取り組むことが重要ではないかというふうに考えておりまして、ぜひとも、今回の法律、これは基本法案でございますから、基本法に基づいてできることをしながら、また、それぞれの専門的な分野においてとるべき必要な施策については官民一体となってしっかりと取り組むべきである、このように考えております。

以上です。

○高木(美)委員 ありがとうございました。

それでは、この法案に規定しております地方公共団体、重要社会基盤事業者、サイバー関連事業者、また中小企業者等々、順次、時間の許す限り伺ってまいりたいと思います。

まず、地方公共団体の責務につきましては、これは、今マイナンバー制度を進めておりますが、この対応にも相当苦労しているというのが自治体の状況でございまして、私は、果たしてこのサイバーセキュリティーに対して十分取り組めるのか、懸念を持っております。相当な支援が必要なのではないかと思います。

そこで、まずNISCの谷脇審議官にお伺いいたしますが、今、地方公共団体向けに安全指針等を策定されております。自治体ごとに当然対応に差があると思います。十分に普及をしていないのではないか、また、安全指針とはどのようなもので、地方公共団体による対応状況がどうなっているのか、また今後どうされるのか、お伺いをしたいと思います。

あわせまして、総務省におきましては、マイナンバー制度を踏まえた支援、またJ―LIS、地方公共団体情報システム機構を通じた支援、同様の質問でございますので、NISCと総務省から順次答弁をお願いしたいと思います。

○谷脇政府参考人 お答え申し上げます。

私ども内閣官房情報セキュリティセンター、NISCでございますけれども、におきましては、地方公共団体を含みますいわゆる重要インフラ分野におけるITの障害が国民生活等に重大な影響を及ぼさないよう、IT障害の未然防止及び再発防止の双方の観点から必要な情報セキュリティー対策を盛り込みました安全基準の整備、浸透を図るため、分野横断的に必要度の高い対策項目を収録いたしましたガイドラインを策定しているところでございます。

そして、これを踏まえまして、総務省におきましては、地方公共団体向けのガイドラインを策定しておりまして、各地方公共団体におきましては、これらを参考といたしまして、情報セキュリティーポリシーの策定や、あるいは組織、体制の整備等を図っているところでございます。

また、NISCにおきましては、所管省庁と連携をいたしまして、重要インフラ各分野の安全基準につきまして、その浸透状況等を毎年調査しております。そして、重要インフラ事業者等の情報セキュリティー水準の向上に努めているところでございます。

そして、この調査結果によりますと、地方公共団体によっては残念ながら対応が十分ではないというところもあるところでございまして、私どもNISCといたしましては、総務省と連携しつつ、引き続き、地方公共団体の情報セキュリティー水準の一層の向上に向けて取り組んでまいりたいと考えております。

○山崎政府参考人 お答え申し上げます。

平成二十七年十月に予定されておりますマイナンバー制度の導入に向けました各地方公共団体の支援につきましては、これまで、全国説明会をいたしまして、さらに四十七都道府県で現地説明会等を実施しております。番号制度の概要、それからスケジュール、必要な作業のほか、肝心でございますが、マイナンバー制度に対応した個人情報保護措置として地方公共団体に求められる制度面、技術面、体制面で講ずべき措置などについて説明し、適切な対応を支援してきたところでございます。

引き続き、現地説明会等をさらに実施いたしまして、必要な情報提供を行うとともに、各省庁と連携いたしまして、きめ細やかな対応をしてまいりたいと思います。

総務省といたしましては、先ほどNISCの方からお話がありましたが、地方公共団体の情報セキュリティー対策全般を支援するために、情報セキュリティポリシーガイドラインの提示をしております。それから、サイバー攻撃等の注意喚起情報の提供、情報セキュリティーに関する人材育成などの支援を行っておりまして、今御指摘のありました地方公共団体情報システム機構とも緊密に連携した上で実施しております。

今後も引き続き、地方公共団体に対しまして、情報セキュリティー対策の向上に資するよう必要な支援を行うとともに、セキュリティーポリシー遵守の徹底など、セキュリティー対策に万全を期すように促してまいりたいと思います。

○高木(美)委員 恐らく、そういう情報、ガイドライン等を出されますと、多分それがベンダーに行く、地方公共団体はそこに丸投げをするというところもあるようです。ですので、ベンダーロックインという今の状況を踏まえまして、地方自治体がどのように人材を確保しながら、そこで自分たちのシステム、また自治体クラウド等々活用を含めまして進められるか。

当然、そこには、先ほど来、本法案に規定されておりますサイバーセキュリティー、また個人情報保護の問題等々あると思いますので、そうした総合的な相談に、しっかりと自治体の相談に乗っていただきますように重ねて要請をさせていただきたいと思います。

それでは、中小企業者による自発的なサイバーセキュリティーに対する取り組みを促進するためにも、国による具体的な支援が必要と考えます。経済産業省の対応を伺います。

○石川政府参考人 お答えさせていただきます。

中小企業でございますけれども、御指摘のとおり、やはり非常に難しい問題がございまして、例えば、専門人材を雇用する余裕がないために、セキュリティー対策についての情報やノウハウが不足しているというようなこと、また、セキュリティー対策に必要な機器やソフトの購入などのために資金上の制約があるといったような問題があるというふうに考えております。

このため、私どもの方といたしましても、例えば、中小企業の情報セキュリティ対策ガイドラインというものをつくらせていただきまして、平成二十一年三月から、全国の商工会議所、自治体などと連携しまして、約六百五十回のセミナーや説明会を開催させていただきまして、きめ細かく御説明を申し上げております。

また、平成二十二年十月からは、情報セキュリティ安心相談窓口というものを専門機関に設置いたしておりまして、それぞれの細かい一般ユーザーの方からの御相談も含めまして、約五万四千件の御相談に対応させていただいてきております。

また、資金面でございますけれども、中小企業投資促進税制の中でセキュリティーのソフトウエアなどの購入も対象としておりまして、税額控除などが受けられるようにさせていただいております。

また、平成十二年度からは、日本政策金融公庫によりまして、IT活用促進資金という低利融資制度をつくらせていただいておりますが、こちらでもまた、セキュリティーなどの関係機器などにも低利融資をお使いいただけるようにさせていただいております。

今後とも、こういった中小企業の対応につきまして、積極的に支援をさせていただきたいと考えております。

以上でございます。

○高木(美)委員 相談窓口の設置等、取り組みにつきまして、さらに本法案の成立を機に強化をお願いしたいと思います。

最後に、国民に対して、このサイバーセキュリティーの確保に努めるために、普及啓発、具体的な対策等々、また相談に応じたり助言することなどが必要かと思います。三月十八日がサイバーの日というお話だったでしょうか。そういうことも含めまして、政府の対応につきまして谷脇審議官に答弁を求めます。

○谷脇政府参考人 お答え申し上げます。

委員御指摘のとおり、国民に対するサイバーセキュリティーの普及啓発につきまして、私どもNISCは、関係省庁等と連携をいたしまして、イベントの実施、パンフレットの作成、あるいはインターネットを通じた情報提供等を行っているところでございます。特に、毎年二月を情報セキュリティ月間といたしまして、産学官民が連携をいたしまして、これらの取り組みを集中的に実施しているところでございます。

各府省等におきましても、例えば、都道府県警察におきましては、企業、団体や教育機関等との連携による講演の実施等の取り組みを通じたサイバー犯罪の手口等の周知、また、総務省におきましては、インターネットサービスプロバイダー等と連携した、一般の利用者がウイルスサイトにアクセスしようとした際に注意喚起を発するプロジェクトであるACTIVEの実施、さらに、経済産業省におきましては、IPAによる情報セキュリティ安心相談窓口の設置や、小中高校生を対象としたセキュリティーに係るポスター、標語コンクールの実施等が行われているところでございます。

また、委員御指摘のとおり、ことしの三月十八日、サイバー訓練の日ということで、関係者が集まって情報共有訓練なども実施したところでございます。

政府といたしましては、本法案を踏まえまして、国民全体のサイバーセキュリティーへの関心の一層の増進を図る観点から、本年の夏ごろをめどに、新たな普及啓発プログラムの策定を進めているところでございます。

具体的には、多様な関係者が参画する協議会を通じまして、普及啓発活動を積極的に推進することのほか、情報セキュリティ月間の有効活用など、新たな施策の実施を含め、積極的に対応してまいりたいと考えているところでございます。

○高木(美)委員 さらに、国とそれから議員と一体となりまして、このプロモーション活動といいますか、普及啓発活動を強く進めてまいりたいと思います。

ありがとうございました。

ページ上部へ戻る