サイバーセキュリティ情報の共有に関する二法案（サイバーセキュリティ基本法の一部を改正する法律案及び電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律案）の概要

1 はじめに

第196回国会（常会）においては，サイバーセキュリティ情報の共有に関する二法案（サイバーセキュリティ基本法の一部を改正する法律案及び電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律案）が提出予定であるとされている（注1）。これらについては広く事業者に関連する施策が含まれている可能性があるものの，必ずしも広く報道等がなされているようにはみられないところ，本稿執筆時点（平成30年2月9日）での公表情報から判明している範囲で概要をお伝えする。

2 サイバーセキュリティ情報の共有に関して立法が必要な理由

事業者の保有する営業秘密や顧客情報等の情報資産を狙ったサイバー攻撃は顕著に増加しており，内閣サイバーセキュリティ戦略本部が次期サイバーセキュリティ戦略（現行のサイバーセキュリティ戦略は平成27年9月4日閣議決定）の検討を行うにあたっても，「経済社会の変化に伴い実空間（フィジカル空間）との一体化が進むサイバー空間を踏まえ、サプライチェーンにおけるリスクの増大や国家の関与が疑われる事案も含め、急速に深刻化・巧妙化する脅威について、現状及び将来の見通し、さらにはその対策」を検討することとされている（注2）。

サイバーセキュリティ情報，特に具体的なサイバー攻撃の情報については，可能な限り迅速に行われるべきであり，しかも，国の行政機関，独立行政法人等の公的機関，地方公共団体，民間事業者を跨いで行われる必要がある。抽象的な情報の共有自体は既に現行のサイバーセキュリティ基本法（平成26年法律第104号）に規定されており，例えば，13条は国の責務として「…国の行政機関、独立行政法人及び特殊法人等の間におけるサイバーセキュリティに関する情報の共有その他の必要な施策を講ずる」ことを定めているし，同様に14条では重要社会基盤事業者等の「…情報の共有その他の自主的な取組の促進その他の必要な施策を講ずる」とし，「国は、関係府省相互間の連携の強化を図るとともに、国、地方公共団体、重要社会基盤事業者、サイバー関連事業者等の多様な主体が相互に連携してサイバーセキュリティに関する施策に取り組むことができるよう必要な施策を講ずるものとする。」（16条）ともされている。しかしながら，これらの規定はいわゆるプログラム規定であって，情報の保護に関する規定の違反について違法性を阻却する根拠にはならない。具体的には，国の行政機関でいえば，国家公務員法（昭和22年法律第120号）上の秘密保持義務（100条1項），行政機関の保有する個人情報の保護に関する法律（平成15年法律第58号）における提供禁止（8条1項），民間事業者でいえば個人情報の保護に関する法律（平成15年法律第57号）における第三者提供禁止（23条1項），電気通信事業法（昭和59年法律第86号）における電気通信事業者の通信の秘密保持義務（4条1項）が存在しており，民事上の人格権や知的財産権にも配慮しなければならない。具体的なサイバー攻撃に関する情報（流出等した個人情報の本人に関する情報を含む）を国の行政機関，独立行政法人等の公的機関，地方公共団体，民間事業者をまたいで共有しようとすれば，プログラム規定ではなく，違法性を阻却できる具体的な規定が必要になる。今回の二法案は，基本的にはそのような具体的な規定を定めるものであると考えられるのである。

3 法案の概要

(1) サイバーセキュリティ基本法の一部を改正する法律案

「サイバーセキュリティに対する脅威の一層の深刻化に鑑み、サイバーセキュリティに関する施策の推進に関し必要な協議を行うため、サイバーセキュリティ戦略本部長及びその委嘱を受けた国務大臣その他関係事業者等を構成員とするサイバーセキュリティ協議会（仮称）を組織するものとするとともに、サイバーセキュリティに関する事象が発生した場合における国内外の関係者との連絡調整に関する事務をサイバーセキュリティ戦略本部の所掌事務に追加する等の措置を講ずる。」とされている（国会提出予定時期：3月上旬）。サイバーセキュリティ協議会（仮称）については，法案の資料によると，「サイバーセキュリティに対する脅威が一層深刻化する中、我が国におけるサイバーセキュリティの確保を促進し、2020年東京オリンピック・パラリンピック競技大会の開催に万全を期すため、官民の多様な主体が相互に連携し、サイバーセキュリティに関する施策の推進に係る協議を行うための協議会を創設する等の措置を講ずる」ことを趣旨とし，サイバーセキュリティ協議会（仮称）については，「サイバーセキュリティ戦略本部長・副本部長等は、多様な主体が相互に連携し、戦略的かつ迅速な情報共有を図り、必要な対策等について協議を行うための協議会を組織する」と説明されている。イメージ図では，「専門機関等から得られた脅威情報を戦略的かつ迅速に共有」とされているため，個別の事業者等は「専門機関等」に情報を提供し，専門機関等が「脅威情報」として整理した上で共有することが想定される。

内閣提出予定法律案等概要

http://ishigamitoshio.com/activity/topic_images/20180119000748.pdf

より引用

(2) 電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律案

「情報通信技術の進展に対応し、電気通信役務の円滑な提供を確保するとともにその利用者の利益を保護するため、サイバー攻撃の送信元となる電気通信設備への対処に係る制度、電気通信番号計画（仮称）その他電気通信番号に係る制度並びに電気通信業務の休止及び廃止に係る情報の整理及び好評の制度の新設等の措置を講ずる。」とされている（国会提出予定時期：3月上旬）。法案の資料では，「1. サイバ一攻撃の送信元となる電気通信設備への対処に係る制度の新設」との項目で，「サイバー攻撃の送信元となるマルウェアに感染した電気通信設備について電気通信事業者間の情報共有を行う者の認定及び脆弱なパスワードを用いるマルウェアに感染しやすい電気通信設備について国立研究開発法人情報通信研究機構(NICT)による調査の実施に関する制度等を新設する。」とされており，情報共有に係る事業を行うものが認定されるという制度が想定されていることが分かる。より具体的には，総務省「円滑なインターネット利用環境の確保に関する検討会 対応の方向性（案）」（注3） において「…各電気通信事業者が個々に情報の収集、分析、共有を行うだけでは十分な成果を上げることができないことを勘案すれば、電気通信事業者が連携して DDoS 攻撃等に関する通信や C&C サーバとの通信等に係る情報を集積した上で、集中的に情報の分析、検証を行い、その結果を広く共有するという対策が求められる。この点においても、電気通信事業者等における情報共有の結節点となって、DDoS 攻撃等の抑止や予防に必要な情報を収集し、適切に共有できるような主体を設けることが必要」とされており（「2.基本的な考え方」），電気通信事業者間で，具体的なサイバー攻撃に関する通信の情報そのものを共有することが想定されているように思われる。

4 まとめ

第196回国会（常会）において提出予定のサイバーセキュリティ情報の共有に関する二法案（サイバーセキュリティ基本法の一部を改正する法律案及び電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律案）は，具体的なサイバー攻撃に関する情報を含むサイバーセキュリティに関する情報を共有するための方策を含むことを見てきた。サイバーセキュリティ基本法の一部を改正する法律案では，内閣サイバーセキュリティセンター内におかれるサイバーセキュリティ協議会（仮称）が情報共有に関する事務を担うのに対し，電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律案においては認定を受けた主体が情報共有に関する業務を行うことが想定されている。また，後者において取り扱われる情報の方が，より具体的なサイバー攻撃に関する通信の情報そのものを想定しているように思われる。

どの程度の粒度の情報が共有されるのか，共有が義務的なのか任意的なのか等については具体的な条文等を待つほかないが，現時点では，情報を提供することになる事業者や地方公共団体として，どのように情報共有に対応するかについての心構えを持っておくべきであろう。

追記（平成30年3月9日）

電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律案は平成30年3月6日に，サイバーセキュリティ基本法の一部を改正する法律案は平成30年3月9日にそれぞれ閣議決定され，国会に提出された。具体的な条文を見てみると，以下のとおりである。

電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律案による改正後の電気通信事業法では，新第116条の2第1項で「認定送信型対電気通信設備サイバー攻撃対処協会」の認定を行えることを定め，同対処協会の業務の一つとして「一 会員である電気通信事業者であつて次のいずれにも該当するものの委託を受けて、ロ⑴又は⑵に定める者に対し、ロの通知を行うこと」（同2項1号）を定め，要件の一つである「ロ」において，「電気通信役務の提供条件において、その電気通信設備又はその利用者の電気通信設備が送信型対電気通信設備サイバー攻撃の送信先であることが特定された場合において、その業務上記録している通信履歴の電磁的記録により当該送信型対電気通信設備サイバー攻撃の送信元の電気通信設備が次の⑴又は⑵に掲げる者の電気通信設備であることが特定されたときは、当該⑴又は⑵に定める者に対し、当該通信履歴の電磁的記録を証拠として当該電気通信設備を送信元とする送信型対電気通信設備サイバー攻撃又はそのおそれへの対処を求める通知を行う旨を定めていること。」としている。要するに，当該電気通信事業者のサービスを受ける際には，送信型対電気通信設備サイバー攻撃又はそのおそれがあった場合には，その送信元の電気通信事業者に対してそのときの通信履歴の電磁的記録を証拠として，送信型対電気通信設備サイバー攻撃又はそのおそれに対処せよといいますよということを，定めているということである。また，「二 会員である電気通信事業者であつて次のいずれにも該当するものからロの通信履歴の電磁的記録の提供を受け、ロの調査及び研究を行うこと並びにその成果の普及を行うこと」として，当該電気通信事業者のサービスを受ける際には，送信元が不明な場合には認定送信型対電気通信設備サイバー攻撃対処協会に通信履歴の電磁的記録の提供を行う，ということを定めている場合には，その提供を受けて調査又は研究を行う，としているのである。つまり，認定送信型対電気通信設備サイバー攻撃対処協会への提供については，約款等を通じて同意を取得しておくようにということであり，その場合は当然に情報の保護に関する規定の違反について違法性が阻却されるが，複雑な立法の割には，サービスの約款で同意を取得しておく必要があるというのは，いささか，電気通信事業者の負担が大きいきらいはある。

サイバーセキュリティ基本法の一部を改正する法律案による改正後のサイバーセキュリティ基本法では，新第17条1項で，「第28条第1項に規定するサイバーセキュリティ戦略本部長及びその委嘱を受けた国務大臣（次項において「本部長等」という。）は、サイバーセキュリティに関する施策の推進に関し必要な協議を行うため、サイバーセキュリティ協議会（以下この条において「協議会」という。）を組織するものとする。」としてサイバーセキュリティ協議会の設置根拠を定め，第2項で「本部長等は、必要と認めるときは、協議して、協議会に、次に掲げる者を構成員として加えることができる。」として，①国の関係行政機関の長（本部長等を除く。），②地方公共団体又はその組織する団体，③重要社会基盤事業者又はその組織する団体，④サイバー関連事業者又はその組織する団体，⑤大学その他の教育研究機関又はその組織する団体，⑥その他本部長等が必要と認める者を構成員になりうるものとした。その上で，「協議会は、第一項の協議を行うため必要があると認めるときは、その構成員に対し、 。」として，協議会は構成員に資料提出要求等が行え，構成員はこれに応ずる義務があると定めた。「個別の事業者等は『専門機関等』に情報を提供し，専門機関等が『脅威情報』として整理した上で共有することが想定される」と想定したが，個別の事業者たる重要社会基盤事業者等も，その組織する団体（専門機関等）も，サイバーセキュリティ協議会に資料提出等を行うこととなる。構成員の，資料提出要求等への応答義務は，情報の保護に関する規定の違反について違法性を阻却する根拠になると解することができよう。

以上

（注1） 第196回国会（常会）における内閣提出予定法律案等の情報については，山本拓衆議院議員のウェブサイト http://yamamototaku.jp/196houan_yotei/

及び石上としお参議院議員のウェブサイト

http://ishigamitoshio.com/activity/2018/01/190000.html

を参照した。平成30年1月18日段階の政府資料に基づくものであり，その後，国会提出・成立段階までに内容の変更があり得ることを予め付言する。

（注2）サイバーセキュリティ戦略本部第16回会合（平成30年1月17日）資料１「次期サイバーセキュリティ戦略の検討について」

https://www.nisc.go.jp/conference/cs/dai16/pdf/16shiryou01.pdf

（注3）総務省「円滑なインターネット利用環境の確保に関する検討会」の検討によるものであり，平成29年12月27日から平成30年1月18日まで意見募集に付された。

http://www.soumu.go.jp/menu_news/s-news/01kiban18_01000034.html

平成30年2月9日に第3回が予定されている。