2018年2月

サイバーセキュリティ情報の共有に関する二法案(サイバーセキュリティ基本法の一部を改正する法律案及び電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律案)の概要

板倉 陽一郎



1 はじめに
第196回国会(常会)においては,サイバーセキュリティ情報の共有に関する二法案(サイバーセキュリティ基本法の一部を改正する法律案及び電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律案)が提出予定であるとされている(注1)。これらについては広く事業者に関連する施策が含まれている可能性があるものの,必ずしも広く報道等がなされているようにはみられないところ,本稿執筆時点(平成30年2月9日)での公表情報から判明している範囲で概要をお伝えする。

2 サイバーセキュリティ情報の共有に関して立法が必要な理由
事業者の保有する営業秘密や顧客情報等の情報資産を狙ったサイバー攻撃は顕著に増加しており,内閣サイバーセキュリティ戦略本部が次期サイバーセキュリティ戦略(現行のサイバーセキュリティ戦略は平成27年9月4日閣議決定)の検討を行うにあたっても,「経済社会の変化に伴い実空間(フィジカル空間)との一体化が進むサイバー空間を踏まえ、サプライチェーンにおけるリスクの増大や国家の関与が疑われる事案も含め、急速に深刻化・巧妙化する脅威について、現状及び将来の見通し、さらにはその対策」を検討することとされている(注2)。
サイバーセキュリティ情報,特に具体的なサイバー攻撃の情報については,可能な限り迅速に行われるべきであり,しかも,国の行政機関,独立行政法人等の公的機関,地方公共団体,民間事業者を跨いで行われる必要がある。抽象的な情報の共有自体は既に現行のサイバーセキュリティ基本法(平成26年法律第104号)に規定されており,例えば,13条は国の責務として「…国の行政機関、独立行政法人及び特殊法人等の間におけるサイバーセキュリティに関する情報の共有その他の必要な施策を講ずる」ことを定めているし,同様に14条では重要社会基盤事業者等の「…情報の共有その他の自主的な取組の促進その他の必要な施策を講ずる」とし,「国は、関係府省相互間の連携の強化を図るとともに、国、地方公共団体、重要社会基盤事業者、サイバー関連事業者等の多様な主体が相互に連携してサイバーセキュリティに関する施策に取り組むことができるよう必要な施策を講ずるものとする。」(16条)ともされている。しかしながら,これらの規定はいわゆるプログラム規定であって,情報の保護に関する規定の違反について違法性を阻却する根拠にはならない。具体的には,国の行政機関でいえば,国家公務員法(昭和22年法律第120号)上の秘密保持義務(100条1項),行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号)における提供禁止(8条1項),民間事業者でいえば個人情報の保護に関する法律(平成15年法律第57号)における第三者提供禁止(23条1項),電気通信事業法(昭和59年法律第86号)における電気通信事業者の通信の秘密保持義務(4条1項)が存在しており,民事上の人格権や知的財産権にも配慮しなければならない。具体的なサイバー攻撃に関する情報(流出等した個人情報の本人に関する情報を含む)を国の行政機関,独立行政法人等の公的機関,地方公共団体,民間事業者をまたいで共有しようとすれば,プログラム規定ではなく,違法性を阻却できる具体的な規定が必要になる。今回の二法案は,基本的にはそのような具体的な規定を定めるものであると考えられるのである。

3 法案の概要
(1) サイバーセキュリティ基本法の一部を改正する法律案
「サイバーセキュリティに対する脅威の一層の深刻化に鑑み、サイバーセキュリティに関する施策の推進に関し必要な協議を行うため、サイバーセキュリティ戦略本部長及びその委嘱を受けた国務大臣その他関係事業者等を構成員とするサイバーセキュリティ協議会(仮称)を組織するものとするとともに、サイバーセキュリティに関する事象が発生した場合における国内外の関係者との連絡調整に関する事務をサイバーセキュリティ戦略本部の所掌事務に追加する等の措置を講ずる。」とされている(国会提出予定時期:3月上旬)。サイバーセキュリティ協議会(仮称)については,法案の資料によると,「サイバーセキュリティに対する脅威が一層深刻化する中、我が国におけるサイバーセキュリティの確保を促進し、2020年東京オリンピック・パラリンピック競技大会の開催に万全を期すため、官民の多様な主体が相互に連携し、サイバーセキュリティに関する施策の推進に係る協議を行うための協議会を創設する等の措置を講ずる」ことを趣旨とし,サイバーセキュリティ協議会(仮称)については,「サイバーセキュリティ戦略本部長・副本部長等は、多様な主体が相互に連携し、戦略的かつ迅速な情報共有を図り、必要な対策等について協議を行うための協議会を組織する」と説明されている。イメージ図では,「専門機関等から得られた脅威情報を戦略的かつ迅速に共有」とされているため,個別の事業者等は「専門機関等」に情報を提供し,専門機関等が「脅威情報」として整理した上で共有することが想定される。

内閣提出予定法律案等概要
内閣提出予定法律案等概要
http://ishigamitoshio.com/activity/topic_images/20180119000748.pdf
より引用

(2) 電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律案
「情報通信技術の進展に対応し、電気通信役務の円滑な提供を確保するとともにその利用者の利益を保護するため、サイバー攻撃の送信元となる電気通信設備への対処に係る制度、電気通信番号計画(仮称)その他電気通信番号に係る制度並びに電気通信業務の休止及び廃止に係る情報の整理及び好評の制度の新設等の措置を講ずる。」とされている(国会提出予定時期:3月上旬)。法案の資料では,「1. サイバ一攻撃の送信元となる電気通信設備への対処に係る制度の新設」との項目で,「サイバー攻撃の送信元となるマルウェアに感染した電気通信設備について電気通信事業者間の情報共有を行う者の認定及び脆弱なパスワードを用いるマルウェアに感染しやすい電気通信設備について国立研究開発法人情報通信研究機構(NICT)による調査の実施に関する制度等を新設する。」とされており,情報共有に係る事業を行うものが認定されるという制度が想定されていることが分かる。より具体的には,総務省「円滑なインターネット利用環境の確保に関する検討会 対応の方向性(案)」(注3) において「…各電気通信事業者が個々に情報の収集、分析、共有を行うだけでは十分な成果を上げることができないことを勘案すれば、電気通信事業者が連携して DDoS 攻撃等に関する通信や C&C サーバとの通信等に係る情報を集積した上で、集中的に情報の分析、検証を行い、その結果を広く共有するという対策が求められる。この点においても、電気通信事業者等における情報共有の結節点となって、DDoS 攻撃等の抑止や予防に必要な情報を収集し、適切に共有できるような主体を設けることが必要」とされており(「2.基本的な考え方」),電気通信事業者間で,具体的なサイバー攻撃に関する通信の情報そのものを共有することが想定されているように思われる。

4 まとめ
第196回国会(常会)において提出予定のサイバーセキュリティ情報の共有に関する二法案(サイバーセキュリティ基本法の一部を改正する法律案及び電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律案)は,具体的なサイバー攻撃に関する情報を含むサイバーセキュリティに関する情報を共有するための方策を含むことを見てきた。サイバーセキュリティ基本法の一部を改正する法律案では,内閣サイバーセキュリティセンター内におかれるサイバーセキュリティ協議会(仮称)が情報共有に関する事務を担うのに対し,電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律案においては認定を受けた主体が情報共有に関する業務を行うことが想定されている。また,後者において取り扱われる情報の方が,より具体的なサイバー攻撃に関する通信の情報そのものを想定しているように思われる。
どの程度の粒度の情報が共有されるのか,共有が義務的なのか任意的なのか等については具体的な条文等を待つほかないが,現時点では,情報を提供することになる事業者や地方公共団体として,どのように情報共有に対応するかについての心構えを持っておくべきであろう。

以上



(注1) 第196回国会(常会)における内閣提出予定法律案等の情報については,山本拓衆議院議員のウェブサイト
http://yamamototaku.jp/196houan_yotei/
及び石上としお参議院議員のウェブサイト
http://ishigamitoshio.com/activity/2018/01/190000.html
を参照した。平成30年1月18日段階の政府資料に基づくものであり,その後,国会提出・成立段階までに内容の変更があり得ることを予め付言する。

(注2)サイバーセキュリティ戦略本部第16回会合(平成30年1月17日)資料1「次期サイバーセキュリティ戦略の検討について」
https://www.nisc.go.jp/conference/cs/dai16/pdf/16shiryou01.pdf

(注3)総務省「円滑なインターネット利用環境の確保に関する検討会」の検討によるものであり,平成29年12月27日から平成30年1月18日まで意見募集に付された。
http://www.soumu.go.jp/menu_news/s-news/01kiban18_01000034.html
平成30年2月9日に第3回が予定されている。

↑TOP