サイバーセキュリティ:4月14日の内閣委員会における質疑ご報告
4月14日、内閣委員会においてサイバーセキュリティ基本法改正案について質問に立たせていただき、議事録が公開されました(http://kokkai.ndl.go.jp/SENTAKU/sangiin/190/0058/19004140058010a.html)。
テクニカルな部分もありますが、日本の将来に重要な分野でもあり、4回に分けて細かく報告させていただきます。第1回となる今回は、サイバーセキュリティ基本法が経済活動やネット上の自由に偏り、国の安全分野が希薄なことに鑑み、二年前にこの法律が成立した際の付則及び参議院の付帯決議で要求されたことについて政府が対応していないことについてです。
最初に担当の遠藤大臣に対して、サイバーセキュリティ基本法でサイバーセキュリティ戦略本部が法制化され、その事務を担う内閣サイバーセキュリティセンター(NISC)が内閣官房組織令で規定されて、両者の権限強化がなされた評価を尋ねました。これに対し遠藤大臣は、「本部長による監督権等が規定されたことにより、従来の枠組みに比べ各省庁に対するサイバーセキュリティーに対する権限が強化をされました。昨年の年金機構の情報流出事案についても、厚生労働大臣に勧告を行ったところであります」と答弁しました。
ところが、法律の附則第二条は、NISCを法令化ではなく、法制化により規定するよう求めていたのに、今回の改正ではこの法制化規定を削除し、法律で定めないままに放置されたのです。法制化により、年金機構における情報漏えいにも対処ができるようになったと評価しているのに、付則で要求されている事項を無視するのはおかしいと質しました。すると大臣は、政令で定めたと開き直りました。
そこで小生から、①国会の意思として法制化が求められていること、②平成26年5月の情報セキュリティ政策会議でもNISCの法制化が承認されていること、③サイバーセキュリティ本部の法制化により、年金機構に関するサイバー攻撃による情報流出事案にも適切に対処できたと大臣自身が認めていること、を指摘したうえで、法律によりNISCを規定すべきではないのか、と質しました。また、上位のサイバーセキュリティ本部は法制化され、NISCが業務を委託する独法については今回の改正で法律により規定されるのに、その中間にあるNISCのみが法律で規定されないのはアンバランスであると指摘しました。
これに対し大臣は、「附則第二条の中に、「情報セキュリティセンターの法制化を含む。」というふうな文言になっておりますが、この法制化には法律と政令と両方あると承知をしております。そこで、内閣法の第二十五条には「内閣官房の所掌事務を遂行するため必要な内部組織については、政令で定める。」と書いてありますので、そのような形で決めたということでありますので、アンバランスではない」とわけのわからない答弁を行ったのです。
そこで小生より、付則二条には自民党を含めた与野党で賛成したものであり、NISCの権限を法律により規定するよう、改めて求めました。これに対し大臣からは、「引き続き検討していきたい」との答弁がありました。
次に、サイバーセキュリティ基本法付帯決議で規定された、情報通信関連機器等の安全性に関する基準については防護対象の重要性の段階に応じたものにすることについて、政府は何を行ったのかと質しました。これに対して遠藤大臣は、①特に重要な情報を扱うシステムについてはインターネットから分離を求め、残るインターネットに接続するシステムについては業務のリスクに応じて優先順位を付した上で多重防御を図ることとしている、②政府全体としてインターネット接続口の集約化を図ることにより、監視や防御をより効果的、効率的にする取組を進めている、③重要インフラの情報セキュリティ対策に係る第三次行動計画において、重要インフラサービスの持続的な提供のため、経営層がリスク源の評価及びそれに基づく優先順位を含む方針を決定する、④重要インフラとしての機能保証の考え方に立脚し、サイバー攻撃に対する体制強化を推進するため、平成二十八年度末を目途に行動計画を見直す、といった対策を行っているとの答弁がありました。
これでは、重要インフラへの対策を除けば、運用もしくは今後の対策にとどまっており、付帯決議から2年間、誠実な対応がなされたとは考えられず、残念です。そこで質問を変えて、この「機器等の安全」について具体的に尋ねました。つまり、ハードウエア・トロージャン・ディテクションは国内技術で対処できないと理解するが、半導体のチップはの輸入が増えており、こういったチップの中に悪意のあるものが埋め込まれているといった懸念が高まっているところ、政府はいかなる対策を行っているのかと質しました。
すると、さすがにこの質問は大臣では処理できずに政府参考人から、本年一月に閣議決定した第五期の科学技術基本計画において、ハードウエアの真正性を確認する技術等の開発およびその社会実装を推進することとしており、戦略的イノベーション創造プログラムの課題として研究開発を進めている、との答弁がありました。つまり、現時点では、安全性の基準を定める以前の段階であり、2年前に指摘した懸念は解決の緒についたにすぎません。
次に、やはり付帯決議で指摘した防護対象の重要性の段階に応じた対応について、以前委員会で、韓国などでは、現実の世界で安全保障上の脅威が起きたときにはレッドアラートとかイエローアラートとか段階を設け、現実の世界に対応したサイバー上の危機対応を行っているが、政府は段階に応じた対応を検討してきたのか、と質しました。これに対しては、今後とも頑張ります的な、実質無回答でした。
続けて、付帯決議で応急した「実効性のある帯域制御の在り方」について、平時における帯域制御の運用基準に関するガイドラインについては承知するものの、前提がサイバーセキュリティーであることに鑑み、有事の際のISP側での帯域制御についてはどんな検討を行い、いかなる措置を施したか、と質しました。すると、わざわざ有事の際のと前提を付しているにもかかわらず、ふざけたことに総務省の政府参考人から、平時の帯域制限についてのみ答弁がありました。しかもこれは2015年から講じられている措置なので、付帯決議で国会が要求したことに応えるものではありません。
このように、政府はサイバーセキュリティの重要性を口では喧伝しながらも、法律が要求したい付則は無視して削除し、国会の付帯決議に真摯に取り組まない有様です。小生からは、「附則第二条では、法律では規定をしない。それから、段階に応じた、政府統一基準だけではないものについては、重要インフラはやるけれども、ほかはやらない。そして、技術の確立についてはまだ道半ばである。それから、重要性の段階に応じた防護対象の対応については、やはりやっていない。それから、ISP側の実効性のある帯域制御の在り方については、別途有事については検討していない。これが我が国会が求めたことに対する政府の対応の現状であります。新しく内閣が提出する法律があるのであれば、こういったものはしっかりと対応してから法律出すというのは当然の話だと私は思います。大臣、改めてお伺いをさせていただきますけれども、国会が要求をいたしました法律そして附帯決議について、真摯にもう一度御検討いただけるということを明確に御答弁をいただけないでしょうか」と要求しました。すると大臣からは、引続きの検討というお役人答弁がありました。
テクニカルな部分もありますが、日本の将来に重要な分野でもあり、4回に分けて細かく報告させていただきます。第1回となる今回は、サイバーセキュリティ基本法が経済活動やネット上の自由に偏り、国の安全分野が希薄なことに鑑み、二年前にこの法律が成立した際の付則及び参議院の付帯決議で要求されたことについて政府が対応していないことについてです。
最初に担当の遠藤大臣に対して、サイバーセキュリティ基本法でサイバーセキュリティ戦略本部が法制化され、その事務を担う内閣サイバーセキュリティセンター(NISC)が内閣官房組織令で規定されて、両者の権限強化がなされた評価を尋ねました。これに対し遠藤大臣は、「本部長による監督権等が規定されたことにより、従来の枠組みに比べ各省庁に対するサイバーセキュリティーに対する権限が強化をされました。昨年の年金機構の情報流出事案についても、厚生労働大臣に勧告を行ったところであります」と答弁しました。
ところが、法律の附則第二条は、NISCを法令化ではなく、法制化により規定するよう求めていたのに、今回の改正ではこの法制化規定を削除し、法律で定めないままに放置されたのです。法制化により、年金機構における情報漏えいにも対処ができるようになったと評価しているのに、付則で要求されている事項を無視するのはおかしいと質しました。すると大臣は、政令で定めたと開き直りました。
そこで小生から、①国会の意思として法制化が求められていること、②平成26年5月の情報セキュリティ政策会議でもNISCの法制化が承認されていること、③サイバーセキュリティ本部の法制化により、年金機構に関するサイバー攻撃による情報流出事案にも適切に対処できたと大臣自身が認めていること、を指摘したうえで、法律によりNISCを規定すべきではないのか、と質しました。また、上位のサイバーセキュリティ本部は法制化され、NISCが業務を委託する独法については今回の改正で法律により規定されるのに、その中間にあるNISCのみが法律で規定されないのはアンバランスであると指摘しました。
これに対し大臣は、「附則第二条の中に、「情報セキュリティセンターの法制化を含む。」というふうな文言になっておりますが、この法制化には法律と政令と両方あると承知をしております。そこで、内閣法の第二十五条には「内閣官房の所掌事務を遂行するため必要な内部組織については、政令で定める。」と書いてありますので、そのような形で決めたということでありますので、アンバランスではない」とわけのわからない答弁を行ったのです。
そこで小生より、付則二条には自民党を含めた与野党で賛成したものであり、NISCの権限を法律により規定するよう、改めて求めました。これに対し大臣からは、「引き続き検討していきたい」との答弁がありました。
次に、サイバーセキュリティ基本法付帯決議で規定された、情報通信関連機器等の安全性に関する基準については防護対象の重要性の段階に応じたものにすることについて、政府は何を行ったのかと質しました。これに対して遠藤大臣は、①特に重要な情報を扱うシステムについてはインターネットから分離を求め、残るインターネットに接続するシステムについては業務のリスクに応じて優先順位を付した上で多重防御を図ることとしている、②政府全体としてインターネット接続口の集約化を図ることにより、監視や防御をより効果的、効率的にする取組を進めている、③重要インフラの情報セキュリティ対策に係る第三次行動計画において、重要インフラサービスの持続的な提供のため、経営層がリスク源の評価及びそれに基づく優先順位を含む方針を決定する、④重要インフラとしての機能保証の考え方に立脚し、サイバー攻撃に対する体制強化を推進するため、平成二十八年度末を目途に行動計画を見直す、といった対策を行っているとの答弁がありました。
これでは、重要インフラへの対策を除けば、運用もしくは今後の対策にとどまっており、付帯決議から2年間、誠実な対応がなされたとは考えられず、残念です。そこで質問を変えて、この「機器等の安全」について具体的に尋ねました。つまり、ハードウエア・トロージャン・ディテクションは国内技術で対処できないと理解するが、半導体のチップはの輸入が増えており、こういったチップの中に悪意のあるものが埋め込まれているといった懸念が高まっているところ、政府はいかなる対策を行っているのかと質しました。
すると、さすがにこの質問は大臣では処理できずに政府参考人から、本年一月に閣議決定した第五期の科学技術基本計画において、ハードウエアの真正性を確認する技術等の開発およびその社会実装を推進することとしており、戦略的イノベーション創造プログラムの課題として研究開発を進めている、との答弁がありました。つまり、現時点では、安全性の基準を定める以前の段階であり、2年前に指摘した懸念は解決の緒についたにすぎません。
次に、やはり付帯決議で指摘した防護対象の重要性の段階に応じた対応について、以前委員会で、韓国などでは、現実の世界で安全保障上の脅威が起きたときにはレッドアラートとかイエローアラートとか段階を設け、現実の世界に対応したサイバー上の危機対応を行っているが、政府は段階に応じた対応を検討してきたのか、と質しました。これに対しては、今後とも頑張ります的な、実質無回答でした。
続けて、付帯決議で応急した「実効性のある帯域制御の在り方」について、平時における帯域制御の運用基準に関するガイドラインについては承知するものの、前提がサイバーセキュリティーであることに鑑み、有事の際のISP側での帯域制御についてはどんな検討を行い、いかなる措置を施したか、と質しました。すると、わざわざ有事の際のと前提を付しているにもかかわらず、ふざけたことに総務省の政府参考人から、平時の帯域制限についてのみ答弁がありました。しかもこれは2015年から講じられている措置なので、付帯決議で国会が要求したことに応えるものではありません。
このように、政府はサイバーセキュリティの重要性を口では喧伝しながらも、法律が要求したい付則は無視して削除し、国会の付帯決議に真摯に取り組まない有様です。小生からは、「附則第二条では、法律では規定をしない。それから、段階に応じた、政府統一基準だけではないものについては、重要インフラはやるけれども、ほかはやらない。そして、技術の確立についてはまだ道半ばである。それから、重要性の段階に応じた防護対象の対応については、やはりやっていない。それから、ISP側の実効性のある帯域制御の在り方については、別途有事については検討していない。これが我が国会が求めたことに対する政府の対応の現状であります。新しく内閣が提出する法律があるのであれば、こういったものはしっかりと対応してから法律出すというのは当然の話だと私は思います。大臣、改めてお伺いをさせていただきますけれども、国会が要求をいたしました法律そして附帯決議について、真摯にもう一度御検討いただけるということを明確に御答弁をいただけないでしょうか」と要求しました。すると大臣からは、引続きの検討というお役人答弁がありました。