内閣委員会・総務委員会・安全保障委員会の連合審査会で質問に立ちました。

【内容】
能動的サイバー防御法案

本編はこちらをご覧ください。

議事録

第217回国会　衆議院　内閣委員会総務委員会安全保障委員会連合審査会　第1号　令和7年4月3日

西園委員　公明党の西園勝秀です。
本日は、質問の機会をいただき、ありがとうございます。
能動的サイバー防御法案につきましては、これまで何度も議論されてきましたので、もしかしたら、かぶる質問があるかもしれませんが、御容赦願います。
まず初めに、自衛隊が準用する警職法の根拠について伺います。
自衛隊が警察権を用いて行うアクセス・無害化措置は、警職法六条の二を準用することになっております。アクセス・無害化措置のうち、アクセスが警職法第六条の立入りを準用していることに異論を挟む人はいないと思います。一方、無害化措置は、相手のコンピューターの機能を止める行為であることから、警職法第七条の武器の使用を準用しているとも読み取れます。もし自衛隊が警職法第七条を準用しているとすれば、先制攻撃を禁じる憲法九条に抵触していることになります。
三月二十八日の内閣委員会において、大澤淳先生は、無害化の措置は相手のコンピューター機能を止めますので、これはある程度、武器の使用に近いような概念になるのかというふうに思っておりますと述べておられました。
これまでアクセス・無害化措置が警職法六条の二を準用し得る根拠について様々な議論がなされてきましたが、大澤先生の御意見を受け、改めて、警職法七条の武器の使用ではなく、六条の二の立入りを準用する根拠を教えてください。

逢阪政府参考人　まず、先生の御質問の警職法七条の武器についてでございますが、ここで言う武器とは、主として人の殺傷の用に供する目的で作られた道具で、現実に人を殺傷する能力を有するものをいい、具体的には、拳銃、ライフル銃等が含まれると解されております。攻撃者のサーバー等へのアクセス・無害化措置は、同条に規定する武器の使用に当たるものとは考えておりません。
アクセス・無害化が六条の二ということでございますけれども、一たび重大なサイバー攻撃が発生すれば国家国民に多大な損害を与えることに鑑みれば、アクセス・無害化措置は、サイバー攻撃の現実的、具体的な危険性や緊急性が認められる場合に即時強制として行うべきであるということを踏まえて、警察目的実現のための即時強制の定めをすることを主たる目的とする警察官職務執行法において、アクセス・無害化措置を実施するための所要の規定を整備することとしたところでございます。
現行の警職法において、人の生命、身体又は財産に対する危害を防止するための即時強制の手段を規定している第四条から第六条の次に設けることとしたものでございます。

西園委員　丁寧な御説明をありがとうございます。
アクセス・無害化措置はあくまでも自衛のためであり、警職法七条を準用するものではないということを改めて確認をさせていただきました。
念のため、防衛省にも確認します。
自衛隊が警職法を準用するのは第六条の二であり、第七条の武器の使用は準用しない、つまり、憲法九条が禁じる武力の行使は伴わないということでよろしいでしょうか。

家護谷政府参考人　お答えいたします。
今回御審議いただいている法律におきましては、警察官職務執行法に新設される第六条の二の権限規定のみを準用しておりまして、同法七条は準用しておりません。

西園委員　御説明ありがとうございます。
自衛隊が行う能動的サイバー防御は、憲法九条が禁じる武力の行使には当たらないということが確認でき、安心いたしました。
三月二十八日の内閣委員会で、黒崎先生は、いろいろなサイバー事案というものは、そこの烈度が低い、武力攻撃未満であるというところで何としてでも対処しなければならないと述べておられました。自衛隊におかれましては、くれぐれも武力攻撃とみなされないよう、細心の注意を払っていただくようお願いをいたします。
ただ、日本がどれだけ先制攻撃を行わないと主張しても、相手国がそう受け取らない可能性もございます。
令和四年に策定された国家安全保障戦略において、サイバー安全保障分野で対応能力を欧米主要国と同等以上に向上させるとの目標が掲げられていることから、ともすれば、日本が行うアクティブサイバーディフェンス、日本語では能動的サイバー防御ですが、これは欧米主要国と同じような先制攻撃能力の実施も念頭に置いているかのように誤解されるおそれがあるのではないでしょうか。この点について、政府の御見解をお聞かせください。

小柳政府参考人　お答えいたします。
令和四年十二月に閣議決定をされました国家安全保障戦略におきましては、サイバー空間の安全かつ安定した利用、特に国や重要インフラ等の安全等を確保するために、サイバー安全保障分野での対応能力を向上させるとの目標を掲げてございます。その上で、能動的サイバー防御の実施のための体制整備につきましても、重大なサイバー攻撃のおそれを未然に排除すること、重大なサイバー攻撃が発生した場合の被害の拡大を防止することが目的であるというふうに明確にしているところでございます。
今回御審議をいただいておりますサイバー対処能力強化法案及び同整備法案につきましては、この考え方に立った上で具体的な要件や手続を法律上しっかりと定めた上で、官民連携、通信情報の利用、アクセス・無害化等に関する各種措置を具体的に定めているものでございます。
このようなことから、我が国が法案を通じて導入しようとしております能動的サイバー防御の各措置が先制攻撃の実施を念頭に置いたものなのではないかとの誤解を受けることはないものと考えておりますが、関係省庁等と連携して、平素から国際的なサイバーセキュリティーの議論の場で情報発信を行うことに加えまして、国連を始めとする様々な議論の場なども活用して、積極的に対外的に説明をしてまいりたいと考えてございます。

西園委員　御説明ありがとうございます。
国外の攻撃関係サーバー等へのアクセスや無害化措置を講じる際には、国際法上の適法性を確保することが大前提です。しかし、仮に適法性が担保されていたとしても、相手国側の誤解により、外交問題に発展するリスクは否定できません。また、日本側の誤認やミスにより、誤って無害化措置を実施し、相手国から主権侵害を訴えられる可能性も考えられます。
このような国家間の衝突を回避するためにも、アクセスや無害化措置に関する国際的なルール作りが必要だと考えます。同時に、不測の事態を防ぐためには、平素から緊密な対話のチャンネルを確保することが重要です。
サイバーセキュリティーといえども、最終的にその運用を担うのは人間です。人は、相手を知らなければ疑念や不信を抱きやすく、場合によっては憎悪の感情を生じることもあります。だからこそ、日頃から相手国の考えや関心事を理解し、緊密な対話を重ねることが不可欠です。こうした継続的な関係構築により信頼が醸成され、有事の際にも、冷静かつ建設的な対応が期待できます。日本について正しく理解してもらうのと同時に、私たちも相手国を深く知ることこそが平和解決への最も確実な道であると考えます。
これは公明党が一貫して訴えていることですが、対話外交が極めて重要な時代だからこそ、欧州諸国を中心に、米国やロシアも加盟する欧州安全保障協力機構、ＯＳＣＥをモデルとした対話の常設機関、アジア版ＯＳＣＥを創設することが一案と考えますが、この点に関する政府の御見解をお聞かせいただければと存じます。

斉田政府参考人　お答え申し上げます。
サイバー空間における脅威は、安全保障上の大きな懸念になっております。我が国として、関係国との認識の共有を進め、各国との連携の強化、信頼の醸成、これを進めていくということは非常に重要と考えております。適切な機会を捉えて、対話など、適切な形で進めていければと考えております。
その上で、アジア版ＯＳＣＥに先生の言及がありましたけれども、この創設につきましては、先般、石破総理から、御党の意見を承り、広い議論を経た上で、実現に向けて努力していきたいと答弁されたと承知しております。
政府といたしましては、現在行われている様々な議論も踏まえ、地域の安全保障の在り方に関する検討を更に深めるとともに、地域外交をより一層強く推進していきたい考えでございます。

西園委員　ありがとうございます。
是非アジア版ＯＳＣＥの創設に向けた前向きな御検討をよろしくお願い申し上げます。
アクセスや無害化措置を講じる場合は、事前にサイバー通信情報監理委員会の承認を得ることが義務づけられています。これは、国家の安全保障に関わる重要な判断であることから、適正な手続を確保するために必要不可欠な仕組みです。
しかし、現実のサイバー攻撃は迅速かつ巧妙であり、被害の拡大を防ぐためには迅速な対応が求められます。そのため、時間的猶予がない場合には、事後報告を前提としつつ、警察や自衛隊が委員会の承認を経ずに措置を判断することが可能とされています。これは国民の安全を守るために必要な措置ではありますが、一方で、現場の判断ミスを生じるリスクも否定できません。
このような判断ミスを防ぐためには、日頃からの準備が極めて重要です。具体的には、サイバー攻撃への対応に関する知見や教訓を確実に蓄積し、それを適切に分析した上で、警察、自衛隊のみならず、関係機関全体で共有していくことが求められます。
令和五年七月四日に発生した名古屋港コンテナターミナルのシステム障害では、三十七隻の船舶の荷役スケジュールに影響が生じ、搬入、搬出に影響があったコンテナは約二万本にも達しました。これは、端末等に保存されているデータが暗号化され、正常に動作できない状態にされる不正プログラム、ランサムウェアへの感染によって生じたシステム障害でした。
こうした教訓を受け、港湾、航空、情報通信、金融などの情報インフラ分野で事業を行う重要社会基盤事業者は、サイバーセキュリティ基本法に基づき、重要インフラの防護を行っております。
そして、これまで起きたインシデント事案を官民が共有し、サイバー攻撃を防ぐセキュリティー技術を向上させるとともに、誤ってアクセス・無害化措置を講じることのないような具体的な行動指針、マニュアルをまとめることも重要と考えます。マニュアルが適切に整備されていれば、アクセス・無害化措置に係る現場の判断を迅速かつ正確に行うことができ、判断ミスのリスクを軽減することが可能となります。
さらに、これらの知見の共有やマニュアル整備を効果的に進めるためには、内閣官房による総合調整の役割が極めて重要になります。関係機関がばらばらに対応を進めるのではなく、政府全体として統一的な方針の下で取り組むことで、より効果的なサイバー防御体制を構築することができると考えます。
これらの点について、総合調整を担う内閣官房の御見解をお聞かせください。

飯島政府参考人　お答え申し上げます。
アクセス・無害化措置については、その実施主体が警察及び自衛隊になりますが、運用の実効性を確保する観点から、両者が緊密に連携することは重要だと考えております。
このため、アクセス・無害化措置については、司令塔たる内閣官房の総合調整の下、警察及び自衛隊が相互に緊密に連携して措置を行うことが可能となるよう、運用上の工夫を行うことが重要と考えております。
具体的には、両者が有する情報を平素から司令塔組織を含め相互に十分に共有すること、司令塔組織の役割分担等の調整を踏まえ、両者が有機的に連携をすること、両者が実施する措置の内容を相互に十分に理解した上で措置を実施し、措置の結果についても直ちに司令塔組織を含め共有することなどが必要になると考えております。
内閣官房においては、これまでも警察庁及び防衛省・自衛隊と運用の実効性の確保のために必要な検討を行ってきているところでありますが、今後も、共同訓練、演習の実施等について検討するとともに、こうした訓練等により得た知見や教養の蓄積及び共有を図るなど、御指摘の事前承認のいとまがない場合の対応も含め、適切かつ迅速なアクセス・無害化措置が実施されるよう、必要な検討を進めてまいります。

西園委員　ありがとうございます。
警察と自衛隊の緊密な連携だけにとどまらず、民間の知見を生かしながら、司令塔である内閣官房の総合調整の下、平素からの情報共有、役割分担の明確化、措置の結果の迅速な共有を徹底することが重要であります。
そして、何よりも肝要なのは、これらの取組が実際の現場で確実に機能することです。アクセス・無害化措置は、国家の安全保障戦略や国民の生命財産を守る上で不可欠なものです。特に、緊急時においては、迅速かつ的確な判断と確実な実行が求められます。サイバーセキュリティ基本法に規定されている重要社会基盤事業者等との連携を強化し、実践的な訓練を重ねることで、判断の精度を向上させるとともに、組織全体としての対応能力を高めることが重要です。
また、訓練を通じて得られた知見や教訓を体系的に整理し、マニュアル化することで、個々の担当者の判断に依存することなく、一貫性のある的確な対応が可能になると思います。
さらに、こうした仕組みを実効性のあるものとするためには、単に訓練を実施するだけでなく、その成果を詳細に分析し、課題を明確にした上で、継続的に改善を重ねていくことが不可欠です。その意味では、訓練後の振り返りや検証を制度的に強化し、実際の運用に的確に反映させていくことが求められます。
今後も、こうした取組が実際の現場で確実に機能しているのか、運用上の課題がないのかを厳格に検証しながら、国民の安全を守るためのより強固な体制を構築していく必要がございます。
それでも、誤って無害化措置を行ってしまうリスクは残ります。もし万が一、誤って無害化措置を実施してしまった場合、どのような対応を取るのでしょうか。具体的な対処方法についてお聞かせください。

飯島政府参考人　お答えを申し上げます。
まず、大前提といたしまして、万が一にも誤ったアクセス・無害化措置が行われないように適切に運用する、まさにそのための制度だと思っておるというところでございますが、その上で、万が一にもでございますが、仮に誤って実施したアクセス・無害化措置によって対象サーバー等の管理者等に損害、損失が生じた場合には、個別具体的に判断する必要がありますが、一概にお答えすることは難しいという状況ではございますが、国内にあるサーバーなどでございましたら、国家賠償法による損害賠償責任の問題として考えることとなります。
また、国外に所在するサーバー等に対して誤った措置を行った場合には、これも個別具体的に対応する必要があり、一概にお答えすることは難しい状況なのでございますが、あくまで一般論として申し上げますと、国家責任条文の関連する規定等を踏まえて対応していくということになると考えられます。

西園委員　御説明ありがとうございます。
ただいまアクセス・無害化措置を誤って実施した場合の対応について御説明をいただきました。
サイバー攻撃による重大な危害を防止するために、ネットワークを介して必要最小限の措置を講じるという基本的な方針が示され、比例原則に基づき、対象となるサーバー等に物理的な損傷や機能喪失といった大きな影響は想定していないということかと思います。
また、措置の適正性を確保するために、原則として、サイバー通信情報監理委員会による事前審査を経て、警察庁長官、防衛大臣の指揮の下で運用されることが明らかとなっております。万が一、誤った措置が行われた場合には、国家賠償法に基づく賠償責任の問題として検討されるほか、国外のサーバーに対して誤った措置を行った際の対応についても、国家責任条文等の関連規定を踏まえて判断されるとのことでございました。
しかし、こうした対応が制度上整備されていたとしても、実際の運用において誤りを完全に排除することは容易ではなく、何よりも未然防止の徹底が重要です。そのためには、制度の適正な運用を担保するための監督機能を強化し、事後的な検証や改善を継続的に行うことが不可欠です。特に、アクセス・無害化措置の発動プロセスや判断基準の透明性を確保し、誤りが発生しにくい体制を整えることが求められます。
さらに、関連するもう一つの重要な論点として、事前承認の仕組みが形骸化する懸念があります。
本来、厳格な審査を経て実施されるべき措置が、例外規定である事後通知の濫用によって形骸化することがあってはなりません。これを防止するための枠組みについて、政府としてどのように考えているのか、お伺いいたします。

飯島政府参考人　お答えを申し上げます。
アクセス・無害化措置の実施に当たっては、原則としてサイバー通信情報監理委員会による事前承認、例外的に同委員会への事後通知と必要に応じた勧告等の手続を行うこととしています。
アクセス・無害化措置の実施に当たって事前承認を得る際には、サイバー攻撃に利用されているサーバー等であると認めた理由、サイバー攻撃による危害の防止という目的を達成するために取り得る措置の内容等を委員会に示し、委員会は、その承認の求めが改正後の警察官職務執行法等の規定に照らし適切かを判断することとなります。
委員会の委員は、法律や情報通信技術に関し専門的知識等を有する者が就くことから、迅速かつ的確に承認が行われるものと想定しており、事後の通知が常態化し、事前承認が形骸化するということにはならないというふうに考えております。
また、例外的な事後通知の場合についても、実施されたアクセス・無害化措置について適切に行われたかどうかを確認し、必要な勧告を行うこととされており、措置の適正性を確保することとしております。
加えて、今回のサイバー対処能力強化法案では、委員会から国会に対し、報告規定を設けております。アクセス・無害化措置に関するものとして、現時点では、アクセス・無害化に関する承認の申請や承認をした件数のほか、承認を得るいとまがない場合の事後通知をした件数についても報告するということを想定しておりまして、事前承認が形骸化することはないというふうに考えております。

西園委員　ありがとうございました。
時間となりましたので、終わらせていただきます。どうもありがとうございました。