姿をあらわした法案
個人やグループのレベルではない、国家を背景とした高度なサイバー攻撃の危険が高まっていることを理由に、2月7日、政府は「能動的サイバー防御」を導入するための二法案を閣議決定した。
一つが、「重要電子計算機に対する不正な行為による被害の防止に関する法律案」(サイバー被害防止法案 以下「A法案」という)、もう一つが、「重要電子計算機に対する不正な行為による被害の防止に関する法律の施行にともなう関係法律の整備に関する法律案」(アクセス無害化実施法案 以下「B法案」という)である。
A法案は、サイバー攻撃などによる被害防止のための基本的な方針の策定、インフラ事業者などにサイバー攻撃を受けた際の政府への報告の義務付け、サイバー攻撃防止のための通信情報の取得、通信情報の取扱いにかかわる「サイバー通信情報監理委員会」による審査・検査について定めること、通信情報等を分析した結果の政府機関、事業者、外国政府への提供等について定めた新法である。一言でいえば、インターネット常時監視法案である。
B法案はサイバー攻撃による重大な危害を防止するため、一定の警察官または自衛官による無害化措置=先制的なサイバー攻撃の根拠規定を整備し、サイバーセキュリティ基本法、警職法、自衛隊法などの関係法改正を行なう法律であり、一言でいえばサイバー版先制攻撃法案である。
能動的サイバー防御制度の導入は、2022年12月に閣議決定された安保三文書の「国家安全保障戦略」において、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させるとしたことにもとづき、あたかも既成事実であるかのように、法案の策定が進められてきた。
政府は、「サイバー安全保障分野での対応能力の向上に向けた有識者会議」を2024年6月から開催し、半年の審議を経て提言をまとめた。この提言が法案のもととなっている。
法案のキー概念は重要電子計算機
サイバー被害防止のためのA法案はまず、「重要電子計算機」を定義する。第一が、サイバーセキュリティが害された場合に特定秘密・重要経済安保情報などの秘密の管理に重大な支障が生ずるもの、第二に、「特定社会基盤事業者」(経済安保法50条)が使用する電子計算機のうち、サイバーセキュリティが害された場合に特定重要設備の機能が停止・低下する恐れのあるもの、が指定される。
そして、重要電子計算機からの情報漏洩などを防止するため、官民連携を図るとして、基幹インフラ15事業者(電気、ガス、石油、水道、鉄道、貨物自動車運送、外航通運、航空、空港、電気通信、放送、郵便、金融、クレジットカード、港湾)に、特定重要計算機を政府に届け出ること、サイバー攻撃=特定侵害事象が発生した時には、所管大臣と内閣総理大臣に届け出なければならないとし、報告を義務づけた(5条)。
そして、これらの届出がなされていないと考えるときには、所管大臣は届出を命ずることができるとし(6条)、命令に反対した時の罰則(83条 200万円以下の罰金)も定められている。
