衆院本会議で3月18日、重要広範である「重要電子計算機に対する不正な行為による被害の防止に関する法律案」「重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案」が審議入りし、山岸一生議員が会派を代表して質問に立ちました。予定原稿は以下の通りです。
「重要電子計算機に対する不正な行為による被害の防止に関する法律案 」
「重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案」
立憲民主党・無所属 山岸一生
立憲民主党の山岸一生です。会派を代表して、ただいま議題となりましたサイバー安全保障関連法案について、すべて総理大臣に質問します。
その前に、石破総理の商品券配布問題について、総理ご地元の鳥取県民の方も含め多くの国民が「正直がっかりした」「信じられない」「時代にそぐわぬ」と答えるなど、これまでの石破総理のクリーンなイメージが失われていることについて、総理ご自身の受け止めと、今後どのように説明責任を果たすお考えか明確にお答えください。
4年前に初当選してまもなく、事務所に一通のメールが届きました。地元練馬の、実在する支援団体の名前で、資料のリンクが張ってありました。開きかけましたが、日本語が不自然だと感じ、思いとどまりました。のちに専門家に見てもらったところ、やはり標的型攻撃メールでした。野党の新人議員ですら、標的になる。政府機関やインフラ事業者への攻撃は、けた違いでしょう。国民生活と経済活動を守るため、サイバー防御の強化は、待ったなし。私も異論ありません。
問題は、具体的なやり方です。この法案は、警察や自衛隊が、国内外にある攻撃元に対して、無害化措置を取ることを可能とし、その分析のために幅広い通信情報の取得を認めるものです。憲法が保障する通信の秘密を制約し、自衛隊の対外的な権限を拡大するという、二つの点で戦後政策の大転換です。それに見合った、精密な法案になっているのか、以下ただしていきます。
【人権保護】
まず1つ目、人権を侵害するおそれがないか。通信の秘密にかかわる既存の法律には、通信傍受法があります。これは、裁判官の令状発行を要件として、対象者や通信回線、期間を限定して行います。一方で本法案は、行政機関だけの判断で、幅広く通信情報を取得します。目的が異なるとはいえ、通信傍受法と比べると、手続きは緩められ、範囲は広くなっています。本法案は、サイバー空間において攻撃を防ぐために常時巡回監視するものではなく、何らかの攻撃があったか、攻撃の恐れが疑われる場合に限定していると言えるのか、ご答弁ください。
政府は、取得するのは機械的情報だけでメッセージの内容は見ないし、サイバー攻撃に関係のないものはすぐに廃棄するので、プライバシーの侵害はない、と説明しています。そう簡単に区別できるのでしょうか。機械的情報とは、メールの場合は判別しやすいですが、ホームページやSNS、またそれ以外のサイバー攻撃の手段になりうる通信において、何を指すのでしょうか。そして機械的情報と、やり取りの中身の部分を、どのように区別するのですか、加えて、その選別基準はどのように決めるのか、およびその具体的な内容をお答えください。
さらに、ビッグデータとAIの時代である今、中身を見なくても、通信の場所、相手、頻度などのデータ、まさに機械的情報を分析するだけでも、人の関心や行動や関係性を把握できてしまいます。政府が取得する通信情報を、国民の行動を把握する目的で使用することはないと、約束できますか。またそれは条文のどこに担保されていますか、明確にお答えください。
【外国との関係】
2つ目、国際的な批判を受けないかも重要です。サイバー攻撃の発信元はほとんど海外なので、無害化措置とは、海外にあるサーバーやパソコンに対して、日本政府が逆攻撃を仕掛けることを意味します。相手国から、日本に攻撃された、と言われないためには、違法性阻却事由が備わっていなければなりません。無害化措置が違法性阻却事由にあたるのか、どのような具体的事実があれば違法性阻却事由にあたると政府は考えているのでしょうか。例えば、2023年に名古屋港がサイバー攻撃で停止した事案がありますが、もしそれが海外からの攻撃だと判断し、海外にあるサーバーに無害化措置を実施する場合、どのような違法性阻却事由に該当するのでしょうか。事例に即して説明を求めます。
その上で、無害化措置が行き過ぎることはないのでしょうか。政府は物理的な破壊まではしないと説明していますが、例えば、無害化措置によって相手国のサーバーやパソコン、システム全体が機能しない範囲にまで及んで社会インフラに影響を与えてしまう、そのようになれば、相手国に日本から先制攻撃を受けたとの言い分を与えることにもなりかねず、許容されないのではないでしょうか。政府が想定する無害化措置の具体例と、その限界をはっきりとお示しください。
本法案では、警察による無害化措置を第一段としつつ、第二段として自衛隊が、「本邦外にある者による特に高度に組織的かつ計画的な行為」に対して、通信防護措置を取る、二段構えになっています。政府は、この第二段の対象は国家を背景とした主体による行為だと説明していますが、条文上、必ずしも明らかではありません。「特に高度に組織的かつ計画的な行為」を、国家を背景としていない、あるいは国家を背景としているかどうか分からない主体が行うことは、本当にあり得ないのですか。さらに「特に高度に組織的かつ計画的な行為」を、国家を背景としていない、あるいは国家を背景としているかどうか分からない主体が行っている場合に、自衛隊は無害化措置を取ることはできるのですか。
また実務において、攻撃者が国家を背景とした主体であるかどうか、どうやって見極めるのですか。政府にそのような能力はあるのですか。同盟国からの情報提供に頼ることもありうるのですか、合わせて明らかにしてください。
【実効性】
3つ目、政府による無害化措置に実効性はあるのでしょうか。無害化措置と一言で言いますが、その手段は、なんでしょうか。攻撃の踏み台にされているパソコンやサーバーに対して、どういうことをすることなのでしょうか。例えば、コンピューターウイルスやマルウェアをそこに感染させたり、あるいは大量にアクセスするDDoS攻撃もありうるのでしょうか、具体的にお答えください。
【民間事業者】
4つ目、民間事業者への負担が重く、かえって経済の妨げにならないようにする必要があります。政府は、基幹インフラ事業者等との協定によって、通信情報を取得することとしています。協定は任意のはずなのに、正当な理由がない限り協議に応じなければならないともあり、事実上の強制になることはありませんか。事業者が同意を拒むことはできるのでしょうか。同意を拒んだ場合、不利益はないのでしょうか、ご説明下さい。
本法案は、基幹インフラ事業者等から、事業について幅広い情報提供を求めています。特に、システム構成や、通信機器の名前など、営業の秘密にかかわる内容もあります。事業者に過度な負担を強いることに、なりかねません。例を挙げます。法5条では、事業者に特定侵害事象の報告を求めていますが、その規定は極めてあいまいです。「主務省令で定める事象」を「主務省令で定めるところにより」、「主務省令で定める事項」を報告する。これでは事業者には分かりません、具体的な内容を明らかにしてください。
【民主的統制】
5つ目、全体を通して、民主的な監督は十分でしょうか。ここまで伺ってきた懸念に対応するために重要なのが、手続きを厳格かつ民主的に監督することです。本法案では、サイバー通信情報監理委員会を新設し、政府による無害化措置の審査と、通信情報取得の審査を担うことにしています。
まず無害化措置の事前承認です。事前承認に際し、どのような手続きにより、どのような項目について政府が申告し、監理委員会にかけることを想定しているのか、明らかにしてください。
その上で、この事前承認は、機能するのでしょうか。無害化措置は、「緊急の必要」がある場合とされていますが、事前承認が義務付けられています。その上で「承認のいとまがない特段の事由」があれば、事後通知でよいとしています。つまり、事前承認を求めるケースは、「緊急」だが「承認のいとま」がある場合ということになります。そんな場合が本当にあるでしょうか。この仕組みでは、事実上ほとんどが事後通知になってしまうおそれがありませんか。事後通知を認める「特段の事由」とは具体的にどのような場合を指すのかお答えください。また、事後「審査」、事後「承認」ではなく、事後「通知」にとどめているのはなぜですか。監理委員会が、たとえ事後であっても、例外なく審査・承認できるようにしなかった理由を、ご説明下さい。
この監理委員会は、国会に運用状況を報告するとされています。あくまで状況報告です。他方で、特定秘密については、すでに衆参両院に情報監視審査会が設置されており、議員に守秘義務を課した上で、特定秘密が適正に管理されているかどうか必要な情報を提供させたり、調査・審査を行う体制があります。にもかかわらず、本法案では、国会は報告を受けるだけです。総理大臣は、国会の関与はこれで十分と考えているのか、国会報告の内容としてどのような項目を想定しているのか、この法律が適正に運用されているかどうかについて国会が何らかの方法で関与できるようにしなかったのはなぜか、説明してください。
以上、丁寧な答弁を求め、質問を終わります。ご清聴ありがとうございました。