3――特別社会基盤事業者等
1|
特定重要電子計算機の届出
特別社会基盤事業者(上記2の2の(3))が、特定重要電子計算機(上記2の2の(2))を導入したときは、省令に定めるところにより、特別社会基盤事業所管大臣(金融業が指定された場合においては金融庁長官
9)に届け出る必要がある(強化法4条1項、74条2項)。届出事項に変更があった場合にも届出が必要である(強化法4条3項)。特別社会基盤事業所管大臣はこれら届出があった場合には内閣総理大臣に通知する(強化法4条2項、4項)。
特別社会基盤事業者は特定重要電子計算機に係る特定侵害事象(上記2の2の(5))および当該特定侵害事象の原因となる事象として、省令で定めるものを認知したときには、特定社会基盤事業所管大臣および内閣総理大臣に報告する必要がある(強化法5条)。すなわち、サイバー攻撃を受けた際の報告義務がある。
そのほか、届出・報告に係る特定社会基盤事業所管大臣の命令権(強化法6条)、助言指導権(強化法10条)などが規定されている。
9 強化法第2章(特定重要電子計算機の届出等。本条も含む)および40条1項等の権限は金融庁長官に委任するものとされている(強化法74条2項)。金融庁長官はさらに権限を財務局長等に委任できる(3項)。
2|当事者協定
(1) 外内通信情報
強化法3章で規定している当事者協定は、図表4でいう通信情報に係るものである。これは国外のIPアドレスから国内のIPアドレスに送信される情報で、強化法では
外内通信情報と定義されている(強化法11条)。
(2) 特別社会基盤事業者との協定締結
内閣総理大臣は特別社会基盤事業者(上記2の2の(3))との間で、
外内通信情報の提供を受け、分析し、その結果(「個別分析情報」という)をその特別社会基盤事業者に提供することを内容とする協定を締結することができる(強化法11条1項)。協定締結は義務ではないが、
内閣総理大臣又は特別社会基盤事業者は相互に協定締結の協議を求めることができるとされ、当該求めを受けた相手方は協議に応じなければならない(強化法11条2項)。
また、本条で定める協定の内容として、
媒介中通信情報(上記2の2の(6)、電気通信事業者が保有する情報)
を内閣総理大臣に対して複製して送信することを定めるようとするときは、内閣総理大臣、特別社会基盤事業者、電気通信事業者による三者協定としなければならない(強化法11条3項、図表5)。
なお、内閣総理大臣は特別社会基盤事業者との協定締結に同意したときであって、特別社会基盤事業者からでは当事者管理通信情報(上記2の2の(6))を取得することが困難な場合においては、電気通信事業者に対して当事者協定を締結することについて協議を求めることができる。この場合、電子通信事業者は協議に応じなければならない(強化法13条)。
(2) 特別社会基盤事業者以外の事業者との協定締結
内閣総理大臣は事業電子通信役務(=電気通信事業者の通信サービス(強化法2条6項))の利用者(特別社会基盤事業者を除く)との間で上記(2)と同様の協定を締結することができる(強化法12条1項)。ただし、協議を求めることと、その協議に応ずる義務規定は存在しない。なお、上記三者協定の規定は本条の協定にも準用される(強化法12条2項)。電気通信事業者との協議規定(協議に応ずる義務を含む)の適用も同様である(強化法13条)。本条によって特別社会基盤事業者以外の事業者からも広く情報収集が可能になる。
(3) 内閣総理大臣の情報取得
内閣総理大臣は当事者協定の定めるところに従い、当事者協定の協定当事者を通信の当事者とする通信情報の提供を受けることができる(強化法15条)。
3|コメント
本項で述べたところは提言(2p)にある政府からの「高度な攻撃に対する支援・情報提供」となる部分である。提言はまた「『平時・有事』の区別なく、状況に応じて、政府が率先して情報提供し、官民双方向の情報共有を促進すべき」とする。さらに提言では「高度な侵入・潜伏能力を備えた攻撃に対し、事業者等が具体的な行動がとれるよう、攻撃者の動向を踏まえつつ、専門的なアナリスト向けの技術情報に加え、経営層が判断を下す際に必要な、攻撃の背景や目的なども共有されるべき」としている。
そして提言(5p)では「被害を防止するためには、通信情報を分析し(中略)、攻撃用のインフラの実態を把握し、防御を可能にすることが必須であり、特にアクセス・無害化を行うにあたっては、今まで以上に、サイバー攻撃に関する詳細で十分な量の観測・分析の積み重ねが必要である」とする。
このような情報観測・分析の前提として、政府が情報収集をする必要がある。ただ、政府が通信情報を取得するにあたっては、「通信の秘密は、これを犯してはならない」(憲法21条2項)との整合性を取らなければならない。強化法が民間事業者からの通信情報取得の主たる方法として定めているのは、当事者協定である。これは通信の主体からその同意の下で情報を取得するものである。媒介中の通信情報についても、受信者の同意の下、さら電気通信事業者の同意を得て、取得することができる。
憲法21条2項を遵守するため、協定の締結そのものを義務化することはせず、当事者協定締結に向けた協議を求め、その場合は協議をする義務があるだけにとどまっている。
なお、後述の通り、取得した通信情報は自動選別によって、通信内容が削除された状態で行政において記録・利用されることとなる。自動選別前の情報の利用は原則として禁止されており、選別後通信情報にも厳格な利用制限がある。
4――外外通信目的送信措置
4――外外通信目的送信措置
1|措置の内容
(1) 総論
本項で述べる規制が適用されるのは、図表6の通り、国外IPアドレスから国外IPアドレスに送信されるもので国内設備を用いて媒介されるもの(
外外通信という)である。
後述(2)の通り、外外通信のうち、サイバー攻撃の可能性が高いものについて、電気通信事業者から内閣総理大臣が通信情報を受領できることが定められている。
(2) 外外通信目的送信措置
内閣総理大臣は、
外外通信のうち、重要電子計算機に対する国外通信特定不正行為(上記2の2の(7))
のうち、一定のものについて、サイバー通信情報監理委員会(強化法46条、以下、「委員会」)
の承認を受けて、電気通信事業者の媒介中通信情報(上記2の2の(6))を複製し、内閣総理大臣の
設置する設備に送信させる措置を取ることができる(強化法17条1項)。ここでいう一定のものについては、1)電子計算機に対する
指令情報の実態が明らかでないために重要電子計算機の被害防止が著しく困難であり、かつ2)この
送信措置以外では実態把握が著しく困難であるものに関連するものが、外外通信に含まれると疑うに足りるものをいう(図表7)。
この措置にあたっては自動選別基準(強化法22条2項(後述)で規定。IPアドレスと指令情報による基準。「外外通信選別条件設定基準」という)を定め、委員会の承認を受ける必要がある。
(3) 委員会の承認
委員会は上記(2)で述べた承認の求めがあった場合において、その求めに理由があると認めるときは、遅滞なく承認をするものとされ、同委員会は措置の実施および取得情報の取扱いに関して、適当と認める条件を付すことができる(強化法18条)とされる。
2|コメント
提言(6p‐7p)では、「多くが国外所在と考えられる攻撃用のインフラの実態把握が必要であることに鑑み、まず『外外通信』について」「通信の宛先や送受信に関する情報及び通信コンピュータ等に一定の動作をするよう指令を与える情報など、コミュニケーションの本質ではないデータに注目する方法」による分析をできるようにしておく必要があるとする。
ここで対象とするのは外外通信であって、サイバー攻撃であると疑われ、実態把握が困難であると、被害防止が十分に図れないものである。世界中のサイバー攻撃情報(送信元情報・指令情報)の収集・分析は、被害防止に不可欠である。
ただ、世界中と言っても国内事業者が関与しないと収集は困難であることから、国内の電気通信事業者が媒介するものに限定されている。そして、上記の外内通信における当事者協定と異なるのは、送受信者ともに国外に所在するため、通信の当事者の同意を得ることができないことである。この点、外外通信目的送信措置では、委員会の承認を得ることとし、行政の恣意的な運用の防止策としている。
保険研究部
取締役 研究理事 兼 ヘルスケアリサーチセンター長
松澤 登(まつざわ のぼる)
研究領域:保険
研究・専門分野
保険業法・保険法|企業法務
【職歴】
1985年 日本生命保険相互会社入社
2014年 ニッセイ基礎研究所 内部監査室長兼システム部長
2015年4月 生活研究部部長兼システム部長
2018年4月 取締役保険研究部研究理事
2021年4月 常務取締役保険研究部研究理事
2025年4月より現職
【加入団体等】
東京大学法学部(学士)、ハーバードロースクール(LLM:修士)
東京大学経済学部非常勤講師(2022年度・2023年度)
大阪経済大学非常勤講師(2018年度~2022年度)
金融審議会専門委員(2004年7月~2008年7月)
日本保険学会理事、生命保険経営学会常務理事 等
【著書】
『はじめて学ぶ少額短期保険』
出版社:保険毎日新聞社
発行年月:2024年02月
『Q&Aで読み解く保険業法』
出版社:保険毎日新聞社
発行年月:2022年07月
『はじめて学ぶ生命保険』
出版社:保険毎日新聞社
発行年月:2021年05月
レポートについてお問い合わせ
(取材・講演依頼)
