5――取得情報の取扱い
1|対象となる不正行為
強化法21条が定める「対象不正行為」とは、(1)内閣総理大臣が当事者協定に基づき取得した外内通信情報(上記3の2の(1))については、重要電子計算機にかかる国外通信特定不正行為(上記2の2の(7))および協定当事者が使用する電子計算機にかかる特定不正行為(上記2の2の(4))を言い、また(2)内閣総理大臣が外外通信目的送信措置(上記4)によって取得した通信情報については、18条の承認(上記4の(3))に係る国外通信特定不正行為を言う。後述5の2の通り、取得した通信情報のうち「対象不正行為」にかかる情報のみを自動選別にかけて記録することなる。
2|自動選別の実施
内閣総理大臣は当事者協定に基づき取得した通信情報と、外外通信目的送信措置により
取得した通信情報について、他人により知覚されない自動的な方法で以下の要件を満たす機械的情報(上記2の2の(8))
のみを選別(「
自動選別」という)
して記録することが求められる(強化法22条1項、図表8)。
つまり内閣総理大臣は未加工の情報を受領するが、通信情報の内容に踏み込まない範囲まで削ったうえで記録することが求められる。これは、憲法21条2項に基づく通信の秘密の保護を目的として設けられた規定である。
本項でいう要件とは、(1)当事者協定によって取得した通信情報は外内通信によるものであること、または(2)外外通信目的送信措置によって取得した通信情報は、外外通信によって送受信が行われたものであることのいずれかであり、かつ③取得通信情報に係る対象不正行為(上記5の1)に関係があると認められるものであること、である(強化法21条1項各号)。ここで、(3)の認定にあたっては、i)対象不正行為に関係すると認められる送信元のIPアドレス、ii)対象不正行為の実施に用いられるものと認められる指令情報、iii)その他対象不正行為の探索が容易になると認められる情報、のうち、二つ以上を理由とするものでなければならない(強化法22条2項)。
自動選別終了後、選別された情報以外のすべてを消去する(強化法22条3項)。
3|利用及び提供の制限
内閣総理大臣は自動選別前の情報を国外通信特定不正行為による被害防止目的(「
特定被害防止目的」という)以外では利用・提供してはならず(強化法23条1項)、後述する限られた場合を除き、自動選別後の通信情報(「選別後通信情報」という)を利用・提供してはならない(強化法23条2項・3項)。
内閣総理大臣が利用・提供できるのは以下の通りである(強化法23条4項)。
(1) 当事者協定によって取得した選別後通信情報について、当事者の同意を得て利用・提供する場合
(2) 防衛大臣等その他の行政の長に協力を要請した場合において選別後通信情報を提供する場合、および選別後通信情報を保護する十分な措置を講じている外国政府・国際機関に提供する場合
(3) 委員会に対して強化法の定める承認を求める場合
(4) 委員会による検査の場合および資料提出要求・実地調査の場合
内閣総理大臣は、電子メールアドレスのドメイン名(@の右側)以外の、個人を識別できる可能性の高い情報について、特定の記述を変換するなどして個人識別ができないようにする措置(「非識別化措置」という)を講じなければならない(強化法24条1項)
10。
10 なお、特に必要があると認められるときは、特定記述を復元するなど個人が識別できるようにする措置(「再識別化措置」という)を講ずることができる。
4|その他の重要な規定
内閣総理大臣は選別後通信情報の分析を行うために必要があるときは、防衛大臣その他の行政機関の長に対して、専門的知識を有する職員による技術援助、自動選別等の実施に用いる電子計算機の貸与その他の必要な協力を要請することができる(強化法27条1項)。この場合、内閣総理大臣はこれらの行政機関に対して選別後通信情報を提供することができる(同条3項)。
次の行政機関の長が特定被害防止目的(上記5の3)達成のため必要があると認めるときは、それぞれ各号に定める行政機関に対して選別後通信情報を提供することができる(強化法31条1項)。
一 国家公安委員会⇒警察庁
二 警察庁⇒国家公安委員会または都道府県警察
三 都道府県公安委員会⇒都道府県警察
四 都道府県警察⇒警察庁または都道府県公安委員会
また、次の行政機関の長が特定被害防止目的(上記5の3)達成のため必要があると認めるときは、警職法(本改正で定められるサイバー危害防止措置執行官に関する規定。自衛隊法で準用する場合を含む)の処置に関する事務の必要な範囲内で、それぞれ各号に定める行政機関に対して選別後通信情報を提供することができる(強化法31条2項)。
一 警察庁⇒委員会(上記4の(2))または防衛省
二 防衛省⇒委員会または警察庁
三 都道府県警察⇒委員会
5|コメント
ここでは当事者協定および外外通信目的送信措置によって内閣総理大臣が取得した通信情報の取扱いについて規定している。上述(3及び4)の通り、当事者協定による外内通信情報はサイバー攻撃かどうかを問わず一律に、外外通信目的送信措置では、実態不明で被害防止のため実態把握の必要があるものについて情報収集を行うこととされている。
強化法ではこれら情報のうち、送信元情報や指令情報に照らしてサイバー攻撃と認められるものだけ自動選別にかける。自動選別にかけられなかった取得通信情報および自動選別ではじかれた取得通信情報の中身については削除される。残った記録においてもメールアドレスのドメイン名以外の個人情報に該当しかねない部分について非識別化措置をとることとされる。
さらに選別後通信情報の利用方法も限定され、かつ行政機関への提供および行政機関間の提供も法定の範囲内に限定されている。このように取得通信情報の取扱いは、通信の秘密に配慮しつつ、サイバー攻撃への的確な対応を可能とする枠組みでとされている。
6――特定外内通信目的送信措置・特定内外通信目的送信措置
6――特定外内通信目的送信措置・特定内外通信目的送信措置
1|特定外内通信目的送信措置・特定内外通信目的送信措置
(1) 特定外内通信目的送信措置
外内通信情報は上記3の2の通り、当事者協定で事業者や電気通信事業者との協定を通じて、通信情報を取得される。これに加えて強化法では、上記4で述べた外外通信目的送信措置と同様の措置を外内通信目的送信措置としてとることができるとする。
具体的には、内閣総理大臣は、
サイバー攻撃を行っていると疑うに足りる状況のある特定の国外設備を送信元とするか、あるいは
サイバー攻撃を行っていると疑うに足りる機械的情報が含まれている外内通信情報(あわせて「特定外内通信」という)の
分析をしなければ、
重要電子計算機の被害を防止することが著しく困難であり、
本条の定める措置以外では分析が著しく困難であるときは、委員会(上記4の(2))の承認を受けて、
特定外内通信を複製し、受信用設備に送信される措置を取ることができる(強化法32条、図表9)。
(2) 特定内外通信目的送信措置
内外通信については、当事者協定の範囲外であり、本条(強化法33条)により情報を取得するルート以外はない。強化法では内外通信を定義し、IPアドレスから判断して国内設備から国外設備に送信されると認められる電気通信をいうとしている。ただし、この
内外通信は、①
国外通信特定不正行為に用いられていると疑うに足る状況にある国外設備を転送元のもともとの発信元としているか、あるいは②その
国外通信特定不正行為に用いられていると疑うに足りる状況のある機械的情報が含まれているものに限定されている(「特定内外通信」という)。つまり単純に日本が発信元というのではなく、元の通信情報が海外から来たものという制限がかかっている(図表10)。
そして本条では、特定内外通信の分析をしなければ、重要電子計算機への被害を防止することが著しく困難であり、かつ本条に定める措置以外では分析が著しく困難であるときに、委員会の承認を受けて、国外にある電気通信設備によって媒介される国外関係通信媒介中通信情報が複製され、受信用設備に送信されるようにするための措置を講ずることができるとする(強化法33条)。
すなわち、国外からサイバー攻撃の「踏み台」として国内の設備が利用されている場合に、それを阻止することに主眼がある。
2|特定外内通信目的送信措置・特定内外通信目的送信措置による取得通信情報の取扱い
特定外内通信目的送信措置・特定内外通信目的送信措置による取得通信情報に関する「対象不正行為」とは、いずれも国外通信特定不正行為(上記2の2の(7))を指す。つまり国外が発信元であるサイバー攻撃に限定されている。
取得通信情報については、外内通信情報等と同様に自動選別を行わなければならない(強化法35条)。上記5の2と同様の規定が置かれている。
3|コメント
強化法の建付けとしては、外内通信に関して、受信者の同意を得る当事者協定が本則とされている。しかし、強化法の定める要件において、他に手段がないときに内閣総理大臣は受信者から情報を一方的に取得する措置をとることができるとされた。受信者の同意を得ない代わりに、委員会の承認が要求されている。
他方、内外通信に関しては、ここで定める通信目的送信措置が唯一の手段である。ただし、内外通信と言っても、条文にある通り、国外からの送信をきっかけに国内から送信されるものに限定されている。国内の送信者は悪意ある主体ではないことを前提としていると考えられる。いわゆる「踏み台」となった送信者も含むであろう。内外通信目的送信措置に関しても、国内の送信者の同意を得ないことから、委員会の承認が求められている。
保険研究部
取締役 研究理事 兼 ヘルスケアリサーチセンター長
松澤 登(まつざわ のぼる)
研究領域:保険
研究・専門分野
保険業法・保険法|企業法務
【職歴】
1985年 日本生命保険相互会社入社
2014年 ニッセイ基礎研究所 内部監査室長兼システム部長
2015年4月 生活研究部部長兼システム部長
2018年4月 取締役保険研究部研究理事
2021年4月 常務取締役保険研究部研究理事
2025年4月より現職
【加入団体等】
東京大学法学部(学士)、ハーバードロースクール(LLM:修士)
東京大学経済学部非常勤講師(2022年度・2023年度)
大阪経済大学非常勤講師(2018年度~2022年度)
金融審議会専門委員(2004年7月~2008年7月)
日本保険学会理事、生命保険経営学会常務理事 等
【著書】
『はじめて学ぶ少額短期保険』
出版社:保険毎日新聞社
発行年月:2024年02月
『Q&Aで読み解く保険業法』
出版社:保険毎日新聞社
発行年月:2022年07月
『はじめて学ぶ生命保険』
出版社:保険毎日新聞社
発行年月:2021年05月
レポートについてお問い合わせ
(取材・講演依頼)
