サイバーセキュリティ基本法 (臨時国会で成立の見通し)

日経新聞の平成26年9月1日付記事です。自民、民主等が共同で秋の臨時国会に法案を再提出する予定だそうです。年初に自公民3党が合意しており、前通常国会で衆議院を通過して成立の予定でした。ところが内閣委員長提出議案としていたところ、参議院の内閣委員会理事の民主党議員が一人反対したため、提出できずに継続審議となってしまいました。

6月に成立目前までに至った法案はどんなものかと言えば、まさに基本法です。具体的な施策を明示している訳ではなく、行政組織や重要インフラ事業者などが、より効率的なセキュリティ対策を実施する為の基本理念や内閣官房に組織横断的な調整権限を付与するための法制度変更などを定めるものでした。更に、関連する研究開発や人材育成の振興を求め、国際協力や教育啓蒙に関する方向性を定めようともしていました。その法案を見る限り、特に反対する理由はなく、サイバー犯罪に対抗する為に、国を上げて取り組む体制を作る基盤のようなものだと思います。当法案成立を受けて関連する法整備が進められる予定だということです。

確かに、2020年の東京五輪の時期には、世界各地のサイバー犯罪集団が日本に攻撃してくる可能性が高まります。発電設備や鉄道、高速道などの交通網、水道・ガスなど社会インフラを支えるシステムを攻撃する可能性も充分にあります。それに備えて、少しでも迅速、かつ、強固に対応できるように、態勢や技術、教育を手当てしておこうと考えるのは、政治としてもっともであります。

ところが、見方を変えれば、当法案で指定される金融機関等の重要社会インフラ事業者には、セキュリティ確保の施策強化が求められ、場合によっては義務化、罰則規程すらも法制化される恐れがあります。サイバー攻撃の被害を防止しようと、通信業者やプロバイダーによる通信の監視や遮断が必要となるかもしれない。今は憲法の通信の秘密を順守するために、電気通信事業法や電波法は、こうしたことを厳しく禁止しています。サイバーセキュリティ基本法は、こうした従来の法制度に穴をあけることになります。場合によれば、プライバシーの侵害に結びつく危険性も出てきます。前通常国会で反対した民主党議員は、こうした問題点に対する解を得られなかったということなのでしょう。その意味で、良識の府としての役割を果たしたということかもしれません。それにしても、セキュリティ関係者が当該参院議員にむけた非難は凄まじいものでした。

9月1日の日経記事は、その意味で中立的というか客観的な記事です。前国会で継続審議になったことにも触れず、IT関連法制度の変遷や当基本法のデメリットにも触れています。要は、当法案は特定秘密保護法と同様で、理念は理解できる、しかし、運用によってはとんでもないことになる。では、あらゆる事態を想定して運用に縛りを加えるか、しかし、あらゆる事態など出しきれる筈もなく、逆に法案を無力化してしまう可能性もあります。

臨時国会では、前回メンツをつぶされた民主党執行部が当該委員会理事を差し替えてでも、成立に努めるでしょう。当基本法は多少の修正があるとしても成立しそうです。さて、重要社会基盤事業者の一員として、金融機関には何が求められるのでしょう。第十四条に「国は、重要社会基盤事業者等におけるサイバーセキュリティに関し、基準の策定、演習及び訓練、情報の共有その他の自主的な取組の促進その他の必要な施策を講ずるものとする。」とあります。

そのサイバーセキュリティとは何か。法案第二条「この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。」とあります。

これを読む限りは、サイバーテロのような大規模攻撃に限らず、不正送金や個人情報流出なども対象と解釈できます。主語は「国は」とありますが、誰が国かと言えば、金融機関にとっては総理大臣が主管大臣です。実務としては、首相に委任された国務大臣が責任者です。しかし、基本法案では、内閣官房長官に全体の指揮権を与えることになっています。そこで、心配になるのが、福島原発の事故時と同じことにならないかです。銀行を狙ったウィルスが多発しており、最新型のVAWTRAKなどは、世界で最も汚染PC台数の多いのが日本です。真っ先に金融が指定されるかもしれません。しかし、技術も実務も知らない連中が、やたら騒ぎまわり、不要な指示を乱発する。結果、収拾が大幅に遅延するのは困ります。

ということで、内閣官房の情報セキュリティセンター(NISC)を大幅に強化し、技術と実務に精通した人材を集約しておき、いざという時の司令塔にするという(第二条)ことが、法案に盛られています。金融関係では、どんな人材がNISCに配属されるのでしょうか?それとも、金融界が率先して、NISCのようなセキュリティ組織を民間版で組成した方が効率的なのでしょうか。金融機関がセキュリティ・ベンダーの支援を受けながら個別に対策を打つのは、無駄になるかもしれません。                            

(平成26年9月2日 島田 直貴)