19:34
これより会議を開きます。内閣提出「国立研究開発法人情報通信研究機構法」の一部を改正する等の法律案を議題といたします。この際、お諮りいたします。本案審査のため、本日参考人として、国立研究開発法人情報通信研究機構理事長、徳田秀幸さん、の出席を求め、意見を聴取したいと存じますが、合意ありませんか。合意なしと認めますよと、そのように決しました。引き続き、お諮りいたします。本案審査のため、本日、政府参考人として、内閣官房・内閣審議官、飯島秀俊さん、総務省大臣官房総括審議官、湯本博信さん、自治税務局長池田達夫さん、国際戦略局長田原康夫さん、総合通信基盤局長今川貴男さん及び、サイバーセキュリティ統括官山内智夫さんの出席を求め、説明を聴取したいと存じますが、合意ありませんか。合意なしと認めますよと、そのように決しました。これより、質疑に入ります。質疑の申し出がありますので、これを許します。
20:53
おはようございます。自由民主党の川崎秀人です。今日は質問の機会をいただきありがとうございます。私自身は今、自由民主党のサイバーセキュリティプロジェクトチームに所属しており、今回のこの法案、通称NICT法案、改正法案については大変興味があります。今日は時間の限り精一杯質問させていただきますので、よろしくお願いいたします。まず、スマホが普及し、あらゆるものがネットと接続するIoT社会が広がる現代において、サイバーセキュリティの重要性は日に日に増しております。一方で、サイバーアタックの脅威については、国民の方の理解が果たしてあるかというと、ちょっとそこは、はなはだ疑問が生じます。ニュース等でサイバーアタックがあったということは知れますが、どのような被害があったのか、あるいは危険性がどういうものであったのかという部分については、あまり享受されていないのか、国民の理解度は低いというふうに思います。逆にこれ、詳しく説明してしまうと、横文字だらけになって懸念されてしまう、こういう部分もあると思いますので、まずはこの一つ目の質問として、今回の法案の対象となっているID、パスワードに脆弱性のある機器、まずこれが一体何なのかというこの定義と、そしてそれに対するサイバーアタックの発生で、一体何が起こってしまうのかというのを、我々の目線、つまり生活者の目線で、ぜひお答えいただきたいというふうに思います。この質問については、自民党でともにデジタル関係をやっておりました小森大臣、あ、政務官にお伺いしたいと思います。
22:29
ご質問いただきありがとうございます。ご質問ありましたID、パスワードに脆弱性のあるIoT機器でございますけれども、こちらにつきましては、例えばご家庭ですとか、企業でルーターですとか、ネットワークカメラといったようなIoT機器が使われているわけでありますけれども、このうちIDですとかパスワードというのがこれらに設定されているものがありますけれども、これが単純な英数字の羅列など容易に推測されないものでありますと、脆弱性があるものとして念頭に我々は置いているところでございます。こうしたIoT機器の問題でございますけれども、悪意のあるものによってこれらがマルウェアに感染させられた場合には、利用している人たちが知らないうちにサイバー攻撃にこうした機器が加担してしまうといった危険性があるところでございます。そしてまたそれにとどまらず、ID、パスワードに脆弱性がある場合の問題としては、例えばネットワークカメラで撮影された映像が外部に漏れてしまうなど、機密情報あるいは個人情報を摂取されるリスクもあるといっ��たものでございます。
23:42
ありがとうございます。まず実はこのサイバーアタックの共有というのが一番重要だというふうに思っています。何となくパスワードやIDを抜き取られると、国民の目線からすると何だか知らないものを買われてしまうんじゃないかとか、あるいは自分の銀行からお金がなくなってしまうんじゃないかと、そういう自分としてのリスクばかりを考えてしまいますが、実はこれ広く見ると本当に日本の国力にも大きく影響がある、まさに国益を損なうものでありますので、まずはこの部分を皆様と共有をさせていただきたく、一つ目にこの質問をさせていただきました。では二つ目の質問をさせていただきます。今回この法案、令和5年度が期限となりますが、それを延期するというのが本法案改正の趣旨だというふうに理�解をしております。延期をするということは、この法案そもそもに効果があったからなのではないかというふうに理解をしておりますが、現行のこの法案が施行した後のノーティスの成果並びに評価についてお伺いいたします。
24:51
お答え申し上げます。NICTでは2018年に成立をした今御指摘の改正NICT法に基づきまして、2019年から今年度末の次元の業務として、IDパスワードの設定の不備のあるIoT機器の調査を実施してまいりました。この調査は国内のインターネットに直接接続をされております、約1億台のIoT機器を対象に実施をしております。このIDパスワードに不備のある機器が接続されたIPアドレスを、今までに累計10万件以上、電気通信事業者に通知をしております。この通知を受けた電気通信事業者においては、不備のあるIDパスワードの変更等を行うよう、個別の利用者への注意喚起を行っております。また設定に不備が多く見つかった機器、この調査の過程の中でこういう機器が見つかった場合には、メーカーにも働きかけを行い、初期パスワードの変更をしなければ、その後の操作ができないなどのセキュリティ機能の強化をした製品の提供にもつながっております。これらの取り組みによりまして、少なくとも数万台規模と推定をしております。このようなIoT機器について、IDパスワードの脆弱性の解消に資する成果が上がったものと受け止めております。他方でサイバー攻撃の手法も年々巧妙化をしております。従来になかった通信経路から、新たなIDパスワードの組み合わせを狙った攻撃というものも、発生をしているということがわかっております。従いまして調査対象を拡大しながら対応してきておりまして、結果として調査で見つかっている脆弱性のある機器の数は、なかなか減らない状況にございます。このため、少なくとも脆弱性のあるIoT機器の数が増えないようにするため、こうした取り組みを粘りづらく続けていく必要があ�ると考えております。
26:34
ありがとうございます。確かにこのIoT端末がどんどん増えれば増えるほど、そうした危険性があると思いますので、私自身もこの法案を延長すべきだということは強く感じております。一方で、これをずっとそのまま放っておいて、納節の方で検知をしていくかというと、やはりそこは根本的な解決にはならないというふうに思っております。脆弱性の高い機器をやはり減らす、これをやっていかなければならない。この脆弱性の高い機器を減らす方法としては、やはり件数を減らすためには、一つ目には端末のセキュリティを高めるように、メーカー、ベンダーにそれぞれご協力いただいて、しっかりと機器の安全性を保つということ。それ以上にID、パスワードを設定する個人個人の意識、これを高めないことには、件数は減らないというふうに思って�います。総務省として、私が今ご提示したこの2点について、相違はありますでしょうか。まずこの辺りをお伺いいたします。
27:39
お答え申し上げます。今、委員御指摘のとおり、実際に機器を減らす取組を行うためには、メーカー、作っている方、それから利用する方、利用者の双方の取組が重要であるという認識をしてございます。特にメーカーにつきましては、機器の脆弱性に関する情報から、セキュリティに関する対策プログラムの提供、場合によって製品のサポートが終わる場合がございます。こういう場合には、終わるということを周知をしていただく。利用者が対応するために必要なサポートを提供していただくということと、利用者が意識をしなくとも、セキュリティが確保される製品の開発に取り組むということが求められると考えてございます。メーカーと利用�者による取組に加えまして、例えば利用者が法人、いわゆる企業ユーザーの場合でございますが、これはIoT機器の設置管理を外部委託をしているというケースが多くございます。こういう場合には、この設置管理等を行っているシステムベンダー等の方において、IoT機器に適切なセキュリティ対策を講じていただくこと、これを促すことも効果があるというふうに考えてございます。これを踏まえまして、今回の法案では、通信事業者への通知、これを今まで従来行ってまいりました。これに加えまして、メーカーやシステムベンダー等の関係者への情報提供、それから助言についても、NICTの業務として法的に位置づけることとしております。これによりまして、幅広い関係者を巻き込んだ対策を一層促進いたしまして、より大きな成果を上げるべく取り組んでまいりたいと考えております。
29:13
ありがとうございま�す。これまではIoT機器のメーカーであったり、あるいはISP事業者の方に訴えをされていたというふうにご発言いただきましたが、今回のこの法案において、それ以外にアプローチする先というのは改めてあるのでしょうか。
29:35
ありがとうございます。今申し上げましたとおり、今まで従来ですと、特に利用者、個別の利用者に対する注意喚起ということを行ってまいりました。先ほど申し上げましたが、これに加えまして、作っている方、ベンダーの方、そして今まで注目をしてまいりました法人ユーザーの方がなかなか、実際に責任を持っている方がどなたかお分かりにならないという場合がございます。この場合には、管理に責任を持っているシステムベンダーの方、こういう方を巻き込みます。それから、こういう関係の情報を持っている方には、セキュリティのベンダーといった方々もいらっしゃいますので、こういう幅広い関係者の方をぜひ巻�き込んで対応していきたいというふうに考えております。
30:13
ありがとうございます。つまり今回の法案は単に延期するだけではなくて、しっかりと通知の対象者も増やして、より強固なセキュリティを図っていくということで理解をいたしました。先ほど一番最初に申し上げましたけれども、サイバーアタックの具体的な脅威、これを小森政務官に共有をいただきましたが、この質問をした意図は、今日ここに参加されている総務委員の皆様に対して、サイバーアタックの具体的な脅威、これをしっかりと共有するということが、非常に大切だというふうに思っております。実は私は地元で、最近国政報告会を何度かさせていただいておりますが、この国政報告会の中で、今話題になっているマイナンバー制度、これについて丁寧に説明すると、「なるほどね」とすごく理解を示してくれます。いかに政治家が情報共有をしっかりとするのが大切なのかということを改めて理解をいたしました。そうした観点からすると、このIDパスワードを設定する個人の意識を高めるためにも、この共有というのは非常に重要なんだと思います。総務省として、なぜサイバーセキュリティが重要なのか、なぜ一人一人が意識を高めなければならないのか、これを国民の皆様にしっかり共有をしていただきたいというふうに思います。この点において、総務省としての意気込みを、ぜひ小森専務官からお伺いしたいと思います。
31:36
ご指摘いただきましたとおり、IoT機器のセキュリティ対策を推進していく上で、我々の取組のノーティスに関する情報発信を強化して、国民の理解を向上させていくことは重要な課題であるというふうに認識をしているところでございます。国民の皆様には、先ほど申し上げましたが、ご自身が利用するIoT機器がサイバー攻撃に加担する恐れがあるということを広く知っていただいて、セキュリティ対策を自分ごととしてしっかり行っていただきたいというふうに考えております。そのため、このノーティスの情報発信の強化とともに、年度内に新たな広報戦略を策定することを考えておりますけれども、これを通じまして、IoT機器のセキュリティ対策の重要性について、国民の皆様、誰もが理解できるような周知啓発を進めるなど、理解の向上に取り組んでまいりたいと思っております。
32:27
ありがとうございます。あらゆる手段を使って、ぜひ国民の皆様に、総務省の取り組みやサイバーセキュリティの重要性がきちんと届くように、ぜひ努めていただきたいというふうに思います。次の質問に参ります。今回、ID、パスワード以外に脆弱性を有するファームウェアというものも対象になったというふうにされておりますけれども、実はこのファームウェアという単語が、さらにまたピンとこない単語になっています。具体的にどういうものを指すのか、これを例示いただけますでしょうか。
33:06
お答え申し上げます。ご指摘のファームウェアとは、そのわかりやすくもしくはソフトウェアとハードウェアの中間的な存在。具体的に申し上げますと、IoT機器を制御するために搭載をされているソフトウェアのことを指しております。今ご指摘がございましたが、このファームウェアを狙いますと制御権を取られてしまうということが起きるものですから、この脆弱性を狙ったサイバー攻撃が増加している状況にございます。
33:33
ご説明ありがとうございます。理解はさせていただきましたけれども、非常に難しい単語だったというふうに思いました。これこそまさにわかりやすく、例えばWindowsの古いOSだとか、こういう表現をしっかり使っていかないと国民の方は理解できないというふうに思います。ぜひ難しい単語ではなくて、わかりやすい啓発をよろしくお願いしたいと思います。それでは最後の質問にいたします。今回、丸上に感染した機器も検知し、その機器を有する会社に連絡するという運用だというふうに理解しておりますが、まずこの方法で私の理解があっていますでしょうか。そのあたりを確認させてください。
34:15
お答え申し上げます。運用としては今までと基本的には変わりません。まず電気通信事業者を通じて利用者の方に対して注意喚起を行うというこのメカニズム自身は変わりません。ただ実効性を上げるために先ほど申し上げましたとおり、関係者の方々、特に作っている方、利用者の方が実際に対策を行う前にセキュリティ対策を高めるといったこと。管理者としてユーザー以外に存在する方に直していただくということもございますので、こういう幅広い取り組みをぜひ進めていきたいと思っているところでございます。
34:48
ありがとうございます。実際にノーティスの方でそうした通知をされたとしても、実は連絡を受けた会社というのは必ずしもITに詳しい人材がいるわけではございません。中小零細企業ではただでさえ人材不足がありますので、ITデジタル人材が常に常駐しているというわけではないです。そういった状況ですので、ノーティスのサポート体制というのは本当にしっかりと努めていかなければいけないと思っております。人材が足りないのであればノーティス側にもしっかりと人材配置を行う、そのための予算分もしっかりやる、これをお願いしたいというふうに思います。また実は民間でも感染検知を行っ��てくれている企業というのがございます。これは一例ですけれども、大阪の商工会議所はサイバーセキュリティに対して立足がすごく高くて、このような感染検知を行ってくれている企業に実は委託をして検知を行っております。ぜひこうした企業もありますので、より強力な体制を構築するためには、総務省だけでやらずに、ぜひこういう民間企業ともタイアップをしながらやっていただければというふうに思います。改めてこの部分も強くお願いをし、私の質問も終了させていただきます。ありがとうございました。
36:22
公明党の平林昭と申します。今国会から総務委員会の配属となりました。どうぞよろしくお願い申し上げます。サイバー攻撃がサプライチェーンを寸断したり、あるいは社会インフラの機能が停止させられたりする事態を目の当たりにする昨今におきまして、サイバーセキュリティの強化は喫緊の課題と考えております。このような状況の下、今回のNICT法改正案では、令和5年度末に次元を迎えるIDパスワードに脆弱性があるIoT機器の調査を令和6年度以降も継続的に実施をする。また、脆弱性があるファームウェア等を搭載しているIoT機器及びマルウェアにすでに感染をしてしまっているIoT機器を新たに調査の対象とすることとしております。この理解の下に以下質問をさせていただければと存じます。まず、今回の法改正では調査対象が拡充をされ、またIoT機器は今後も更なる増加をすると考えます。そうしますと、NICTのセキュリティ部門の体制強化は必須であると考えております。この点についてのお考えを総務大臣にお伺いいたします。
37:46
総務省では、サイバーセキュリティ分野をNICTの重要研究開発分野の一つに位置づけておりまして、NICTのサイバーセキュリティ担当部門の体制強化は大きな課題であると認識をしております。私自身も先日、NICTを視察させていただきまして、サイバー行為の脅威が高まる中で、NICTのサイバーセキュリティ関連業務の重要性はますます高まっていると実感をしたところであります。現在、ID・パスワードの設定に不備のあるIoT機器の調査は、��平成31年の調査開始に伴って、NICTに設置した専門の組織で実施しております。IoT機器数の増加が続く中で、今回の法案では、調査対象を確立するとともに、幅広い関係者への情報提供や助言を新たにNICTの事業務として位置づけようとしておりまして、さらなる体制強化が必要となることを考えております。総務省としましては、令和6年度に向けて、体制強化に向けた必要な予算を増額して要求しておりますので、NICTのサイバーセキュリティ関連業務の実効性が上がるように、しっかりと取り組んでまいりたいと思います。委員は、まさに専門でございますので、どうぞよろしくお願いいたします。
38:51
大臣、丁寧なご答弁いただきまして、大変ありがとうございます。予算措置を含めて体制強化を考えておられるということであり、しっかりと取り組みを進めていただきたいと考えます。よろしくお願いいたします。続きまして、NICTの調査、これにより見つかった脆弱性のあるIoT機器に関しましては、機器の利用者にセキュリティ対策をお願いすることとなります。ここで連絡を受け取った利用者の機器操作についての知識、十分でない場合も十分考えられます。このような利用者に対するサポート、総務省はどのように考えておられるのか、見解を伺います。
39:40
お答え申し上げます。利用者に対するサポートという観点で、IoT機器の利用者の知識が不十分であった場合、お願いをしてもなかなか正しい設定を行うということが難しいということが想定されます。このため、総務省では利用者に対して通知を行う際には、実際に見つかった機種ごとの設定資料を作成して、具体的に何をするかということを教えをする、こういう内容をまず提供させていただくといったこと。電話対応可能なサポートセンターを用意いたしまして、IoT機器に対する知識が不十分な方であっても、正しく設定ができるよう利用者の支援に取り組んでおります。その観点では、先ほどメーカーやシステムベンダーといった方々、連携共感の取り組みの一環として、設定変更を行わなくても一定のセキュリティを確保できるようにということを申し上げましたが、こういう方々、メーカーや業者の方に対��して設置販売の時点でセキュリティの確保協力を求めるといったことを含めて、利用者の負担の軽減の取り組みについても検討してまいりたいと考えております。
40:51
ただいま御答弁にあった電話のサポートの件ですけれども、私もちょっと調べさせていただいたんですが、固定電話用と携帯電話用、2種類の対戦番号が用意してあるというふうに認識をしております。それ自体は非常に丁寧と思っていますけれども、時間が午前10時から午後6時までということで、本業と重なる時間帯かなと思いました。こういう保守業務というのは意外に本業と違うところでやる操作であったりもするので、そういった時間以外、これはチャットとかウェブホームによる問い合わせもあるので、そういった対応もしておられますけれども、より丁寧な対応をお願いできればと思いますので、よろしくお願いいたします。続きまして、セキュリティ人材の確保、これは一般企業や団体においても重要であり、私の地元でもさまざま困っているという声をたくさん伺っております。こうしたサイバーセキュリティ分野における人材確保及び育成に�ついて、総務省はどのような取組を行ってきたのか、御見解を伺います。
42:09
お答え申し上げます。委員御指摘のとおり、企業や団体といった各組織におけるセキュリティの人材の育成確保は大変重要な課題だというふうに認識をしてございます。このような課題に対応するため、総務省ではNICTにおいてその豊富な技術的知見を活用いたしまして、政府機関、地方自治体、重要インフラ事業者等を対象といたしまして、実践的なサイバー防御演習、SAIDAと申し上げます。SAIDAを実施をしております。このSAIDAは受講者の治安対処能力を向上させるために、サイバー攻撃による治安の検知から回復までの一連の対処方法を実際に体験をいただく演習でございます。2017年度以降、毎年度、全都道府県の会場において、計100回、3000名程度の規模で実施をしております。各組織内でのセキュリティ人材の育成確保に貢献をしております。また、2021年度から各都道府県の会場だけではなくて、自職場等から受講ができるSAIDAのオンラインコースというものを開設いたしまして、受講者の質の向上の拡大に図っているところでございます。総務省といたしましては、引き続きNICTと連携をして、サイバーセキュリティ分野における人材の育成確保に取り組んでまいります。
43:18
SAIDAプログラムを通じて、年間3000人ということで、本当に多くの人材を育てていらっしゃるということ、またオンラインも使って、より広範な取組をしておられるということで、大変重要な取組をしてきておられると考えます。その上で、なおも人材不足しているというのが、現場の実感でもあろうかと思います。その場合、海外に目を向けることも必要かと考えております。総務省、既にASEANに対して、SAIDAプログラムの英語版を提供するなど、この5年間で1200人程度の人材を育成してきているということも伺いました。こうした人材、現在はASEAN10カ国、それぞれの国で活躍することを、そうしてしておられるということですけれども、我が国で活躍してもらってもいいのではないかと、こんなふうにも考えております。自国の安全、自国で守る、これも重要な考え方ですけれども、需要に対して供給余りにも不足しているとい�うのが、サイバーセキュリティ人材であります。中小企業においては、ぜひ力を貸してほしいとの声もあろうかと思います。ご検討いただければと思いますので、よろしくお願い申し上げます。続きまして、インターネットにおける脅威という意味では、サイバー攻撃とともに偽情報やフェイクニュースへの対策が、生成AIなど技術の急速な発展により、ますます重要になってきています。先週末には記者総理のフェイク動画が問題になっております。それ以前にも、アメリカ国防総省、いわゆるペンタゴン付近で爆発が起きたとする偽の画像がネット上で拡散をし、株価が一時下落するなどの騒動に発展をしております。偽情報やフェイクニュースのこうした問題がさらに悪質と考えられるのは、こうした情報を発信することによって、閲覧者を獲得すれば、偽情報を発信した側が広告収入を得ているということであります。嘘でお金を稼いでいるというとんでもないことであります。また一部の研究によりますと、偽情報は正しい情報よりも早く拡散をしてしまうと、しかもより後半に拡散するということも指摘をされております。このように深刻化をしていく偽情報問題への対策に関しまして、総務省はどのような取り組みを進めておられるのでしょうか。見解を伺います。
45:44
お答え申し上げます。委員御指摘のとおり、生成や縁による巧妙な偽ご情報の拡散といった新たな課題が顕在化しておりまして、サイバー攻撃と同様に、これらの対策がますます重要になっているものと認識しているところでございます。インターネット上の偽ご情報の対応につきましては、プラットフォーム事業者を含む幅広い関係者による自主的な取り組みを総合的に推進することが重要だと考えているところでございます。例えば、偽ご情報を含む投稿の削除、またアカウントの停止といったプラットフォーム事業者が自主的に講じている取り組みに対する透明性、アカウンタビリティを確保することが重要でございます。また、偽ご情報を鵜呑みにしないような利用者のICTテラシーの向上も重要な事項であると考えているところでございます。こうした認識の下、総務省におきましては、これまでもプラットフォーム事業者による自主的な取り組みに対してモニタリングを実施したり、ディテラシー向上策として偽ご情報に関する警察教育教材及び講習用ガイドラ�インの開発やインターネットトラブル事例集の作成などに取り組んでまいりました。また、偽ご情報の対応につきましては、関連技術の開発、実証の推進など技術の進展については技術で対応すると、こういった観点も重要でございまして、今後も引き続き関係省庁等とも連携しつつ、偽ご情報対策に取り組んでまいります。
47:10
はい、ありがとうございます。ぜひしっかりと進めていただきたいと思いますので、よろしくお願いいたします。続きまして、NICTのその他の取り組みについても伺います。今回の法改正に関係するサイバーセキュリティ分野以外におきましても、NICTは多種多様な研究の取り組みを進めておられると認識をしております。私は以前、大学の教員をしておりましたが、その頃にお世話になったNICT研究者の方は、関西にあります未来ICT研究所で、ノーコンピュータインターフェース、いわゆるBCIの研究を行っておられます。ご当地訪問させていただいたとき、MRI装置の中でも、日本有数の7テスラの装置、これは病院などにあるものよりもずっと強力なものですけれども、あるいは脳内の微弱な磁場の変化を計測できるMEG装置も見学をさせていただきました。こうした経験を通しまして、NICTの幅広い研究テーマに対する取り組みを拝見してきたところでございます。そこで伺います。研究機関として、NICTの取り組み、外活的に御協力をいただき、今後目指すもの、その中でも特に力を入れていく内容について、総務省に伺います。
48:32
お答え申し上げます。NICTは、科学技術イノベーション基本計画などの各種の政府戦略などを踏まえまして、現在は、電磁波先進技術、革新的ネットワーク、サイバーセキュリティ、ユニバーサルコミュニケーション、フロンティアサイエンスといった重点誤分野において中長期的視線に立って、自ら最先端の研究開発を実施するとともに、民間企業などによる研究開発の支援やオープンイノベーションの創出のための取り組みを進めております。また、日本標準時、標準周波数の決定創出など、公的サービスの提供も担っているところでございます。具体的にいくつかご紹介させていただきますと、ご指摘のサイバーセキュリティ分野のほか、自ら実施する研究開発分野として、防災減災などの社会的課題に向けた光や電波を用いた対処物の状況を判別するリモート先進技術の研究開発、次世代の情報通信インフラ、ビヨンド5Gの実現に必要な超高速大容量通信等を可能とする有無線の通信技術の研究開発、長年の研究により蓄積してきたAI技術や良質な日本語データを生かしたビジネス国際会議で使えるリアルタイムな同時通訳、日本語に特化した適当生成AIの研究開発、さらに、今委員からもご紹介ございましたが、ノウハウを測定分析し、人間の認知過程を可視化、フィードバックすることによって、学習や運動の改善、向上に役立てるノウ情報通信技術の研究などの取組を実施しているところでございます。さらに、令和4年度第2次補正予算で新たに造成した情報通信研究開発基金を活用させていただきながら、企業などが進めるビヨンド5Gの実現及び我が国の国際競争力の強化や経済安全保障の確保に資する技術の研究開発の支援を始めているところでございます。総務省といたしましては、NICTには引き続き、中長期的視点に立て研究開発によって我が国の情報通信分野をリードいただくとともに、大学や産業界と連携して研究開発成果を社会全体のイノベーション創出に積極的につなげていただくことを期待しております。以上でございます。
50:41
はい、ありがとうございました。今、日本の研究力は相対的地位の低下に苦しんでおります。その挽回にもご貢献いただくことをご期待申し上げまして、私の質問を終わります。大変ありがとうございました。
51:03
おはようございます。日経民省の湯原俊二です。よろしくお願いします。それでは、今回のNICT法の改正について質問をさせていただきます。今回の法改正で、IoT機器の調査を令和6年度以降も継続的に対象を拡大してということでありますし、延長していくということで、NICTの観測によれば、サイバー攻撃関連通信のうち、IoT機器を対象にしたものが全体の3割、その先の攻撃の踏み台にもなっているということで、先ほど来の議論になっているのかなというふうに思います。それで、お手元に資料を配布させていただきましたが、先ほど研修等の人材のこともあったわけですけど、前段として、サイバー関係、防御の関係の人員を各国と比較した資料をお手元にお渡ししております。もちろん、NICTは、だけで全国、日本のサイバー防御をしているわけではありませんけれども、関連全体の中の一部分といいますか、先ほどあったように研修の部分では主要なところでありますけれども、お手元にあるように、中国、北朝鮮、ロシア、ロシアの場合は、これは軍が1000人程度で、他には三防本部であったり、いろいろそういった対外情報庁等々の人数もありますので、分かりません。アメリカでも軍が6200人、それ以外には3000人超ということで、これは表に出てこない数字もあると思いますので、外に出ている数字でこういう状況だということです。防衛三文書も出ましたけれども、自衛隊の場合、現在890名で、これを今年度内に2230人、そして4000人と、こういうふうな話、計画もあるわけでありますけれども、NICTの場合は、現在112人、NICSの方が内閣府の方ですけれども180人、警察庁が342人という、こういう状況でありまして、先ほど3000人研修ということでありますので、自治体を含めれば幾分増えるわけでありますけれども、この人員体制について、菅大臣、どのようにお考えであって、今後どうしていきたいかという、この人員体制について御答弁いただけたらと思います。
53:32
サイバー攻撃が複雑化、複雑化する中で、セキュリティ人材の確保が重要な課題でありまして、政府全体で取組を進めているところでございます。サイバーセキュリティ分野を含めて、研究開発を実施しているNICT全体の職員数は、本年1月時点で1381名でございます。各国でサイバーセキュリティに関わる機関や、その機関が果たす役割が多様でありまして、個別の機関の職員数を単純に各国と比較することはできませんけれども、サイバー攻撃の脅威の増大に対する、対応する体制強化の必要性、重要性は各国で広く認識されているところで承知しております。今回の法案では、NICTが実施するIoT機器の調査対象を拡充するとともに、幅広い関係者への情報提供や受言を新たにNICTの業務として位置づけることとしておりまして、NICTのサイバーセキュリティ担当部門について、人員を含めてさらなる体制強��化が必要になると思っております。総務省としましては、令和6年度に向けまして、体制強化に向けて必要な予算を増額して要求しておりまして、NICTのサイバーセキュリティ関連業務の実効性が上がるように、しっかりと取り組んでまいります。
54:38
ありがとうございます。おっしゃったように、体制強化は必要だということで、重要インフラと言われるサイバー防御で、重要インフラと言うところはそれぞれでやるということですし、全体としてはニスクがあり、自衛隊が人数を増やすということであります。これも最初は自衛隊と関連産業をまずは防御していくということでありますので、先ほどあったように、古いIOT等々とか考える、あるいは中小企業とか地方の小規模の自治体のことを考えれば、NICTがいかに研修して、このボトムアップですね、強いところだけ一箇所あればいいというものじゃなくて、全体がかさ上げしていかなきゃいけないものですから、そういう意味では役割、重要でありますので、是非、人員体制についても引き継いで御尽�力いただきたいと思います。その一方で、いろいろな文献、指揮者の話を聞いておりますと、警察でも自衛隊でもそうであるようでありますけれども、サイバーセキュリティの国際的な資格認定制度であるCISSPというこういう資格があるようでありますけれども、これを資格を取った後、退職をされていく、民間に行く、こういう状況が一方であるんじゃないかということでありまして、NICTの方でもこういった、ある意味での危機感、この辺についてどのようにお考えか御答弁願いたいと思います。
56:03
お答え申し上げます。今御指摘のあったような、サイバーセキュリティに関連する他の組織と同じように、NICTにおいても高度な知識、技術を有するサイバーセキュリティ分野の研究者、技術者を所内に維持、確保することは大変重要だというふうに思っております。このため、NICTにおいては、サイバーセキュリティの研究開発に携わる職員の待遇の改善を進めるとともに、世界最大規模の�サイバー攻撃観測網を有しております。このようなものを使った最先端のサイバーセキュリティ研究開発環境を整備しているというふうに承知をしております。総務省としても、NICTが高度な知識、技術を有するサイバーセキュリティ人材を維持、確保し続けることができるように、サイバーセキュリティの研究開発に取り組む場としてのNICTの魅力の向上に努めてまいります。
56:58
待遇の改善とか環境整備していって、ある意味で引き止めると言ったらおかしいですけども、引き継いで働いてもらいたいという、こういうご答弁であったかと思いますけども、私、いろいろ私なりに勉強させてもらうと、先ほど申し上げたように、民間のレベルもアップするためには、やはり一定のスキルを蓄えた人が民間との交流、韓国ではそういうふうにやって、全体的にボトムアップしているということをやっておりますので、一定程度は認めますけど、民間行くの、それ以降ですね、先般も質問ありましたけども、倫理面で今度はスキルアップをした人がですね、今度は民間どころか、悪用してしまうという、こういった倫理面での対応ですね、いかに抑えていくか、抑制していくか、この辺、どのようにお考えでしょうか。
57:48
(山内) お答え申し上げます。今ご指摘のあったような、サイバーセキュリティの知識や技術でございますが、これはセキュリティ対策の向上に役に立つのと、同時に悪用されるという、そういう場合も、それもあるというふうに思っております。このため、総務省では、NICTを通じて実施をしているセキュリティ人材育成プログラムの中で、知識や技術についての教育と合わせて、倫理教育にも力を入れております。また、NICT内部の職員に対しても、サイバーセキュリティに関する研究データ、これを適切に管理をするという旨を指導しているところでございます。総務省としては、こうした取組を通じて、サイバーセキュリティの知識や技術を適切に活用できる人材の育成を、引き続き推進してまいります。
58:36
(井原) ご答弁いただきました。倫理教育に力を入れるというご答弁あったので、了としますが、ただ、これはどこまで教育しても、最終的には本人が悪用に転じる可能性もあるわけでありますので、了とはしますけれども、引き続いてこの面は、ぜひ力を入れていただくということでありまして、力を入れていただきますようにお願いを申し上げたいと思います。この倫理面について関連して、今、ノーティスでIoT機器をチェックしているわけですけれども、これは以前から通信の秘密との整理、墨分けのことで、以前から、今回は6年度以降の延長でありますけれども、最初の改正のときからずっと議論になっていることでありますけれども、私も今日までの国会答弁等��を読まさせていただいております。このIoT機器チェックということは、不正約正にはならないという認識であって、どうやって歯止めをかけるかというと、実施計画を総務大臣に出して、総務大臣が認可をして、そして罰則の規定があると。その後、IoT機器を調査した後はログを保存する、こういう歯止めをかけているから大丈夫だということを答弁されておりますけれども、改めて、このIoT機器チェック調査に入って、そしてIDとパスワードを取った後に、その中身について知り得たり漏えいする懸念、通信の秘密に対して、犯すようなこの担保保障の仕方、改めて答弁願いたいと思います。
1:00:35
お答え申し上げます。まず、特定アクセス行為によって収集する情報でございますが、これはIoT機器の利用者、それとはNICTの当事者との通信内容でございますので、第三者間の通信の内容を含まないため、通信の秘密は該当しないということになります。また、特定アクセス行為は総務大臣が適正かつ確実に実施されると認めた計画に従って行うこととしておりますので、この計画で認められた以上の操作、情報収集は行いません。例えば、具体的には、特定アクセス行為の実施にあたりましては、この計画に基づいて可能な限りシステムで調査を自動化して、必要以上の情報の収集する余地がないように運用することとしております。また、実施に際して計画に基づいた全ての特定アクセス行為に係る通信記録は定期的に監査をしております。これによって不正な利用がないことを確認をするとともに、特定アクセス行為を行うNICT職員についても、毎年セキュリティ研修を実施をして、セキュリティ職員の高い倫理観の維持にも努めることとしております。改正後においても、これらの取組を計画に記載をすることで、特定アクセス行為について、引き続き、適正かつ確実な実施を担保してまいります。
1:01:46
(湯原淳司) 引き続いてお願いしたいと思います。サイバー防御という観点から、その先に関連して、私は、能動的サイバー防御について続けて質問をさせていただけたら、というふうに思っております。岸田総理は、今年の4月、防衛三文書についての代表質問に答えて、今年の1月末に、内閣官房にサイバー安全保障体制整備準備室を設置したところであり、スピード感をもって具体化に向けた議論を進めてまいります、というふうに答弁されております。つまり、1月に内閣官房にこの準備室を作ったということでありますけれども、11月10ヶ月経ったわけですけれども、その進捗状況、体制整備の状況、お答え願いたいと思います。
1:02:37
お答えを申し上げます。昨年12月に閣議決定した国家安全保障戦略におきましては、サイバー安全保障分野での対応能力の向上のため、情報収集分析能力の強化や、能動的サイバー防御の実施のための体制などを進めることとしております。これらの検討にあたっては、委員御指摘のとおりですね、本年1月に内閣官房にサイバー安全保障体制整備準備室を設置したところであります。この準備室におきましては、具体的に申し上げますと、官民の情報共有の強化や、民間に対する支援の強化、通信に係る情報を活用した攻撃者による悪用が疑われるサーバーなどを禁止、重大なサイバー攻撃を未然に阻止するための政府に対する必要な権限の付与といったことを取り組むということとしております。また、こうした取組を実現促進するために、内閣サイバーセキュリティセンター「NISC」を発展的に改組し、サイバー安全保障分野の政策を一元的に総合調整をする新たな組織を設置することとしております。我が国のサイバー対応能力を向上させることは、近度課題であります。様々な角度から政府全体で検討を進めているところ、可能な会議、早期に法案をお示しできるよう検討して、引き続き取り組んでまいります。
1:04:13
飯島さんから今お答弁をあったわけですけれども、いろいろな権限を付与して、そしてNISCを発展的に解消、バージョンアップしてということで、体制を整えていくということで、できるだけ早くということでありますけれども、私は今までのこの委員会等での質問で申し上げていたんですけれども、やはり諸外国と比べて10年近く日本の体制は遅れているというふうに認識を持っております。他の先進国はやはり10年ぐらい前にこういう体制を整えております。できるだけ早く、岸田総理はスピード感を持っているという。具体的にいつ頃までを目途にして考えているのか知っていますか。
1:05:14
お答えを申し上げます。先ほど申し上げましたとおり、まさに様々な角度から政府全体で検討を進めているというところでございます。可能な限り早期に法案を示しできるよう引き続き取り組んでまいりたいと考えております。
1:05:33
可能な限り早くというと、いつまでですかと聞いて、可能な限り早くということで、もうそれ以上答弁がないのかなと思います。でもやはり体制整備をするということであれば、一定の目処を持ってやらなきゃですね。言葉で抽象的に可能な限り早く、可能な限り早くと言いながら、何年も先、5年も10年も先で果たしていいのかという、こういう思いを持つわけでありまして、本当に今の、先ほどおらあるように、サイバー攻撃を受けている状況があるわけでありますので、その辺のところを踏まえてですね、いつまでを目途にということを目標を持って対応できるようにしていただきたいというのは、これは要望をさせていただきたいと思います。以前、それから次の質問ですけど、以前も申し上げておりますけども、この憲法の通信の秘密との、能動的サイバー防御との、この論点整理と言いますか、国民の見える形でですね、この有識者会議を早く立ち上げて、国民の皆さん方にこういうところは議論ある、こういうことをですね、ちゃんと皆さん方に知らしめることが必要なんじゃないかなというふうに思っております。この点についてどのようにお考えなのか、有識者会議の設置についてお答え願いたいと思います。
1:06:52
はい、お答え申し上げます。委員御指摘の点も含めまして、まさにですね、この我が国のサイバー対応能力を向上させることはまさに現在の安全保障環境を考えますと、喫緊の課題でございます。安全保障上の必要性をもとより、憲法をはじめとした原稿法律の関係などを含む様々な角度から今、政府全体で精力的に検討を進めているところでございます。委員から御指摘がございました、有識者会議の設置につきましては、こうした検討の進捗状況を踏まえ、判断してまいりたいと考えております。
1:07:36
はい。まあ、飯島さんがおっしゃる喫緊の課題だというのは認めてらっしゃるんですね、皆さん方。サイバー攻撃を受けてらっしゃる。ところが一方で、体制整備とか、あるいは通信の秘密との整合性、憲法論議も含めてですね、この辺のところ、この有識者会議はできるだけ早くと言いながら、全然明らかになってきてないという、こういう状況でありますので、これは一方で総務行政で、大臣等は初心でですね、国民に一番身近なところ、今皆さんがこのIoT機器含めてですね、インターネットを使ってらっしゃるわけでありますので、そこの一番、コアな部分という一番大切な部分、通信の秘密の部分に絡む問題でありますので、やはり前広にこういう有識者会議を立ち上げてこういう問題がありますということを、国民の議論も併せてしていただくような体制を取らなきゃいけないんじゃないかなと、私は申し上げておきたいと思います。なぜならばですね、昨年末に防衛三文書が出ました。それまで国会でですね、こう、どうなってんですか、どうなってんですか、検討状況はという、こういう質問を野党が再三してまいりましたけども、一向に出てこない。国会が閉じた後、昨年末にいきなり防衛三文書が出て、予算がこうです、みたいな話で、閣議決定していくという。国民の議論がな��いままにどんどんどんどん進んでいくと。国民のこの通信の秘密の部分についてもですね、やはりいきなり出していきなり閣議決定で規制事実化する、こういう姿勢はやはりよくないんじゃないかというふうに私は思っておりまして、この点について前広に議論をしていく。有識者会議を立ち上げて前広に議論をしていきますということを改めて、どのように考えていらっしゃるか、ご答弁願いたいと思います。
1:09:34
はい、お答えを申し上げます。まさにですね、今、具体的な内容というのは、安全保障所の必要性やもとより、憲法その他の現行法令との関係も整理し、検討を進めておるというところでございます。そういう検討の状況を踏まえてですね、繰り返しになりますが、有識者会議につきましては、その進捗状況を踏まえて判断してまいりたいというふうに考えております。
1:10:00
飯島さんがおっしゃったようにですね、有識者会議を立ち上げてということは、その有識者会議を早く立ち上げないと、そういう議論を公にできないわけですので、ぜひ、時間もないので要望にさせていただきますけど、可能な限り早く立ち上げて、国民の議論を進めていただきたいと、こういうことは申し上げておきたいと思います。時間がないので一つ飛ばしてですね、通信防止法の場合ですね、通信防止の手続きがありますね。改正になりましたけれども、通信防止のターゲットを決めてですね、裁判所の許可を得て通信を防止するという、こういうことであります。能動的サイバー防御では、普段から多分、先ほどのIoT機器でありませんから、パトロールをするわけでありますけれども、この手続きについては必要なのか、どういった手続きがあるのか、それとも全く必要なくて、一方的に能動的サイバー防御をしていくのか、この点についてどのようなお考えなのか。
1:11:01
はい、お答えを申し上げます。国家安全保障戦略におきましては、国内の通信事業者が駅務提供する通信に係る情報を活用し、攻撃者による悪用か疑われるサイバーなどをですね、検知をするために所要の取組を進めるということをしております。これについても、まさに現行法令との関係などを含め、今、政府全体で検討を進めているところであります。その実施のために必要となる手続きも含めてですね、現時点で具体的な取組の内容がですね、決定しているものではありませんが、いずれにしてもですね、国民の権利や自由が不当に侵害されないという観点も含めて、さまざまな角度から検討を進めるところであります。
1:11:59
なかなか、中身について教えていただけないんですけども、この論点はですね、やはり明らかにしてもらわないと国民の理解を得られないと思います。有識者会議も立ち上げない、中で今議論している最中です。しかし、こう決まりましたと言って、有識者会議もその方向で決まっていくということになるとですね、なかなかその論点について国民の皆さん方の理解が逆に結果的にですね、後々になって理解を得られないんじゃないかという、こういうことを懸念するわけでありまして、この辺のところは有識者会議をできるだけ早く立ち上げていただいて、こういう論点がありますよねということを知らしめて、そして国民の議論を呼んでですね、その上で決定していく。こういうプロセスを踏んでいくべきじゃないかな、こういうふうに改めて同じようなお願いを申し上げておきたいと思います。一つ戻ってですね、この「能動的サイバー防御と憲法の関連」で、選手防衛についてであります。4月岸田総理はですね、「能動的サイバー防御は武力行使ではないので、選手防衛の対象外」と答弁をされております。対象外ということで答弁されております。しかし私は見方でありますけれども、国家安全保障戦略では、この「能動的サイバー防御」についてこういうふうに書いてあります。未然に攻撃者のサーバー等への侵入、無害化できるように政府に権限を付与する。未然にそのサーバー、相手のサーバーになると思いますけれども、あるいはどこかのサーバーになると思いますけれども、侵入していって無害化できるように政府に権限を付与する。これは私の見方ですとね、まだ国内であればまた警察権限とかいろいろあると思いますが、海外にあるサーバーを無害化するということは、果たしてこれが選手防衛に当たるのかどうなのか、こ�の辺についてどのようなお考えを持っていらっしゃいますか。
1:13:57
お答えを申し上げます。まさに今、指摘ございましたとおりですね、国家安全保障戦略におきましては、国、重要インフラなどに対する安全保障上の懸念を生じさせる重大なサイバー攻撃につきまして、可能な限り未然に攻撃者のサイバーなどへの侵入、無害化できるよう、政府に対し必要な権限が付与されるようにすることとしております。この侵入無害化というのはですね、武力攻撃に至らない場合の措置として実証するということを考えております。そういうこともございますので、武力の行使に該当することは想定をしていないというところでございます。そういうことを踏まえますと、まさに選手防衛に反するものではないというふうに考えております。
1:14:52
飯島さんは選手防衛の範囲内だとおっしゃいますが、実際ロシアがウクライナ進行する場合でもですね、ミサイルをどんぱち撃つ前には情報戦闘をして、このサイバー攻撃をするわけです。つまりはこの戦争の中の一つの部分、一番前段としてあるわけです。戦争の中の、カテゴリーの中のですね。そういうことを考えるとですね、やはり選手防衛とのこの位置づけ、これもですね、前分に議論をしていくべきというふうに思います。あと一言だけ要望して申し上げておきたいと思います。これから有識者会議等々で議論するわけでありますけれども、能動的サイバー防御を行う、その事後ですね、IoT機器はログを保存するとか色々ありましたけれども、このチェック体制、特に国会で何を能動的サイバー防御でやるのかということをやってきたのかということを国会に報告する義務を持たせる、このことは絶対必要だということで申し上げておきますので、要望とさせていただきます。以上で質問を終わりたいと思います。ありがとうございました。
1:16:04
次に大月クレハさん。大月クレハさん。
1:16:08
実験民主党無所属の大月クレハと申します。早速質問に入らせていただきます。改めまして、先ほどから皆さんが議論されているこのノーティスの取組、重要かつ、そして評価するべき取組であると、まず冒頭に申し上げさせていただきます。ただですね、このノーティスと呼ばれる取組、先ほどもありましたが、お世辞にも国民に広く浸透されているとは言えない状況であります。例えばこの取組、広げようとどういうことをしているのかなと、私インターネットで検索してみましたけれども、この総務省が認定している第三者機関のICTアイザク。このICTアイザクが作っているYouTubeチャンネルがあるんですけれども、この再生回数、皆さんご存知でしょうか。42回とか、65回とか、もうちょっと多いのもあるんですけれども、正直関係者しかもしかしたら見ていないんじゃないかなというような数字でございます。もちろんYouTubeが広げるためのすべての手段だとは思いません。ただ、やはり浸透していないのは事実だと思います。また、このネットワークに接続された機器の脆弱性を、やはり管理者に通知しても、通知を受けた管理者などに十分に対処されていない事例も少なくはないと伺っております。これまでネットワークに接続する機器のこの脆弱性を放置した結果が、そ��の機器が他のネットワーク機器に対するサイバー攻撃の踏み台にされてしまって、機器の管理者がサイバー犯罪の被疑者と疑われる可能性があるなど、一時的または長期的に甚大な不利益が放置した管理者等に生じる可能性があることを、この場で指摘をさせていただきたいと思います。この情報通信行政においては、諸外国の取組の結果を十分に検討した上で、我が国の制度として整備していく、よく言えば慎重かつ安全で失敗の少ない行政運営、悪く言えば諸外国の後追いのみで先進的な取組に乏しいとの印象があります。しかしながら、このノーティスの取組に関しては、諸外国であまり例を見ない中、4年前から実施してきたこの軽裕な事例ということで、大変評価されているということなんですけれども、そこでまず伺います。この実際にノーティス同様の取組を行っている事例が海外にあるのかどうか、そしてまたこの取組に対する他国の評価について、例えばこの他国から視察の申し入れがありましたなど、大臣就任後、大臣就任後何もないんですけれども、これまで政務官や副大臣も務められていたことを踏まえて、サイバーセキュリティ対策に資する対策として、鈴木大臣にお伺いいたします。
1:18:45
ご質問ありがとうございます。サイバー攻撃に悪用される脆弱性のあるIoT機器に対する対処の必要性については、世界の多くの国において認識されておりますけれども、継続的に脆弱性のあるIoT機器を調査した上で、通信事業者の力の下で利用者への注意喚起まで実現している例というのは、我が国のほかにはないものと承知しております。NICTではこのノーティスプロジェクトの活動に基づく論文を多数発表しておりまして、これらの論文はサイバーセキュリティに関する世界的に権威のある国際学会においても、個人や事業者のセキュリティ対策の動機に着目したという点で、高い評価を受けているものと承知をいたしております。
1:19:31
ありがとうございます。まさにその高い評価を受けている取組、ぜひ先進的な例として進めていただきたいと思っております。そのノーティスの対象機器についてなんですけれども、これまでID、パスワードに脆弱性を有するネットワーク機器のみでしたが、先ほど説明があったと思います。現在、総務省などにおいて、ネットワークに接続されている機器のファームウェアという、この機器に内蔵されたソフトウェアに問題が存在するもの、また、既にサイバー攻撃へ悪用できる状態となった機器など、つまり他のネットワーク機器に対してサイバー攻撃に加担させることができる状態となったものが想定されると伺っております。そして、これまでノーティスの取り組みによって通知・注意喚起を行った先は、一般家庭から法人まで様々あったかと思います。しかし、これまで開催された総務省の情報通信ネットワークにおけるサイバーセキュリティ対策分科会において、注意喚起を受けても対処が進まない、つまり注意喚起の効果が現れていないのは、実は一般家庭の利用者よりは法人の方が多数であるということが指摘されております。さらに問題と考えられているのが、サイバーセキュリティを軽視する事業者がいる、こういう実情があるんですね。一般社団法人、先ほど言ったICT Isaacが分科会に提出した資料を拝見させていただきました。すると、この事業者がコストを抑えるために、意図的に中古の古いルーターを継続して利用したりだとか、あるいは遠隔で管理しやすいように、あえて脆弱な状態を容認している、こういう実情があるということなんです。従って、パスワードは強力なもの、もっと複雑なものにしていきましょう、設定しましょうというような、初心者向けの広報だけでは、これまでのこういった事業��者の皆さんの握手を改める機会にはなり得ないと私は思います。そこでお伺いいたしますが、脆弱性のあったネットワークに接続する機器の利用形態や利用状況について分析した統計は、これ、総務省の方で作成されているのでしょうか。この分析の結果であれば、その状況をどのように評価しているのでしょうか。お答えください。
1:21:58
山下:お答え申し上げます。このノーティスによる注意喚起の対象となった脆弱性のあるIoT機器については、その発売年について分析をしております。その結果、10年以上前に発売された機器が全体の約半分から、このプロジェクトが始まった2019年以前に発売された機器が全体の9割以上を占めているということが明らかになっております。この注意喚起を受けた利用者の中では、先ほど委員御指摘の通り法人ユーザーが多い。法人の比率が個人の比率の3倍以上になっているということが分かっております。また、この注意喚起を行った企業において、IoT機器の管理者が明確でないということも課題として分かっ��ておりまして、こういうものがなかなか実効性を上げるある意味での課題になっているというふうに承知をしております。
1:22:56
まさにそれらを総括すると、今までの総務省やNICT等が呼びかけの対象としてきた、この基礎知識のない管理者ではなく、本当にアプローチすべき相手というのは、情報システムを管理する事業者、いわゆるシステムインテグレーターとか、SIRとか言われる方々なども、ある程度サイバーセキュリティに対する知見を持ったものでありまして、総務省等が行ってきたアプローチはやはり見直していく必要があると私は考えます。さらに伺います。システムインテグレーター等の知見のあるものによって意図的に生じるこの脆弱性のある危機を今後どのように削減していく予定でしょうか。またはサイバーセキュリティ対策を軽視する事業者に対する実効性のある支援だとか対応策だとか、ぜひ伺いたいと思います。
1:23:54
お答え申し上げます。今委員御指摘の通りですが、法人利用者につきましては、この法人利用者そのものというよりも、この機器の設置や管理にシステムインテグレーターが関与しているということが多いと承知をしております。従いまして、利用者に対する注意喚起も必要でございますが、システムインテグレーターによる取り組みを進めるということが重要だと思っております。このNOTICEのプロジェクトで観測結果が分かりまして、脆弱性のあるIoT機器についての情報が把握できますと、対応すべき脆弱性、それからそれを解消する方策を技術的に、具体的に分かる形で、このシステムインテグレーターに対して助言、それから情報提供を行うという形を考えてございます。これによりまして、分からないといった、そういう状態をまず解消して、システムインテグレーターが積極的に対応いただける、こういう効果的な対策をぜひ推進をしていきたいと思っております。
1:24:56
まさにその通知の仕方について、また今はこれから伺いたいと思います。このノーティスのウェブサイトで公表されている、今年8月度の実施状況によりますと、この取組による注意喚起が5055件実施されました。ただそのうち3406件は、今年の7月に検知したものであったと伺っております。すなわち、約3分の2は、前の月の通知からの繰り越しであって十分な対処がされておらず、脆弱性のある機器がネットワークに接続されたままの状態、すなわちその脆弱性のある状態が放置されてしまっているとも受け取れると思います。ここでまず伺います、現在そのネットワークに接続する機器の脆弱性に対する注意喚起の通知方法、メールや郵送と伺っているんですけれども、その通知方法について伺います。
1:25:59
今御指摘がございました通りでございますが、通常電気通信事業者を通じた注意喚起については、主にメールや郵送によって実施をされるという形になってございます。これは実際には事業者によって判断をされるというものでございますが、私どもが承知をしている主な方法はこの2つということでございます。
1:26:21
このメールや郵送で本当に十分なのかどうか、やはりこの改正案を受けて、やはり見直すべき点があるんじゃないかなと思っております。先ほどのICTアイザックの資料によりますと、その注意喚起に基づく対処が進まない背景というのが、法人において問題のある機器の管理者等が特定できない場合や、業務の都合で意図的に外部から管理できるようにしているだとか、さまざまな要因があるようなんですけれども、メールや郵送ではやはり詐欺かなと思われるときがあるんじゃないかなと思うんですよね、それだけだと。いずれにしてもIDやパスワード等に脆弱性があることで、どういった問題が起こっているのか、あるいは将来どういった問題が起こり得るのか、その点がなかなか理解されていない現れなんではないかなと思っております。そこで、これまでの電子メールや郵送による注意喚起だけでは、対処が十分に進んでいない理由を調査するとともに、電話や個別訪問など、より確実な手段で通知を行う必要があると考えますが、現状どのぐらい危機感を持たれているのか、総務省の見解と具体案とともに、政務官に伺いしたいと思います。
1:27:41
先ほどの参考人の方からも答弁がございましたとおり、電気通信事業者を通じた注意喚起については、主としてメール、もしくは郵送でなされているというところであります。この注意喚起の方法につきましては、電気通信事業者、当該事業者に適切に判断していただくものでありますけれども、総務省といたしましては、議員御指摘の利用者による対応が進まないケースにおきましては、利用者のセキュリティ意識が十分でないことや、あるいはこれも御指摘がありましたけれども、企業においてIoT機器の管理者が明確でないこと、これらも一因ではないかというふうに考えているところでございます。このため、利用者による対応を進めるため、注意喚起の実効性を高めるための取組としては、今後利用者への周知啓発を充実させることが大事であるというふうに考えておりまして、新たな広報戦略の策定も含めまして取り組んでまいりたいと思いますし、企業における管理者の問題についても考えてまいりたいというふうに思っております。そしてまた、利用者に対する働きかけにとどまらず、メーカーやシステムインテグレーターなどの関係者とも連携することによりまして、利用者による行動の遺憾にかかわらず、IoT機器の安全性を向上するための取組を進めてまいりたいというふうに考えております。
1:29:02
皆さんに意識を上げていく、これが必要になってくると思います。ぜひ新たな取組、通知の仕方についても十分に検討していただきたいと思っております。次に、サイバー攻撃の対処許可への委託についてお伺いします。サイバー攻撃でIoT機器等が悪用されることがないように、管理者等へ通知や注意喚起をする業務というのは、現在認定送信型対電気通信設備サイバー攻撃対処協会という協会に委託することができるんですけれども、この協会に所属しているのが、今、先ほどから申し上げているICT Isaacだけが認定されているという状況です。そこで、現状このサイバー攻撃対処協会がICT Isaacのみである理由は何でしょうか。また、新たにICT Isaac以外の団体から認可申請があった場合は、電気通信事業法第116条の2に規定する条件を満たす限り、総務大臣は認定するとの理解でよろしいでしょうか。答弁をお願いい�たします。
1:30:18
お答え申し上げます。まず、管理者への通知業務を行うにあたっては、サイバー攻撃に悪用される恐れのある機密な情報を扱っているということから、情報の適切な管理を行うための適切な制度的から技術的知見を有する組織に委託をする必要があると認識をしてございます。従いまして、この本法案では、常規要件を満たす組織としてサイバー攻撃に関する情報共有の体制を持っている委員御指摘の協会、認定送信型対電気通信設備サイバー攻撃対象協会、これを定義をいたしまして、委託可能な組織として規定をしているという状態でございます。この協会とは、サイバー攻撃への対処に関する業務を適正かつ確実に行うできる能力を有するなど、所要の要件を満たす団体として、これも御指摘ございました電気通信事業法に基づいて総務大臣が認定をするという形になってございます。従いまして、所要の要件を満たす団体については、総務大臣に対して申請を行うことによって認定を行うことができます。したがって、今御質問の2つ目にございました、他に能力を持っている方が申請をしたらどうなるかということでございますが、要件を満たす限り認定をされるということは可能だというふうに認識をしてございます。ただ、今まで実例として申請がなされ認定を受けているのは、一般社団個人ICTアイザックの一社ということでございます。
1:31:35
では、次の質問に行きます。ところで、先ほど人員体制については、湯原委員からも質問がありましたが、このNICTの取組において実際ある程度の自動化がなされているようなんですけれども、調査結果の分析や精査判定、そして問題となったネットワークに接続する機器の管理者等に注意喚起を行うにあたっては、サイバーセキュリティに対する知見を有するものが必要となります。そこで、管理者等への通知をするには、やはり工夫が求められる中で、実績を見ると相当な数を通知しているようですし、相当なご苦労が伺えます。そして、今回の完成案だけでは、その改善も踏まえて、ネットワークに接続する機器の製造事業者等を含む関係者に伝えて、より実効的かつ効率的に対処、対策していこうという考えかと思っております。そこで、現在、デジタル人材の不足と盛んに言われている中で、NICT、先ほど与原委員のでは112人ということだったんですけれども、そのほか、ICTあいざく、そしてインターネットサービスプロバイダー等、本取組における注意喚起について業務量に照らし合わせた上で、参加しているこれらの組織において、体制や人員が十分であるかどうか、見解を伺います。
1:32:59
お答え申し上げます。まず、サイバー空間の環境を見ますと、IoT機能はどんどん拡大をしている。IoT機器を悪用するサイバー攻撃も多様化をしていると。これもご指摘ございましたが、ノーティスの業務量、開始当初から比較をいたしますと、増大をする傾向にございます。また、サイバー攻撃の多様化に対応するため、注意喚起の対象も拡大をしてまいりました。従いまして、体制や人員の拡充が必要になるということを認識してございます。今後とも、NICT、それからICTアイザーとも連携をして、予算等による強化も含めて、体制や人員の強化に努めて�まいりたいというふうに考えてございます。
1:33:41
本当に業務量がどんどん増えていくと思います。それによって、この国のセキュリティ体制が守られる点が多いと思うんですけれども、やはり1人の業務量が多くなってくると、だんだんミスとも出てくると思いますので、ぜひ、人員の確保に向けては、予算の確保もお願いいただきたいと思います。次の質問に、NICTのサポートセンターの運営について伺います。さて、このNICTについては、ネットワークに接続する機器へのアクセスによって、サイバー攻撃に悪用される恐れのある機器の利用者に対して、ウェブサイトや電話による問い合わせ対応を目的としたサポートセンターというものが設けられています。このサポートセンターの業務は、これまで申し上げてきた特定アクセス行為等とは異なって、NICTではなく、総務省が実施しております。そこで確認いたします。ノーティスサポートセンターの業務を、総務省からNICTに今後移管することとなるのか、そういう可能性があるのか、ぜひお答えください。
1:34:46
お答え申し上げます。NICT法において、NICTは特定アクセス行為とその結果に基づく電気通信事業者への通知を行うということにされております。利用者への注意喚起は、ノーティスに参加する電気通信事業者の負担によって行っているという構造でございます。この注意喚起の方法は、個々の事業者に委ねられておりますが、共通的な部分、例えばIoT機器の設定マニュアルの作成から、利用者からの一般的な問い合わせの窓口の運営については、総務省が一括して支援をすることで業務の効率化を進めてございます。御指摘ございました改正法の第14条第7号の「路」にあります「助言及び情報の提供」は、NICTの専門的な知見を必要とするものを想定しております。これで対比となる先ほど申し上げたマニュアルの作成、それから問い合わせの窓口といった運営等の業務の効率化に関する業務は、役割分担をいたしまして、引き続き総務省が担うということを想定しております。
1:35:43
引き続き総務省が行うということなので、ぜひしっかり行っていただけたらと思います。次に関連して、ノーティスサポートセンターの運営予算について伺います。まずこの電波利用料というのは、電波法の第103条の2、第4項で規定されております。無線局全体の受益を直接の目的として行う事務の処理に要する費用として、無線局の免許人等が負担している共益費用という位置づけであります。この電波利用料については、2008年の電波法改正で、その使途を限定列挙することとなりましたが、その発端は当時の総務省総合通信局において、レクリエーション物品やフラワーアレンジメントの費用を電波利用料から支出していた事実が2008年の5月に発覚したことでした。この電波利用料の使途の限定列挙は、政府提出の電波法改正案では盛り込まれておらず、この党委員会における法案修正によって盛り込まれたものであります。そして、総務省のノーティスサポートセンターの業務というのは、総務省が公表している令和5年度の行政事業レビューシートによると、電波法第103条の2、第4項、第12項を根拠としたIoTの安心・安全かつ適正な利用環境の構築という事業の一環として行われているとしています。この同項の第12項の規定の中には、電波の能力的な利用を確保し、または電波の人体等の悪影響を防止するために行う周波数の使用、または人体等の防護に関するリテラシー向上のための活動に対する必要な援助となっておりまして、2008年の改正当時こそ第10項でしたが、内容は当時から全く変わっておりません。この修正案提出案の代表であった原口和弘衆議院議員は、この同項の趣旨について2008年4月17日の本委員会で、懇親等の妨害を生じさせずに無線設備を使用する方法、例えば違法機器の見分け方、あるいは電波から人体、電子機器を守る方法、例えば近くに心臓のペースメーカーをつけていらっしゃる方がいらしたら、その電波が心臓のペースメーカーに影響を与える、こういったことなどに関して、国民のリテラシー、理解能力の向上を図るための周知、広報、啓発、教育等を意味しているものでございますと答弁されております。そうなると、このノーティスサポートセンターの運営が、どのように電波の能力的な利用確保、そして電波の人体等への悪影響を防止するために行う周波数の使用、または人体等の防護に関するリテラシーの向上のための活動に対する必要な援助に該当するというのでしょうか。ノーティスの取組を進めて、DDoS攻撃によって生じる不必要な��トラフィックを低減させることによって、回り回って電波の能力的な利用の確保につながると解釈することもできるかもしれませんが、その場合、無線局全体の受益を直接の目的として行う事務という規定との整合性に疑問が生じます。そこで伺います。ノーティスサポートセンターの経費を電波利用料から拒出している理由、併せてその拒出が電波利用料の指数を限定した規定に接触しないと言える根拠についてお答えください。
1:39:37
お答え申し上げます。IoT機器を対象にしていると申し上げておりますが、IoT機器とはそもそもインターネットシングスというものがインターネットにつながっているという状態でございまして、ここには電波、無線LAN等の無線技術が関わりが深いというものが多数ございます。したがいまして、電波の適正な利用確保するためには、IoT機器に係るセキュリティの確保を図っていくということが不可欠だというふうに考えてございます。この取り組みにおいては、無線技術を活用したIoT機器の利用者に対する注意喚起を通じて、基本的な理解を深めることで、感染通信、攻撃通信などによる不要�な電波の発射が抑制されるというふうに期待しております。これによって、安全安心に電波を利用できる環境が整備されて、もって効率的な電波の利用が促進されるという観点から、先ほどご指摘のあった電波利用路の使徒、電波法第103条の第2の第4項、第12号でございます。電波の能力的な利用を確保するリテラシーの向上のための活動に該当するということで、電波利用路の財源から支出をすることとしております。
1:40:44
時間が参りました。改めて私から申し上げたいのは、この法案、やはりサイバー攻撃から守ることによって、何が特であるかというのをしっかりと説明して取組の認知度を上げていくこと。また、詐欺だとか思われないように、信用される通知の仕方を工夫することをお願いいたしまして、私の質問といたします。ありがとうございました。
1:41:30
一見民主党無償区の岡本昭子でございます。委員長をはじめ、今日質問の機会をいただきましたこと、感謝を申し上げたいと思います。私からも今回の法改正について確認をさせていただきたいのですが、今ほど同僚議員と質問されました資料1をごらんください。まさに大月議員がおっしゃったと思います。8月時点で5055件ノーティスの注意喚起、要は脆弱ですよということを1か月で把握しました。下にあります棒グラフを見ていただきたいのですが、これのうち濃い赤、濃いオレンジ、濃い青、これが前月も同じように脆弱だという指摘をしていて、また今月も対象になりましたという棒グラフでございます。先ほど3分の2という話がありましたが、せっかく通知をしているのに改善がなされていないというところは、やはり本来のこの施策の目的を果たしていないんじゃないかと思わざるを得ません。今後、新たにサイバー攻撃に悪用される恐れがあるIoT機器を調査対象にしていくという今回法改正です。その中にすでにマルウェアに感染している機器も対象になっていくということを考えると、注意喚起をしましたよ。この後は電気通信事業者の努力ですとか、システムインテグレーターの努力です。ではなくて、どれだけ改善をされたのか、そこまで総務省として目的を達成させる、この任務をすることこそ必要ではないかと思いますが、この点について先ほど答弁ではセキュリティ意識構築とか対策を考えていくという話なんですが、法改正に伴ってやはりこれはどれだけ改善させていくのか、その決意も示していただきたいと思います。お答えください。山内 東海スカーンお答え申し上げます。ご指摘いただきました通り、通信事業者への通知から機器の利用者への注意喚起については、IoT機器のセキュリティ対策に関する利用者の意識が十分でないこと、IoT機器の管理者が不明であるということから対応が進まない場合が多数あるというふうに認識をしてございます。今ご指摘のあったIoT機器の適正な管理に向けた周知啓発の強化、これはもちろんでございますが、これに加えまして、累次にわたって注意喚起に応じない場合、通信事業者が利用者の機器の接続を拒否できる要件、手続等を定めたガイドラインを策定して、こういう基準の明確化を図ることで対策の実効性を向上させていきたいというふうに考えてございます。また通信事業者への通知、機器利用者への注意喚起によって地道に1台ず��つ対処するに加えて、メーカーへの働きかけというものによって、実際の成果としても数万台規模でIDパスワードの脆弱性を解消されたということを、私どもの方では経験をしてございます。これを踏まえまして、今回の法案では通信事業者への通知だけではなくて、メーカー等への関係者への情報提供、助言について、NICTの業務として法的に位置づけることにしております。これによりまして、幅広い関係者の巻き込んだ対策を一層促進をして、より大きな成果を上げるべく取り組んでまいりたいと考えております。
1:45:08
ぜひ大臣にも伺いたいと思うんですけれども、今、先ほどサイバー攻撃の懸念、国家の安全保障上も非常に深刻な中で、一方で、今、ランサムウェア攻撃というのが非常に深刻になっています。要は、政府機関ももちろんですけれども、民間も含めてデータレスト化、通信障害を起こさせて、その企業に身のしろ金を要求をするというものです。米国の調査ですけれども、報道によれば、スプランク社というところが、まさに10月の末に2023年版CISOレポートというの�を公表されました。これ、世界10カ国を調査をしている中に、日本の企業も入っております。世界中なので、日本がどのくらい実質なのかというのがわからないんですが、実に90%の組織が過去1年間に大規模な攻撃を1回以上受けていると。そして83%がランサムウェア攻撃を受けて、実際にお金を払ってしまっているというちょっと衝撃なレポートが公表されております。今月1日に国際ランサムウェア対策イニシアティブという会議で、身のしろ金を払わないようにしようという共同声明が、制約が交わされており、これ日本も参加をしております。こういうサイバー攻撃の対策ということが、今回の法改正も1つの対策になるということを望んでいます。せっかく脆弱性やサイバー攻撃に悪用される恐れのある特徴とか、こういう分析多分、NICTさんは得意なんだと思うんですね。どういう機器に脆弱があって、あるいはどういう使われ方をしているところにリスクが高いのか。そういうところをぜひNICTさん、これまでの知見や蓄積技術で分析もできるはずです。先ほど助言とありましたけれども、対策をして結果として改善がなされる。このためにも取り組むべきだと思います。この点はぜひ決意も含めて、総務大臣に伺わせていただければと思います。
1:47:41
今回の法案に基づき、NICTが行うIoT機器の調査は、DDoS攻撃のように、情報通信サービスの安定的な提供に支障を生じさせ、利用者に広く影響を及ぼすようなサイバー攻撃への対策を主な目的とするものであります。他方、御指摘のランサムウェア攻撃のように、特定のものを標的とした攻撃による被害は、直近においても、本年7月に名古屋港の全ターミナルが一時的に停止する事案が発生するなど、深刻な状況が続いているものと認識をしております。こうした状況を踏まえれば、例えば、IoT機器が侵入経路となったサイバー攻撃の発生が確認された際に、同様の脆弱性があるIoT機器について、緊急でセキュリティ対策を促すなど、NICTが行うIoT機器の調査で得られた情報や知見を、日祝や警察署などの関係省庁とともに共有・連携をしまして、ランサムウェアをはじめとした様々なサイバー攻撃への対策強化に貢献するなど、我が国全体として実効性があるサイバーセキュリティ対策につなげていくように取り組んでまいりたいと�思います。
1:48:49
関係機関ともぜひ連携をしていただいて、やはり総務省としては、NICTという専門レベルの機関を持っていますので、知見を生かして、結果としてリスクが減るように、実際に対策が実行されるまでしっかりチェックをしていく、その決意で取り組んでいただきたいと思います。続きまして、NICTそのものについて、いくつか伺わせていただきたいと思います。非常に私はNICTに期待をかけているところでございます。本当は資料を、まず3をごらんいただきたいんですけれども、先日予算委員会で、私たち総理の米山委員が、研究機関の科学論文が非常に評価が低下をしているのを懸念をしていると、NATUREに載ってしまったという紹介がなされておりました。これはNATUREの英文の記事でしたので、せっかくですので、NICTが持っているボイストラという翻訳ソフトがありますよね。これを使って、ぜひ翻訳をしてみようと思ったんです。�本当はここで、成果を披露しようと思ったんですが、残念ながらアプリはあって、とても日本語らしい表現されているということをとても関心をしているところなんですが、残念ながらここで音声をご披露することが、残念ながら委員会の理事会で許可をいただけなかったので、議会の質疑のあり方も、こういうデジタルの活用ということも含めて、今後の課題にしていただければと思います。この中で、ボイストラさんすごいなと思ったのは、特に、今日の資料の後ろの方についているんですが、後ろといいますか、きょうは1ページ目しか、タイトルしか載せておりませんけれども、年号ですとか、数字が入ったりしている場合、ほかの実は翻訳ソフトもいくつか試したんですが、実は正しく、日本語としては正しく表記をされないと。ボイストラさんはきれいに、ちゃんと翻訳をされていて、そこの文章でいくと、2020年の文科省の分析によると、2002年から2018年の間に、大学の研究者が、科学に専念する時間の割合が、47%から33%まで減少している。これ、ねいちゃんのここの資料の後半に出てまいります。ここが、実は、ほかの翻訳ソフトですと、47年から33年間とか、数字が入った部分が、日本語としては非常に正しくない部分もあるので、これをご披露したかったのですが、ちょっと残念でございます。このNICT、今申し上げました、科学の環境が、日本は非常に脆弱になっている。それから、資料2をごらんいただくと、科学的論文のトップ10論文が、日本が13位に転落をしているということです。NICTさんも、論文をどんどん出していらっしゃると思いますので、NICTさんの環境整備について、伺いたいと思います。まず1つは、うれしいことに、NICTさん、女性研究者の採用に、努力をしてくださっていると伺っております。今日は、特大理事長をお越しいただいておりますので、ぜひその点、ご披露いただければと思います。
1:52:26
お答え申し上げます。NICTでは、優秀な人材の確保、イノベーションの創出、国際競争力の獲得等に資する観点から、ダイバーシティ推進室を設置し、女性をはじめ、障害者等の雇用、参画及び活躍を推進しており、この一環としまして、女性研究者の採用にも力を入れております。具体的には、次の2つの取組を実施しております。1点目として、今年度より、一般の公募とは別に、女性対象の公募を5月から8月にかけて実施しております。その結果、令和6年度の採用予定研究者に占める女性の割合は、40%となりました。2点目は、より多くの女性研究者にNICTへ応募していただけるよう、SNSを通じ、NICTで活躍する女性研究者の働く姿を積極的に紹介しております。また、NICTのオープンハウスや女子大で開催されている外部イベントにおいて、NICTの女性研究者による職場環境等の紹介を行っており、女性研究者に対するNICTの良好な研究環境のPRを進めております。今後も、こうした取組を通じて、女性研究者の積極的な採用を進めてまいります。
1:53:57
ありがとうございます。デジタルの分野でも、ぜひ女性の研究者の活躍を期待したいと思いますし、若手の研究者ということで、テニュアルトラックについてもNICTらしい取組をして、パーマレントに投与するという仕組みをされているご努力も伺っておりました。もう一点伺わせてください。先ほど、私、研究環境の中で、今、研究者が33%しか研究に没頭できないという状況なんだというのが、このNATUREの記事です。記事の中では、他の研究者のビザの手続きまでも、研究者自身がやらされているんだ、こういう環境が日本というのは、非常に研究の評価を下げている、こういう位置づけになっているという指摘がありました。今の資料3をごらんになった感想も含めてですけれども、NICTさんでは、こういう課題、研究者が研究作業にちゃんと専念できる環境をどのように努力されているのか、あるいは大学等だと、外部資金獲得とか有機研究者の場合、そろそろ自分の期間が終わってしまうので、次の転職先のための�、要は履歴書を送り、こういうために時間が取られて研究が本当できないというご指摘いただいております。この点、NICTさんはどういうご努力をなされていますでしょうか。
1:55:43
お答え申し上げます。NICTでは、次の2点において、大学と比較して良好な研究環境を整っており、より研究に集中できる環境にあると認識しております。まず1点目は、研究者1人当たりの研究補助者の数と、その他の支援スタッフの数が、それぞれ0.43人と1.73人であり、これは日本の大学の平均値の約8倍でございます。研究支援を担う、いわゆるバックオフィス機能が充実しております。特に外部資金の獲得に関しましては、NICTには、住宅研究や助成金等を管理する専門の部署があり、公募の紹介から応募、採択後の契約、修了後の住宅研究費請求までを専門のスタッフがサポートしております。2点目は、サイバー攻撃に関連した情報など、NICTの持つ中立性を生かして収集・蓄積した研究データや、補正予算等で整備した高度な計算リソースなど、ICT技術の研究開発に必要な資源が揃っていることで、研究者にとって非常に魅力的で優れた研究環境にあると考えております。このような研究環境により、極めて質の高い論文の発出や、1本の光ファイバーで世界最大の伝送容量となります毎秒22.9ペタビット、これはこれまでの世界記録の2倍を達成したのですけれども、この実現など、社会的インパクトの高い成果が出ていると認識しております。引き続き、研究環境の整備に努めてまいりたいと思っております。
1:57:33
やはりこういうデジタルの分野、特にNICTさんのような、今まさに必要、それからこれから先、格段に研究分野としては最優先にな��るような研究分野というところになりますので、ぜひこれからも優秀な研究者をしっかり獲得できて、そして最初に戻りますけれども、これ通知だけじゃなくて、結果として国民の皆さんの安全、それから事業を営んでいる方、あるいはIoTを使われている方々にとっても、安心してこういうインターネット、あるいは機器を使われるデジタル環境が整っていくところに貢献をしていただきたいと思いますし、ぜひ研究所ですので、トップ10論文、ここにNICTさんからの論文がトップ10論文で評価されることを期待、申し上げたいと思います。残りの時間でちょっと基金を飛ばして、NTT法と自治の法を伺わせてください。総務委員会ですので、今NTT法に関する議論が審議会で取り上げられていると思います。大臣に伺わせていただきたいと思いますが、先日直近の審議会の議事録を拝見をしますと、一定の方向性が確認された事項と整理もされてきているところです。現実、固定電話のユニバーサルサービス、これ一方でブロードバンドのユニバーサル制度、これをやりますという方針も掲げて、必ずしも固定電話ではなくて、デジタルを誰も取り残さない社会をつくるということが大前提になりますし、それは進んで着手されていると伺っておりますが、固定電話のユニバーサルサービス、この義務化というのが、一定の役割を負えているんじゃないかという御指摘。それから、やはり外資の関係ですね。日本の重要インフラである通信の確保を考えると、外資の影響というところは当然、日本の安全保障上も一定の国防として、あるいは経済安全保障上として、ここは守るべきところがあるんじゃないか、この指摘もあると思います。今現在で総務省として考えられていること、この審議会の受け止めも含めて、大臣お答えください。
2:00:06
NTT法を含めた、自在に即した通信政策のやり方につきましては、多様な関係者が関わるものであることから、事業者、団体等様々な意見を丁寧に伺いながら、情報通信委員会において、精力的に御審議がたまっております。特に御指摘の、ユニバーサルサービスの確保につきましては、過疎地や離島などの不採算地域も含めて、国民が全国どこでも通信サービスを利用できることが重要と考えておりまして、固定電話中心から、ブローマンドを軸としたユニバーサルサービスに見直す方向で御議論にたまっているところでございます。また、経済安全保障の確保に関しては、外資規制が引き続き重要であると考えておりまして、NTT法と外貯め法の両方による、安定的なサービス提供を担保するための措置の必要性についても、御指摘がたまっているところでございます。総務省としましては、ユニバーサルサービスや経済安全保障の確保など、通信政策の理念や国民の利益がしっかり確保できますように、審議会の御議論を�踏まえまして、適切に対応してまいりたいと考えております。
2:01:07
ありがとうございます。審議会の行方をこれからも注視していくということになると思います。改めてやはり通信をしっかり確保して、国民の皆さんがそれを享受できるということを、最優先に考えていただいた上での取組になることを、御機嫌申し上げたいと思います。あともう一つ、総務委員会で、おととい大臣の所信表明に対する質疑の中で、所得税減税で地方に与える影響というところが、かなり質疑がなされました。資料4をごらんください。全国市長会から都市税財源の充実確保についてということで、要望がまさに今月出されております。その中の一番上の項目、総合経済対策に伴う交付税減収に対する確実な補填ということで、住民税の減税は総務省で責任を持って、地方に迷惑をかけないという御答弁があったと思います。そのほかに事務負担、システム回収ですとか、事務負担の部分ということも、明確にその分をしっかり地方に負担をかけない、要はその分は国で責任を持っていただきたいということに加えて、来年6月、所得税が減税になりますと、所得税の収入がその分見込んだよりは、減税、所得税の収入が減ることになります。そうなりますと、交付税法定分33.1%、これは地方交付税として交付されますけれども、これの母数が、そもそもの母数が減ることになると思います。これも地方にとっては減収になるということになるのではないかと思います。ぜひ総務大臣、頑張っていただいて、単に住民税の減収だけじゃなくて、事務負担、あらゆる地方自治体が負担しなきゃいけない経費、合わせて所得税が減る分、地方交付税が減ってしまうよと、ここの点もしっかり国で責任を持って、減収前の金額をもとに地方に交付されるよう、ご努力をいただきたいと思います。この点お答えください。
2:03:35
まず、今般の総合経済対策におきましては、ご案内のとおり、納税者及び配偶者を含めた扶養家族1人につき、令和6年分の所得税を3万円、令和6年度分の個人住民税1万円の減税を行うこととされております。税制につきましては、今後与党税制調査会で議論されるものと承知しております。なお、総合経済対策ではご案内のとおり、個人住民税の減収額は、全額国費で補填することとされております。総務省としましては、地方団体が事務を円滑にしていきますように、地方の財政運営への支障や、過度な事務負担が生じないようにおいて、適切に対応してまいります。地方交付税減収分につきましては、これも地方に影響を与えないように、全力で取り組んでまいりますので、そういった皆さんがここに取り組んでまいります。
2:04:22
ぜひ、この点、総務大臣として、地方自治体あるいは地方議員ご出身の立場としても、声を出していただきたいと思います。ちょっと懸念をしている中で、来年の6月に要は減税をするんだと。住民税に関してもきっと同じになるのかなと思うんですが、報道とか記者会見、総理大臣の記者会見を聞いていると、ボーナスで総裁をする可能性があるんじゃないかというような受け止めになるんですが、実は地元の企業から、潤沢にボーナスを出せないんだというご相談とかもありまして、ぜひこの点も国民に、その減税の部分で、多分民間の企業でいくと、企業の給与システムも触らなきゃいけないということになるんだと思います。住民税を引き去る分においても、同じことになると思いますので、この点もぜひ地域で暮らしている方々、地域で事業を営んでいる方々に過度な負担がかからない、その方策についても、ご配慮いただきたいと思います。この点は要望として申し上げます。もう時間が来ましたので、もしこの点も含めて、来年の6月、住民税も減税する可能性があるときに、地方自治体だけでなく、地方で事業を営んでいる方、あるいは地方で働いている方、あるいはフリーランスの方、こういう方々の減税というところが、非常に不安に思っております。地域で事業を営んでいる方、暮らしている方々が、減税効果があるんだとすれば、それが恩恵が綾かれなければ、全く意味がないことですので、ぜひ地域の暮らしを支えていただきたいと思います。最後に大臣から、もしありましたらお願いしたいと思います。藤森大臣、完結にお願いいたします。さまざまな分野でそうした関連もありますので、層が相次いないように、適切に配分してもらいたいと思います。
2:06:35
ありがとうございました。基金に関しては、ぜひ取り崩しで実効が上がる基金の活用ということを、申し上げて質問を終わります。ありがとうございました。
2:07:04
ちょっとお見苦しい姿をお見せしますが、実は今年の夏に、お祭りで頑張っておみこしを担いでいましたら、痛めまして、ちょっと御容赦をいただければと思います。大革定室第6号、国立研究開発法人情報通信研究機構法の一部を改正する等の法律案について、質問をさせていただきます。今回の法案は、NICTが実施する特定アクセス行為を伴うID・パスワードに脆弱性のあるIoT機器調査を、令和6年以降も実施できるようにすること及び、その調査対象の拡充、そして2つ目に、NICTの債務保証業務等を規定した特定通信放送開発事業実施円滑化法の開始の2つを柱としておりますけれども、私からは1つ目の特定アクセス行為の方を中心に質問させていただきます。先ほど来、様々な委員から御指摘があったと思いますが、このノーティスの事業というのは、サイバー上ではありますけれども、例えばならば、日本全国ドアノックをしまくるという、そういう行為であります。そうしたときに、いかにサイバー攻撃から国民を守っていくための実効性をどのように担保していくか、その実効性を担保していくといったときに、もちろんテクノロジーですとかルールの効果を高めていくということと、川崎委員からも御指摘がありましたが、国民の意識を高めていく。この点が非常に重要だと思っております。国民の意識を高めていくといったときに、まず、それがなぜ必要なのか、どんなリスクがあるのか、何のためにあるのか、ここをしっかりとわかっていただく。また、急にドアノックしてくるものですから、心配だなと皆さんは思うと思います。そこがいかに安心・安全なものかということ、ここを御理解いただくことが非常に重要かと思いますので、その観点から質問をさせていただきたいと思います。まず、立法事実についてお伺いをいたします。今回、本課法改正により、次元措置が撤廃されると同時に、調査対象の範囲が広がることになります。このような措置が必要とされる立法事実について、具体的なファクトをお示しいただきたいと思います。また、もし仮にこの事業を実施しない場合、どのようなリスクが想定されるのか、それぞれ、鈴木大臣、お答えをお願いいたします。
2:09:47
NICTでは、平成30年に成立しました改正NICT法に基づきまして、平成31年から今年度末までの次元の業務として、ID・パスワードの設定に不備のあるIoT機器の調査を実施してまいりました。こうした取組を通じまして、一定の成果は上がっておりますけれども、依然としてID・パスワードの設定に不備のあるIoT機器を既表的とサイバー攻撃が発生しておりまして、最近ではID・パスワード以外のソフトウェアなどの脆弱性であったサイバー攻撃も増えているなど、IoT機器を悪用したサイバー攻撃のリスクは引き続き高い状況になると思っております。こうした状況を踏まえまして、今回の法案では、ID・パスワードの設定に不備のあるIoT機器の調査を来年度以降も継続して実施可能としまして、また、ID・パスワード以外のソフトウェア等の脆弱性を有するIoT機器にも調査対象を拡充することとしたものであります。サイバー攻撃が年々公明化してくることを踏まえれば、こうした取組を行わなかった場合、脆弱性のあるIoT機器が増えまして、こうした機器を悪用したサイバー攻撃のリスクがさらに高まるという可能性があり�ますので、IoT機器のセキュリティ対策の強化に向けて取組を強化してまいりたいと、拡充してまいりたいと思っております。
2:10:59
ありがとうございます。サイバー攻撃が年々増えてきているというお話だったと思うんですが、さらに質問なんですけれども、これは増えていった先に、どんな危険・脅威があるのか、大臣の御認識をお伺いできればと思うんですけれども。
2:11:26
被害者が今度また加害者になっていくと、どんどん拡大しますので、そうしたところをまず未然に小さく抑えるためにも、その方が出やすいだと思います。
2:11:38
ありがとうございます。まず先ほど来、他の委員からも御指摘がありましたが、世界中で国際情勢も非常に大きな変化を迎えておりまして、戦争も起きていますし、そうしたサイバー攻撃の脅威が高まって、重要インフラが攻撃をされて、生活に重大な影響を及ぼしたりだとか、例えば医療機関が攻撃を受けて止まっちゃったりしたら、命の危険もさらされるわけであります。このようなことをよく国民の皆さんに御理解をいただくことは非常に重要かと思うので、その点、もう一度目的、事業の効果、国民の命をさらさない、経済をとめない、ここをしっかりと御認識をいただきたいなと思っております。今申し上げたような重大インフラが攻撃を受けるような対策をしていく上で、非常にこの事業は重要だと思うんですけれども、踏み台とされる恐れのあるルーターIOT機器というのは、大臣からも少し言及がありましたが、管理者、いわゆるその機器を持っている所有者が直接、デメリットがないケースもあるように認識をしておりますが、その中で悪用される、自分が直接悪影響を受けないかもしれないけれども、悪用されて、それが国や社会に重大な影響を及ぼしてくる。この点、非常に重要なポイントだと思っております。サイバー攻撃も5年で3.4倍に増えているというお話もあり、この本事業は私自身賛成の立場で応援をしていきたいと思っているんですけれども、そういった観点から、そういった立場で、次にこれまでの成果及び法改正により見込まれる効果について、参考人にお伺いをしたいと思います。
2:14:10
お答え申し上げます。IDパスワードに不備があるIoT機器の調査に関しましては、このノーティスのプログラムに参加をしている通信事業者、これ、合計で79社でございます。79社のネットワークの下で、インターネットに直接接続をされている約1億台のIoT機器を対象に実施をしてまいりました。この調査により、IDパスワードに不備がある機器が見つかった場合には、通信事業者への通知、機器の利用者への注意喚起を行って、IDパスワードの変更対応をお願いしてまいりました。調査開始以来、これまでの累計で延べ約10万件の通知を行っております。この結果として、この通知、それから機器利用者への注意喚起によって、直接的には数千台程度のIoT機器について、IDパスワードの脆弱性につながったと考えております。これに加えまして、IDパスワードに不備が多く見つかった機器のメーカー、このメーカーの方々に働きかけを行うことによりまして、IDパスワードの強化につながるセキュリティ機能の改善に向けた働きかけを行ってまいりました。こういう取り組みによって、少なくとも数万台規模のIoT機器について、IDパスワードの脆弱性の解消に資する成果が上がったと認識をしてございます。この調査を通じて、先ほどの話にちょっとございますが、メーカーの方々に対する訴求、それから法人の利用者の場合ですと、システムを実際に運営をしている方、こういう方々に対する働きかけということが非常に重要だということを認識をするに至っております。したがいまして、今回の改正案の中では、今までの調査、特定アクセス行為に加えて、実際に助言を行って、いわゆるプログラム、先ほどのファームウェアということが出ておりますが、ファームウェアに脆弱性が出ているものの調査を行うこと、実際に感染通信を行ってしまっている方がいらっしゃいます。これもNICTの観測網によって検知をすることが可能でございますので、こういうものも含めて、これから対応するという形になります。
2:16:07
御答弁ありがとうございました。このノーティスの事業で、脆弱性が見つかって、通信事業者に通知をした件数が10万件、数千台のIoT機器の脆弱性解消につなげることができた。こんな成果があると。ところが、ノーティスの実施状況を拝見しますと、先ほども他の委員から御指摘がありましたが、令和5年8月には5055件の注印喚起がなされているものの、3406件は同年7月に検知されたものということで、その注意喚起を受けた3分の2はそのまま稼働し続けているということになります。こうした状況を見ますと、脆弱性の注意喚起を受けても、直接的な不利益を感じる局面が少ない機器管理者、利用者は、アクションを起こさないケースが多いということではないのかなと思います。せっかく脆弱性の指摘をしても対処してもらえないというのは非常にもったいないことで、この部分の対処率を上げていく取組というのが、課題ではないかと感じるところであります。そのためには、広報啓発など重要かと思っておりますが、後ほど質問をさせていただきま��す。課題はありにつつも、納知の取組が一定の成果を上げているということについては、十分理解をしております。それでは、今回改正によりまして調査を継続して、今調査の対象範囲を拡大することでどのような効果が見込まれるのか、この点についてお答えをいただきたいと思います。またID、パスワードに脆弱性があると判定された機器のうち、約3割が機種の特定が困難と伺っていますが、こうした機種特定が困難なケースへの改善の方策があれば、お伺いをしたいと思います。
2:18:13
お答え申し上げます。ID、パスワード以外のソフトウェアなどの脆弱性を狙ったサイバー攻撃が増えているなど、IoT機器を悪用するサイバー攻撃が年々巧妙化をしている状況だと認識しております。こういうものも含めてサイバー攻撃に機動的に対応するため�に、今回の法改正によって、従来のID、パスワードに不備があるIoT機器の調査に加えて、先ほど申し上げましたソフトウェアなどに脆弱性のあるIoT機器、すでにマルウェアに感染をしているIoT機器にも調査対象を拡大することで、サイバー攻撃に悪用される恐れになるIoT機器に、より総合的に対応することが可能になると考えております。もう一点、ご指摘のあった機種特定が困難なものにつきましては、調査の過程で得られる情報から、メーカーなどの関係者との連携によって得られた情報を組み合わせて分析をすることによって、機種が特定できる割合を今まで以上に高めていきたいと思っております。これによりまして必要な対策が進むよう取り組んでまいりたいと考えております。
2:19:11
新たにソフトウェア等に脆弱性があるIoT機器、すでにマルウェアに感染しているIoT機器に調査対象を拡大して調査を継続することで、いわゆる巧妙化するサイバー攻撃に対処していけるということで理解をいたしました。また、いわゆる機種特定困難事例についても御答弁をいただきました。ぜひこうしたデータ解析は御答弁ありましたが、しっかり進めて有効策を打ち出していただけますよう要望をいたします。次に個人保護の取組強化ということでお伺いします。本来様々なIoT機器にログインを試みる行為は不正アクセス禁止法における不正アクセス行為に該当します。これをノーティスの一環としてNICTが行うものに限って法で特定アクセス行為として位置づけて適法な行為としております。このためノーティスにおけるログインはドアをノックする、先ほども申し上げましたがドアをノックするもので部屋の中には入らないものと理解をしていますが、しかしログインが可能なのであれば通信の内容等を知り得ることも不可能ではないと思います。もちろん世界中でも珍しいとされるこのような調査の必要性、有効性については十分理解しておりますが、そして社会安全セキュリティ強化につなげていくべきと思いますが、前提として個人情報の保護、先ほども冒頭お伝えしたとおり、しっかり万全を期していると、個人情報保護に関しては万全を期していて大丈夫であるという安心感を国民の皆さんに持ってもらうことが非常に重要であると考えております。そこで特定アクセス行為における通信の秘密保持のための具体的な方策と運用状況及び個人情報保護の実効性を上げるための方策についてお伺いいたします。
2:21:04
お答え申し上げます。今ご指摘がございましたが、NICTが行う調査は、脆弱性のあるIDパスワードを利用していないかどうかを確認するための調査でございます。この調査、NICTが行う調査で得られた情報の取扱いにつきましては、総務大臣の認可を受けた実施計画に基づいて、例えば情報を取扱う管理区域とよく言いますが、生態認証を含む多要素認証により入体質の管理をする。情報を取扱うサーバーについては、外部からの接続ができないような設定を行うとともに、アクセスできる職員を限定して、その通信履歴、ログを監視いたします。こういう極めて厳格な安全管理措置を講じておりまして、2019年の調査開始以来、NICTにおいて、色々な適切な情報管理が行われると認識しております。さらに情報の適正な取扱いを法的に担保する観点から、特性アクセス行為などに従事するものについては、NICT法上、秘密保持義務が課せられております。この義務に違反した場合の罰則も合わせて設けられていることに加えて、NICTが実施計画で認められた以上の行為を行った場合には、不正アクセス禁止法上の禁止行為に該当することから、同法の罰則の適用を受けることになると考えております。こうしたNICTの取組、法的な枠組み、こういうものによって、引き続き適切な業務が行われるものと認識しております。
2:22:31
万全であると。そして、もし仮に違反を行った場合は罰則があるということで、今の御答弁で国民の皆様にも、ご安心いただけるのではないかなと思いました。次に、ノーチスにおける国民理解の啓発ということでお伺いをしてまいります。もし、私の家族ですとか、友人が、プロバイダーを名乗るところから、あなたのルーターのパスワードは脆弱ですよとか、マルウェアに感染してますよという、こうした連絡を受けた状況を想像すると、果たして素直にそうか、では対応しようとなるか、非常に疑問なんですよね。そうしたときに、今、日常的にフィッシングメールを送ってきたり、偽サイトで個人情報を取得しようとすることが、よく起こっております。こうしたことを考えると、NICTの取組は有意義なものだとしても、脆弱性を指摘する連絡は無視をされる、警戒をされる確率が高いのではないかなと思います。重要なのは、このノーティスの事業において、また、IoT機能のIDパスワードの脆弱性が狙われて、大きな栽培被害をもたらす恐れがあるということを、しっかりと国民の皆さんに、まず知っていただく、広報周知していくことが重要なのではないかなと思います。大変恐縮なんですけれども、私は、この本事業に対する国民の認知度は、限りなくゼロに近いのではないかなと思っています。私も恥ずかしながら知りませんでした。これ、ちょっと通告していないんですけれども、大臣、この国民の認知度が、限りなくゼロに近いのではないかなということについて、御所見を少しお伺いできればと思います。鈴木総務大臣、感想を。あれは、国民性もあるかもしれませんけれども、確かに認知度は高くはないと思います。ただ、実際こうしたことで守られているのは事実でありますので、こうし��たことの効果をしっかり注視しながら、国民の中でそうした脆弱性に対する危機感であり、また、その対策の必要性をしっかり認識してもらえるように、取り組んでいきたいと思っています。
2:24:46
ありがとうございました。それで、このパスワードは脆弱なIoT機器が、サイバー攻撃の踏み台になってしまうことと、それにノーティスという事業を展開していて、国民の皆様にも協力いただきたいと。こうしたことを、もっとキャンペーンでも張って、周知徹底していくべきと思うんですけれども、この国民向け啓発事業について、具体的な取組状況を政府参考に、お答えをお願いできますでしょうか。
2:25:21
お答え申し上げます。このノーティスの普及に関する普及啓発に関しましては、専用のホームページを設けております。ここの中で、具体的な内容、それから調査結果に基づいて、脆弱性のあるIoT機器の現状などの情報を提供しております。このホームページの運用に1300万円を充てております。今回の法案を踏まえまして、情報発信を強化するために、新たな広報戦略の策定に取り組んでおります。このために、来年度の関係予算を増額して要求をして、実際に活動をもう少し強化していきたいと思っているところです。
2:25:58
事前にお伺いして、今、情報発信の費用として、今年度は1300万円でウェブサイトを運用したという話を聞きまして、ちょっと少ないなということで、ぜひ強化をしていただきたいと思います。ここで、これまで議論も踏まえまして、総務大臣にお伺いしたいと思います。情報発信強化、国民理解向上に向けた、今のご答弁を受けての状況について、どういったご感想を持たれたのかということと、しっかり来年度予算をアップして、広報を強化していくべきと思うんですけれども、その意気込みも含めて、お伺いをできればと思います。
2:26:52
IoT機器のセキュリティ対策を推進する上で、ノーティスに関する情報発信を強化し、国民の理解を向上させることが、極めて重要な課題であると認識をしております。国民の皆��様には、ご自身が利用するIoT機器が、サイバー攻撃に加担するおそれがあることを、まず知っていただいて、セキュリティ対策を自分ごとにしっかり取り組んでいただきたいと思っております。そのために、ノーティスの情報発信の強化とともに、先ほど、東京大学学部からもおさせしましたけれども、広報戦略でありまして、その通じまして、IoT機器のセキュリティ対策の重要性を、誰もが理解できますように、中置啓発などを踏めるなど、国民の理解の向上に取り組んでまいりたいと思います。いずれにしましても、しっかりと我が国もやっておりますけれども、国民の理解とある面では応援も必要でありますので、それはしっかり取り組んでいただきます。
2:27:42
一つ残してしまいましたが、時間が来ましたので終わります。ありがとうございました。
2:28:02
日本シーの会の中島英樹です。今年10月19日から衆議院議員となり、初めての経験がついておりますが、本日も初めての質問となります。古谷委員長をはじめ、与野党の先生方、鈴木総務大臣をはじめ、総務省の皆様、どうぞよろしくお願い申し上げます。
2:28:21
それでは、NICT法案について質問させていただきます。今般の改正案について、サイバーセキュリティ関係と基金の廃止の多く2つに分かれています。まずはサイバーセキュリティ関係について、いくつか確認をさせていただきます。サイバーセキュリティ対策として、ノーティスと呼ばれるNICTが中心となって、サイバー攻撃に悪用される恐れのある機器の調査、及び機器利用者への注意喚起を行っています。このノーティスの取組において、注意喚起を受けた利用者がパスワードの変更を行う際に、必要なサポートを行うため、ノーティスサポートセンターを設置しています。このサポートの取組は必要なことであり、悪用される機器を減らすためにも、ぜひ実施してほしいと思いますが、このサポートセンターの運用は、NICTではなく、総務省の運営となっています。なぜこのサポートセンターだけ、総務省が直接運営しているのか、NICTがまとめて実施してもいいのではないかとも思います。このノーティスサポートセンターについて、なぜNICTではなく、総務省が行う事業としたのか、その理由についてお答えください。山内 東和川/NICTのノーティスサポートセンターお答え申し上げます。ご指摘のノーティスプロジェクトについては、現行のNICT法で、NICTはID、パスワードに脆弱性のあるIoT機器の調査を行って、その結果を電気通信事業者に通知する業務を実施するとされています。これを踏まえまして、個別の利用者への注意喚起については、NICTからの通知を受けた電気通信事業者が行っています。また、電気通信事業者が個別の利用者に注意喚起を行う、これに当たっての手順書の作成、注意喚起を受けた利用者からの問い合わせの対応、ノーティスに関する一般的な情報発信・周知啓発、こういう共通的なものに関しましては、効率的に進めるために一元的に実施することが適当だと思われるものがございます。こういうものに関しましては、総務省が委託により、ノーティスサポートセンターを設置をして、このような業務を行うという構造にしてございます。このように関係者、総務省、それからNICT、電気通信事業者が適切に役割分担を図りつつ、ノーティスプロジェクトを効果的に進めてまいりたいと考えております。
2:30:43
ありがとうございます。それから、このサポートセンター運営費用については、電波の供液である電波利用料財源で運営されています。ここも確認をしたいのですが、このサポートセンターの運営について、電波法に照らして、電波利用料を財源とすることとした理由を教えていただきたいと思います。
2:31:12
答え申し上げます。IoT機器インターネットシングルの略称でございますが、この普及が進む中で、このようなIoT機器が無線LAN等の無線技術に関わりが深いものでございます。そのようなものが使う電波の適正な利用を確保するためには、IoT機器に係るセキュリティの強化を図っていくことが不可欠でございます。本取組では、無線技術を活用したIoT機器の利用者に対する注意喚起を行うことで、基本的な理解を深めて、その結果として、感染通信や攻撃通信などによる不要な電波の発射が抑制されると期待しております。これにより、安心・安全に電波が利用できる環境を整備されて、もって効率的な電波の利用が促進をされるということから、電波利用量の指導に定めてあります。電波法第103条の2項、第4項、第12項でございますが、電波の労率的な利用を確保するリテラシーの向上の活動に該当すると考えております。これによりまして、電波利用量財源から出走することとしております。
2:32:16
ありがとうございます。特に特定アクセス行為について確認をさせていただきます。特定アクセス行為とは、NICTが行っている脆弱性を有するIoT機器を発見するために、IoT機器にアクセスし、ID・パスワードを入力して、IoT機器を作動させる行為のことですが、この特定のアクセス行為での調査範囲が、インターネットに直接接続されている機器に限られていると伺っております。多くのIoT機器がインターネットにつながっている中、果たしてこれで十分なのか心配となります。そこでお尋ねいたします。特定アクセス行為の対象が、国内のインターネットに直接接続しているIoT機器に限られており、職場内や家庭内のネットワーク下にあり、インターネットに直接接続されていない機器は、本調査の対象外となっています。これでIoT機器のセキュリティ対策として十分なのか、教えていただきたいと思います。
2:33:20
お答え申し上げます。今、委員から御指摘がありました、インターネットに直接接続されていない、例えば家庭内にある機器がそうでございますが、こういうローカルなネットワークに接続されている機器に関しましては、一般的にインターネットに直接接続されている機器などによって管理をされております。このため、このプロジェクト、特定アクセス行為による調査の対象となっているインターネットに直接接続されている機器について、IDパスワードなどの��適切な対策が講じられているのであれば、サイバー攻撃の多くを防ぐことが可能でございますので、ノーティスについては、セキュリティ対策として十分効果があると考えております。一方、その上で、ローカルなネットワーク、先ほど申し上げた対象外になっている機器につきましては、特定アクセス行為で対象にしておりませんので、一義的には当該機器、それからネットワークを持っている組織、もしくは個人といった方々がセキュリティ対策を講じる役割を担っていると、私どもは認識しております。総務省としては、関係省庁と連携をして、IoT機器全体、その適切な管理を促進するための国民向けの周知啓発にも合わせて取り組むことによって、我が国全体としてのIoT機器のセキュリティ対策が強化されるよう努めてまいりたいと考えております。
2:34:42
ありがとうございます。このIoT機器ですが、IoT機器といっても多くの機器があります。事前の説明では、ルーターやネットワークカメラなどと聞いていましたが、法律上のIoT機器の定義を確認しておきたいと思います。山内総務官にお尋ねいたします。総括官お願いします。
2:35:08
お答え申し上げます。IoT機器について厳密な定義があるわけではございません。実は法律上でもIoT機器という言葉は使ってございませんが、今回このノーティスのプロジェクトで調査の対象になっておりますのは、インターネットに直接接続されている機器でございます。IoT機器とはインターネット・オブ・シングスでございますので、こういうものがインターネットに接続されている状態を総称してございます。このプロジェクトの中では、ID・パスワードに脆弱性のあるインターネットに直接接続されている機器を調��査をいたしまして、利用者への注意喚起を通じてセキュリティ対策を促進するということを目的にしておりますので、この目的に照らしますと、IoT機器、先ほど申し上げた総称の中に入るかどうかは別にしても、脆弱性のある機器は全て対象になるというふうに考えております。他方、特定アクセス行為の調査によってID・パスワードに脆弱性があるとして、注意喚起の対象となった機器につきましては、ルーター、それからネットワークカメラといったものが大多数を占めているという状況を踏まえますと、このNOTICのプロジェクトは事実上IoT機器のセキュリティ対策の促進を主眼とした取組になっているというふうに考えております。
2:36:19
ありがとうございます。事前の説明の際に特定アクセス行為により特定できない脆弱性がある機器があるとお伺いしました。この機器が特定できないからといって、そのままにしておいていいのか、疑問に思��ったところでございます。この脆弱性があると判定されたものの機種を特定できなかったIoT機器について、何らかの対策が必要ではないかと考えておりますが、今後どのように対策を行っていくのか教えていただきたいと思います。
2:36:56
お答え申し上げます。今、委員が御指摘のとおり、機種が特定できない場合には、私どもは利用者に対して通知をすることが困難な状態が今起きてございます。従いまして、今後調査の過程で得られる情報から、メーカーとこれから幅広い関係者と連携をしていきたいと思ってございますが、この連携によって得られた情報を組み合わせて分析をすることによって、機種が特定できる数を増やしていきたいと思ってございます。さらに機種特定が例えできない場合であっても、一般向けの情報発信を行い、ある特徴を捉えた注意喚起を行うことによって、少しでも対策が進むよう努力をしてまいりたいと考えております。
2:37:37
ありがとうございます。最後に基金の配信について確認をさせていただきます。今回の法案の説明を聞いたときに、この基金の配信についてはしっくりこない感じがいたしました。当初の目的を達成したとの説明ではありましたが、今あるスキームや法律を廃止するのに本当に必要性がなくなったのか、やや検証が不足しているように感じます。例えば、検討会での廃止の是非を検討し、他方面からの検証を行い、廃止という結論が出た上で廃止決定をしたとか、もう少し対応の仕方があったのではないかとも思っております。最後に廃止の理由を聞いてスッキリといたしたいので、続き総務大臣にお伺いいたします。
2:38:24
よろしくお願いします。特定通信放送��開発事業実施円滑化法は、平成2年の当時、通信放送分野の新規事業の開拓等を通じて、情報の円滑な流通を図ることを目的として制定をされました。その後、通信放送分野の新規事業を行う企業の支援の一環として、NICTが信用基金を設け、財務保障、出資、助成金の交付、利小企業の4種類の業務を行いまして、新技術を通じた通信サービスやケーブルテレビの高度化などに活用されてまいりました。これにより、地域のケーブル情報の円滑な流通の確保等に貢献しましたけれども、その後の金利低下等の環境変化によりまして、それらの支援事業に対するニーズが低下をしました結果、平成3年度末までに既存案件が終了しまして、初期の目的を達成したと考えられますことから、生産をし、企業生産をし、同法を廃止したものでございます。以上です。
2:39:25
ありがとうございます。すっきりしたといえば、すっきりしたという感じですけれども、ありがとうございました。初めての質問で不慣れのところもあったと思いますけれども、鈴木大臣をはじめ、皆さんも今後ともどうぞよろし�くお願い申し上げます。少し早いですけれど、以上で質問を終わります。ありがとうございました。
2:39:58
国民民主党無所属クラブ、西岡秀子でございます。本日はNICT法改正案についての質疑ということで、質問の機会をいただきありがとうございます。どうぞよろしくお願いいたします。これまでの質疑の中で若干同様な質問があるかと思いますけれども、どうぞよろしくお願いいたします。今回の法改正につきましては、NICTのサイバーセキュリティ関連業務につきまして、今年度末に期限を迎えるIDパスワードに脆弱性のあるIoT機器の調査を来年度からも継続的に実施するようにという内容と、調査対象を拡充するこの2つの内容が盛り込まれております。まず、鈴木総務大臣にその立法趣旨、理由についてお伺いをさせてい�ただきます。
2:40:55
お答えします。NICTでは、平成30年に成立しました改正NICT法に基づきまして、平成31年から今年度末までの次元の業務として、IDパスワードの設定に不備のあるIoT機器の調査を実施してまいりました。この取組により、少なくとも数万台規模のIoT機器につきまして、IDパスワードの脆弱性の解消を認識する成果が上がっているものと受け止めております。他方で、依然としてIDパスワードの設定に不備のあるIoT機器の標的したサイバー攻撃が発生しておりまして、最近ではIDパスワード以外のソフトウェアなどの脆弱性のあったサイバー攻撃も増えております。このように、IoT機器を悪用したサイバー攻撃のリスクを引き続き高い状況になることを踏まえて、今回の法案では、IDパスワードの設定に不備があるIoT機器の調査を来年度以降も継続して実施可能とし、IDパスワード以外のソフトウェアなどの脆弱性を有するIoT機器にも調査対象を拡張するものとしたものでございます。これによりまして、IoT機器のセキュリティ対策をさらに強化し、安心・安全なサイバー空間の確��保に取り組んでまいりたいと思います。
2:42:03
今、大臣からご説明いただきましたけれども、このノーティスの事業でございますけれども、総務省、NICT及びインターネットプロバイダーが連携をして、IoT機器へのアクセスによるサイバー攻撃に悪用される恐れのある機器に対する調査と、機器利用者への注意喚起をプロバイダーを通じて行うものです。この枠組みにおける具体的な調査対象数と、実際の調査カバー率につきましてお尋ねをさせていただきます。
2:42:42
お答え申し上げます。ご指摘の調査につきましては、このノーティスのプログラム、プロジェクトに参加をしている電気通信事業者79社のネットワークの下で、インターネットに直接接続をしている約1億台のIoT機器を対象に調査を毎月実施をしております。具体的な方法といたしましては、サイバー攻撃に利用されたことのあるIDやパスワード、単純なA数字の羅列など、有言に推測をされやすいIDパスワードを用いて、コンピューターを用いて実際にログインを試すことによって、自衛作成の調査を行っております。ご指摘の調査カバー率につきましては、具体的な数字を推計公表しておりませんが、主要な通信事業者がこのすべてノーティスのプロジェクトに参加をしていることを踏まえますと、IoT機器のセキュリティ対策を行うのに必要な調査範囲はカバーされているものと考えております。
2:43:35
存在するIoT機器からすると、よく半数ぐらいを対象としているというふうに思っておりますけれども、まずこの改正案が成立した場合には、これまで次元的な措置として実施していたものが、総務大臣の認可を受けた実施計画に基づいて、定めた期間において実施できるということになりますので、事実上、令和6年度以降も継続的に、恒久的に行っていくということになるというふうに認識をいたしておりますけれども、その前提としては、これまでの検証がしっかりと行わなければならないというふうに思っております。実際に注意喚起が行われた対象機器の改善状況、またその検証の状況について、総務省としてこれまでの成果をどのように総括しておられるのかということについてお伺いをさせていただきます。
2:44:41
お答え申し上げます。NICTが行う調査により、ID・パスワードに脆弱性がある機器が見つかった場合には、電気通信事業者への通知から、この事業者を通じて機器の利用者への注意喚起を行って、ID・パスワードの変更等の対応をお願いしております。2019年の2月から調査を開始いたしまして、これまでの累計で延べ約10万件の通知を行ってまいりました。また、その通知対象となっている機器のうち、ルーター及びネットワークカメラがその大半を占めている状況だと判明しております。この通知を受けた電気通信事業者においては、脆弱性のあるID・パスワードの変更等を行うよう、個別の利用者への注意喚起を行ってまいりました。また、個別の利用者への注意喚起に加えて、設定に不備が多く見つかった機器のメーカーにも働きかけを行い、初期パスワードを変更しないとその後の操作ができないなどのセキュリティ機能の強化の製品提供につながっております。これらの取り組みによりまして、少なくも数万台規模のIoT機器について、ID・パスワードの脆弱性の解消に資する効果が上がっているものと受け止めております。
2:45:46
今、御説明ありましたけれども、現在、インターネットに常時接続するIoT機器をはじめとした機器が、私たちの生活に幅広く普及をして、社会に普及をして進化を続けている中で、サイバー攻撃のリスクが常に私たちの生活と隣り合わせの中で、サイバー攻撃の脅威にさらされている状況を考えますと、この取り組みは大変重要な取り組みであると認識をいたしております。一方で、ノーティス事業が開始されるときに、プライバシーの侵害ですとか、通信の秘密に抵触するのではないかといった懸念の声が専門家を中心に発せられたことも事実でございます。現在までの間に、そのような問題事案の発生というものはなかったのかどうか、このことについてお尋ねをさせていただきます。
2:46:46
お答え申し上げます。まず、NICTが行う調査に関しましては、脆弱性のあるIDパスワードを利用していないか否かを確認をするための調査でございますので、個人情報、第三者の通信の内容を取得する内容ではございません。従いまして、プライバシーや通信の秘密の関係で問題があるというものではございません。また、NICTが行う特定アクセス行為の調査で得られた情報の取扱いにつきましては、総務大臣の認可を受けた実施計画に基づいて、極めて厳格な安全管理措置を講じております。2019年の調査開始以来、NICTにおいて異様なく適切に情報管理が行われており、これの違反事例はないと認識をしてございます。ご指摘のノーティスの情報発信につきましては、継続して取り組んでまいりますが、ノーティスプロジェクトの実効性をより上げるためには、利用者の十分な理解を得るということが極めて重要でございますので、そのための取組を強化してまいりたいと考えております。
2:47:40
次の質問にもほぼお答えをいただいたというふうに思いますけれども、この調査業務は、誰がどのような法的な根拠に基づいて、その権限を持って行うのかどうか。これはまた情報アクセスは脆弱性のみの調査であって、データの閲覧等の目的外の行為は行われないということをしっかり担保していただいているかというのが次の質問だったんですけれども、今そのことについてもお答えをいただいたというふうに思っております。その中で、守秘義務が課されているということで、部会等のヒアリングでもお聞きをして、その守秘義務違反に遭った場合には罰則もあるということで理解をいたしておりますけれども、NICTの当該調査業務というのは、本来、不正アクセス禁止法で処罰される行為の例外として、NICT法によって期限付きで今の時点では認められているという状況を考えますと、この業務内容につきましては、先ほど御説明のあった守秘義務では、今後の対応としては不十分なことも出てくるのではないかというふうに思っております。先ほど、井原委員の質疑の中でもあったんですけれども、現在、政府内でセキュリティクリアランス、つまり国家の機密情報や先端技術の流出�を防ぐために重要な情報を扱う政府の職員ですとか、民間人の信頼性を確認するという制度でございますけれども、このことも議論が今なされております。米国企業では、既にセキュリティクリアランスの有識者しかアクセスできない情報というのがありまして、IoTの活用におけるセキュリティ強化も図られているというふうに聞いております。来年には、法改正もということで、今議論が進んでいるようですけれども、今後、この議論も踏まえて対応すべきではないかというふうに考えますけれども、総務省の御見解をお伺いいたします。
2:49:48
NICTが行う特定アクセス行為による調査で得られた情報の取扱いにつきましては、先ほど申し上げましたが、認可を受けた実施計画に基づいて、極めて厳格な安全管理措置を行っております。NICT法の中でも特定アクセス行為等に従事するものについては、秘密保持義務、同義務に違反した場合の罰則に関する規定も設けている。こういう枠組みの中で、今までNICTの中で情報管理を異論なく適切に行ってまいりました。御指摘のセキュリティクリアランスにつきましては、具体的な内容が現在検討が行われており、まだ結論が得られていない状況だと認識をしてございます。従いまして、まだ御指摘のような対応が必要であるとまでは考えておりませんが、引き続きNICTで適切に業務が行われるよう、総務省としても実施状況をしっかりフォローしてまいりたいというふうに考えております。
2:50:46
やはり、信頼性というのが大変重要だと思います。この信頼性をしっかり担保した上で、我が国のサイバーセキュリティ対策を総合的に進めていくということが重要だと思いますので、今後議論が進んでいくというふうに思いますので、しっかりこのノーティス事業にもこのことを踏まえて考えていただきたいというふうに思います。続きまして、調査対象の拡充につきましては、総務大臣がサイバーセキュリティ戦略本部に意見を聴取した上で、中期目標の策定を行うこととなっております。今日配りしておりますポンチに、このノーティス関係のところでサイバーセキュリティ戦略本部ということが記載をされているわけでございますけれども、社会全体のデジタル化や安全保障上の観点からも大変重要な取り組みであり、現在、政府内でいろいろな議論、また検討をされておりますアクティブサイバーディフェンスとの関連については、どのように整理をされているのかということを、まずお聞きをしたいのが一点。そして、内閣サイバーセキュリティセンターをはじめとする政府機関との連携というものは、どのように今なっているのか、総務省にお伺いをさせていただきます。
2:52:15
お答え申し上げます。NICTが行っておりますIoT機能調査につきましては、サイバー攻撃に悪用される恐れのあるIoT機能セキュリティ対策を促進するということを目的にしております。アクティブサイバーディフェンスをはじめとするサイバー安全保障の取り組みと直接関係をするものではございませんが、一般論としてあえて申し上げますと、サイバー安全保障の取り組みが目指しているサイバー空間の安全にも資する面があるというふうに考えてございます。また、本調査の実施に当たりましては、政�府全体の取り組みと整合的になるようにサイバーセキュリティ戦略本部の意見を聴取しなければならないとされております。このような枠組みの下で、ニスク内閣サイバーセキュリティセンターや関係省庁等と連携を図りながら、IoT機能セキュリティ対策の強化に引き続き取り組んでまいりたいと考えております。
2:53:06
アクティブサイバーディフェンスにつきましては、今検討が進められているところでありますし、今の法制や体制ではアクティブサイバーディフェンスというものは実行できない現状でございます。国民民主党としては、6月にアクティブサイバーディフェンスも含むサイバー安全保障法案の個試案というものを発表させていただいておりますけれども、今NICTでお取組になっていただいているサイバーセキュリティ対策も含めて、省庁の縦割りではなくて信頼性をしっかり担保した上で、先ほども申し上げましたけれども、我が国のサイバーセキュリティ対策を総合的に進めていくことが大変重要だと考えますけれども、このことについて、総務省から何か一言あれば、ご見解をお伺いしたいと思います。
2:54:01
お答え申し上げます。委員御指摘のとおり、私どもはこのIoT機器のセキュリティ対策ということで進めておりますが、全体としてサイバー空間のセキュリティのレベルを上げるということに関しましては、政府全体、サイバーセキュリティ戦略本額を目指す方向と合致をして進める必要があるというふうに考えてございます。したがいまして、この観点から関係省庁と連携をして、おっしゃるとおり縦割りのない形でしっかりと進めてまいりたいというふうに考えております。
2:54:30
ぜひ、連携を強化して進めていただきたいというふうに思います。続きまして、サイバーセキュリティ対策につきましては、利用者サイドのID・パスワードの改善だけでは解決できない問題も多くございます。同時に、製造機器メーカーに対しての協力を要請して対策を講じる必要があります。メーカー側が開発、製造する段階で適切なセキュリティ対策をより高度に講じるとともに、適切なサポート体制の在り方、機器のマニュアルにディスクとセキュリティ対策を使用者にわかりやすく表示する等の取組が大変重要になるというふうに思いますけれども、このことに対して、総務省としてどのようにお考えか、また今お取組があれば、取組についてまた今後の方針をお伺いできればと思います。
2:55:32
お答え申し上げます。今委員御指摘をいただきましたとおり、通信事業者への通知、それから機器の利用者への注意喚起について、1台ずつ対処するだけではなくて、ID、パスワードの脆弱性が多く見つかった機器のメーカー、こういう方々にも働きかけを行って、セキュリティ対策が適切に講じられた製品の提供につなげることで、より大きな成果が得られるということが明らかになってございます。同じく御指摘をいただきましたが、IoT機能の適切な管理をするという観点�で利用者の周知啓発を進めるにあたっては、私どもが直接周知啓発するだけではなくて、メーカーをはじめとする関係者と連携をして働きかけをするということが大変重要だというふうに考えてございます。こうしたことを踏まえまして、今回の法案においては、通信事業者への通知だけではなくて、メーカーなどの関係者への情報提供、だから助言についてもNICTの業務として法的に位置づけることとしております。これにより幅広い関係者を巻き込んだ対策を一層促進をして、より大きな成果を上げるべく取り組んでまいりたいと考えております。
2:56:38
ありがとうございます。先ほどから国民への理解・周知が大変重要だというお話がありましたけれども、一般社団法人デジタルライフ推進協会が2023年3月に実施しましたWi-Fiルーター向けのアンケート結果によりますと、57.8%の利用者がWi-Fiルーターのセキュリティを意識したことがないというデータがあり、また81.7%の利用者が自宅のWi-Fiルーターがサイバー攻撃をされることを考えていないと答え、42.7%が購入時のパスワ��ードをそのまま利用しているというようなアンケート結果もございます。やはり利用者の意識改革が大変重要であるということがこの調査からも明確となるというふうに思いますけれども、ノーティスの取組についての広報の強化も含めまして、利用者側に対してIoT機器の適切な管理の重要性についての啓発情報提供の強化が大変重要だと思いますけれども、総務省としての取組をお伺いをさせていただきます。
2:57:52
お答え申し上げます。ご指摘いただきましたとおり、IoT機器のセキュリティ対策につきましては、利用者の意識が十分な状況ではない中、このノーティスに関する情報発信を強化をして、IoT機器の適切な管理の重要について国民の皆様によりご理解をいただけるように周知啓発を進めていくということが非常に重要な課題だというふうに認識をしてございます。このため、来年度のノーティスの情報発信強化に向けて、新たな広報戦略を検討しているところでございます。この観点では、先ほどご指摘がございましたともありま�すが、私どもから知られていないというところも含めて、もっと知られる努力をおそらくするということも含め、国民の皆様にご自身が利用するIoT機器がサイバー攻撃に加担をしてしまうという恐れがあるということをまず広く知っていただいて、セキュリティ対策を自分のこととしてしっかり行っていただけるように、より効果的な周知啓発に取り組んでまいりたいと考えております。
2:58:55
しっかりお取組みをお願いいたします。最後の質問になります。鈴木総務大臣にお伺いいたします。 栽培攻撃の多様化・複雑化、そして日本社会、国民生活に与える影響の重大性に鑑みまして、今後一層関係団体、事業者との連携強化を図り、NICTの体制、これは人員や財政面も含めて充実をしていただいて、栽培セキュリティの専門人材の育成強化、このことも進めていく必要があるというふうに思いますが、鈴木総務大臣の御見解をお伺いして、私の質問を終わらせていただきます。
2:59:34
これまでもお伺いしてまいりましたけれども、総務省では、サイバーセキュリティ分野、NICTの重点研究分野、開発分野の一つに位置付けておりまして、NICTの体制強化が大きな課題であると認識をしております。私自身も先日、NICTを視察をしましたけれども、サイバー供用機器の脅威が高まる中で、NICTのサイバーセキュリティ関連業務に重視がますます高まっていると認識したところであります。現在、ID、パスワードの設定に不備のあるIoT機器の調査は、平成31年の調査開始に伴って、NICTに設置した専門組織で実施しております。今回の法案では、調査対象を拡充するとともに、幅広い関係者への情報提供や受言を新たに、NICTの業務として位置付けることとしておりまして、さらなる体制強化が必要になるとも考えております。総務省としましては、令和6年度に向けて、体制強化に必要な予算を増額して要求しておりまして、NICTのサイバーセキュリティ関連業務の実効性が上がりますように、しっかりと取り組んでまいりたいと思います。それでは、質問を終わらせていただきます。ありがとうございました。
3:00:45
日本共産党の宮本岳氏です。我が党は、サイバーセキュリティ対策の重要性について、いささかも軽視するつもりはなく、ID・パスワードに脆弱性がある機器を調査し、ユーザーに警告する制度は必要だと考えております。しかし、それを進める上で、この法案には大きな問題があると指摘していただろうがありません。法案は、これまでNICTが5年間に限って行うこととされてきた、ID・パスワードに脆弱性があるIoT機器の調査、特定アクセス行為の業務について、本則の向上的な業務の範囲に規定し、継続的に実施することとするものであります。そこでまず、特定アクセス行為について、政府参考人に確認しますが、これをNICTではなく一般の人が行ったらどういうことになりますか。
3:01:47
お答え申し上げます。今、NICTが行っております、ID・パスワードに脆弱性のあるIoT機器調査、これはご指摘の中、特定アクセス行為になりますが、実際にID・パスワードを入力してログインを試みる必要がございます。これは通常、不正アクセス禁止法で禁止をされている不正アクセス行為に該当するというものでございます。従いまして、NICTが実施計画において認められた範囲によって実施を可能とするもので、不正アクセス禁止法の適用除外として、NICT法において、後遺者がNICTとして実施をするという形になってございますので、仮にNICT以外のものが行った場合には、先ほど申し上げた不正アクセス禁止法の禁止行為に該当することになります。同法の罰則の適用を受けるということになります。
3:02:34
要するに、外形的、形式的には不正アクセスなんですね。それをNICTがこの法律に基づ��いて実施する特定アクセス行為である限りにおいて認められているということになるわけですね。今後のノーティスの取組の方向性等について議論を行った総務省の有識者会議である、情報通信ネットワークにおけるサイバーセキュリティ対策分科会。この分科会で、第1回の分科会では、NICTの井上大輔サイバーセキュリティ研究所サイバーセキュリティネクサス庁が、調査実施機関のNICTとしては、調査体制の維持、人員確保も大きな課題となっていると発言されたことが議事録に残っております。NICTが特別に5年間に限って行うこととされてきた特定アクセス行為を、向上的な業務の範囲に規定し、継続的に実施することとするならば、人的リソースの確保が課題であることは、想像にかたくありません。調査を行うための体制や人員確保はどうするつもりなのか、お答えいただけますか。
3:03:56
お答え申し上げます。今、御指摘のありましたとおり、私どもの関係する会合の中で、NICTの方から、人員の体制について強化する必要があるという�ことを申し上げたのは、まず事実でございます。その上で、実際に、先ほど来の答弁の中にもちょっと出てまいりましたが、体制を強化するということが必要であり、これはNICTだけではなくて、実際の対策を立てるためには、通信事業者、それから先ほどの教会、ICT相談といった幅広い方々の取り組みが必要になります。こういうものを含めて体制の強化を行うことによって、これからの取り組みを強化するということを考えてございます。
3:04:39
先日、私もNICTの関係者から直接話を聞きました。特定アクセス行為というこの業務について、研究員が、兼務で限られた人しか入れない場所で、これはもう厳格にやっておられます。そもそも、NICTにおけるこの業務の位置づけですけれども、これは研究なんですか、それとも研究ではないのか、これも政府参考にお答えいただけますか。
3:05:15
お答え申し上げます。研究に付随する業務として、NICTは研究開発法人でございますので、御指摘のとおり、研究開発を主とする業務でございます。ただ、今回のIDパスワードの調査に関しましては、技術的な知見を必要といたしますので、今までの研究開発の付随する行為としてNICTは行っております。
3:05:38
付随する行為ということは、研究そのものではないということですよね。現場の方は、研究とは厳格に区別してやっているとはっきり言っておられました。研究者がリーダーとなり、調査は企業から執行していただいた方を職員採用して進めているが、これは区別していると。これは言っておかなければなりません。研究者の方は誇りをもってこの業務に当たっておられます。ちゃんとそういう大事な仕事だということをおっしゃっていました。ただ、それが研究の重荷になりはしないだろうかという危惧も感じるわけですね。現在この業務を何人の体制で行っておられるのか、NICTでは。また、この業務がこの改正により向上的な業務の範囲となって、継続的に実施することになれば、どれだけの職員採用が必要になるのか、これ政府参考にお答えいただけますか。
3:06:35
お答え申し上げます。現状、この特定アクセス行為に係る調査に関わっているNICTの方は、全部で11名でございます。この上で、これからの業務の拡大につきましては、いまいろいろと見積もりを行っているところでございます。何らかの形で増強はいるかと思いますが、まだ具体的な人数の算定に至っておりませんが、おそらく何らかの形で体制の強化は必要になるというふうに考えております。
3:07:10
体制の強化は必要だということでございます。当然、人員確保が課題というなら、NICTの向上的な業務の範囲としていくためには、職員をきちんと増員する。これが推移だと思うんですね。大臣も頷いておられますけれども。ところが、NICTが実施する業務を特定アクセス行為と、通信履歴等の電磁的記録の作成に定義分けをして、特定アクセス行為は委託しないものの、後者の記録の作成に限って、委託も可能とする仕組みを導入する。ここが問題だと思うんですね。なぜ、この委託を可能とする仕組みを入れるのか、お答えいただけますか。
3:07:56
お答え申し上げます。現行法におきまして、特定アクセス行為に係る業務に関しましては、通信事業者への通知業務以外に、外部委託に関する規定が特段ありませんでした。したがいまして、実行者NICTにお��いても外部委託を行ってまいりませんでした。今般、ノーティスの調査対象の拡大が行われまして、体制の強化も必要になるということがございます。特定アクセス行為による調査が引き続き、厳格な条件に基づいて適切に実施をされるということを確保しながら、NICTにおいて体制の確保をするために、外部委託が可能な範囲や要件について、新たに定めるということにしております。具体的には、今、委員御指摘のとおり、特定アクセス行為自体については、委託は不可といたします。その上で、得られた情報の処理、分析に係る業務については、総務大臣の認可事項に係る実施計画の中で、委託先の選定基準が定められていることですとか、情報の安全管理措置が委託先においても適切に講じられていることが確認できた場合に限って、委託をするということを考えてございます。
3:09:06
いやいや、これまではですね、してなかったわけです。少なくとも、通信力等の電磁的記録の作成も委託はして��なかった。そもそも特定アクセス行為の中に、両方含んでたものをわざわざ切り分けて、これはできるというふうにするわけですね。だから、もともとそういう規定がなかったって冒頭おっしゃったけど、規定はなかったけど、してなかったんですよ。2018年の法案審議の際、前回の法案審議の際ですね、特定アクセス行為に関わる業務について、我が党の本村信子議員の質問に対して、当時の野田誠子総務大臣は、NICTが行う特定アクセス行為について、外部委託することは想定しませんと答弁をされました。この特定アクセス行為というのは、今回の特定アクセス行為だけでなくて、当然その当時は含まれていた通信歴等の電子的記録の作成についても外部委託はしませんと、こういうふうに答弁された。このとき、総務省はどういう認識でこうした判断をしたのか、これは一つ大臣からお答えいただけますか。
3:10:23
先ほど御説明いたしましたが、当時、特定アクセス行為、実際にIDパスワードを入力して、実際に調査を行った結果をまず得ること。その結果に基づいて電気通信事業者に対して通知を行うことと、これは御指摘のおよび二つの行為がございます。これに関して明確な切り分けが、まだ当時、始める前の状態で、そこまで認識ができていないこともあって、当時の関係者の方からの答弁があったと認識をしてございますが、このたび、先ほど御質問もいただいたとおり、体制の強化をする必要がある、業務を拡充するといった観点で、それぞれ法律との整合性を考えながら、委託ができる範囲、委託がやはり不可能ではないかと考える場合を分けて対応するということを考えているところでございます。
3:11:10
体制の強化が必要だと言っているじゃないで��すか。体制の強化が必要なのに、職員の強化ではなくて、委託にしようとするからそういう話になるんですね。はっきりしているのは、これまで外部委託していなかった行為の中に、通信履歴等の電子的記録の作成は含まれておりましたね。参考に。
3:11:35
お答え申し上げます。先ほどお答え申し上げておりますが、まず特定アクセス行為そのものは、実際にID、パスワードを入力して、そこで得られた結果を得ることが特定アクセス行為でございます。実際にそれを通知することがNYCの法律の中でも決まっていて、ここの部分については明確な定めが見えていなかったことがございますので、これに関して私どもの中でも議論をした上で、そこの部分も委託が可能ではないかということで、規定を切り分けて今作っているという形になってございます。
3:12:17
その通信履歴等の電子的記録の作成という業務はどのようなものか。これは、つまりはセキュリティが脆弱で容易に不正アクセスができるIPアドレスの一覧表を抽出して作るという業務なんですよ。だからこれは委託なんかできないということで、NYCという本体でやってきたわけですね。もしも作成されたセキュリティが脆弱で容易に不正アクセスができるIPアドレスの一覧が、悪意ある第三者に渡った場合には、どのようなことが起こると予想されますか、参考に。
3:13:01
お答え申し上げます。仮にその委託をした者が、そういう悪意を持って漏洩するようなことがあった場合には、御指摘のとおり非常に大きな問題が生じるというふうに認識をしてございます。従いまして、NICTが仮に委託を行�う場合には、NICTが行っている情報の安全管理措置と同様の措置が講じられるということを実施計画に定めた上で、総務大臣は委託先における当該情報の適切な取扱いの確保を、その措置の内容の妥当性を判断した上で、実施計画の認可を行うということを考えてございます。さらに特定アクセス行為で得られた情報の処理、分析に係る業務の委託の従事するものについては、NICT職員と同等の秘密保持義務が課されるとともに、違反した場合の罰則規定も設けられるということになります。この本法案の制度的な枠組みの中でも、外部委託が行われる場合でも、情報が厳格に管理をされ、適切な業務が行われるというふうに考えているところでございます。
3:14:01
この資料が流出するととんでもないんですね。セキュリティが脆弱で容易に不正アクセスができるIPアドレスの一覧なんですから、最も効率的に悪意ある不正アクセスが可能となるわけですね。だからこそこれまでは当然のことながら、外部委託を避けてきたんですね。これを委託して、絶対に悪意ある第三者にこのような情報が漏えいしないと断言できるかどうか、これは一つ大臣にお答えいただきたい。大丈夫ですか。
3:14:34
その後にしっかりと厳格に切り分けた上での判断でありますので、お理解賜れません。お願いします。
3:14:42
私はそうは思わないんですね。発注書や契約書に明記しようが、罰則や賠償責任をかけようが、それだけでは防げないんです。最近も企業や自治体が業務委託していたNTT日日本の��子会社で働いていた元派遣社員が、サーバーに不正アクセスして、USBに顧客情報を保存し、10年近くで900万件の顧客情報を流出させたという事件が発生しております。11月7日の会見でNTTの島田社長が語っておりますが、記録媒体は持ち込んではいけない、古舞い検査のソフトを入れないといけない、ログをしっかり残さないといけないなどのルールはできていたが、実際のガバナンスが効いていなかったのは非常に反省していると述べております。これらの情報漏洩事案が示しているのは、当然、主比義務がかかりルールはあっても、それだけでは決して漏洩は防げないということなんですね。では聞きますが、新たに外部委託が可能となる通信履歴等の電子テック記録の作成、これはNICTの中でやるのか、外でやるのか、はっきりお答えいただきたい。
3:15:55
お答え申し上げます。今、委員御指摘のとおり、この情報をしっかり管理する�ということが非常に大切でございます。したがいまして、当該情報の管理はNICT内で行うということを想定しております。
3:16:09
これは外でやるわけにいかない業務だと思うんですね。厳格な管理が必要で、中で行うと。では重ねて聞きますけれども、外部委託をした場合に、NICTの研究員や職員がその委託業者の社員に指し図できるのか、NICTの内部で指示をしたら偽装教になりませんか。
3:16:38
お答え申し上げます。今の関係が生じるのは、NICT特定アクセス行為を行っているNICTから、実際にその情報を活用して、通信事業者に対する提起を行う委託事業者に対する関係というふうにご認識�をしておりますが、この関係に関しましては、実施計画の中で何を採取するかということを決めることになりますので、逆に言うと法律に定められた行為に基づいて、さまざまなことを行うということに認識をしてございます。逆にそれ以外のことを、もし何らかの形でこの計画に外れたことをやるのであれば、その計画と合わない、整合しないということになりますので、これは実施計画に違反をすることになります。
3:17:18
もう一つだけ更にしたいんですけれども、特定アクセスをやる場所と、今の電磁的記録の作成をする場所とは同じですか、違うんですか。
3:17:38
答え申し上げます。現状でここまで正確な区分ができておりませんが、外部委託を行う場合にあたっては、この外部委託業者については、NICTの職員とはまず異なります。特定アクセス行為自体ができないということを考えますと、NICTで具体的な安全管理措置を今後検討いたしますが、おそらくは異なる、同じ場所には置くことが困難でございますので、安全管理措置を異なるところで行うということになるかというふうに想定してございます。
3:18:09
当然そういう管理でないとうまくいかないと思うんですね。本来なら採決前にNICTを現地視察して、確かに情報漏洩が起こらないかどうか、現に特定アクセスを行っている場所や、今回外部委託も可能にしようとしている通信履歴等の電磁的記録の作成の現場を見極めたいところでありますが、どうやら後になってしまうようであります。しかし14日に予定されていると聞いているNICTの視察では、その場所、すなわち特定アクセスを行っている場所や、電磁的記録の作成を行うことになる場所を私たち見ることは可能なんですね。
3:18:51
お答え申し上げます。今、この後の議論によるかと思っておりますが、まず私どもの定めに基づいてお話をいたしますと、実施計画に記載された極めて限られた職員を除いて、調査を実施する区画への入退室は禁じられているという形になってございます。これがNICTにおける極めて厳格な安全管理措置の内容でございますので、私ども総務省の職員も含めて、ここの中の所在、それからそこがどうなっているかということは承知をしていない状況でございます。こういう安全管理措置を実際には行っているところでございます。
3:19:35
いやいや、どうしても外部委託の可能性があるところは見せていただく必要があります。国権の最高機関であり、まさに本法案の審議を行っている国会に見せないということは通りません。外部委託はするが国会には見せないというのは話は認められない。国会議員にも見せられないような業務なら、外部委託などはやめるべきであります。外部委託が可能なものなら当然我々を受け入れて、しっかり説明責任を果たさなければなりません。委員長、ぜひともお取り計らい願いたいと思います。後刻、理事会で協議をいたします。
3:20:10
しっかりと私たちのこのチェック、行政監視に応えていただけるように要求して、私の質問を終わります。
3:20:21
これに�て、本案に対する質疑は終局いたしました。
3:20:31
これより、討論に入ります。討論の申し入れがありましたので、これを予理します。
3:20:37
私は日本共産党を代表して、国立研究開発法人情報通信研究機構法の一部改正案に反対の討論を行います。ID、パスワードに脆弱性がある機器を調査し、誘弾に警告する制度は必要です。しかし、本法案は、これまでNICTが実施してきた特定アクセス行為を本来の業務とした上で、通信履歴等の電子的記録の作成を切り出して定義分けし、この全部または一部は委託を可能とするものです。そもそも特定アクセス行為は、不正アクセス禁止法が禁じた権限を持たない者が通信機器にアクセスする行為であり、NICTが行う特定アクセス行為は、ID、パスワードに脆弱性のあるIoT機器を調査する目的に限り、大臣認可の実施計画に基づき実施する例外行為です。厳格な運用が求められています。ところが、法案は、委託を可能にしたばかりか、委託先における情報の適正な取扱いについては、実施計画の大臣認可の際に確認するものの、実施過程の中での適正な取扱いを検証する仕組みは確保されておりません。また、委託事業者との契約について縛る仕組みはなく、通信履歴等の伝辞的記録や、その加工データの漏えいの危険性を拡大しかねないものとなっています。厳格な運営のための担保は、極めて不十分であり、反対です。総務省は、外部委託規定の新設について、NICTからの人的リソースの確保が課題との意見などがあると説明していますが、そうであるなら、NICTの事業を実施するための人員増、体制確保こそ取り組むべきであることを指摘して、討論を終わります。これにて、討論は終局いたしました。これより、採決に入ります。国立研究開発法人情報通信研究機構法の一部を改正する等の法律案について、採決いたします。本案に賛成の諸君の起立を求めます。起立多数。よって本案は、原案のとおり、可決すべきものと決しました。
3:23:09
この際、ただいま議決いたしました法律案に対し、根本幸典さんほか、4名から自由民主党無所属の会、立憲民主党無所属、日本維新の会、公明党及び、国民民主党無所属クラブの5派、共同提案による附帯決議を進める人の同意が提出されております。
3:23:32
提出者から趣旨の説明を求めます。石川香里さん。
3:23:36
ただいま議題となりました附帯決議案につきまして、提出者を代表して、その趣旨を御説明申し上げます。案文の朗読により、趣旨の説明に返させていただきます。国立研究開発法人情報通信研究機構法の一部を改正する等の法律案に対する附帯決議案。政府及び国立研究開発法人情報通信研究機構は、本法の施行に当たり、次の各項の実施に努めるべきである。1、政府はインターネットに接続する機器の更なる普及等により、サイバー攻撃の脅威が一層高まることが予想される中、機構がサイバーセキュリティ対策に果たす役割の重要性に鑑み、機構の人員、予算等の充実及び技術知見の更なる活用を図るとともに、我が国のサイバーセキュリティ人�材の育成に努めること。2、政府及び機構は公的機関、民間事業者及び国民に対し、機構による脆弱性のある機器の調査、注意喚起等の取組に関して十分に周知を行い、サイバーセキュリティ対策の重要性と当該取組についての正しい理解を促進すること。幅広く関係者と連携を行うことなどにより、メーカーの開発、製造の段階における適切なセキュリティ対策の実施等、インターネットに接続する機器の安全性の確保をはじめとする我が国のサイバーセキュリティ対策の一層の充実・強化を図ること。3.機構は特定アクセス行為や新たに機構法に位置付けられる業務の実施に当たっては、これらの実施により取得した情報の管理を徹底すること。また、政府は特定アクセス行為等実施計画を認可する際には、当該計画において特定アクセス行為により取得した情報の取扱いが適切なものであるか厳格に審査すること。なお、政府は機構がサイバーセキュリティ対策に果たす役割の重要性に鑑み、機構の役職委員等に課されている秘密保持義務が引き続き遵守されるよう、適切に監督を行うこと。4、機構に設置された基金が国民負担によって増生されていること、及びこれまでに増生されたほかのさまざまな基金が必ずしも有効かつ適切に活用されていないとの指摘があることを踏まえ、機構の基金の適切な管理及び有効活用による成果の最大化に一層努めること。以上であります。何卒委員各位の御賛同をお願い申し上げます。以上で趣旨の説明は終わりました。採決いたします。本動議に賛成の諸君の起立を求めます。起立・総員。よって本動議のとおり、二行結業することに決しました。
3:26:38
この際、総務大臣から発言を求められておりますので、これを許します。
3:26:46
ただいま御決議のありました事項につきましては、その御指示を十分に尊重してまいりたいと思います。お諮りいたします。ただいま御決意いたしました法律責任に関する委員会報告書の作成につきましては、委員長に御一人願いたいと存じますが、御異議ありませんか。御異議なしと認めます。よってそのように決しました。次回は広報をもってお知らせすることとし、本日はこれにて散会いたします。ご視聴ありが�とうございました