通信の秘密はどうなる？　「能動的サイバー防御」新法が企業に与える影響

　ついに日本で、 「能動的サイバー防御」を可能にする複数の関連法が成立した。2027年中に本格的に導入が始まる。

【その他の画像】

　ここまでの道のりは長かった。2022年12月、政府が閣議決定して、防衛3文書（国家安全保障戦略、国家防衛戦略、防衛力整備計画）に能動的サイバー防御の導入を明記。以後、国会で議論されそうになっても、政治のゴタゴタが起きて審議が先延ばしにされてきた。

　攻撃の99％が海外からとされるサイバー攻撃の分野では、能動的サイバー防御が可能になることで、自衛隊や警察が予防的に対応できるようになる。やっと世界標準の対策ができるようになるのだ。

　ただ、今回の新法については予防的な攻撃に注目が集まり、警察や自衛隊の関係者以外には関係のない話と受け止める人も少なくない。だが実は、この新法は民間企業にとっても他人事ではない。

　新法では、通信情報を監視し、攻撃元のサーバへ侵入して無害化できるようになる。加えて、官民連携も強化する。

　一方、法案審議の段階から、この法律が個人や民間企業の権利を侵害するのではないか、という指摘が出ていた。というのも、このサイバー新法は、憲法21条が保障する「通信の秘密」を侵害する可能性があるからだ。新法では、サイバー攻撃対策を「公共の福祉」と捉えており、国民の権利が一部制限される可能性がある。

●権利を「不当に制限しない」ことを明記

　政府はどのような通信情報にアクセスするのか。例えば、サイバー攻撃に関係しているとみられるメールアドレスやオンライン上の住所であるIPアドレス、そして送受信の日時などのメタデータがある。メールなどの内容そのものは見ない。

　ただ、どこまで当局側が情報にアクセスするのかについては、個人も企業も不安が残るかもしれない。事実、現代ではこうしたメタデータにひも付けなどをすれば、個人を特定したり監視したりできてしまう。

　法案の審議でも、野党の一部がこの部分を問題視していた。そのため新法には、国民の権利を「不当に制限するようなことがあってはならない」という条文が追加されている。

　また、こうした懸念が出ていたことから、通信の監視や分析には、国内の企業や個人同士の「内内通信」（国内同士での通信）は含まないことになった。ただ、海外の通信が絡めば「内内」ではなくなるため、企業や個人が何らかの形で分析対象になることもあり得る。

　今回、警察や自衛隊が独立機関の「サイバー通信情報監理委員会」を設置することになった。そこで承認を得た上で、攻撃元のサーバなどに「通信の秘密」を侵害してアクセスし、無害化することになる。そこで乱用を防ぐという。

　もっとも、サイバー攻撃について国内外で長く取材してきた筆者は、日本にも能動的サイバー防御のような法整備が不可欠だとずっと言ってきた。今回の新法も歓迎しているが、ここはスタート地点に過ぎず、これからさらに時代に合わせて進化していってほしいと願っている。

　米国を例にとると、以前のバラク・オバマ政権では、大規模な攻撃的サイバー作戦については大統領の承認が必要だった。ところがドナルド・トランプ政権になると、時代の流れに合わせて、現場のサイバー部門の裁量を大きくした。

　この分野でやっと走り始めた日本には、サイバー通信情報監理委員会という組織が今のところは必要だろう。だが、運用していくとスピード感が求められるようになることは間違いない。この辺りの調整も、今後必要になるだろう。

●企業の負担は重くなる

　今回の新法では、民間企業にとっても負担が増えることになる。まずは、基幹インフラ事業者に対する義務だ。

　基幹インフラ事業者とは、電気、ガス、石油、水道、鉄道、貨物自動車運送、外航貨物、港湾運送、航空、空港、電気通信、放送、郵便、金融、クレジットカードの15業種を指し、2024年11月末時点で213社に上る。これらの事業者は、サイバー攻撃による被害のみならず、攻撃の前兆と考えられる事象の報告も義務化される。

　これまでは業界ごとのルールに沿って、事後報告で済んでいたものが、今後はサイバー攻撃の可能性がある曖昧な情報も含め、迅速な報告が必要となる。

　加えて、使用している電子機器の製品名やネットワーク構成なども政府に届け出ることが求められる。これにより、サイバー攻撃のリスクが高い企業の製品や通信を把握できるため、対策がしやすくなるというわけだ。

　しかも、こうした義務を怠った場合には、最大200万円の罰金が科される可能性があり、かなり厳しい内容になっている。日本政府のサイバー対策における本気度がうかがえるが、企業側の負担は大きい。

　それだけではない。IT機器を基幹インフラ事業者や政府に販売するメーカーなどは、サイバー攻撃に対する脆弱性を検知して対応できるよう、製品設計など必要な情報を提供することが求められる。

　こうした義務により、企業には報告や届け出の体制を作る手間が生じて、負担が重くなることは間違いない。だが、サイバー攻撃による被害の甚大さと深刻さは、多くの企業がすでに理解しているはずだ。こうした手間のかかる対策なくしては、安心は提供できないということだろう。

　また、このような義務を果たすと、政府などから情報も得られる。企業側にもメリットはあるといえる。

●やっと始まった対策、時代とともに進化を

　企業側には、もう一つ大きな負担がある。この新法に絡んで政府などと情報共有する際には、経済安全保障分野の重要情報を取り扱える人を国が認定する「セキュリティ・クリアランス（適性評価）」制度を活用することになるからだ。

　日本では、5月16日にセキュリティ・クリアランス制度が始まったところだが、適性評価には飲酒や借金、国籍などの身辺調査が必要になり、民間企業で対応が進むかは不透明である。というのも、社員や職員の中には身辺調査を望まない人も出てくると想定され、社内で混乱が起きる可能性がある。これに企業がうまく適応できるかどうかは未知数だ。

　しかし、忘れてはいけないのが、サイバー攻撃のターゲットになりやすい先進国の多くでは、すでにこうした対策を講じていることだ。日本は10年遅れているといわれている。

　やっと日本政府が、日本人の安全と、国の根幹となる経済を支える企業の知的財産などを守る対策に乗り出したことは素直に評価すべきだろう。ここからは時代の流れとともに、政府の対策も常に進化していく必要があることを忘れてはいけない。

（山田敏弘）