令和7年5月15日 （木曜日）参議院内閣委員会【未定稿より転載】

○石垣のりこ君
立憲民主・社民・無所属会派の石垣のりこでございます。今の石川委員の質疑がございましたので、ちょっとそれを受けて、私の方も質疑のちょっと順番を変えたいと思います。選別後通信情報の目的外利用についてから伺いたいと思います。前回私も質問しました第23条の選別後通信情報の目的外利用について、平大臣が、選別後通信情報は重大なサイバー攻撃に関係があると認めるに足りる機械的情報と、重大なサイバー攻撃に関係があるということをまずは強調されていたわけですね。これ、一般的に、重大なサイバー攻撃に関係があるというふうに聞きますと、サイバー攻撃を仕掛けてくる攻撃者の情報をそのものというふうに、ぱっと直接的な攻撃者イコールであるようにちょっと受け取れてしまうんですけれども、実はそうとは限らなくて、攻撃者がサイバー攻撃を行う上で踏み台として利用しているサーバーとか、あとはマルウェアに感染してしまった個人のIPアドレスであるとか、攻撃者そのものではもちろんなくて、いわゆる善意の第三者の情報というのが大半なのではないだろうかというふうに考えますが、この点、いかがでしょうか。

○国務大臣（平将明君）
重大なサイバー攻撃に関係あるというのはどういう意味かということだと思いますが、本案の通信情報の利用の措置では、自動的な方法による選別により一定の重大なサイバー攻撃に関係があると認めるに足りる機械的情報に限定されたもののみを分析の対象とすることとしています。ここで、重大なサイバー攻撃とは、国外設備を送信元とした重要電子計算機に対する特定不正行為と、協定当事者が使用する電子計算機に対する特定不正行為をいいます。その際、一定の重大なサイバー攻撃に関係があると認めるに足りる機械的情報とは、より具体的には、攻撃に用いられていると考えられるIPアドレス、攻撃に用いられているコマンド等が主に想定をされています。

○石垣のりこ君
なので、攻撃に用いられているということは、本当にたまたま乗っ取られてしまった、感染させられてしまったものであって、そのIPアドレスの持ち主そのものが犯罪を意図的に行っているというわけではないという情報の方が、むしろ踏み台の方に、ダイレクトに攻撃することの方がほぼないと言ってもいいと思いますので、多いということでよろしいですか。

○国務大臣（平将明君）
これ一概に言えませんが、実際にIPアドレスそのものは、実際攻撃者から踏み台にされているサーバーのIPアドレスである可能性はかなりあると思います。

○石垣のりこ君
ということで、集められたものが犯罪に関係をしているからそれは見られても仕方がないだろうということではなくて、やはり、全く関係ない善意の第三者、皆さん、私たちも含めて対象になり得る情報を収集されるのだということはちょっと認識をしていただかなきゃいけないと思うんですね。その上で、第23条4の特定被害防止目的以外の目的とは何かというところなんですが、政府のこれまでの答弁が非常に分かりにくいなと思ったので整理をすると、特定被害防止目的以外の目的ではあるんだけれども、法律自体の目的である第1条に規定された重要電子計算機に対する不正な行為による被害の防止を図ることという目的の範囲内であるという解釈でよろしいですか。

○国務大臣（平将明君）
そのとおりでございます。

○石垣のりこ君
その上で、資料をお配りしたもので、ちょっと概念図を書いてみました。概念図ということで、第23条4の特定被害防止目的以外の目的というけれども、私たちがぱっと聞くと、例えば治安維持であったり犯罪捜査であったり公共の安全の確保であったり犯罪の予防であったり、先ほど石川委員からもありましたけれども、こういうものに使われる可能性があるのではないだろうかという私たちの疑問に対して、いやいや、目的外といっても、あくまでもこの法律全体の法の目的の中に入ったものであるという、いわゆるこの黄色の範囲の中で対応されるものなので心配はないのだというふうなご説明があったのだと思います。しかし、一方で、不正な行為による被害の防止を図るというこの法全体の大きな目的に関わる手段については、これ条文に記載がされておりません。例えば、不正による被害を防止するための情報収集活動は条文上禁止されていないという理解でよろしいでしょうか。

○政府参考人（小柳誠二君）
手段につきましては、あくまでもその法律の目的の範囲内でございますので、法律に規定するような各種施策を推進するためのものということになりますから、法律に規定されているような一般行政上の目的ということになりまして、例えば犯罪捜査といったものは含まれないということになります。それから、先ほど、その分析の対象として、踏み台の話が出たんですけれども、この法律では、基本的に、その99.4％、外国からのサイバー攻撃ということを前提にしておりますので、分析対象となるIPアドレス等につきましてもそのほとんどが外国にあるものということになりますので、わが国にいらっしゃる一般の方々の、何というか、その情報が多数分析の、広くですね、分析の対象となるというものではないということはちょっと補足しておきたいと思います。

○石垣のりこ君
99.4%という数字はあくまでも現在の数字でありまして、現在でも0.6%はあると、これは大きく変わる可能性ももちろんあるわけですし、外国にサーバーがあるからって、じゃ、それは日本人とは直接関係がないものの方が多いと思いますということでもないですよね。

○政府参考人（小柳誠二君）
申し上げましたのは、現時点ではその攻撃用インフラの多くが国外に所在すると考えられるため、国内のIPアドレス等が分析の対象となるということは多くはないということでございます。その上で、一般に広く国内の方々のその情報が収集され、分析されるというものでもないということを申し上げたということでございます。

○石垣のりこ君
現状としては、広くはそうだけれども、かといって、外国にサーバーがあるから日本人の人のその情報が収集されないということではないということなのではないかと思います。つまり、情報収集活動を具体的に言うと、このIPアドレスからプロバイダー等に開示請求して個人を特定することも、不正な行為による被害の防止を図る目的であれば、条文上、これ禁止されていないということになりますでしょうか。

○政府参考人（小柳誠二君）
私どもの新しい法律では、そういったその照会に関する権限等の規定というのは設けておらず、そういったことから、法目的の範囲内でそういうことを行うことは想定してございません。

○石垣のりこ君
先ほどの答弁にもあったんですけれども、捜査目的に使うことはない、通常想定されないということであって、そういう必要性が生じたときにはできないわけではないということだと思うんですね。ここが重要なポイントであって、あのときの状況を考えればそれは想定されていなかった、しかし、具体的にそうせざるを得ない状況が生じたので、これは重要電子計算機に対する不正な行為による被害の防止を図ることという目的の範囲に合致するので行いましたという答弁が可能になるのではないかという懸念があるわけですね。個人を特定することが条文上制限されていない場合に、その個人が誰とどのようなやり取りをしているかなどのメールの内容を日常的に把握することも条文上禁止されていない。先ほど、想定していないというふうな話ではありましたけれども、これは条文上禁止されていないということで、やるかどうかではなく、あくまで条文上できるのかどうかの規定がありますかという質問をさせていただきたいと思います。

○政府参考人（小柳誠二君）
メールの内容については、機械的情報には該当しませんので直ちに消去されますから、ご指摘のようなことはございません。

○石垣のりこ君
ただ、技術上は可能だということだとは思うんです。IPアドレスからその個人を特定してその先に進むことも、手続を踏んでいけば可能な範囲に、この目的に合致するものであればできるのではないだろうかと。それはこの法文の中では禁止はされていないという、その法の隙間みたいなものはこの中に込められているのではないかという、私のこの今質問でございます。技術的に難しいとかプロバイダーが応じないとか、そういうことはあるのかもしれませんけれども、警察や公安調査庁が来て協力を要請されたら、なかなかやっぱりこれ断りづらいと思うんです。当面は通信の秘密を守らなければならないと抑制的に運用していくんだと思いますけれども、将来ずっとそうであるかというと、様々な疑念も生じまして、条文上であくまでも禁止されていないことは将来の可能性としてやるかもしれない。先ほど、小さく産んで大きく育てることはないとおっしゃいましたので、この法律上でそういう拡大解釈を、法の解釈の濫用をされることはなかったとしても、今後、新たな立法なども含めて、そういう必要性が生じてくることというのは十分に想定はできると思います。やるかやらないかといったら、可能性はゼロではないと。やはり、条文上できっちりと制約を掛けておく必要がある、この目的外利用に関してですね。特定被害防止目的の目的のところをきちんと限定しておくべきではないかということで、参議院の法制局に協力していただいて、例えば、こういうふうに修正したらより的確にその目的外利用の範囲を限定できるのではないだろうかということで、修正案を作ってみました。資料の②でございます。残念ながら、時間的な余裕がなくて、党としての案にできずに、提出には至らなかったんですけれども、このように、選別後通信情報を特定被害防止目的以外で利用できるのはサイバーセキュリティーの向上のために情報分析等に用いる場合に限定するということで、具体的には、第23条の4の1を、内閣総理大臣が、当事者協定の定めるところに従い、該当当事者協定の協定当事者を通信の当事者とする通信情報の提供を受け取得した取得通信情報についての自動選別により得られた選別後通信情報を、当該当事者協定の協定当事者の同意を得て、自ら利用し、又は提供する場合について、わが国のサイバーセキュリティーに関する対策を強化するための分析を行うことを目的とする場合に限るものとする、このように限定をすると、より明確にこの目的外利用の範囲が限定されているということが分かるのではないだろうかというふうに思いますけれども、大臣、いかがでしょうか。

○国務大臣（平将明君）
他目的利用の範囲については、第23条第4項第1号に基づき、個別に慎重に検討した上で、協定当事者からの具体的な明確な同意を得て、その同意の範囲内で実施することになっています。加えて、他目的利用をする場合であっても、その利用は、先ほどご指摘ありましたけど、第1条に基づき、法目的の範囲内に限定されています。これらのことは、衆議院の修正で定められた第2条の2の規定、衆議院で追加されたやつですね、通信の秘密に関するところでありますけれども、その規定により明確になっていると考えています。以上申し上げたとおりなので、他目的利用の範囲は、法案において既に個別かつ一律に限定されていると考えておりますので、修正は必要ないと考えております。

○石垣のりこ君
何度も申し上げますけれども、そのようには利用しない、その範囲内であるというふうにご答弁いただいて、後々、この法解釈に関して今の答弁がしっかり生きて、きちんとその目的の範囲内であるということが明確になればいいんですけれども、いや、その目的の範囲内というのは、もうこれも繰り返しになりますけど、この概念上の範囲を超えて、手段としては禁止をされていないというわけですから、拡大解釈をされて必要の範囲内で活用されてしまう、利用されてしまうということがあり得るのではないだろうかと思います。先ほどもお話にありましたけれども、通信の秘密についても、憲法第12条及び第13条の規定からして、公共の福祉の観点から、必要やむを得ない限度において一定の制約に服すべき場合があるというような考え方の下に今回の法案も作られていると思うんですけれども、この公共の福祉の観点というのをどう考えるかというときに、先ほどの概念図で、この防止目的というのが非常に拡大解釈をされ得る余地があるのではないかという懸念をここで申し上げておきたいと思います。では続いて、今回審議されている能動的サイバー防御整備法案なんですが、非常に抽象的な話が多いので、具体的にどのような実効性を持ち得るのだろうかということで少し考えてみたいと思います。名古屋港コンテナターミナルへのサイバー攻撃について伺います。これ、現在審議されておりますこの法案は、サイバー攻撃を受けた場合に、国家国民の安全を害し、国民生活や経済活動に多大な影響を及ぼすおそれがある重要インフラへのサイバー攻撃を防御するために整備される法律案ということになっています。重要インフラへのサイバー攻撃で大きな被害が出た実例として、2023年7月の4日に発生しました名古屋港コンテナターミナルへのサイバー攻撃がございます。この例に、この法案が仮に成立してあったといった場合に、何ができて、どのような形で被害の軽減が図られたのかというのを確認したいと思います。まずは、名古屋港へのサイバー攻撃の概要、どのような経緯で発生し、どのような経緯でサイバー攻撃だと分かり、どのような対処がなされたのかという概要をお話しいただけますか。

○政府参考人（堀真之助君）
お答えいたします。令和5年7月4日に発生いたしました名古屋港におけるサイバー攻撃事案でございます。この日の早朝に、名古屋港の統一ターミナルシステムの作動が停止したことがシステムを運用する名古屋港運協会により確認されました。この時点においては、作動停止についてサイバー攻撃であるか否かも含め原因が判明しておりませんでした。その後、システム専用のプリンターから脅迫文書が印刷されたため、名古屋港運協会から愛知県警察本部に連絡した結果、ランサムウェアに感染した可能性があるとの見解が示されました。これらを踏まえて、翌7月5日に、名古屋港運協会より、システム障害の原因がランサムウェアへの感染であると判明したことなどが公表されております。本事案の発生により、名古屋港では約3日間にわたりコンテナの搬入、搬出作業が停止する事態となりました。以上でございます。

○石垣のりこ君
名古屋港運協会は、当初は単なるシステム障害が発生したというふうに考えていたようですけれども、本法案が成立していたら、もっと早い段階でサイバー攻撃を受けたと認識できたのかということ。また、政府や警察がサイバー攻撃を受けたと知るのも早くなって、政府としても対処できるようになっていたということでよろしいんでしょうか。

○国務大臣（平将明君）
本法案の官民連携の強化、通信情報の利用、攻撃者のサーバー等へのアクセス・無害化、3つを取組の柱とする能動的サイバー防御を導入するものでありますが、これにより政府がインシデント報告や通信情報、協議会を通じて得られた情報などを整理、分析した上で、事業者への情報提供やアクセス・無害化などを活用することとしております。その上で、ご質問の名古屋港の事案については、あくまで仮定の質問であるため明確にお答えすることは困難でありますが、例えば、今回の制度整備により得られた情報や分析結果により悪用された機器の脆弱性や攻撃に用いられた攻撃者のIPアドレス等に関する注意喚起を行うことで、事業者の対策を促し、被害を未然に防ぐことや被害を最小化することに貢献できた可能性もあるものと考えております。

○石垣のりこ君
あくまで仮定の話ということで、どんなことが可能であったかというご答弁をいただいたとは思いますが、これ実際にコンテナターミナルにおける情報セキュリティ対策等検討委員会が、同年、2023年の7月に行われていまして、今回の事案における主な問題点としてということで幾つか挙げております。1つは、保守作業に利用する外部接続部分のセキュリティー対策が見落とされていたこと。2つ目、サーバー機器及びネットワーク機器の脆弱性対策が不十分であったこと。3、バックアップの取得対象と保存期間が不十分であったこと。4、システム障害時の対応手順が未整備であったことなどが挙げられていて、結局、その感染経路も保守用のVPNではないだろうかとは言われているんですが、確定的なことはまだ分かっていないということなんですよね、ほかの可能性も否定されていないということで。かつ、このVPN機器及び物理サーバーに関して数か月前から脆弱性が公表されていたものの、これらの脆弱性への対応が未対応であったということが確認されているということで、言ってはいて、注意喚起はしていたんだけれども対応がなされていなかったということというのは、今回の法律以前に、やるべきことをきちんとやっていなかったということが指摘されているのであろうと思います。そういう点では、この法案以前にもうちょっとちゃんとやるということを事業者の方も含めて促していかなければならないという問題意識は持っておかなければならないと思います。では、サイバー攻撃を受けたことを認識するのが早ければ早くなるほど、関係各所への連絡なども早くできて、様々な対応ももっと早く行われて、早く被害を少なく、被害を少なくすることができていたというふうに大臣としてはお考えに、あくまでも仮の話ですけれども、なりますか。

○国務大臣（平将明君）
一般論ですけれども、今のところは被害が発生をしてから所管省庁に報告をすることになっていますが、インシデントの時点で、例えばその侵入された痕跡があるとか、その時点で情報共有をされることになります。さらには、いろんな情報ソースから、今回の法律が成立すると情報収集できますので、今こういった勢力がこういった国でこういうインフラを対象にしてこういった攻撃をしているといった情報も共有できることになりますし、また重要電子計算機を届出していただくことになるので、どこかでその重要電子計算機の脆弱性が明らかになったら、今までは各企業が囲い込んでいたわけですね、どういうサーバーを使っているかも情報共有ができていなかったので。で、我々の方で、その脆弱性のある情報、電子計算機、重要電子計算機を持っているインフラ事業者に対して、蓋然性が高ければ、こういう脆弱性がありますからパッチを当ててください、ソフトウェアを変えてくださいということもできますので、今までよりはできることは多くなってきますし、また基幹インフラ事業者にはそういう義務を、報告の義務を課しております。また、政府側からも情報提供することになっていますし、また協議会や協定を結ぶことによって更にもっと情報のやり取り、意思疎通が密になると思いますので、防御する力は高まっていくというふうに考えます。

○石垣のりこ君
情報共有に関しましても、サイバーインテリジェンス情報共有ネットワーク、CCI、こういうものもあって、一応情報収集はしていたんだけれども、そこに加盟しているものももちろん全部ではないし、非常に被害が潜在化していると。まあ、自分たちのところが感染した、何か問題があったというと信用問題に関わるので伝えないことが多かったというようなこともあったということで、今回義務化されることによってのメリットというのはもちろんあるんだと思います。その上で、今回のこの名古屋港の攻撃者というのが、いろいろ調べていった結果、ロックビットというランサムウェア攻撃者グループだったということで、これ、ロックビットって結局外国政府を背景にした組織なんですか、どうなんでしょうか。

○政府参考人（逢阪貴士君）
お答えいたします。ご指摘の事案については、必要な捜査を行っているところであり、その詳細についてはお答えを差し控えさせていただきます。先ほど、国土交通省からも答弁ありましたとおり、ランサムウェアによるサイバー攻撃であるものと承知しており、先生今ご指摘のロックビットという報道がされていることも承知はしております。

○石垣のりこ君
報道の方が先んじているということですけれども、3日間、港湾のコンテナの搬入、搬出作業がストップをしたという事案でございます。これ相当の物流が止まりました。で、この法案があったら、サイバー攻撃を受けたことを政府も把握できて、さらにアクセス・無害化措置もこれ実行できた、実行したということなのか、また、被害を食い止めるために、攻撃者であるロックビットがどういう組織なのか把握する前に、緊急性があると判断してアクセス・無害化措置に踏み切っていたという可能性があるんだろうかどうなんだろうかという疑問が生じたんですが、この点、お答えできる範囲で答えていただきたいと思います。

○国務大臣（平将明君）
その前に、先ほどの情報共有のところは今もやっているんですが、今回の法律ができると、重要安保情報みたいな機密、秘密に関わるところも協議会若しくは協定の相手にセキュリティークリアランスをしっかり対応してもらって情報が共有できるので、攻撃者の意図とか文脈も経営層と共有できる可能性は出てくるということで強化されるということであります。今のお尋ねの件でございますが、アクセス・無害化措置を行うか否かについては、実際に発生したサイバー攻撃の個別具体的な状況に即して様々な情報を総合して要件該当性を含めて判断を行うべきものであることから、ご指摘のような仮定に基づく質問にお答えすることは差し控えさせていただきます。その上で、一般論として申し上げれば、アクセス・無害化措置を実施する要件については、警職法改正案の第6条の2第2項において、加害関係電気通信や加害関係電磁的記録を認めた場合であって、そのまま放置すれば人の生命、身体又は財産に対する重大な危害が発生するおそれがあるための緊急の必要があるときとされていることなどから、各種情報を総合的に勘案しつつ、これらの要件を含む警職法改正案の規定を満たす場合には、警察によるアクセス・無害化措置は可能です。また、自衛隊法改正案第81条の3に基づく通信防護措置の実施については、一定の重要電子計算機に対する特定不正行為が行われた場合等の要件を満たした場合に内閣総理大臣が自衛隊に命ずることができ、その場合には警職法の規定を準用して措置することが、措置する、措置ができることになります。

○石垣のりこ君
ということで、可能性もあるんだというようなご答弁をいただいたということだと思いますが、このアクセス・無害化措置が一体本当にどの程度まで可能なのかということで、今ちょっと具体的に名古屋港の事案を基にお話をしましたけれども、ちょっと具体的に、実際今起きているものに対して、サイバー防御の能力を向上させるのだ、能動的サイバー防御が必要なのだということでこの法律を議論しているので、実際にどの程度防げるのかというのは皆さんにこの法律の実効性に関して具体的にイメージをしていただくためにちょっとあえて質問させていただきました。今のことにも関連すると思いますが、他国へのアクセス・無害化措置に関して伺います。アクセス・無害化措置を行う対象は、攻撃者そのものではなくて、踏み台となっているサーバー等に対して行うことの方が多いのではないか、ちょっと先ほどもお話ししましたけれども。で、わが国のサーバーなどがこれ逆に外国の捜査機関などから何の連絡もなく無害化措置を実施されたことが後に判明した場合に、これどのような対処を行うんでしょうか。特に、省庁、国の機関が保有するパソコンなどが無害化措置を実施された場合って、これどうされるんでしょう。

○国務大臣（平将明君）
ご指摘の点については、個別具体的な状況に即して判断すべきものであり、一概にお答えすることは差し控えます。その上で、仮にわが国の主権が不当に侵害される行為が確認されれば、当然でありますが、抗議をする、再発防止を求めることを含め、しかるべき対応をしていくことになると考えております。

○石垣のりこ君
逆に、自分たちもそういう、今、攻撃を受けているという認識の下にこの無害化措置を行うという法律まで作ろうとしているわけですから、日本が全くそういう対象にならないということ自体がむしろお気楽な話ですので、想定はされているんだとは思います。海外のサーバーなどに対して無害化措置を実施した後に、そのサーバーなどの所在している国の政府などから無害化措置によって不具合が生じて損害が発生したなどの申出があった場合に、警察そして防衛省は具体的にどのような無害化措置を行ったのかなどの説明をするのかどうか、緊急性があったなどの違法性阻却事由について証拠を示して説明ができるのかどうか、教えていただきたいと思います。

○国務大臣（平将明君）
アクセス・無害化措置は、公共の秩序の維持の観点から、比例原則に基づき、危害の発生の防止という目的を達成するための必要最小限度の措置として実施されるものであり、措置の対象となるサーバー等に物理的被害や機能喪失等、その本来の機能に大きな影響を生じる、大きな影響が生じることは想定されません。また、国際法上許容される範囲内で措置を行うことも当然であります。また、警察及び自衛隊がアクセス・無害化措置を実施するに当たっては、サイバー攻撃に利用されているサーバー等であると認めた理由、サイバー攻撃による危害の防止という目的を達成するためにとり得る措置の内容等をサイバー通信情報監理委員会に示し、委員会はその承認の求めが改正後の警職法等の規定に照らして適切かを判断することとし、措置の適正性を確保することとしています。さらに、アクセス・無害化措置については、警察庁長官等又は防衛大臣による指揮を受けて行うこととしており、万が一にでも誤ったアクセス・無害化措置が行われることのないよう、適切に制度を運用してまいります。その上で、仮にわが国が実施したアクセス・無害化措置によって対象サーバー等の管理者等に損失が生じた旨の申出があった場合には、まず、当該損失が本当にわが国のアクセス・無害化措置により生じたものかという点も含めて、関連の情報を確認することとなります。お尋ねの相手方への説明のあり方については、確認して判明した事実関係等を考慮するなど、その時々の個別具体的な状況に即して対応する必要があるほか、わが国の措置の詳細を明らかにすることは潜在的な攻撃者に対して手のうちを明かすことにもつながることも踏まえる必要があるので、一概にお答えすることは困難であります。いずれにしても、万が一わが国が実施した措置により損失が発生した場合には、政府として、いかなる対応が適切かを判断し、対処をすることとなります。

○石垣のりこ君
個別具体的に個々のケースがある、で、一概に答えられないというのはもちろん分かるんですけれども、実際に、じゃ、そういう状況が生じたときに手のうちを明かすことができないとすると、説明をどこまでするのかというのはかなり限定的になる、ならざるを得ないであろうと思います。限定的であると、相手も明確な証拠を示してもらえてないわけですから、いやいや、あなたの措置によってそうなったので、じゃ、あなたも見せてください、いや、こちらだって、手のうちをさらすようなこと、あなたのところに見せられませんよというやり取りにならざるを得ないと思うんですね。とすると、細心の注意を払ってできるだけそういうことがないようにとはいえ、かなり緊迫した状況で高度な判断が迫られるわけですから、かつ、相手のそのサーバーだったり国のそのネットワークのシステムに入り込んでいくという高度なことをするわけですから、何かが起こらないというふうなことを逆に考える方が結構それこそ安易であって、実際に、やっぱりこの無害化措置というのは、特に海外に置いているサーバー、しかもそのサーバーが置いてある国が何か悪意を持って日本を攻撃しているとは限らないし、むしろそうじゃない場合の方が多いというときに、やっぱりこれ緊急の事態とはいえ、無害化措置って相当難しいのではないかというふうに考えるんですけれども、この実効性という点では、平大臣、どうですか。

○国務大臣（平将明君）
まず、相手政府が持っているサーバーそのものが日本を攻撃をしてくるということは考えにくいですね。ですから、Ａ国が日本を攻撃するときに、B国のサーバーを使って日本を攻撃をしてくるので、ここの国のサーバーを無害化しても攻撃者のこのＡ国が文句を言ってくることはないです。なぜなら、俺がやったと自白するようなものです。Ｂ国においても、やるのは、イメージとしては、ちょっと解像度を高く言うと、サーバーにアクセスして、いわゆるその設定を変えるとかソフトウェアを消去するとかそういうことなので、サーバー自体はそのまま外見上は変わらないし、しかもこのサーバーは意図することと違う形で利用されているわけですね、Ａ国のハッカー集団に。乗っ取られて違うことに使われているということもあるので、それをもってＢ国が我々にけしからぬと言うことはなかなかなりにくいというふうに思います。その上で、サイバーセキュリティーの世界は、私はこんなことやりましたということは基本的には秘匿をされつつ、必要なときに、パブリックアトリビューションでここがやったんではないかというのも、かなり戦略的に出すことになります。ただ、いずれにしても、国際法で許容される範囲内でしか我々はやりませんし、そういうことを言われれば、それは真摯に対応するということになると思います。

○石垣のりこ君
さっきの、じゃ、日本がサイバー、その防御措置をどこかの国からやった場合で、日本は全然何もその攻撃をした覚えはないんだけれども、たまたま利用されていたというようなときに、その逆のパターンで考えると、いや、ハードは壊さないかもしれないけれども、このシステムでいろんなことを書き換えた結果、いろんなところ、もしかしたら支障が来されるかもしれないじゃないですか。何かが止まるとか、何か暴走を何かを始めるとかということは考え得るんだとは思います。今回の法案は、情報収集してセキュリティー強化をしてサイバー攻撃に対する壁を厚くするという、言ってみれば、サイバー攻撃に対する専守防衛に徹するのではなくて、能動的に他国に対して無害化措置を行うというサイバー攻撃に対する敵基地攻撃能力の保持、ただし敵基地イコール敵のアジトとは限らないという法案の内容ではないかと言えると思います。よくよく考えていくと、無害化措置のような能動的な防御、サイバー空間の敵基地攻撃能力、ただし敵基地が本当に敵基地なのかは不明というただし書がございますけれども、これ実効性を担保するには、事前にやっぱりこれ、今これからだという段階であるということは重々承知の上、これ、やっぱり他国との協定を広く結んでおくなどしていかないと、実効性も担保できないし、トラブルの元にしかならないということになると思いますので、日本が率先してサイバー行動に係る国際上のルールを作るよう、是非国際社会に働きかけていただきたいと思いますが、最後に平大臣、ご答弁お願いします。

○国務大臣（平将明君）
委員のご指摘、ごもっともだというふうに思います。この法律が成立した後は、我々はこういう考え方を持っていわゆるサイバーセキュリティー、サイバー安全保障に取り組んでいきたいということは、国際社会に対してもしっかり説明をしていきたいと思いますし、またルール作りの一端を担っていきたいと、そのように考えております。

○石垣のりこ君
以上で終わります。