議事録
【伊藤岳 参院議員】 日本共産党の伊藤岳です。
サイバーセキュリティー対策の強化は重要課題であり、ID、パスワードに脆弱性がある機器を調査してユーザーに通知する制度は必要だと思います。
本法案は、NICTが五年間の時限で行ってきた特定アクセス行為の業務を継続的に実施するため、法律本則の業務の範囲に規定することと併せて、新たに委託を可能とする範囲を広げるものとなっています。
通信履歴等の電磁的記録の作成の業務を委託可能としている点について質問したいと思います。
総務省、衆議院の質疑では、NICTにおいて体制の確保をするために、外部委託が可能な範囲や要件について新たに定めるとしていると説明し、また、現状、特定アクセス行為に係る調査に関わっているNICTの方は全部で十一名と答弁しています。
では、通信履歴等の電磁的記録の作成業務を委託可能とすることによって、通信履歴等の電磁的記録の作成に関わる人的リソースをどのくらい獲得することができ、体制の確保につなぐと想定しているのですか。
【山内智生 総務省サイバーセキュリティ統括官】 お答え申し上げます。
まず、現状で申し上げますと、このID、パスワードの脆弱性があるIoT機器の調査に関しましては、委員の今御説明ありましたとおり、平成三十一年の調査の開始に伴ってNICTに設置をした専門組織で実施をしております。
今回、調査対象を拡充をして幅広い関係者への情報提供、助言を新たにNICTの業務として位置付けることから、更なる体制強化が必要になるというふうに考えてございます。
まず、そのために必要な作業として、総務省として、令和六年度に向けて体制強化に向けて必要な予算を増額して要求をして、必要に応じてNICTが外部の知見のリソースを活用できるよう、今回の法案では、御指摘のとおり、特定アクセス行為に関する業務の一部について外部委託の制度を創設をするということにしております。
現時点で人員がどれくらい要るかということについては、まだ確たる答えを持ち合わせておりません。外部委託を含む人員の確保については、業務の実施に必要なリソースを確保しながら、サイバーセキュリティー関連業務の実効性が上がるように、今後NICTにおいて具体的な検討が進められるものと承知をしております。
【伊藤岳 参院議員】 人的リソースの想定数値はないということでしたが、委託によって通信履歴等の電磁的記録の作成業務に関わる人的リソースが広がることは当然想定されると思います。
総務省は衆議院の質疑で、五年間の時限で行った業務の中で、ID、パスワードに不備のある機器が接続されたIPアドレスを今までに累計十万件以上、電気通信事業者に通知をしてきたと述べています。同時に、今回の法案では、これに加えまして、メーカーやシステムベンダー等の関係者への情報提供それから助言についてもNICT業務として法的に位置付けると説明しています。
ファームウエアを調査の対象に加えるなどに伴うものであると思いますが、であるならば、通信履歴等の電磁的記録の作成によって得られた情報の処理、分析についても、情報提供の在り方を始めとして様々な角度からの検討が必要となるのではないかと思いますが、その可能性はありますか。
【山内智生 総務省サイバーセキュリティ統括官】 お答え申し上げます。
メーカーやシステムベンダーへの情報提供及び助言といたしましては、例えば、特定のIoT機器について検知頻度が高い旨の情報を伝えることによって、メーカーなどを通じて、ユーザーが適切な設定が行えるよう、ユーザーへの周知、マニュアルの改善をお願いをするということを想定をしております。この際共有される情報には、先ほど御指摘の特定アクセス行為、これによって収集されるIPアドレスなどは含まれておりません。
なお、このような情報共有につきましては、NOTICE、このプロジェクトに協力をいただくメーカーやシステムベンダー、通信事業者などに限定をして、情報管理をしっかり行いながら進めていくことを検討しております。
【伊藤岳 参院議員】 得られた情報の処理、分析の在り方が変化していくことについて否定はされませんでした。
次に、委託を受ける者は広がるのではないかという点であります。
特定アクセス行為そのものはNICTが行うことと定められています。ただ、五年間の時限で行った業務では、電気通信事業者からの出向者がNICT職員として特定アクセス行為に携わってきました。
大臣、今回、通信履歴等の電磁的記録の作成の業務を特定アクセス行為から切り分けて委託業務の対象とするわけですから、委託業務を受ける者の範囲は、これまでNICTに出向者を出してきた電気通信事業者の範囲にとどまらずに広がることになるのではないでしょうか。
【鈴木淳司 総務大臣】 今の御指摘でありますが、御指摘の外部委託につきましては、規定につきましては、調査対象の拡充を踏まえて、外部委託の手続を厳格化しようとするものであります。
具体的には、ID、パスワードの設定に不備のあるIoT機器の調査は引き続き厳格な条件に基づいて適切に実施されることを確保しつつ、NICTにおいて必要に応じて外部の知見、リソースを活用し十分な体制を確保できるようにするために、外部委託が可能な範囲や要件などについて必要な規定を定めるものであります。
また、総務大臣の認可事項となっております実施計画におきまして委託先の選定基準が適切に定められており、情報の安全管理措置などが委託先においても適切に講じられることを確認できた場合に限って委託できることといたしております。
こうした制度的な枠組みの下、実施計画に定めた基準に基づきNICTにおいて委託先の厳格な選定が行われることなどにより十分なセキュリティーは確保できるものと認識しておりまして、引き続き適切に取り組んでまいりたいと思っております。
【伊藤岳 参院議員】 お聞きしたのは、広がる可能性があるかということなんですが、そこはどうですか。
【鈴木淳司 総務大臣】 数的に広がる可能性はあると思います。
【伊藤岳 参院議員】 実施計画の策定の中で、再委託が、あっ、ごめんなさい、通信履歴等の電磁的記録の全部又は一部の作成を通じて情報提供と助言のための情報の処理と分析が行われるのであれば、多くの者の委託への参入につながっていくのではないかと思われます。
総務省、法律上、再委託はできるのですか、できないのですか。
【山内智生 総務省サイバーセキュリティ統括官】 お答え申し上げます。
NICTが通信履歴等の電磁的記録の作成業務について委託を行う場合、この委託先においてはNICTが行っている情報の安全管理措置と同等の措置を講じられると、これなどの、こういうことを実施計画で定める必要がございます。総務大臣は、当該措置の内容の妥当性を判断した上で実施計画の認可を行うということになります。
御質問の再委託につきまして、法律上の明確な定めはございませんが、このような観点を踏まえますと、再委託については、NICTと同等の措置が再委託先で講じられるということを実際に確認をするということが困難でございますので、実施計画においてこれを行わないということを確認をする予定でございます。
【伊藤岳 参院議員】 では、実施計画の策定の中で再委託がふさわしいと判断された場合、再委託が認められるということはありますよね。どうですか。
【山内智生 総務省サイバーセキュリティ統括官】 理論的には否定はされないかと思います。
今申し上げたとおり、NICTと同等の措置が講じられているかどうかということを確認をすることになりますが、現状、通信の電磁的な記録以外の委託先においてもNICTの中で十分な安全管理措置が講じられているということを確認をいたしますので、この例に倣いますと、再委託先の方に関しても、NICTの中で同じような安全管理措置が講じられているということを確認をすることになります。
これは、現実的には再委託の方を、実際にこういう管理措置を行うことになりますので、なかなかこういう方が現れるということは想定できないのではないかと思っております。
【伊藤岳 参院議員】 つまり、委託を受ける者が広がることや再委託される可能性、これはあり得るということだと思うんです。
以上、委託について聞いてきました。衆議院の質疑でも、通信履歴等の電磁的記録の業務を委託可能とすれば情報漏えいの危険性が拡大することが指摘をされて、総務省自身も、作成されたセキュリティーが脆弱で容易に不正アクセスができるIPアドレスの一覧表が悪意ある第三者に渡った場合、非常に大きな問題が生じると答弁しています。
また、NICTが行う特定アクセス行為が適切に行えているのか、また情報漏えい対策が適時適切に行えているのか、その検討をする仕組みがこの今回の法案にありません。このことも問題であるということを指摘をしておきたいと思います。
次に、鈴木大臣の統一協会との関係について、どうしても聞いておきたいと思います。
大臣は、昨年の朝日新聞のアンケートに、統一協会と接点を持った当時、霊感商法や高額の献金が社会問題化した団体だという認識はありましたかの問いに、はいと回答しています。その後も、統一協会を非常に警戒していたと大臣語っておられました。ところが、就任会見で、私が出ない代わりにやむを得ず電報を打ったことはあると報告されました。
非常に警戒した、していたのであれば、電報など打たなければよかったではありませんか。どうなんですか。
【鈴木淳司 総務大臣】 今お話しのとおり、私は非常に、事務所も警戒をしておりました。そうした中で、一部の応援者の中にそういう方があったと思いますが、極めて何度も何度も執拗に出席をしてくれと言われましても、それは出れないと。あるいは、いない、予定がある、ずっと言うんですね。それでもなおかつ、じゃ、秘書官は、秘書はどうだと、これも出れない。その繰り返しです。
その中で、せめて、もう、じゃ、電報を打ってくれということがありましたので、そういう場合に限ってですが、極めて限定的でありますが、そういう状況でございまして、我々は極めてその関係を持つことについては慎重というか、むしろ逆に忌避をしていましたので、こういう状況でございました。
【伊藤岳 参院議員】 だから、せめて電報もやらなきゃよかったんですよ。非常に警戒していた、だけど、電報を打っちゃった。これ、大きな矛盾だと思います。
しかもですよ、大臣、出ない代わりに、出ないようにしてきたと言いますが、統一協会の関連団体の会合に出ていたではありませんか。大臣就任の会見の翌日の会見で、昨年の参議院選挙の前辺りに一度、関連団体の会合に出席したと初めて明らかにされました。
統一協会は、故文鮮明の御言にもありますが、こう述べています。国会議員との関係強化が大事だ、そのようにして国会の中に統一協会をつくるのだ、国会の協会ですよと檄を飛ばして、その後、国会議員、秘書に、お墨付きを与えてもらうべく接近を繰り返してきました。
大臣、やむを得ず電報を打っちゃった、出ないようにしていたけど会合に出ちゃった、統一協会の手口にまんまと大臣ははまってしまったということではないですか。大臣、違いますか。
【鈴木淳司 総務大臣】 御指摘の会合は、参議院候補を応援するからその場に来てくれということでありまして、私も本当にそれはちゅうちょしました。しかし、仲間の候補者でもありますから、これはやむを得ず行くのかなと思って行ったんですが、そういう状況でございまして、まず、私は、先ほど言っているように、いや、申し上げているように、極めて警戒をしておりますし、関係持ちたくない人間でありましたから、とはいえ、仲間の、同志の議員の講演だからとおっしゃれば、それはやっぱり捨ておくわけにいきませんから、そこは行ったということでございます。
【伊藤岳 参院議員】 だから、ちゅうちょしていたんなら、行かなきゃよかったんですよ。
それで、最後一つ聞きたいんですが、大臣、非常に警戒していた、出ないようにしていると言っていた、だけど、統一協会の会合に大臣出ざるを得ないと判断された。その強い要請をした支援者とは一体誰ですか。統一協会と関係ある方ですか。
【鈴木淳司 総務大臣】 私の応援者の中にそういう方がいたということでありまして、誰というか、個人名ではありませんし、また大物、いわゆる有名な人ではありません。ただ、私の地元の方で、その方々が一緒に、熱心、熱心、熱心に、とにかく来てくれ、とにかく来てくれ、とにかく出てくれということもありましたので、それも余りにもむげにもできませんから、そういう状況でございまして、先ほど来ありますように、いわゆるビッグネームの方ではありません。
【伊藤岳 参院議員】 大臣の言い方でいえば、熱心に誘われればどこでも行っちゃうと、反社でも行っちゃうということになっちゃいますよ。
大臣は、積極的に関係を持たないようにと言っていましたが、それどころか、ずっぽりと深みにはまり込んでしまった。統一協会と大臣との関係は深刻性、深刻な関係性だと指摘をして、引き続き追及していくことを述べまして、質問を終わりたいと思います。
以下反対討論
【伊藤岳 参院議員】 私は、日本共産党を代表して、国立研究開発法人情報通信研究機構法の一部を改正する等の法案に反対の討論を行います。
ID、パスワードに脆弱性がある機器を調査し、ユーザーに警告する制度は必要です。
本法案は、NICTが実施する業務を特定アクセス行為と通信履歴等の電磁的記録の作成に定義分けして、後者について、新たに全部又は一部を委託可能とする規定を盛り込み、業務委託の範囲も拡大するものです。
総務省は、外部委託規定の新設について、NICTからの人的リソースの確保が課題との意見があると説明していますが、そうであるならば、NICTの事業を実施するための人員増、体制確保こそ取り組むべきです。
元々、不正アクセス禁止法は権限を持たない者が通信機器にアクセスする行為を禁止しており、NICTが行う特定アクセス行為は、ID、パスワードに脆弱性のあるIoT機器を調査する目的で、大臣認可の実施計画に基づき実施する行為に限り不正アクセスの例外とされているものです。厳格な運用が求められるものです。
ところが、法案は、通信履歴等の電磁的記録の作成業務について外部委託を可能とした上、委託先における情報の適正な取扱いについて、実施過程の中でチェックする仕組みを設けていません。また、委託事業者との契約について縛る仕組みがなく、通信履歴等の電磁的記録やその加工データの漏えいの危険性が拡大するおそれが拭えません。
さらに、本法案は、メーカーやシステムベンダー等の関係者への情報提供や助言をNICTの業務として追加するもので、通信履歴等の電磁的記録の作成の中で得られた情報の処理、分析の在り方も様々に変貌していくことが想定されます。
これらは大臣の認可事項の実施計画上で決められていくことになりますが、実施状況を第三者的に検証する仕組みがないことは問題です。厳格な運営のための担保は極めて不十分と言わざるを得ません。
以上述べて、反対討論といたします。