能動的サイバー防御をめぐる議論(その3-④)「通信情報の利用」
今回は、サイバー安全保障分野での対応能力の向上に向けた有識者会議(第3回)の資料から、有識者会議とは別に個別のテーマを深堀りしている別会合のうち、「通信情報の利用」に関するテーマ別会合(第2回)の内容を見ていく。(資料6-1から6-5)
・有識者会議(第3回)の資料構成はこちらの記事。
・テーマ別会合についてはこちらの記事。
・テーマ別会合「通信情報の利用」(第1回)についてはこちらの記事。
😎「通信情報の利用」会合概要
通信情報の利用に関するテーマ別会合
第2回:令和6年7月26日(金) 10時00分~11時15分 オンライン開催
有識者会議構成員のうち、「通信情報の利用」に関する会合の参加者は次のとおり
なお、これら構成員とは別に河野国務大臣も参加している。
各回の参加者の違の傾向は分からず、恐らく各自の都合だと思われる。
📸報道について
会合の冒頭、事務局から次の内容の連絡があった。
これを見た最初の感想は「事務局大変だなー」だった。
その次に思ったのは「会議の情報はどこから漏れるのか?」だ。
この記事の元となっている有識者会議の議事要旨を含む資料は、概ね、会議から一か月程度で公表されているのだが、そういう資料が公開される前に、ニュースでは「関係者によると~という方針が決まった」的な報道がされているのだ。(私も見かけた)
一体どうやってマスコミは情報を得ているのか?有識者会議の構成員がマスコミにしゃべるのだろうか?うーん、でも、まだ決まっていない中途半端な情報をしゃべっても、結果的に変わってしまうかもしれない訳で、良識のある人なら、積極的に話すような内容では無いと思うのだが・・・。
そこで気づいたのだが、有識者会議の構成員の中に新聞社が2社も入っているじゃないか。真実は分からない。が、そもそも何故マスコミが有識者会議の構成員に含まれているのか?悪いが、新聞社の幹部が「サイバー安全保障」に詳しいとも思えない。
有識者会議の中で、例えば著しい人権侵害法案を作ろうとするような、非常にヤバい話し合いがされていたとしたら、マスコミがそれを途中で報道することで世論の反発がおき、有識者会議の議論の結果に影響を及ぼすことはあるだろう。が、マスコミは知りえた全ての事を報道するわけではない。どちらかというと自分たちに都合の悪いことは「報道しない自由」を使って報道することは無いのではないか。とすれば、彼らが有識者会議に参加することに、一体どんな意味があるのだろうか?
やはり、有識者会議の構成員については、選定理由を明確にすべきではないだろうか。
🏳️🌈各国の状況(外国が関わる通信からの情報収集に関する、独立機関による監督)
初めに、事務局から、外国が関わる通信からの情報収集に関して独立機関がどのように監督しているかについて説明があった(資料6-1)。
ちなみに、外国が関わる通信というのは、『外国から日本に入ってくる通信や、日本から外国に出ていく通信』の事だ。何故そのような区分けをしているかというと、『発信元及び送信先の両方ともが日本の通信ついては、今回の「通信情報の利用」の対象とはしない』方向で議論が進んでいるためである。
📑議論整理 素案
続いて今までの議論の整理素案を、資料6-2(概要)、資料6-3で示し、構成員による議論が行われた。
既に十分まとまっているが、さらにまとめると(端折ると?)
サイバー攻撃の実態を把握するには、平時より通信情報の分析が必要であり、日本でも一定の条件の下での通信情報の利用を検討することが必要
議論を深めることで国民の理解を得る
外国が関係する通信の分析が特に必要。日本を経由する外国から外国への通信を分析してよいかは1つの論点
通信の本質的内容は分析する必要があるとは言えない。(例えばメールであれば、本文は対象としない)
収集した情報は人間の目で見切れないので機械化が必要。
通信の秘密であっても、法律により公共の福祉のために合理的な制約を受ける
情報の収集について、諸外国を参考にしつつ明確で詳細なルールも重要
通信利用者の同意がある場合、通信情報の利用は憲法上許容される
電気通信事業者について、リスクや負担の回避について国の責任で取り組む。
👥有識者意見
有識者からの意見は次の通り(資料6-5)
トランジット通信(日本を経由する外国から外国への通信)について、他国と同等の分析ができるようにしておく必要がある
今回は海外に関係する通信に限定しているので、国内サーバを使用した攻撃の監視が手薄になる可能性がある。
独立機関の監督の仕組みの制度化が必要。諸外国の仕組みや法制度を参考にするときには、司法制度との関係などを考慮に入れておく必要がある。
同意による場合には、通信の秘密の侵害に関する同意の具体的中身が問題となる。今回について言うと、(事案ごとに)カスタマイズされた同意ではなく、法律等で何らかの裏付けを持たせた規格化された同意という形にすることが適切ではないか
情報処理の各プロセスの中で、処理・分析やフィルタリング等は、通信事業者ではなく、国の機関が実施するものと理解。
能動的サイバー防御に係る議論について、全て情報公開することは不可能。概ねこういうことをしていると適切に情報公開し、説明責任を全体として果たしていくことで、国民が理解をし、その結果もう少し踏み込んでやってもよいというような形で、全体として制度の見直しも含めたプロセスを回していく視点を入れるとよい。
国民の理解について、透明性で補えない部分を別の方法で補うため、例えば、諸外国で行われているような、信頼性のある独立機関による監督を担保することが、国民の理解を得ることになるのではないか
国民の理解を得るには、企業や国民に対してどのような便益があるのかが重要。情報を企業や国民に適切に提供し、最終的に企業や国民に便益がある活用、仕組みとすることが重要
🫠感想
議事要旨を読んでいて、法律に関わる部分の発言は、正直分かりにくいものが多かった。法律関係の前提知識がないからなのか、難しい…。そんな中でも、資料をしっかりまとめてくれる事務局には感謝です。
取得する情報の対象として、「日本国内のみの通信」は除外されているが、本質的情報を含まないのであれば、これも対象にして良いような気がする。なぜなら、検知を回避する目的で、テロ組織が国内のサーバーを利用するという事も考えられるから。
まぁ、法律的なところとか、国民の理解とか難しいところがあるのだろうとは思う。トランジット通信について、欧米と同等のサイバー能力を目指すのであれば積極的に収集する方向で議論をしてもらい、それを活かせるような体制を作ってほしいと思った。
「国民の理解」については、多くの人は「良く分からないなぁ」でスルーすると思われるが、一部では「通信の秘密の侵害だ!」という人たちも出てくる気がする。収集する内容は「本質的情報」では無いのだが、その辺がうまく伝わるかは心配。それらの声に対応するためにも、「独立機関による監督」もしっかりと設計して欲しい。
個人の権利も大事だが、我々が通信する際に外国を通過する情報については、多くの場合外国政府により収集されている状況で、日本がそれをできないというのは、サイバー安全保障上全く話にならない。国や国民は綺麗事だけでは守れない。
「通信情報の利用」について、方向性はだいぶ見えてきた。が、細部についてはまだまだ詰めていくところはあるので、引き続き追いかけていきたい。