2/7閣議決定した「能動的サイバー防御新法＊」を見てみる（＊サイバー対処能力強化法案及び同整備法案）

こんにちは！
寒い日がつづきますね。でも、少し陽差しが春めいてきたような気がします。

さて、昨日、能動的サイバー防御の新法が閣議決定したというニュースがありました。

能動的サイバー防御、27年までに開始　官民総力で対応 - 日本経済新聞

内閣官房のHPに法案とともに概要資料が公表されていましたので、今日はこれを読み解いてみたいと思います。
お急ぎの方は、ざっくり言うと をどうぞ。

（なお、この読み解きは、自分で資料を確認する目的のためであり、私の理解に誤りがある可能性もありますので、ご注意ください）

公式資料（内閣官房サイバー安全保障体制整備準備室）

閣議決定後、公開された法案等はこちら

サイバー安全保障に関する取組（能動的サイバー防御の実現に向けた検討など）｜内閣官房ホームページ

昨日公開の資料は、概要・説明と２つの法案の３つのパートで構成されています。この記事は概要・説明の主要スライドを中心に見ていきます。

サイバー対処能力強化法案及び同整備法案
（令和７年２月７日　閣議決定）

⚫︎法案の概要と説明資料　

• 概要資料（PDF／175KB）

• 説明資料（PDF／2,758KB）　→出典の明記がないものは全てコレです！

⚫︎重要電子計算機に対する不正な行為による被害の防止に関する法律案（サイバー対処能力強化法案） 

• 要綱（PDF／197KB）

• 法律案・理由（PDF／576KB）

• 参照条文（PDF／158KB）

⚫︎重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案（サイバー対処能力強化法整備法案）

• 要綱（PDF／79KB）

• 法律案・理由（PDF／194KB）

• 新旧対照表（PDF／311KB）

• 参照条文（PDF／319KB）

---

ざっくり言うと

公式の１枚まとめはこちら！

⚫︎法案の概要と説明資料　概要資料（PDF／175KB）

約2年前の「国家安全保障戦略」で決定した、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる目的で、以下５点の実現に向けた検討結果を法律化、組織体制等を整備するもの。

◼︎大別して５つの規律から構成
　①官民連携
　②通信情報の利用
　③分析情報・情報の提供等
　④アクセス・無害化措置
　⑤組織・体制整備等

◼︎うち上記の①②③は新法（サイバー対処能力強化法案）、④⑤は整備法（サイバー対処能力強化法整備法案）で整備

◼︎今後、整備法にそって、以下の他計２２法令の改正が予定されています。
・警察官職務執行法
　・自衛隊法
　・サイバーセキュリティ基本法
　・内閣法
　・他行政関係の法令　　詳細は５）参照

「通信の秘密」の関係で、電気通信事業法の改正も含まれるかが個人的に気になっていたのですが、記載はなさそうですね！

◼︎適用対象：大きな影響を受けるのは、基幹インフラ事業者　
→詳細は１）参照

◼︎施行期日：
交付から1年６ヶ月以内（今国会2025年6月に制定されるとすると、2027年12月末までのどこか）制定　→詳細は５）参照

なお、日経新聞独自の法案要旨も、今朝出ていました。

能動的サイバー防御の法案要旨　独立性の高い「監理委員会」　特命相や「サイバー官」設置 - 日本経済新聞

では、続いて、新法の背景となった2年前の「国家安全保障戦略」を振り返り、今回の法令の目的を確認します。

---

国家安全保障戦略での位置付け

今回の法改正の元となった国家安全保障戦略は、こちら

国家安全保障戦略について | 内閣官房ホームページ

　その策定の趣旨は、経済安全保障よりさらに国家防衛的な色合いが強い国家安全保障であり、背景には、緊迫する世界情勢（地政学的競争）があります。
　危機感が高まるきっかけのひとつは、ロシアのウクライナへの侵攻。その物理的な攻撃の前には、サイバー攻撃が行われていたそうで、書かれているように、平時と有事、非軍事と軍事の境目が曖昧になってくる中で、日本の国益を守る観点での対応方針が定められました。

「国家安全保障戦略」概要（PDF／1,065KB）

国家安全保障の基本的な原則として、
これまでの平和国家としての基本方針や、同盟国はじめとした協力を重視しつつも、我が国自身の安全保障上の能力と役割を強化することを目的とすると定められています。

その上で、今回の新法との関連では、
複数の課題がある中で、サイバー空間におけるリスクについて、

「国家安全保障戦略」概要

下図、（４）①サイバー安全保障　として、能動的サイバー防御および、それらの政策を一元的に総合調整する組織、法制度の整備、運用の強化の方針を決定。2年の検討を経て、今回の新法案に至ったものです。

「国家安全保障戦略」概要

　なお、2年前の国家安全保障戦略 本文におけるサイバー安全保障分野の記述は以下。
　今回の新法＋法改正は、この（ア）、（イ）、（ウ）、とこれを実現する政府の体制整備等を行うためのものです。

⑷ 我が国を全方位でシームレスに守るための取組の強化
　軍事と非軍事、有事と平時の境目が曖昧になり、ハイブリッド戦が展開され、グレーゾーン事態が恒常的に生起している現在の安全保障環境において、サイバー空間・海洋・宇宙空間、技術、情報、国内外の国民の安全確保等の多岐にわたる分野において、政府横断的な政策を進め、我が国の国益を隙なく守る。
ア サイバー安全保障分野での対応能力の向上
　サイバー空間の安全かつ安定した利用、特に国や重要インフラ等の安全等を確保するために、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる。
　具体的には、まずは、最新のサイバー脅威に常に対応できるようにするため、政府機関のシステムを常時評価し、政府機関等の脅威対策やシステムの脆弱性等を随時是正するための仕組みを構築する。その一環として、サイバーセキュリティに関する世界最先端の概念・技術等を常に積極的に活用する。そのことにより、外交・防衛・情報の分野を始めとする政府機関等のシステムの導入から廃棄までのライフサイクルを通じた防御の強化、政府内外の人材の育成・活用の促進等を引き続き図る。
　その上で、武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除し、また、このようなサイバー攻撃が発生した場合の被害の拡大を防止するために能動的サイバー防御を導入する。

そのために、サイバー安全保障分野における情報収集・分析能力を強化するとともに、能動的サイバー防御の実施のための体制を整備することとし、以下の（ア）から（ウ）までを含む必要な措置の実現に向け検討を進める。
(ｱ) 重要インフラ分野を含め、民間事業者等がサイバー攻撃を受けた場合等の政府への情報共有や、政府から民間事業者等への対処調整、支援等の取組を強化するなどの取組を進める。
(ｲ) 国内の通信事業者が役務提供する通信に係る情報を活用し、攻撃者による悪用が疑われるサーバ等を検知するために、所要の取組を進める。
(ｳ) 国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃について、可能な限り未然に攻撃者のサーバ等への侵入・無害化ができるよう、政府に対し必要な権限が付与されるようにする。

　能動的サイバー防御を含むこれらの取組を実現・促進するために、内閣サイバーセキュリティセンター（ＮＩＳＣ）を発展的に改組し、サイバー安全保障分野の政策を一元的に総合調整する新たな組織を設置する。
　そして、これらのサイバー安全保障分野における新たな取組の実現のために法制度の整備、運用の強化を図る。これらの取組は総合的な防衛体制の強化に資するものとなる。
　また、経済安全保障、安全保障関連の技術力の向上等、サイバー安全保障の強化に資する他の政策との連携を強化する。
　さらに、同盟国・同志国等と連携した形での情報収集・分析の強化、攻撃者の特定とその公表、国際的な枠組み・ルールの形成等のために引き続き取り組む。

「国家安全保障戦略」（令和４年１２月１６日　国家安全保障会議・閣議決定）（PDF／444KB）

また、２つ目の背景は、サイバー攻撃の激化。
関連攻撃の通信の99％以上が海外からの発信とのこと！

⚫︎法案の概要と説明資料　 説明資料（PDF／2,758KB）

こうした環境変化に対し、欧米主要国の取り組みを先行しており、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させることが目標とされています。

⚫︎法案の概要と説明資料　 説明資料（PDF／2,758KB）

では、次に法案の全体概要・構造を確認した上で、
５つの各具体パートを見ていきます。

---

法案の全体概要

法案の全体イメージ

国家安全保障戦略の、アイウをふまえ、守る対象（例）が記載されています。

法案の説明資料

法案の全体像

⚫︎法案の概要と説明資料　 説明資料

趣旨は、前述国家安全保障戦略に沿ったかたちで、５つの規律から構成
　①官民連携
　②通信情報の利用
　③分析情報・情報の提供等
　④アクセス・無害化措置
　⑤組織・体制整備等

法案の構造としては、以下の複数の法令を統合的に組み合わせてサイバー安全保障分野での対応能力を向上させるとの考え方です。
⚫︎今回新たにつくる２法（新法＋整備法）
・新法：サイバー対処能力強化法案 →具体的な規律が書かれている
・整備法：サイバー対処能力強化法整備法案　→２２の既存法案のココを修正するという案が書かれている

それでは、上図にそって５つのパートごとに各規律の概要をみていきましょう！

---

各規律の概要を見てみる

１）官民連携（新法）

まず、最初は官民連携のパートです。

⚫︎法案の概要と説明資料　 説明資料に加工

概要として、以下があげられています。
◼︎対象：基幹インフラ事業者、電子計算機等のベンダー等
◼︎基幹インフラ事業者の義務：特定の機器導入時の届出、インシデント報告
◼︎脆弱性対応の強化：ベンダー脆弱性の公表、周知、措置要請
◼︎官民協議会の設置

⚫︎法案の概要と説明資料　 説明資料

⚫︎基幹インフラ事業者の範囲
経済安全保障推進法と同じ「特定社会基盤事業者」で、現時点で15事業213者。
注釈でサイバーセキュリティ基本法の重要インフラとは別概念、となっています。（たしかに名前が似ていて混同しそうですね…）

⚫︎法案の概要と説明資料　 説明資料

基幹インフラ役務の安定的な提供の確保に関する制度 - 内閣府

各規律の詳細は以下。

⚫︎法案の概要と説明資料　 説明資料

（サイバー攻撃時のインシデント報告は、個人情報保護委員会への報告と二重にしなくてすむようになるとの報道もありましたが、現時点でそれに該当する規律は見当たりませんでした）

脆弱性対応の強化では、機器ベンダーなども影響を受けそうです。

⚫︎法案の概要と説明資料　 説明資料

参考資料として、サイバー攻撃の手法と海底ケーブルの説明がありました。

⚫︎法案の概要と説明資料　 説明資料

⚫︎法案の概要と説明資料　 説明資料

次は、民間の基幹インフラ事業者の通信情報の利用です。

---

２）通信情報の利用（新法）

⚫︎法案の概要と説明資料　 説明資料　に加工

・事前協定の上で、
・同意によらず、国は通信情報を取得
・分析に必要な情報を機械的に選別できる、としています。

⚫︎法案の概要と説明資料　 説明資料

最も、議論があった取得・調査する通信情報の範囲については、
・通信類型による範囲（外外通信、外内通信、内外通信）
・調査情報の範囲（コミュニケーションの本質的内容でないヘッダ的な情報）
の２軸で絞り込む方向となったようです。

⚫︎法案の概要と説明資料　 説明資料

⚫︎（同意によらない）通信情報の取得

通信類型による範囲で、絞り込み、国内で完結する内内通信以外を対象とする予定とのこと。
・外外通信：対象　（下図赤線）
・外内通信：対象　（下図黄線）
・内外通信：対象   （下図青線）
・内内通信：対象外（下図緑線）

⚫︎法案の概要と説明資料　 説明資料

⚫︎調査すべき情報の選別

通信情報のうち、どの部分の情報を想定しているかについては、対象とすべき通信のうち機械的情報（☆）であって調査すべきサイバー攻撃に関係があると認めるに⾜りる状況があるものとしており、

内閣総理⼤⾂は、取得した通信情報について、⼈による知得を伴わない⾃動的な⽅法により、対象とすべき通信のうち機械的情報（☆）であって調査すべきサイバー攻撃に関係があると認めるに⾜りる状況があるものを、承認を受ける際に定めた基準に基づき選別した後、それ以外のものを直ちに消去する措置を講ずることとする。（「⾃動選別」）（第22条、第35条）
☆ アイ・ピー・アドレス、指令情報等の意思疎通の本質的な内容ではない情報（第２条第８項）

⚫︎法案の概要と説明資料　 説明資料

データの構造で言うと、いわゆるヘッダ部が中心、一部ペイロードのうち、コミュニケーションの本質的な内容に当たらないもの、というイメージ。

インターネットを流れるデータの構造

⚫︎法案の概要と説明資料　 説明資料

情報の具体的な内容としては、下図のような情報項目が例として挙げられています。

コミュニケーションの本質的な内容ではない情報の例

⚫︎法案の概要と説明資料　 説明資料

（メアドのところの注釈が気になりますが一旦ここではSkipしますw）

さらに、一般的な電子メールの通信情報の内容を分解し、
「コミュニケーションの本質的内容」の具体イメージを示しています。

電子メールの通信情報の内容例

⚫︎法案の概要と説明資料　 説明資料

その他規律の詳細は以下。

⚫︎法案の概要と説明資料　 説明資料

自動選別はどのように？など、わからないことがありますね

⚫︎法案の概要と説明資料　 説明資料

次に、官→民、民→官の情報（２の通信以外）の提供にかかる規律です。

---

３）分析情報・情報の提供等（新法）

２）の基幹インフラ事業者から取得した）情報を整理・分析し、また、脆弱性情報などを提供することができるとする規律です。

⚫︎法案の概要と説明資料　 説明資料に加工

概要として、
・複数機関からのさまざまな情報を収集し、
・情報の整理・分析を行い、
・提供にあたっては、３種類に分けて検討されているようです。
- 統合整理分析情報　（通信情報や秘密を含みうる）
-提供用統合整理分析情報　（通信情報は含まないが秘密を含みうる）
-周知用統合整理分析情報　（通信情報や秘密を含まず）

⚫︎法案の概要と説明資料　 説明資料

また、その過程でこれらの情報の不正な利用・漏えいがあった場合、罰則規定が設けられています。

⚫︎法案の概要と説明資料　 説明資料

---

４）アクセス・無害化措置（整備法）

４番目は、１）〜３）の官民連携で得た情報を利用し、自衛隊や警察が能動的に防御することができるとする規定です。

こちらは、整備法に規定されており、

⚫︎法案の概要と説明資料　 説明資料に加工

今後、以下が改正される予定です。
📙警察官職務執行法
📙自衛隊法

また、警察・自衛隊による措置を行う際には、独立機関（内閣官房に設置される新組織）への申請・承認が必要な建て付けとなっています。

⚫︎法案の概要と説明資料　 説明資料

アクセス・無害化の指揮命令系統としては、下図のように、
国家安全保障会議（NSC）を意思決定機関とし、新設されるサイバー安全保障担当大臣の指導のもと、内閣官房に置かれる新組織が国家安全保障局と連携・強力な総合調整を行い、また、措置の承認は独立機関「サイバー通信情報監理委員会」が行った上で、警察・自衛隊が無害化措置の執行を行うという体制が想定されています。

政府内各機関の連携イメージ

⚫︎法案の概要と説明資料　 説明資料

警察官職執行法の改正では、
「サイバー危害防止措置執行官」が置かれることになっています。

⚫︎法案の概要と説明資料　 説明資料

自衛隊法の改正では、
「重要電子計算機」がサイバー攻撃を受け、国家や国民の安全を著しく損なう事態で、自衛隊の出動が必要不可欠で、国家公安委員会から要請または同意があった場合、防護措置（能動的サイバー防御）を取ることができるとされています。

⚫︎法案の概要と説明資料　 説明資料

通信防護措置（アクセス・無害化のステップ）

なお、通信防護措置のステップとしては、３段階のイメージが示されています。

⚫︎法案の概要と説明資料　 説明資料

また、アクセスにあたっては、非正規の侵入手段をとる可能性が示唆されており、仮に国外にあるサーバーに対して行う場合、主権侵害に該当するとしても、「緊急事態」等の国際法上許容される範囲内で実施、としています。

---

５）組織・体制整備等（整備法）

５番目は、これらの司令塔組織、取組を推進するための体制等。
整備法に定められています。

⚫︎法案の概要と説明資料　 説明資料

政府内推進体制の整備

・内閣官房のサイバーセキュリティ戦略本部を改組、機能強化
・内閣サイバー官の設置
・内閣府特命担当大臣の設置

⚫︎法案の概要と説明資料　 説明資料

また、情報行政関係の外郭団体であるIPA、NICTなどの事務業務の追加も予定されています。

⚫︎法案の概要と説明資料　 説明資料

その他、内閣府内の所掌事務の追加、特命大臣やサイバー官の新設に加え、

⚫︎法案の概要と説明資料　 説明資料

その他所要の改正の「等」が気になるところ、、

⚫︎法案の概要と説明資料　 説明資料

整備法の参照条文を確認したところ、変更が必要とされる法令は以下で、合計22本ととても多い状況です。また、この中で、民間事業者も参照する法令を太字にしました。

・国家公務員法
・警察官職務執行法
・特別職の職員の給与に関する法律
・自衛隊法
・情報処理の促進に関する法律
・国立研究開発法人情報通信研究機構法
・行政機関が行う政策の評価に関する法律
・情報通信技術を活用した行政の推進等に関する法律
・民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律
・産業競争力強化法
・サイバーセキュリティ基本法
・情報通信技術を利用する方法による国の歳入等の納付に関する法律
・内閣法
・内閣府設置法
・防衛省が調達する装備品等の開発及び生産のための基盤の強化に関する法律
・日米相互防衛援助協定等に伴う秘密保護法
・特定秘密の保護に関する法律
・重要経済安保情報の保護及び活用に関する法律
・海上保安庁法
・不正アクセス行為の禁止等に関する法律
・こども家庭庁設置法
・デジタル庁設置法

サイバー対処能力強化法整備法案　参照条文から法令名抜粋

不正アクセス禁止法、サイバーセキュリティ基本法、加えて、昨年度施行された経済安保法、今年度施行のセキュリティクリアランス法などとの関係があることに留意が必要そうです。（特に（経済安保法の）基幹インフラ事業者に指定されている事業者は、社内の対応プロセスを建てつける際に、相互の関連に気をつけて準備をする必要がありそうですね。）

---

５）施行期日

施行期日は、新法・整備法ともに公布の日から1年６ヶ月以内となっており、仮に今国会会期の2025/6に公布された場合、施行期日は2027/12となります。

⚫︎法案の概要と説明資料　 説明資料

なお、以下の体制整備について、施行に先行した施行期日となっています。
・公布から６ヶ月以内：サイバーセキュリティ戦略本部の改組、内閣サイバー官の設置
・公布から1年以内：サイバー通信情報監理委員会の設置
また、
・公布から２年６ヶ月以内：通信情報の利用
となっており、通信情報を提供する基幹インフラ事業者の準備期間を考慮・配慮した？と思わせる施行期日となっています。

---

気になるポイント〜あとがき

新法２つ＋改正法令が22＝24法令の改正！！
日本国として大掛かりな改正となることが数からも実感されます。

この分野は専門ではないのですが、データの取り扱いを中心に個人的に気になったポイントは４点。

①取得・利用する通信情報の厳格な運用
　国内だけの通信は除外され、ヘッダ情報中心とはいえ、通信の秘密。
実務的にどのように通信情報とその内容をフィルタするのか、その際の安全管理措置は大丈夫なのか、法案からは読み取れません。
　実際に分析対象とする情報はごく一部でも、その過程の「処理」の安全確保・プライバシーの確保については、ぜひ、透明性をもって、説明責任を果たしてもらいたいと思います。

②電気通信事業法 通信の秘密との関係明確化
新しく制定される２つの法案において、通信の秘密が登場するのは、新法の１箇所。基幹インフラ事業者と政府の協定締結で、通信情報を提供することについて、通信の秘密の確保に支障がない方法に限るとある部分です。

（特別社会基盤事業者との協定の締結）
第11条
（略）
３ 第一項の協定において、同項第一号に規定する提供の方法として、当該協定を締結する特別社会基盤事業者に事業電気通信役務を提供する電気通信事業者が管理する当該特別社会基盤事業者を通信の当事者とする媒介中通信情報であって、当該特別社会基盤事業者が内閣総理大臣に提供することに同意した範囲のものが複製され、内閣総理大臣の設置する設備に送信されるようにする方法（電気通信事業法第四条第一項に規定する通信の秘密の確保に支障がない方法に限る。）を定めようとする場合には、当該協定は、内閣総理大臣、当該特別社会基盤事業者及び当該電気通信事業者により締結しなければならない。

今回のスキームが、通信の秘密の確保に支障がない（この提供が違法性阻却事由に該当する）ことのロジックが明確ではない印象です。この点、考え方について、追加の説明が必要と感じます。

（秘密の保護）
第四条　電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。
２　電気通信事業に従事する者は、在職中電気通信事業者の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。

電気通信事業法

③提供する通信情報の個人データの提供元基準・容易照合性
　基幹インフラ事業者が政府に提供する予定の通信情報は、個人情報保護法に忠実に考えると、提供元基準で、個人データベースになんらか紐づく可能性がゼロではないように思います。（日本国内の通信は除外のため、各事業者の「顧客」自身の通信ではない確率は高いと思われるものの、ゼロかというとそう言い切れない？）
　２）通信情報の利用の箇所でメアドが個人識別できないように加工…との記載がありましたが、単体項目だけで個人情報性を判断しているようにも見えます。仮に、提供元基準で個人データ性がある場合、事業者が違法性を問われないようQ&A等で明確化されることが望ましく、また、提供元基準での個人データ性が排除できる根拠がある場合は、その旨追記が必要ではないかと感じました。

④省庁間および官民連携、絵に描いた餅にならぬよう
　この法案のスキームは、対応組織が複雑に入り組み、民間連携も多数あり、有事の迅速な対応には、総合的な調整・連携がとても難しそうです。
　国家の一大事の未然防止、被害最小化のためにできた法律、基幹インフラ事業者にも影響が大きいものです。
いざという時に動けるように法令は作ったものの、スムーズに分析・無害化の連携がうまくできなかった。。。ということがないよう、進めていただきたいと思います。

今後も、法案の成立と、気になるポイントについてウォッチしていきたいと思います。

それでは、また！

---

関連note
今回の能動的サイバー防御は、1月に書いた2025データトピックスの❺に該当します！