新・サイバー防御

PC

【徹底解説】サイバー対処能力強化法とは?あなたの暮らしと安全を守る新しい法律の全貌

近年、サイバー攻撃は巧妙化・深刻化の一途をたどり、その脅威は質・量ともに増大しています。特に、2024年には警察庁が観測したサイバー攻撃関連通信の99%以上が海外発信であり、日本が国際的なインターネットインフラの「ハブ」となっている現状も相まって、国家および国民の安全、そして国民生活や経済活動の基盤を守るための、より強固なサイバーセキュリティ対策が喫緊の課題となっています。

このような背景から、2024年12月16日閣議決定の「国家安全保障戦略」に基づき、欧米主要国と同等以上のサイバー安全保障能力向上を目指し、「サイバー対処能力強化法」および「同整備法」が2025年5月に成立、公布されました。これらの法律は、日本のサイバー安全保障体制を抜本的に強化し、能動的なサイバー防御を実現することを目的としています。

新・サイバー防御、はじまる

本法律の目的と基本原則

「強化法」の目的は、インターネットその他の高度情報通信ネットワークの整備、情報通信技術の活用、国際情勢の複雑化に伴い、サイバーセキュリティが害された場合に国家及び国民の安全を害し、または国民生活・経済活動に多大な影響を及ぼすおそれのある「重要電子計算機」のサイバーセキュリティを確保することです。

この法律の適用にあたっては、「通信の秘密」その他、日本国憲法が保障する国民の権利と自由を不当に制限しないよう、目的達成に必要な最小限度で、かつ厳格に権限を行使することが義務付けられています。

「重要電子計算機」と「特定不正行為」の定義

本法律における重要な用語について解説します。

  • 「サイバーセキュリティ」:サイバーセキュリティ基本法(平成26年法律第104号)第2条に規定されるサイバーセキュリティを指します。
  • 「重要電子計算機」
    1. 国等の機関(内閣、宮内庁、内閣府、国家行政組織法に基づく機関、会計検査院、地方公共団体、独立行政法人、地方独立行政法人、法律で直接設立された法人等)が使用する電子計算機のうち、そのサイバーセキュリティが害された場合に重要情報の管理や情報システムの運用に重大な支障が生じるおそれがあるもの
    2. 「特定社会基盤事業者」が使用する電子計算機のうち、そのサイバーセキュリティが害された場合に特定重要設備の機能が停止または低下するおそれがあるもの
    3. 重要情報を保有する事業者(上記1のハ~ホに該当する法人を除く)が使用する電子計算機のうち、そのサイバーセキュリティが害された場合に重要情報の管理に重大な支障が生じるおそれがあるもの
    ※ 「特定社会基盤事業者」は、国民生活や経済活動の基盤となる役務の安定的な提供を確保するため、経済安全保障推進法に基づき指定される事業者で、15事業分野、計249者が対象です。
  • 「特定不正行為」:刑法第168条の2第2項の罪に当たる行為、不正アクセス行為、電子計算機を用いた業務に係る刑法第2編第35章の罪に当たる行為(サイバーセキュリティを害することで行われるもの)を指します。
  • 「特定侵害事象」:重要電子計算機に対する特定不正行為により、当該重要電子計算機のサイバーセキュリティが害されることをいいます。

法律の主要な柱

本法律は、以下の3つの主要な柱と、それを支える組織・体制整備から構成されています。

  1. 官民連携の強化
  2. 通信情報の利用
  3. アクセス・無害化措置
  4. 組織・体制整備

1. 官民連携の強化

サイバー攻撃の脅威が増大し、サプライチェーン全体のセキュリティ確保が不可欠となる中で、政府のみ、民間のみでのサイバーセキュリティ確保は極めて困難です。本法律は、政府と民間事業者が連携してサイバーセキュリティを確保するための枠組みを強化します。

  • 特定重要電子計算機の届出とインシデント報告
    • 特定社会基盤事業者は、特定重要電子計算機を導入した際、その製品名や製造者名を事業所管大臣に届け出る義務があります。大臣はこれを内閣総理大臣に通知します。
    • 特定重要電子計算機に係る特定侵害事象やその原因となり得る事象を認知した場合、事業所管大臣と内閣総理大臣に報告する義務があります。
  • 情報共有・対策のための協議会
    • 内閣総理大臣は、関係行政機関の長に加え、重要電子計算機を使用する者や電子計算機等供給者(ベンダー等)の同意を得て、「情報共有及び対策に関する協議会」を設置します。
    • この協議会を通じて、選別後の通信情報を含まない「被害防止情報」が共有され、サイバー攻撃の対策に関する協議が行われます。構成員には守秘義務が課せられます。
  • 脆弱性対応の強化
    • 内閣総理大臣または電子計算機等供給事業所管大臣は、電子計算機やプログラムの脆弱性を認知した場合、供給者(生産者、輸入者、販売者、提供者)に情報提供できます。
    • 特定重要電子計算機に関連する脆弱性の場合、供給事業所管大臣は供給者に対し、被害防止に必要な措置を講じるよう要請できます。
    • 供給者は、利用者のサイバーセキュリティ確保のための設計・開発、情報の継続的な提供に努めることが責務として規定されています。
  • 情報公開・周知:内閣総理大臣は、サイバー攻撃による被害防止に必要な情報を公表・周知することができます。

2. 通信情報の利用

サイバー攻撃の実態把握と未然防止のため、通信情報を分析する新たな制度が導入されます。この制度設計では「通信の秘密」への配慮が重視されています。

  • 協定(同意)に基づく通信情報の取得
    • 内閣総理大臣は、特定社会基盤事業者やその他の電気通信サービス利用者と協定を結び、その同意に基づいて通信情報の提供を受けることができます。
    • 取得した情報のうち、主に「外内通信情報」(国外から国内への通信情報)を用いて分析を行い、その結果を事業者等に提供します。
  • 同意によらない通信情報の取得(能動的防御の根幹)
    • 内閣総理大臣は、サイバー攻撃の阻止・分析のために必要と認める場合に、サイバー通信情報監理委員会の承認を得て、以下の通信情報の取得措置を講じることができます。
      • 外外通信目的送信措置:国内を経由する国外から国外への通信(外外通信)のうち、国外通信特定不正行為に関係する情報の取得。取得対象は、国外関係電気通信設備の伝送容量の30%を上限とします。措置期間は原則6ヶ月です(延長可能)。
      • 特定外内通信目的送信措置:国外から国内への通信(外内通信)のうち、国外通信特定不正行為に関係する情報の取得。措置期間は原則3ヶ月です(延長可能)。
      • 特定内外通信目的送信措置:国内から国外への通信(内外通信)のうち、国外通信特定不正行為に関係する情報の取得。措置期間は原則3ヶ月です(延長可能)。
    • これらの措置は、主にボットネットやC2サーバなど、攻撃インフラの実態を把握するために実施されます。
  • 「通信情報」と「機械的情報」の定義
    • 「通信情報」とは、電気通信事業者が介在する通信により送受信される情報、通信の当事者が管理する情報(当事者管理通信情報)、これらを複製した情報(取得通信情報)を指します。
    • 「機械的情報」とは、通信情報のうち、IPアドレス、通信日時、指令情報、その他電子計算機が自動生成した情報など、通信の当事者が伝えようとする意思の本質的な内容を理解できない情報を指します。
    • 電子メールの本文・件名、添付ファイルの内容、IP電話の通話内容、Webサイトの文章・画像などは「コミュニケーションの本質的な内容」に当たる情報として、原則分析対象にはなりません。
  • 自動選別と利用・提供の制限
    • 取得した通信情報は、まず「自動選別」という、人による知得を伴わない自動的な方法で、調査対象のサイバー攻撃に関係すると認められる「機械的情報」のみを選別し記録します。
    • 選別されなかった情報は直ちに消去されます。
    • 選別前の通信情報は、自動選別以外に利用・提供はできません。選別後の通信情報(選別後通信情報)も、特定被害防止目的以外での利用・提供は原則禁止されます。ただし、関係行政機関への提供や外国政府等への提供など、特定の例外が認められています。
  • 非識別化措置と再識別化措置
    • 選別後通信情報に個人の識別が可能な情報(メールアドレスなど)が含まれる場合、「非識別化措置」により個人を識別できないように加工しなければなりません。
    • 特定被害防止目的達成のために特に必要な場合に限り、「再識別化措置」により復元することが可能ですが、必要がなくなれば直ちに非識別化措置を講じなければなりません。
  • 保存期間:選別後通信情報の保存期間は、原則として自動選別終了日の属する年度の翌年度の初日から起算して2年を超えない範囲内とされ、特定被害防止目的のために必要な場合、または特定の提供の場合に限り、2年を超えない範囲で延長が可能です。保存の必要がなくなった場合は速やかに消去されます。

3. アクセス・無害化措置

サイバー攻撃による重大な危害を未然に防止するため、警察と自衛隊が攻撃者側のサーバー等に対して、直接的な措置を講じる権限が付与されます。

  • 実施主体と判断基準
    • 警察:警察庁長官が指名した警察官(サイバー危害防止措置執行官)が、サイバー攻撃またはその疑いがある通信を認め、そのまま放置すれば人の生命、身体、財産に重大な危害が発生するおそれがあるため緊急の必要がある場合に実施します。
    • 防衛省・自衛隊:内閣総理大臣が、特に高度に組織的かつ計画的な攻撃(外国政府を背景とするもの)が重要電子計算機に対して行われ、かつ自衛隊が対処する特別の必要(特別な技術・情報が不可欠な場合など)がある場合に、通信防護措置を命じ、自衛隊の部隊等が実施します。自衛隊や在日米軍が使用する電子計算機への警護目的でも同様の措置が可能です。
  • 措置の内容:攻撃関係サーバー等の管理者への命令、または自ら攻撃のためのプログラムの停止・削除などの措置を実施します。
  • 厳格な手続き
    • 措置を実施する際は、原則としてサイバー通信情報監理委員会の事前承認が必要です。ただし、緊急性がある場合は事後通知で対応可能です。
    • 国外のサーバー等への措置については、事前に外務大臣との協議が義務付けられます。これは、措置が国際法上許容される範囲内で行われることを確認するためです。国際法上の「緊急状態(Necessity)」の法理などを援用し、違法性が阻却される範囲内での実施が想定されます。

4. 組織・体制整備

これらの新しい取り組みを円滑に進めるため、政府の司令塔機能が強化されます。

  • サイバーセキュリティ戦略本部の改組・機能強化
    • 本部長を内閣総理大臣、本部員を全ての国務大臣とする組織に改組されます。
    • 重要社会基盤事業者等のサイバーセキュリティ確保に関する国の施策基準の作成や、国の行政機関等のサイバーセキュリティ確保状況の評価などが所掌事務に追加されます。
  • 内閣サイバー官の新設:内閣官房に、サイバーセキュリティに関する事務を掌理する「内閣サイバー官」が新設されます。この内閣サイバー官は、国家安全保障局次長も兼務し、強力な総合調整機能を担います。
  • 内閣府の所掌事務追加とサイバー通信情報監理委員会の設置
    • 内閣府の所掌事務に、強化法に関する事務(官民連携・通信情報利用部分)が追加されます。
    • 内閣府に、本法律に基づく通信情報の利用に対する審査・検査を行う「サイバー通信情報監理委員会」が設置されます。
      • 委員会は、委員長および4人の委員(うち2人は非常勤可)で構成され、法律またはサイバーセキュリティ・情報通信技術に関する専門的知識・経験・識見を有する者が任命されます。
      • 委員の任期は5年です。
      • 委員会は、毎年、その業務状況を国会に報告し、概要を公表する義務があります。
      • 委員長、委員、専門委員、事務局の職員には守秘義務があります。
  • 国立研究開発法人(NICT/IPA)の事務追加
    • 国立研究開発法人情報通信研究機構(NICT)には、国等の情報システムに対する不正活動の監視および分析事務が追加されます。
    • 独立行政法人情報処理推進機構(IPA)には、情報の整理分析、被害防止情報の周知、重要社会基盤事業者のサイバーセキュリティ確保状況調査などの事務が追加されます。

罰則規定

本法律には、情報の不正な取扱いに対する罰則が定められており、厳格な運用が求められます。

主な罰則は以下の通りです。

  • 通信情報保有機関または委員会における取得通信情報のデータベース不正提供:4年以下の拘禁刑または200万円以下の罰金
  • 欺罔、暴行、脅迫、窃取、損壊、侵入、傍受、不正アクセス行為などによる取得通信情報の取得:3年以下の拘禁刑または150万円以下の罰金
  • 通信情報取扱事務に関わる職員の秘密漏洩・盗用(一部):3年以下の拘禁刑または100万円以下の罰金
  • 報告等情報の取扱事務や協議会の事務に関わる者の秘密漏洩・盗用:2年以下の拘禁刑または100万円以下の罰金
  • 特定重要電子計算機の届出・報告等に関する命令違反:200万円以下の罰金
  • 報告または資料提出をせず、または虚偽の報告・資料提出:30万円以下の罰金

施行期日と検討規定

本法律は段階的に施行されます。

政府は、通信情報の利用に係る規定(附則第1条第4号に掲げる規定)の施行後3年を目途に、特別社会基盤事業者による特定侵害事象等の報告、通信情報の取得・取扱い等の状況について検討を加え、必要に応じて所要の措置を講じることとされています。

まとめ

「サイバー対処能力強化法」および「同整備法」は、日本が直面するサイバー攻撃の脅威に対し、国家として能動的に対応するための重要な法整備です。政府と民間が連携し、通信情報を適切に活用しながら、サイバー空間の安全を確保するための仕組みが構築されます。これにより、国民の生命・身体・財産、そして経済活動の基盤がサイバー攻撃から守られることが期待されます。

【規格・数字まとめ】

項目詳細関連条文・資料
法律名重要電子計算機に対する不正な行為による被害の防止に関する法律(強化法)
重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律(整備法)
公布日令和7年5月23日
サイバー攻撃関連通信の海外発信割合2024年中に警察庁が観測したサイバー攻撃関連通信の99.4%以上
NICT観測サイバー攻撃関連通信数(2024年)6862億パケット
IPアドレスあたりの攻撃試行頻度13秒1回
特定社会基盤事業の対象事業者数15事業分野、計249者
サイバー通信情報監理委員会の構成委員長1名、委員4名(うち2名は非常勤可)
サイバー通信情報監理委員の任期5年
外外通信目的送信措置の取得上限国外関係電気通信設備の伝送容量の30%
外外通信目的送信措置の期間原則6ヶ月(延長可)
特定外内・内外通信目的送信措置の期間原則3ヶ月(延長可)
選別後通信情報の保存期間原則2年(最長2年延長可)
罰則:取得通信情報データベース不正提供4年以下の拘禁刑または200万円以下の罰金
罰則:不正な方法による取得通信情報取得3年以下の拘禁刑または150万円以下の罰金
罰則:秘密漏洩・盗用(特定役職者)3年以下の拘禁刑または100万円以下の罰金
罰則:秘密漏洩・盗用(その他)2年以下の拘禁刑または100万円以下の罰金
罰則:命令違反200万円以下の罰金
罰則:報告・資料提出義務違反30万円以下の罰金
通信情報の利用に係る規定の施行時期公布の日から起算して2年6ヶ月を超えない範囲内で政令で定める日
全体的な施行時期公布の日から起算して1年6ヶ月を超えない範囲内で政令で定める日(ただし、一部早期施行あり)
検討規定による見直し時期通信情報の利用に係る規定の施行後3年を目途
国会審議時間(総計)39時間20分

Follow me!

コメント

PAGE TOP
タイトルとURLをコピーしました