先の国会で、能動的サイバー防御(ACD)の法案が可決成立した。昨年の通常国会で成立したセキュリティ・クリアランス(SC)の関連法はすでに施行されていて、これでサイバーインシデントに関するインテリジェンスを取得し護る両面の法整備は成った(*1)。
これらの法制度について、日経紙が国内1万名を対象にアンケートをとった結果を発表した。
・ACDの必要性についての問いで、実施すべきが69%
・SC制度の必要性については、74%が肯定的
だとある。対象は有権者とだけあったので、日経紙の読者かどうかは分からないが、サイバー脅威について理解のある人が多かった結果かもしれない。私としては、とりあえず安堵した。
先日、SC制度についてラジオ放送で説明して欲しいと言われて対応した(*2)がメディアもこれらの法規・制度に関心を持ってくれているのはありがたい。
また、専門家の間でACDの法整備の背景や、これから議論していくことなどを整理する会合があった。ポイントは、
・昨年、民間有識者を含めACDについて議論する会合を政府が主催した
・そこには憲法学者も参加したが「第21条通信の秘密」を墨守する議論はなかった
・まだ決まっていないことが多い、例えば以下の項目
- 官民で情報共有・連携するための協議会
- 通信情報利用に関し事前審査や継続検査を行う独立機関
- 警察で対処する範囲と自衛隊が関与する範囲の線引き(*3)
- 特別基幹/基幹インフラ事業者(*4)の選定
だった。ACD法は今後施行令・施行規則・通達等によって詳細が定められていく。施行は1.5年後までと決まっているが、特に独立機関や協議会の設置には十分な時間があるとは言いづらい。独立機関は個人情報保護委員会のような形態が予想されるが、事務局組織や委員の選定、内規の決定やその広報などやるべきことは山積している。
それでも、インテリジェンスの収集・活用・保護について、日本で一通りの法整備が出来たことを評価したい。
*1:1年前の国会ではSCは成ったが、ACDは見送られていた。
*2:新しいメディア「ラジオ」を利用して - 梶浦敏範【公式】ブログ
*3:例えば、危険なサーバー等を無害化する行動を誰が行うかの意味
*4:ITシステム構成やインシデントを届け出る義務がある
