2021-05-27 第204回国会 参議院 経済産業委員会 第6号
具体的に申し上げますと、割賦販売法に基づきます、セキュリティー対策の指針となりますクレジットカード・セキュリティガイドラインを毎年改訂しておりまして、今年三月の改訂では、二〇二〇年九月のキャッシュレス決済による銀行口座の不正引き落とし事案を踏まえまして、クレジットカードとQRコード決済とのひも付け時の本人確認強化を盛り込んだところでございます。
具体的に申し上げますと、割賦販売法に基づきます、セキュリティー対策の指針となりますクレジットカード・セキュリティガイドラインを毎年改訂しておりまして、今年三月の改訂では、二〇二〇年九月のキャッシュレス決済による銀行口座の不正引き落とし事案を踏まえまして、クレジットカードとQRコード決済とのひも付け時の本人確認強化を盛り込んだところでございます。
経済産業省におきましては、サイバー・フィジカル・セキュリティ対策フレームワークに基づきまして、電力、ビル、自動車などの分野別のセキュリティーガイドラインの整備を進めておりまして、その中で企業の壁を越えた対策についても進めているところでございます。
○国務大臣(梶山弘志君) 今委員がおっしゃったように、前、当時の大臣は、国際規格へ準拠していることを確認をする、決済事業者がですね、そしてセキュリティーガイドラインの遵守を宣誓していただいていることから、これら国際規格やガイドラインに違反している事実、例えば保存されている決済取引データに無権限の第三者によるアクセス等が発生していたなどが明らかになった場合には、経済産業省として補助金返還請求を含めた必要
というようなことを考えれば、いや、それは確かに、セキュリティーガイドラインなので、ある一定のレベルを超えていただかないと困りますねということなんですが、この辺り、どのように整理をすればよろしいか、IT室に伺います。
それぞれのそれは医療機関で御判断をいただくことであろうと思いますが、八割WiFiが入っているという話がございましたけれども、これは業務用でありまして、総務省のセキュリティーガイドラインというのがあるようでございます。
そのため、総務省では、テレワーク対策の検討の参考となるよう、テレワークセキュリティガイドラインを策定、公表するとともに、企業のテレワーク導入を支援するため、システムやセキュリティーに関する事項をネットや電話により専門家に相談できるテレワークマネージャー事業を実施しております。 さらに、特に中小企業に対する支援の観点から、本年度第一次補正予算により三つの施策を実施いたします。
既に総務省から発表がありましたとおり、夏頃にかけてこの自治体情報セキュリティーガイドラインが見直されるということからも、より実態に即した対応というのが必要なんではないかと思うわけです。
民間の皆様に向けては、総務省においてセキュリティー対策の検討の参考にしやすいようなテレワークのセキュリティガイドラインというものを策定をして公表しております。
IoT機器のセキュリティー対策につきましては、二〇一六年七月に公表いたしましたIoTセキュリティガイドラインにおきまして、セキュリティー・バイ・デザイン、これは機器の企画、設計段階からセキュリティーを確保するための対策を講じるという考え方でございますけれども、このセキュリティー・バイ・デザインを基本原則とすることとしており、このガイドラインの普及啓発に現在私どもとしても努めているところでございます。
このため、総務省におきましては、経済産業省、さらには産学官の連携の組織でございますIoT推進コンソーシアムと連名で、平成二十八年の七月に、IoTセキュリティガイドライン、こうしたものを策定、公表しております。
特に今後市場に投入されるIoT機器を念頭に置きますと、IoT機器のセキュリティー対策については、二〇一六年の七月に、IoT推進コンソーシアム、総務省それから経済産業省が連名でIoTセキュリティガイドラインというものを出しております。
委員御指摘のとおり、先ほど御答弁申し上げましたIoTセキュリティガイドラインは、二〇一六年の七月に策定、公表されているわけでございます。そのマルウエア、ミライの事案が発生したわけでございますが、先ほど申し上げましたように、非常に脆弱なパスワード、これが乗っ取られたということでございます。
そうした中で、総務省におきましては、こうしたさまざまなIoT機器のセキュリティーを確保するために、IoTセキュリティガイドラインというものを、平成二十八年七月に、経済産業省あるいはIoT推進コンソーシアムと連名で公表させていただいております。
その上で、先ほども委員の方からもありましたように、営業部の部屋には施錠がかかっていて一定の人しか入れないということもありますし、御指摘の、営業のセキュリティーガイドラインというのをつくって、そのことは、NHK本体はもちろんですが、業務委託先のところについても、その管理の徹底を指導しているとともに、契約書の中にもそういう条項を設けて、覚書等も結んでいるということでございます。
一方、総務省では、このIoT特有の性質ということに注目した総合的なセキュリティーガイドラインを策定しなきゃいけないと考えております。 今、経済産業省と連携して、IoT推進コンソーシアムのもとに、平成二十八年、ことしの一月二十一日にIoTセキュリティワーキンググループを設置しました。
総務省におきましては、統一基準に基づいて、地方公共団体に対して情報セキュリティーガイドラインを示しているところでございますけれども、こうしたものの中身につきましても継続的に精査をしていく必要があるだろうというふうに考えてございます。
○二之湯副大臣 総務省は、地方公共団体における情報セキュリティーガイドラインを通じまして、地方公共団体のセキュリティー対策の強化を推進してきました。そして、このガイドラインでは、自治体は、定期的に情報セキュリティーに関する研修、訓練を実施しなければならないと定めておりまして、自治体に対し、情報セキュリティーポリシーの遵守を要請しているところでございます。
そのような問題意識の下、経済産業省では、一般電気事業者によるこれまでのサイバーセキュリティー対策について、専門家による確認、評価を行うとともに、電力システム改革も見据え、電力システム全体をカバーするサイバーセキュリティーガイドラインを策定すべく、事業者と連携し、検討を進めてきたところであります。今後、新規参入事業者の方にも参加いただき、具体化を図っていく予定としております。
○国務大臣(高市早苗君) 総務省では、平成十六年のテレワークセキュリティガイドライン策定、そしてまた平成十八年、二十五年、このガイドラインの改訂を通じまして、導入してくださる企業に向けては留意すべきポイントを取りまとめ、発信をいたしております。 それから、まずは総務省の中からということで、今年からテレワークの対象職員を全職員に拡大いたしました。
共通番号制を導入するということになると自治体側のセキュリティーレベルというものが非常に重要になってくるんですが、今までは、自治体に対してセキュリティーガイドラインを総務省がおつくりになっていたということですね。それに対応して各自治体は自主的にいろいろなことをつくっていかなきゃいけないということだったんですが、それで十分だとお考えですか。
そこらあたりの一つのセキュリティーガイドラインみたいなものが、自主的に取り組むガイドラインみたいなものがないと、何か起きてからではかえってまずいのかなということですので、お取り組みいただけるということですから、それは期待をさせていただきたいというふうに思います。 WiFiを使ったモバイルのデータオフロード、WiFiを使ってモバイルを使いやすくするというようなことをどんどん進めていっていますね。
○西田実仁君 元々アメリカで始まっているC—TPAT自体は、セキュリティーの強化ということで、例の九・一一以降、国際物流関係の組織を統合して、そして税関の国境保護局が示すセキュリティーガイドラインに従ってそれぞれがセキュリティーを強化すると、こういうようなかなり一本化した形でのセキュリティーの強化、一方での利便性の向上ということを追求をしているんだろうというふうに思いますけども、この日本版C—TPAT