2021-05-17 第204回国会 参議院 決算委員会 第6号
インターネット接続系に住民情報等を扱わない事務の範囲内で主な業務端末及び財務会計などの内部管理系のシステムを配置するベータモデルは、これらをLGWAN接続系に配置する従来型のアルファモデルと比べ、多様な民間クラウドサービスの迅速な活用、利便性の高いテレワークシステムの導入等に関してメリットがある一方、インターネットからのセキュリティーリスクも増加することとなります。
インターネット接続系に住民情報等を扱わない事務の範囲内で主な業務端末及び財務会計などの内部管理系のシステムを配置するベータモデルは、これらをLGWAN接続系に配置する従来型のアルファモデルと比べ、多様な民間クラウドサービスの迅速な活用、利便性の高いテレワークシステムの導入等に関してメリットがある一方、インターネットからのセキュリティーリスクも増加することとなります。
そして、こうした不正アクセス事案を含めて、サイバーセキュリティーリスクの高度化、複雑化が進んでいますので、デジタルガバメントの推進に当たっては、関係省庁が緊密に連携して、検査、監視、事案対処等の一連のセキュリティー対策を強化しなければならないと考えています。
オープンソース化にはセキュリティーリスクを指摘する声もありますが、むしろ、ブラックボックスであるよりもオープンとした方がセキュリティーを脅かす不具合を見つけやすいのです。アメリカでは、フェデラルソースコードポリシーを定めており、ソースコードの一部についてはオープンソース化しなければならないことになっています。
衆議院の審議で大臣は繰り返し、特定の国の企業や製品の排除ありきではないんだと、こういうふうに答弁をしているんですけれども、二〇一八年十二月十四日に開催をされた総務省の第千六十回電波監理審議会では、5Gの導入に当たり、セキュリティーリスクの問題に関わってどのような意見が寄せられているでしょうか。その意見に対してどう考えるというふうに書かれているか、その該当部分を確認します。読み上げてください。
委員御指摘の件で、パブリックコメントで、まず個人の方から、セキュリティーリスクの問題で諸外国で使用禁止になっているファーウェイ、ZTEの二社の設備は使用禁止にすべきとの御意見がございました。
その中には、5Gの整備はサイバーセキュリティーを確保しつつ適切に行われることが基本である、こういう条文がありまして、まさにこの法案自体は、当然、内外無差別、そしてある特定の国や企業を狙い撃ちにするものではないというふうに理解をしておりますけれども、ただ一方で、先ほど伊東参考人からお話があったように、まさに中華系企業、もう少し具体的に言いますと、例えばファーウェイの仕様に対するセキュリティーリスクについての
次に、太田社長にお伺いしたいんですけれども、本当にいろいろとお伺いしたいことがあるんですけれども、やはり今と同じ観点から、中国製品、中国製のドローンについての、そのサイバーセキュリティーリスクについてどう評価しておられるのか、御見解をお伺いしたいと思います。
○参考人(小脇一朗君) セキュリティーの問題は大変重要な問題でございまして、まさにDXの進展によって利便性は高まりますけれども、他方で、それに伴って新たなセキュリティーリスクが出てくるということであります。 とりわけ、インターネットを介していろんなものがつながりますので、思わぬ脆弱性を生み出すおそれがある。
5GやIoTを含めてセキュリティーリスク対策を着実に進めるとともに、セキュリティー人材の育成を一層強化し、安心、安全なICT利用環境を整備します。 加えて、G20の結果を踏まえ、AI原則の国際的な普及、展開やデータ流通に関する国際的な共通認識の醸成を図るなど、ICT分野に関する国際連携の取組を積極的にリードします。
5GやIoTを含めてセキュリティーリスク対策を着実に進めるとともに、セキュリティー人材の育成を一層強化し、安心、安全なICT利用環境を整備します。 加えて、G20の結果を踏まえ、AI原則の国際的な普及、展開やデータ流通に関する国際的な共通認識の醸成を図るなど、ICT分野に関する国際連携の取組を積極的にリードします。
○斉木委員 5Gをめぐっては、政府も去年の十二月十日ですか、全省庁申合せでいわゆるセキュリティーリスクのある機器は日本政府として調達しないということを決めまして、au、ドコモ、ソフトバンクなどの携帯キャリア会社も、特にソフトバンクなどは中国製の基地局を使わないとか、いろいろ対応は始まっております。
本会議での議論を踏まえて、我々がAIを使いこなすことで人間の能力や創造性を拡大する人間中心の原則、そして、パーソナルデータが本人の望まない形で流通したり利用されることで個人が不利益を受けてはならないプライバシー確保の原則、そして、AI利活用による利益とセキュリティーリスクのバランスに留意して社会全体の安全性等の向上に努めなければならないセキュリティー確保の原則など、七つの原則から成る人間中心のAI社会原則
昨年末、サイバーセキュリティーリスクのある製品を日本政府は政府調達から除外をするということを、十二月十日に全省庁で申合せをされました。それを受けて、携帯電話会社、ドコモ、au、ソフトバンク、主要三社は、民間会社も、今年末に導入される5G携帯基地局には中国製品は一切使わないという方針を決定いたしました。
その結果、原子力の推進派の方も、サイクルの推進派の方も反対派の方も加えて議論をさせていただいて、結論からいいますと、今経産省が言ったポイントの中で、資源効率は確かにリサイクルの方がいいですが、経済性や核拡散、セキュリティーリスク面では直接処分の方がすぐれている、先ほどの有害度と廃棄物の面ですが、安全性と廃棄物両面では差はないという結論を出しております。 次、お願いいたします。
いずれにしましても、このサイバーセキュリティーリスクを含めた上場企業の情報開示の在り方につきまして、取引所等とも協議しつつ、継続して検討してまいりたいと考えております。
平時におきまして、今回の法律、民間企業におけるサイバーセキュリティーリスクの対応を進化すると、進めるということで法律の改正を行うわけでございますが、平時においてこの民間企業におけるサイバーセキュリティーのリスクの情報開示、企業がどのようなサイバーセキュリティーの対応をしているかということを開示させる、これがこの社会全体でサイバーセキュリティーの対応を進める大きな効果があるんではないかと考えております
ただ、USBがセキュリティーリスクであることを認識しているというふうにおっしゃったので、でも、それは前回、USBは穴に入れるらしいんですけれども、わからないので、官僚に聞いてくれという答弁と矛盾していませんかとお聞きしたんですが、どうですか。
ニューヨーク・タイムズがそのUSBについて何を言っているかといいますと、これは、ア・コモン・テクノロジー・ワイドリー・コンシダード・ツー・ビー・ア・セキュリティー・リスク。要するにこれはどういうことかといいますと、USBというのは、世界でセキュリティーリスクだと広く認識をされているありふれた一般的な技術であるというふうにニューヨーク・タイムズ紙は規定をしております。
今、USBポートがセキュリティーリスクであることは承知をしていますがと答弁なさいましたけれども、USBが何であるかもわからないとおっしゃっているのに、それがセキュリティーリスクであるかどうか、どう御判断できるんでしょうか。
こういったものに対してのセキュリティーリスクがある。つまりは、国家に抜き取られる可能性があるということで、アメリカやオーストラリア、あるいはほかの国もあるんですよ、それに追随しているところが。日本はどうあるべきだと思われますか。
総務省におきましては、取り扱う情報の機密性などの格付に従いまして、行政事務においてセキュリティーリスクを排除した適切な情報処理がなされるよう、政府全体の政府機関の情報セキュリティ対策のための統一基準に基づきまして、必要な安全管理措置などのルール、具体的には、先ほど御答弁させていただきました総務省情報セキュリティポリシーというものを定めております。
第三の懸念は、企業のIoT投資が進むことによって、複数の事業者をまたぐデータのやりとりが増加をし、データのセキュリティーリスクが増大する点です。 国内産業の競争力の源泉ともなり得るデータですので、使う能力ばかりでなく、守る能力も高めていかなければなりません。 そこで、世耕大臣に伺います。
三番目が、平時及び緊急時、両方でございますけれども、サイバーセキュリティーリスクの対策やあるいは関連する情報、これについての開示など、関係者と適切なコミュニケーションが必要だという、三点を示しております。 加えまして、十項目のうち若干の例示だけ申し上げれば、サイバーセキュリティーリスク管理体制を構築しろと。
具体的には、経営者が認識すべき三つの原則として、経営者は、IT活用を推進する中で、サイバーセキュリティーリスクを認識し、リーダーシップによって対策を進めることが必要であること、二点目として、自社はもちろんのこと、系列会社やサプライチェーンのビジネスパートナー、あるいはITシステム管理の委託先を含めたセキュリティー対策が必要であること、三点目として、平時及び緊急時のいずれにおいても、サイバーセキュリティーリスク
こういったセキュリティーリスクが発生するのは、一つには、そもそも用いている暗号や電子認証の技術に技術的なセキュリティーホールが露見し安全性に問題があったり、ウイルス感染対策が十分に講じられていないなどその技術自体に脆弱性を有している場合、二つには、情報の蓄積、保管、処理などの過程に例えば人がUSBメモリーなどを用いて人為的に暗号化されていない情報を取り出したりする余地が存在するなど、故意であれ過失であれ