2021-05-11 第204回国会 参議院 内閣委員会 第17号
現在のところ、公的機関においてはNISCが機能しているというふうにお聞きしておりますが、民間においては、中小企業を中心にシステムのやはり脆弱性指摘され続けておりまして、IPAによる中小企業の支援策も講じられているが十分ではないという認識です。この辺り、どのように人材確保をしていくのかも含めてお願いします。
現在のところ、公的機関においてはNISCが機能しているというふうにお聞きしておりますが、民間においては、中小企業を中心にシステムのやはり脆弱性指摘され続けておりまして、IPAによる中小企業の支援策も講じられているが十分ではないという認識です。この辺り、どのように人材確保をしていくのかも含めてお願いします。
特に、防衛省が苦労なすっているのは、当然安全保障の問題に直結するわけで、そういう意味で人材確保が非常に難しいことは間違いないんですが、NISCであるとかIPAであるとか、我々、それぞれセキュリティーに対して責任を持たなきゃいけないということでございますので、連携しながら、そして各国の機関とも調整しながら、そのセキュリティー人材を確保して有効に活用する方向を考えていかなければならないと考えています。
今日、社会経済の発展や産業の振興、そして働き方改革や生活の改善において、やはりこのDXの推進というのはキーワードになるということは間違いないというふうに思いますが、情報処理推進機構、IPAがこのDXの定義を出されています。
いはあるんですが、過去、例の年金、日本年金機構の百万件の流出問題を考えたときに、重々御承知のことと思いますが、NISCだけでは、原因究明のその調査の対象に中央省庁しかたしか入っていなくて、調査対象になっていなかったので、厚労省に対する注意喚起だけで終わってしまったというのが根本原因だというふうにされていて、その際に、この改正によってほかの機構も全部見れるようにしますということですが、当然、大き過ぎて見れないのでIPA
これは、いわゆるIPAの定めたレベルでいいますと、スキルレベルの1から3まで、この辺りにつきましては部内教育で育成を図るということでございます。
デジタル庁も、社会全体のデジタル化を進めていくということですので、NISCやIPAとも連携しながら、サイバー攻撃の方は常に新しい手法というようなものを共有して我々にしかけてきますので、そういうことにレジリエントな体制を、やはりこれは政府を挙げてつくっていく必要があると思います。
こうした問題意識から、おととし改正された情報処理促進法に基づき、昨年五月、独立行政法人情報処理推進機構、IPAに関連する英知を集める場として、デジタルアーキテクチャ・デザインセンターを立ち上げたところでございます。
セールスフォースであれば、PaaSとしてのサービスでございますが、これはインフラストラクチャーとしてはAWSに依存しているので、AWSのリージョンで保管ということで、IPAからの資料を見る限りでは、アジアパシフィックということで東京と大阪があるということでございました。その上で、クラウドサービス派生データについては日本又は米国で保管と記載されています。
こうした社会システムのデザインを行っていくために、一昨年の臨時国会で法改正し、関連の英知を集める場として、昨年五月に独立行政法人情報処理推進機構、IPAにデジタルアーキテクチャ・デザインセンターを立ち上げたところであります。まだ緒に就いたところではあります、ばかりではありますけれども、各省庁や産業界の持つ課題を踏まえ、具体的なプロジェクトを進めているところであります。
アジャイル開発における瑕疵担保責任、契約不適合責任でございますが、これはIPAがアジャイル開発版「情報システム・モデル取引・契約書」を公表されておられます。
経済産業省及びIPAにおいては、このような考えから、ユーザー、ベンダー間の合意形成の一助とすべくモデル契約書を作成しているところでございます。 当事者間の合意形成を通じて個別契約における責任関係の明確化が図られるよう、モデル契約書の普及に努めてまいりたい、このように考えております。
○濱村委員 じゃ、民法が改正されて、六百三十四条、請負人の担保責任が削除され、契約全般に対して契約不適合責任が適用されるようになったということを受ければ、この責任範囲の在り方については、IPAのモデル契約書を改定、アップデートしなきゃいけないんじゃないかと思うんですが、いかがでしょうか。
○西田実仁君 かつてはIPAというところがそうした民間のシステム障害も含めて全て半年に一度情報提供をしておりましたが、今、二〇一九年度でたしか事業は終わっておりますので、デジタル庁の方でそうした全体のシステム障害についても情報をしっかり共有できるような体制をお願いしたいというふうに思います。 続いて、生活者支援についてお聞きしたいと思います。
○中原政府参考人 今御説明のありました企業のデジタルトランスフォーメーションを支援するため、税制支援の要件としては、産業競争力強化法に規定される予定の事業適応計画の認定を受けることを前提にいたしまして、データ連携の共有、あるいはクラウド利用によるレガシー回避、独立行政法人の情報処理促進機構、いわゆるIPAが審査を行いますDX認定によるサイバーセキュリティーの確保といった、御説明申し上げましたデジタル
いずれにしても、国民の重要な情報資産をしっかり保護するために、これまでに得られた知見も十分に活用しつつ、先ほどお話ししたNISCとかIPAほかとの機関と連携体制を含めたデジタル庁におけるサイバーセキュリティー対策の在り方について更に具体化をしていきたいと考えております。
この電力ISACでは、例えば情報処理に関する安全性及び信頼性の確保を担うIPA、これは独法の情報処理推進機構等から入手をいたしました最新の脆弱性情報ですとかマルウエア情報等を会員企業に共有をしたり、会員企業が具体的に受けたサイバー攻撃の情報を管理した上で直ちに共有をするといったこと、それからサイバー攻撃発生を受けた場合の対応等、グッドプラクティス、非常に優れた対応などを紹介し、会員企業間で対応レベル
さて、本改正案の第二のポイントは、企業間、産業間あるいは自治体間など、社会の様々な主体相互間の連携を促進していく上で必要なアーキテクチャーの設計をIPAの業務に追加するということであります。 そこで、まずお伺いしたいのは、アーキテクチャーとはどういったものなのでしょうか。また、アーキテクチャーの設計をIPAの業務に追加する効果はいかがお考えでしょうか、お伺いをいたします。
私どもが今回業務追加を予定しております独立行政法人情報処理推進機構、通称IPAというふうに言っておりますけれども、これについての考え方についてお答えを申し上げます。 まず、このIPAに業務追加をさせていただきます大きな背景は、情報処理の分野で長年活動してきた中立的な機関ということが背景になっております。
次に、先ほど、このアーキテクチャーやクラウドの安全性評価はいずれもこの独立行政法人、IPAでいいですかね、IPAに業務を追加することとなっていますが、いずれの業務も高い専門性が求められるものと理解します。こうした業務の担い手として、何もかももうこのIPAに任せることが適切なのか。不必要な業務の肥大化を避ける観点からも、しっかり確認することが必要かと思われます。
IPAによるアーキテクチャーの設計のところで、事後的にどんな議論があったのか検証できる仕組みが必要だというお話でしたが、具体的に藤田参考人が懸念される事項とか、教えていただけたらと思います。
次も三人の参考人にお聞きをしたいんですけれども、IPAが発行している二〇一九年の情報セキュリティ白書の中に、国外の情報セキュリティ政策の状況についてというところがあって、アメリカでは、昨年九月にトランプ大統領が国家サイバー戦略を発表し、敵対的国家として四つの国を名指しをして、これらの国は米国とその同盟者、パートナーに対してサイバー空間でしばしば向こう見ずな挑戦をするなどと非難をして、対決姿勢を前面に
IPAがアメリカのその戦略に巻き込まれるかどうかというのは、これはIPAの機能そのものとは関係なくて、それは政府のまた別の御判断かと考えております。
反対理由の第一は、IPAが設計するアーキテクチャーを個人情報を含むデータ利活用ビジネスの基盤にし、それをてこに、消費者保護や安全確保分野などの規制緩和のために活用するものだからです。 個人の尊厳の観点から個人情報の自己コントロール権を保障したEUに比べて、極めて脆弱な日本の個人情報保護制度のもとで、これ以上個人情報をデータビジネスに差し出すわけにはいきません。
IPAは、既に米国政府のサイバー軍と密接な関係にあります。 経産省に伺いますけれども、IPAの産業サイバーセキュリティセンターが二〇一八年から中核人材育成プログラムを実施しておりますけれども、その初年の二〇一八年に特別講義として米国から招いた講師は誰ですか。肩書とともに紹介してください。
今回の法案では、政府機関等へのサイバー攻撃が発生する事態への備えとして、政府調達におけるクラウドサービスの安全性評価を行う機能をIPAに付加するとしております。 二〇一六年の法改正では、IPAは、内閣サイバーセキュリティ戦略本部から委託を受けて、独立行政法人と指定法人に対する監視を行うことになりました。 まず、梶山大臣に伺います。
先ほどのサイバーセキュリティ協議会の中で、秘密を有する情報をまず得た場合に、情報の提供者、これがIPA若しくはそのIPAの前に実際に情報を得た方がいらっしゃるとすると、その方の許諾もなく、これは米国といえども出すことはできません。
それに加えて、医療分野も含めた重要インフラ分野におけるセキュリティー対策のための、独立行政法人情報処理推進機構、IPAが、順次、各重要インフラ分野のリスク評価を進めて、関係機関がリスク分析を実施するためのマニュアルを提示しているところであります。
これは、全国九十三地域を選定をいたしまして、選定された地域に対しては、例えば地方版IoT推進ラボのマークの使用権を与えるとか、あるいは独立行政法人IPAからITの専門家を派遣をしていろんな事業を支援する、あるいは日本のITの今一番大きなイベントでありますCEATECなどへの出展を支援をするというようなことをさせていただいています。