デジタル化に関する法制度の備忘録

行政手続等のオンライン化やキャッシュレス化など、デジタル化に関する法制度について書いてます。

トップ > 最近の法改正等 > 第217回国会のデジタル関係法(4)能動的サイバー防御法②

第217回国会のデジタル関係法(4)能動的サイバー防御法②

最近の法改正等 令和7年通常国会

(能動的サイバー防御法での用語の定義)

 「能動的サイバー防御法」の概要について前回は見てみたところですが、今回は、具体的な条文を見てみたいと思います。

 まず、この法律の提出理由にも出てきている、「サイバーセキュリティ」や「特別社会基盤事業者」などの用語の定義を見てみたいと思います。定義規定が置かれている第2条をみると、例えば、以下のような用語の定義が置かれていました。

「サイバーセキュリティ」 ⇒サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティ。

「重要電子計算機」 ⇒第2条第3項の各号のいずれかに該当する電子計算機(当該電子計算機に組み込まれたプログラムを含む。)、という形で詳細に規定。

「特定社会基盤事業者」 ⇒経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(令和四年法律第四十三号)第五十条第一項に規定する特定社会基盤事業者をいう。次項において同じ。)が使用する電子計算機のうち、そのサイバーセキュリティが害された場合において、同条第一項に規定する特定重要設備の機能が停止し、又は低下するおそれがあるものとして政令で定めるもの(当該特定重要設備の一部を構成するものを含む。)。
「特別社会基盤事業者」 ⇒特定社会基盤事業者のうち、「重要電子計算機」を使用するもの。
「特定侵害事象」 ⇒重要電子計算機に対する特定不正行為により、当該重要電子計算機のサイバーセキュリティが害されること。

「特定不正行為」 ⇒第2条第4項各号に掲げる「刑法第百六十八条の二第二項の罪に当たる行為」「不正アクセス行為(不正アクセス行為の禁止等に関する法律(平成十一年法律第百二十八号)第二条第四項に規定する不正アクセス)」などに該当する行為。

「国外通信特定不正行為」 ⇒国外にある電気通信設備(以下「国外設備」という。)を送信元とする電気通信の送信により行われる特定不正行為をいう。

 

 サイバーセキュリティ、特定社会基盤事業者など、すでに他の法律で定められている定義を引用しつつ、特別社会基盤事業者、国外通信特定不正行為などの新しい定義が設けられている感じですね。(逐条的な解説が目的ではなく、あくまで個人的な関心で見ているだけですので、大雑把な印象です。)

 

(官民連携の強化に関する規定ぶり)

 デジタル化の取組み全般において、官民連携は重要な事項ですが、以下の概要資料にもあるとおり、この法律においても、官民連携の強化は重要な要素になっています。

能動的サイバー防御法案概要資料(抜粋)

インシデント報告

 このうち、インシデント報告については、第5条で以下のように規定されています。

 (特定侵害事象等の報告)
第五条 特別社会基盤事業者は、特定重要電子計算機に係る特定侵害事象又は当該特定侵害事象の原因となり得る事象として主務省令で定めるものの発生を認知したときは、主務省令で定めるところにより、その旨及び主務省令で定める事項を特別社会基盤事業所管大臣及び内閣総理大臣に報告しなければならない。

 サイバー攻撃等を認知したときは、主務省令で定める事項等を、事業所管大臣及び内閣総理大臣に報告しなければならない、という内容で、細かいことは今後省令で定められることになるようですね。

 

脆弱性対応の強化

 脆弱性対応については、政府からの情報提供について、第42条第1項で定められています。

 (電子計算機等供給者に対する情報提供等)
第四十二条 内閣総理大臣又は重要電子計算機として用いられる電子計算機若しくは当該電子計算機に組み込まれるプログラム(以下この条において「電子計算機等」という。)の供給(電子計算機等を他人の情報処理の用に供する役務の提供を含む。以下この条において同じ。)を行う事業を所管する大臣(以下「電子計算機等供給事業所管大臣」という。)、総合整理分析情報その他の情報により電子計算機等における脆ぜい弱性(電子計算機のサイバーセキュリティを害するおそれがある電子計算機又は電子計算機に組み込まれるプログラムに含まれる要因(当該電子計算機の通常予見される使用形態によらないことにより生ずるものを除く。)をいう。以下この条において同じ。)を認知したときは、必要に応じ、当該電子計算機等に係る電子計算機等供給者(電子計算機等の供給を行う者をいう。以下この条及び第四十五条第二項において同じ。)に対し当該電子計算機等における脆弱性に関する周知等用総合整理分析情報その他の情報(選別後通信情報又は秘密を含むものを除く。)を提供するとともに、当該情報又は当該脆弱性への対応方法について、公表その他の適切な方法により周知することができる。

 

 非常に長いですが、、内閣総理大臣と事業所管大臣は、重要電子計算機に関する脆弱性を認知したときには、その電子計算機の供給者に対し情報を提供することができる、というような内容です。(「脆弱性」の後のカッコ書きでの定義が長かったので、色を外しましたが、それでもかなり長いですね。。)

 なお、情報提供を受けるのは、インフラ事業者ではなくて、システムを提供しているベンダになるのだな、、というのを改めて認識しました。(当たり前のことかもしれませんが、、)

 

 このほか、通信情報の取得や利用等に関する条文がありますが、異常に長かったので、ここで条文貼るのはやめておこうと思います。本来はこうした条文のほうが、この法律の「本尊」の気もしますが、、ご関心のある方は、事業者との協定(同意)に基づく通信情報取得については第3章、同意によらない取得については第4章・第6章の条文に当たってみていただければと思います。

 ということで、今回はここまでにします。

 

(参考)

www.cas.go.jp