カテゴリー: デジタル&コンピュータ

2025年3月5日 不正確な記述を修正しました。まだ不十分な記述があり、改訂を予定しています。

目次

• 1. 立法事実の問題点
  • 1.1. サイバー攻撃の深刻度のデータについて
  • 1.2. 実際の被害件数とその原因
  • 1.3. 民間と自治体の被害の具体例からわかること
  • 1.4. 地政学的脅威について
• 2. 立法事実は改変されたり意図的に誇張されており、現実問題としては立法事実は存在しないといっていい

1. 立法事実の問題点

本稿では、今国会に上程されているサイバースパイ・サイバー攻撃法案¹として新規の立法と既存の法律の改正を必要とする事態そのものについて、政府側が提出した資料などを基にして、データの呈示方法の(作為的とも思える)間違いや、事実認識の誤りを指摘し、立法事実に重大な誤りがあることを指摘する。

1.1. サイバー攻撃の深刻度のデータについて

法案について内閣官房サイバー安全保障体制整備準備室が作成した説明文書²のなかの「検討の背景」説明として、以下のスライドが掲載されている。³

この左の棒グラフは、「サイバー攻撃関連通信や被害の量」と題されており、国の情報通信研究機構サイバーセキュリティ研究所サイバーセキュリティネクサスNICTERが観測した「サイバー攻撃関連通信数の推移」という副題が付されている。数値は「年々増加」しており2023年には「各IPアドレスに約14秒1回の攻撃試み」という吹き出しの赤字の文字が目立つように配置されている。この棒グラフの縦軸には億パケットを単位として2023年には6197億パケット(パケットは通信データの単位)がサイバー攻撃関連通信であるという表示になっている。この説明資料は国会議員にも配布されており、また一般にも公開されている法案の政府による説明文書としては最もよく参照されるもののひとつだろうと推測される。

このグラフにはいくつか疑問がある。

第一に、「各IPアドレスに約14秒に1回の攻撃」という表現は、「サイバー攻撃」について専門的な知識のない議員や一般の市民からすると、あたかも14秒に1回ミサイル攻撃を受けているかのような誤った印象を与える巧妙な記述だ。23年のNICTER報告書では「2023 年は 1 IP アドレスあたりで約 226 万のパケットが観測されました」とあるが、法案説明文章のような各IPアドレスあたりで何秒に一回の攻撃があったのかを算出していない。単純に1IPアドレス当たり攻撃数などとすることはできないか、意味のある数値ではないからだろう。情報通信ネットワーク上にあるIPアドレスと接続されているコンピュータや通信機器(以下デバイスとも呼ぶ)の数は同じではなく、各デバイスが「14秒に1回」攻撃されているというようには単純に計算できないと思う。「14秒に1回」を強調した説明文書では、あえて日本国内にある通信デバイスの数とIPアドレス数などデータの基準を明示せずに、攻撃の頻度だけを強調した。私は、こうした記述は意図的に攻撃への不安感を煽りサイバー攻撃=ミサイル攻撃のような間違った印象を与えることをあえて意図した表現ではないか、と疑っている。

第二に、以下でみるように「攻撃」という言葉にもごまかしがある。 上の左グラフのタイトルはサイバー攻撃関連通信などと書かれているが、出典となっているNICTの報告書⁴では「年間総観測パケット数の統計」と記載されている。(下表は報告書の該当データのスクリーンショット)

この表と法案の説明文書の棒グラフとは数値が一致する。NICTERの表には「年間総観測パケット数の統計」とあり「サイバー攻撃」とは明記されていない。ここでいう調査は、NICTERによるダークネット観測に基づいて把握されたものである。説明文書にある棒グラフの数値、2023年では6316億パケットについては、その内訳が以下のように分けられるとの解説がある。

• 既知組織の調査スキャン：大学や調査機関などの調査・研究目的 全体の29.6%⁵
• 未知組織の調査スキャン: 上記以外のサイバー攻撃とは関係がないと思われるパケット 全体の30.6% ⁶

これら二つがサイバー攻撃とは関係ないパケットとみられるもので全体の60.2%を占める。つまり、ダークネットの年間総観測パケット数全体のうちサイバー攻撃に関係する可能性があるのは4割ほどになる。ところが、法案の説明文書はこのパケット数すべてを「サイバー攻撃関連通信」と呼んだ。

なぜこのような明らかに誤解を招くようなデータの読み替えをしたのだろうか。原因は二つあると思う。ひとつは、NICTがそもそもダークネットをサイバー攻撃に関連するデータ収集の場所として選んだ前提に、ダークネットがサイバー攻撃に利用されていることから、ダークネットにおける通信量の増加がサイバー攻撃の増加の指標になる、という仮定を置いていることによる。これが安直にダークネット=サイバー犯罪というような誤読を招いたのかもしれない。

もうひとつの推測できる理由は、この説明文書の棒グラフは、NICTのオリジナルの報告書から作成されたものではなく、総務省の「情報通信白書」からの孫引きで作成されたのではないか、ということだ。白書も棒グラフで表示されており表題も「NICTERにおけるサイバー攻撃関連の通信数の推移」⁷とある。

白書本文では「国立研究開発法人情報通信研究機構（NICT）が運用している大規模サイバー攻撃観測網（NICTER）のダークネット観測で確認された2023年の総観測」といった表現になっており、この白書がサイバー攻撃とダークネットをほぼ同じものと誤解している可能性がある。

ダークネット自身は、犯罪者のネットを意味するものではないが、名前がダークとあるために非合法の地下ネットのような印象で受けとられやすいかもしれない。また定義によって意味内容に若干の違いもありそうだ。⁸匿名性が高いので、プライバシーに配慮する人たちや政府によるネットへの規制や弾圧が世界的にも増える傾向にあることを考えれば犯罪目的以外で利用する人たちが増えるのは当然のことであり、この点への配慮を十分にすべきだ。敢えて言葉の正確な定義を与えずに、こうした印象を政府側は巧妙に世論操作の手段に使っていると批判されかねないものだ。⁹

もし私のこの解釈が正しければ説明文書のデータの表題をはじめとする一連の指摘は全て削除して正確に書き直す必要がある。このままでは著しい誤解を国会の審議に与えかねない。敢て「偽情報」の類とまでは言わないが、そう言いたくなる類いの悪意を感じてしまう。しかし、NICTERの報告書を読めば誰でもわかることなので、このようなデータの悪用はあまりに杜撰すぎるので、私の理解が間違っている可能性がある。他の方達にもぜひきちんと確認をしてもらえると有り難い。

1.2. 実際の被害件数とその原因

では、サイバー攻撃の実際の被害状況はどうなのか。14秒に1回のミサイル攻撃でもあるかのような不安感情に見合う実態があるのか。IPAの「コンピュータウイルス・不正アクセスの届出状況2024 年（1 月～12 月）」¹⁰の報告書によると以下のような実被害が報告されている。

• ウィルス感染：2024年のデータでは、ウイルス届出 260 件の届出。ウイルス感染被害（実被害）15 件(ウイルス等検出数 215662)
• 不正アクセス: 2024年の不正アクセス届出は、166 件。23年の243 件より 77 件（約 31.7%）少ない。実被害があった届出は 132 件(全体の約 79.5%)。

日本ネットワークセキュリティ協会「インシデント損害額調査レポート」 の別のデータ¹¹でみても、サイバー攻撃として公表されている件数は2021年で328件(2022年は推計でこの倍以上と予測)となっている。億単位の攻撃という数字から受け取る印象とは非常に異なったものだ。(下図はレポートからのキャプチャ)

ただし、これらは届け出の件数であって、実際に感染したホスト数はこの数字よりもずっと多くなる。詳細はNICTERの報告書に詳しい。サイバー攻撃やその被害については、かなり複雑な事象であり、私は技術者ではないので、分析と判断には限界もあり、本稿ではその一部について、とくに法案の説明文書への疑問点という観点からのみ言及したものであり、サイバー攻撃の全体像を把握する上では十分なものではない。

法案の説明文書では、攻撃の数値だけが示されるので、あたかも攻撃=攻撃の成功=被害の発生というように推測されてしまう。しかし、法案説明文書で攻撃として数値化されているものは明示されていても、攻撃を防御したケースについての数値が示されていない。なぜ示さないのだろうか。法案の立法事実との関連でいえば、攻撃に対してほとんど防御ができておらず、現状では対処が極めて困難であることを説明できてはじめて立法措置の理由を説明したことになる。しかし、こうした防御のデータはまったくといっていいほど示されていない。

独立行政法人情報処理推進機構(IPA)による不正アクセスの原因別のデータは以下のようになっている。

原因の多くは、被害を受けた側が適切なセキュリティ対策の基本的な措置をとっていなかったために被害が現実のものになったケースが目立つ。当事者がシステムをきちんとバージョンアップする、修正プログラムを適用する、セキュリティの設定を正しく行なう、パスワード設定の基本を守る、などということができてれば防げるケースが多くあると思われる。この点について、法案の説明文書ではほとんど言及がない。

1.3. 民間と自治体の被害の具体例からわかること

JNSAの損害調査レポートでは実害にあった民間企業へのアンケート調査がある。このなかには以下のような感想が書かれている。(アルファベットの会社名は筆者が便宜上追加した)

(A社) 実はVPN機器の保守サービスを途中解約してしまったことに起因している。目先の利益に捉われ、セキュリティ対策にかけるコストを削った場合のリスクについて想定が十分でなかった。指揮官がいないのもそういうジャッジになった。

-—

(B社) 本件インシデント発生以降、専門組織が設置されるなど、セキュリティ対策の重要性を鑑みた対応が継続されているが、インシデント発生を契機とするものではなく、平常時においても経営者等が関心を持ったうえで各種対応が図られるような啓発活 動の必要性を実感。

-—

(C社) うちは大丈夫という思いが少なからずあった。しかし、被害に遭ってしまうと対応も大変で精神的な苦痛も大きいので、今後はセキュリティ対策のしっかりしたサービスへの変更ほか、サイバー保険も検討したい。 （対応完了後、セキュリティ対策 の強化を実施し、サイバー保険にも加入）

また、2024年に公表された民間のセキュリティ企業ACTの報告書「官公庁・自治体で実際に起きたサイバー攻撃・インシデント事例」¹²では以下の具体的な事例(サイトからキャプチャ)が示されている。

この表の概要をみても、インシデントの多くが、組織内の人的なミスなどに原因があるものであり、組織が警察や自衛隊などの助けを借りずにセキュリティ対策をとりことができるものばかりだ。

上記でみたように、不正アクセスやは当事者のセキュリティ対策によって防御できている。警察や自衛隊が、当事者になりかわって、たとえばバージョンアップをしたりパスワードを設定するなどの作業を代行することは技術的にもできないし、プライバシーや通信の秘密の観点からもすべきではない。本法案においてもそのような対処は想定されていない。

つまり、法案が成立しても、被害への対処はネットを利用する当事者が自ら行なうことに変わりはなく、警察も自衛隊も被害者に代わってセキュリティ対策の主体になることはできない。しかし、あたかも法案が成立すれば警察や自衛隊がサイバー攻撃の被害を解決してくれるかのような印象操作が行なわれているように感じる。

1.4. 地政学的脅威について

本法案では、警察と自衛隊が一体となって行動できる組織体制を構築すること、また脅威の大部分が国外に原因があるものとしていることなどから、いわゆる国家あるいは国家を後ろ盾としたアクターを主に念頭に置いている側面がある。立法事実としてこうした国家関連アクターはどれほど深刻といえるのか。

IPAが毎年公表している10大脅威のランキング¹³では、2025年に、はじめて「地政学的リスクに起因するサイバー攻撃」が7位にランキングされた。このランキングは客観的なデータに基くものではなく、「情報セキュリティ専門家を中心に構成する『10 大脅威選考会』の協力により、2024 年に発生したセキュリティ事故や攻撃の状況等から脅威を選出し、投票により順位付け」したものだ。主観的な評価であることもまたサイバー領域の現状を把握する上で重要である。以下はランキング表(画面キャプチャ)である。

とはいえこのランキングは、攻撃の動機に基づくもの、システムの脆弱性を原因とするもの、攻撃手法に基づくものなどが混在しており一貫性に欠けるように思う。この地政学的サイバー攻撃にはランサム攻撃やDDoD攻撃など他でランクインしている攻撃も含まれており、他のランキングと重複するようにもみえる。ランキングの組み立てそのものがわかりづらいが、このレポートに挙げられている「対応と対策」¹⁴は、そのほとんどが標的となった組織が対処可能なことがらであり、警察あるいは自衛隊が対処しなければならないような事態とはいえない。唯一可能性があるのはいわゆるLiving off the Landと呼ばれて発見が難しいとされるケース(Volt Typhonnが例示されることが多い)かもしれないが、これもまたサポート期間が終了したデバイスを使い続けた結果であって、セキュリティの基本をきちんと遵守していればほぼ防御可能ともいえる。¹⁵

2. 立法事実は改変されたり意図的に誇張されており、現実問題としては立法事実は存在しないといっていい

以上のように、政府の法案説明の文書に掲載されているサイバー攻撃の事実関係のデータについては、攻撃数そのものが水増しされており、あたかも14秒に1回は攻撃の被害を受けているような印象を与えているが、実際に攻撃の被害を受けた数は、これよりも極めて少ない数字である。

しかも、実害を受けたケースの大半は、常識とされているセキュリティ対策をほどこしていれば回避できたケースが極めて多い。

以上を総合的にみたばあい、本法案についての立法事実は極めて希薄であって、立法を必要とする切実な状況は存在しない。

むしろこの法案の目的は、国家安全保障上の要請として、防衛や治安維持という観点から警察や自衛隊のサイバー領域における行動範囲の拡大を狙うものであって、私たちのネットのセキュリティに寄与するものではない。

逆に、サイバー攻撃の現実は存在し、私たちもまた被害に遭遇もする。多くのサイバーセキュリティの専門家のアドバイスでは、私たち自身のセキュリティ対策にはすべきことができていないという極めて基本的な対応ミスが指摘される場合が多く、警察や自衛隊に委ねるべき事案はほとんどみあたらない。「攻撃」という恐しげな言葉に不安を煽られる以前に、セキュリティの基本をきちんと確保するような取り組みを市民や民間の企業、団体がみずから実践することが何よりも大切であり、唯一の解決策でもある。逆に、こうしたセキュリティを国家安全保障を口実に警察や自衛隊に委ねて(そうすればセキュリティの経費を節約できると勘違いする経営者もいそうだ)自分たちでできるはずのことまで自ら断念してしまうことによって、リスクを高めてしまう可能性がある。こうした権力頼みが文化になると、コミュニケーションの権利は自分たちで闘いとり守るのだ、という民衆のサイバーセキュリティへの関心すら希薄化させてしまう恐れがある。政府がすべきことは地政学的な脅威を煽るようなサイバー攻撃に前のめりになるサイバー安全保障から方針を転換することだ。これこそが、基本的人権の保障を基盤とする安全の保障につながる。

Footnotes:

¹

重要電子計算機に対する不正な行為による被害の防止に関する法律案および重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案である。

この長い名前について、反対運動の側でも通称名の合意がない。ここでは「サイバースパイ・サイバー攻撃法案」(あるいはサイバースパイ・攻撃法案)と呼ぶ。理由は、本法案の目的が、サイバー領域における違法な侵入行為(サイバースパイ)を合法化すること、及び違法なコンピュータのプログラム等の破壊行為(サイバー攻撃)を国の機関に限って合法化することにあることによる。

²

https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/pdf/setsumei.pdf

³

法案提出理由は以下である。

　インターネットその他の高度情報通信ネットワークの整備、情報通信技術の活用の進展、国際情勢の複雑化等に伴い、そのサイバーセキュリティが害された場合に国家及び国民の安全を害し、又は国民生活若しくは経済活動に多大な影響を及ぼすおそれのある国等の重要な電子計算機のサイバーセキュリティを確保する重要性が増大していることに鑑み、重要電子計算機に対する不正な行為による被害の防止を図るため、重要電子計算機に対する特定不正行為による被害の防止のための基本的な方針の策定、特別社会基盤事業者による特定侵害事象等の報告の制度、重要電子計算機に対する国外通信特定不正行為による被害の防止のための通信情報の取得、当該通信情報の取扱いに関するサイバー通信情報監理委員会による審査及び検査、当該通信情報等を分析した結果の提供等について定める必要がある。これが、この法律案を提出する理由である。https://www.shugiin.go.jp/internet/itdb_gian.nsf/html/gian/honbun/houan/g21709004.htm

⁴

file:///home/toshi/%E3%83%80%E3%82%A6%E3%83%B3%E3%83%AD%E3%83%BC%E3%83%89/NICTER_report_2024.pdf

⁵

大量のパケットを送信する IP アドレスについては例年 通り，DNS の逆引き，Whois 情報，AS 情報等に加えて， GreyNoise [1] ，SANS Internet Storm Center [2] 等のセ キュリティ関連組織が公開する情報を参照しつつ，その 送信元の組織を調査しました．大学や調査機関等，調査 や研究を目的としてスキャンを行っていることが明らか で，スキャン元の IP アドレスが公開されている，あるい は，送信元 IP アドレスの逆引き等で送信元の組織を確認 できる場合に，この IP アドレスからのパケットを調査目 的のスキャン（以降「既知組織の調査スキャン」と呼ぶ） と判定しました．その結果，2024 年は 1.5 万の IP アド レスからの約 2,029 億パケットが既知組織の調査スキャ ンとして判定されました．これは 2024 年に観測された全 パケット数の約 29.6% にあたります．

⁶

送信元の組織を特定できないものの，調査目 的と思われるパケットが 2018 年以降多く観測されてい ます．これらのパケットは攻撃の傾向を分析する際のノ イズとなるため，昨年までと同様に一定の判定ルール*7を 設けて，送信元の組織を特定できない調査目的のスキャ ン（以降「未知組織の調査スキャン」と呼ぶ）の判定と除 去を行いました．その結果，4,570 の IP アドレスからの 約 2,102 億パケットが未知組織の調査スキャンとして判 定されました．これは 2024 年に観測された全パケット数 の約 30.6% にあたります．

⁷

情報通信白書2024年。https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r06/html/nd21a210.html

⁸

ダークネット：知られざるインターネットの深層 https://secure.stylemap.co.jp/network/darknet-unveiling-the-hidden-depths-of-the-internet/

⁹

ダークネットについては以下の記事を参照。Wikipedia https://ja.wikipedia.org/wiki/%E3%83%80%E3%83%BC%E3%82%AF%E3%83%8D%E3%83%83%E3%83%88 Andreas Zaunseder,”The darknet is not a hellhole, it’s an answer to internet privacy,” https://theconversation.com/the-darknet-is-not-a-hellhole-its-an-answer-to-internet-privacy-101420

¹⁰

https://www.ipa.go.jp/security/todokede/crack-virus/ug65p9000000nnpa-att/2024-report.pdf

¹¹

サイバー攻撃に関する被害の公表または報道等がなされた国内の約1,300組織の調査 https://www.jnsa.org/result/incidentdamage/data/2024-2.pdf

¹²

「官公庁・自治体で発生したサイバー攻撃/インシデント事例とその原因」 https://act1.co.jp/column/0095-2/

¹³

https://www.ipa.go.jp/security/10threats/10threats2025.html 報告本文 https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kaisetsu_2025_soshiki.pdf

¹⁴

「対策と対応」として挙げられている項目は下記である。
組織（経営者層）
● 組織としての体制の確立 ・地政学的リスクにおける情報収集をする ・自社事業に関する地政学的リスクの影響調査 ・インシデント対応体制を整備する組織（システム管理者）

● DDoS への対策 「8 位 分散型サービス妨害攻撃（DDoS 攻撃）」の「対策と対応」を参照すること。

● 被害の予防および被害に備えた対策 ・インシデント対応体制を整備する ・多要素認証等の強い認証方式の利用 ・サーバーや PC、ネットワークに適切なセキュリティ対策を行う ・Web サイト停止時のマニュアル作成、代替サーバーの用意、および告知手段の整備 ・適切なバックアップを行う

●被害に遭った後の対応 ・適切な報告／連絡／相談を行う ・インシデント対応を行う ・Web サイトの停止および代替サーバーの稼働と告知 ・バックアップからのリストアを行う

組織（従業員）
● 被害の予防および被害に備えた対策 ・パスワードの適切な運用を実施する。 ・添付ファイルの開封やリンク・URL のクリックを安易にしない ・サーバーや PC、ネットワークに適切なセキュリティ対策を行う ・組織外で開発されたプログラムは、業務端末ではない仮想環境等で開く

● 被害の早期検知 ・不審なログイン履歴の確認

● 被害に遭った後の対策 ・適切な報告／連絡／相談を行う ・インシデント対応をする

¹⁵

内閣官房内閣サイバーセキュリティセンター「Living Off The Land 戦術等を含む最近のサイバー攻撃に関する注意喚起」https://www.nisc.go.jp/pdf/news/press/240625NISC_press.pdf ただしこの注意喚起には具体的な対策などの記述はなく、下記を参照するようにとの注記がある。JPCERT/CC「Operation Blotless攻撃キャンペーンに関する注意喚起」https://www.jpcert.or.jp/at/2024/at240013.html

2025年3月3日 「情報収集の対象が国外であることの意味」の節を追加しました。

Table of Contents

• 1. はじめに
• 2. 提言・法案における情報収集の意図
• 3. 令状主義を否定するサイバー通信情報監理委員会の新設
• 4. 情報収集の対象が国外であることの意味
• 5. 諸外国の法制度とは情報機関関連の法制度だ
• 6. 欧州のGDPRの歯止めがかからない領域
• 7. 法案の背景説明にある海外の「アクセス・無害化」事例について
• 8. サイバー領域におけるスパイ行為は武力行使全般への入口になる
• 9. そもそもスパイとは
• 10. スパイ行為の国際法上の位置付け
• 11. 米国防総省の戦争法マニュアル
• 12. サイバースパイ行為もまたサイバー攻撃である
• 13. 最後に

1. はじめに

一般にメディアなどでは能動的サイバー防御法案などと呼ばれることが多い今国会に提出された法案の正式名称は、「重要電子計算機に対する不正な行為による被害の防止に関する法律案 及び重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案」¹と長い。以下、これをサイバー安保法案と呼ぶことにする。この法案には、新規の法案と、従来の法律に大幅な修正を加える「整備法」と呼ばれる部分に分けられる。

法案の前提になっているのは、2023年12月に閣議決定された「国家安全保障戦略」など安保3文書²と昨年11月に有識者会議がとりまとめた「サイバー安全保障分野での対応能力の向上に向けた提言」である。³ これらについては既に何度か批判的な言及をしてきている⁴ので、本稿では、これまでほとんど言及していないが、重要と思われる論点のひとつとして、今回の法案が日本によるスパイ活動の合法化につながるのではないか、という懸念に関連する問題を取り上げる。

法案の背景説明として政府は、以下の論点を挙げている。⁵

• サイバー攻撃が巧妙・深刻化し、サイバー攻撃関連通信数点被害数が増加傾向にあることからサイバー攻撃の脅威は増⼤していること
• 2024年中に観測されたサイバー関連攻撃の通信の99%以上が海外から発信
• 欧米諸国(米国、英国、オーストラリア、EU、ドイツなど)が官民連携、通信情報の利用の法制度を有していること
• アクセス無害化もすでに実行されている(米国、カナダ、英国、オーストラリア)

こうした背景から今回の法案の必要が主張されている。

今国会に提出されたサイバー安保法案⁶ については、すでに様々な論評が出されており、今後も法律の専門家などからの批判も相次ぐだろう。本稿では、この法案を念頭に置きながらもピンポイントにサイバースパイという論点に絞って「サイバー安保」の問題を考えてみたい。したがって、法案の4章と6章に該当する部分に焦点を当てることになる。⁷ 法案では、日本へのサイバー攻撃の実態把握のために、国外および国内と国外を繋ぐ通信情報を利用・分析することができるとしているが、これには「無害化」などサイバー攻撃(能動的サイバー防御)を可能にするための前段階としてのサイバースパイ行為や、「無害化」とは関係しない可能性のある広範囲にわたる情報収集行為としてのサイバー領域におけるスパイ行為に該当するものが含まれる点に注目したい。

法案の第4章では「内閣総理大臣は、国外の攻撃インフラ等の実態把握のため必要があると認める場合には、独立機関の承認を受け、通信情報を取得」として、これを合法化する。これは、外国での通信、いわゆる「外外通信」に対して、従来であれば不正アクセスなどとして犯罪化されていた行為を自衛隊や警察およびこれらと協力する民間が行なう場合には合法化するものと解釈できる。第6章では「内閣総理大臣は、国内へのサイバー攻撃の実態把握のため、特定の外国設備との通信等を分析する必要があると認める場合には、独立機関の承認を受け、通信情報を取得」を合法化する。これはいわゆる国外と国内を繋ぐ通信、いわゆる「外内通信」および「内外通信」を標的にするものであり、これもまた不正アクセスの合法化である。

こうした政府機関などによる通信へのアクセスは、たとえ公共の福祉を理由とする場合であっても憲法21条違反であると私は理解している。しかし政府は、そうは理解していないと思う。メタデータであっても、その収集は通信の秘密の侵害だと私は考えるが、政府は公共の福祉を口実に、その収集を正当化するだろう。⁸通信のコンテンツについても同様だ。こうした議論は本稿では踏み込まない。

2. 提言・法案における情報収集の意図

法案の前提となった有識者会議の「提言」では、情報収集について次のように述べている。

今般実現されるべき通信情報の利用は、重大なサイバー攻撃による被害を未然に防ぐため、また、被害が生じようとしている場合に即時に対応するため、具体的な攻撃が顕在化する前、すなわち前提となる犯罪事実がない段階から行われる必要がある。

従って「これまで我が国では存在しない新たな制度による通信情報の利用が必要」だと強調し、これが今度の法案につながることになる。盗聴法(通信傍受法⁹)が対象としているのは、特定の既遂の犯罪を対象にして捜査機関が裁判所の令状を取得して行なう行為になる。本法案における情報収集は、一面では盗聴という行為そのものについては共通するところがあるが、本法案の最も重要な意図は、犯罪が行なわれる前であっても、通信を「盗聴」可能にすること、しかも、その対象犯罪を限定するのではなく、いわゆる重要インフラに対する脅威がありうるという漠然とした要件だけで通信の情報収集を可能にするという点にある。そして更に次のようにその必要性を強調している。

「先進主要国の状況を踏まえると、我が国でも、重大なサイバー攻撃への対策（以下「重大サイバー攻撃対策」という。）のため、一定の条件の下での通信情報の利用を検討することが必要である。また検討に当たっては、安全保障の観点から、海外に依存することなく日本独自の情報収集が必要と考えられることに留意すべきである。他方で国際的な観点からも、先進主要国と連携しながら通信情報を利用することで日本は大きな役割を果たせると考えられるものであり、日本が重大サイバー攻撃対策の能力を高めることは、国際的にも要請されていると言えると考えられる。」

上の引用にある「通信情報の利用」とは、これまでの日本の法律では違法とされるような通信の秘密に該当する通信情報を政府の関係機関(警察や自衛隊など)が利用できるようにすることを意味している。「日本独自の情報収集」には二つの意味がある。ひとつは、主に米国の諜報機関に依存した情報収集の限界を暗に示し、独自の情報収集能力を強化する必要である。もうひとつは、日本が独自の情報収集能力を持つことが同盟国などからの国際的な要請として期待されている、という点だ。たぶん、現状の法制度の枠組では、日本の自衛隊が実空間における戦力として同盟国と同等の立場をとることが憲法上の制約から難しいことが前提としてあるなかで、サイバー領域における情報収集活動と、これと連動したサイバー攻撃であれば憲法の縛りが回避できる領域でもあるという判断があるかもしれない。陸海空の現実空間で自衛隊が海外に派兵される場合であれば、大きな議論になり反対運動にも直面するが、サイバー領域での遠隔地からの行動であれば、日本であってもかなりの自由がありうる、という認識が外国にもあるのかもしれない。これが「日本は大きな役割を果たせる」とか「国際的にも要請されている」といった提言の文言に象徴的に示されているように思う。

しかし、サイバー空間における日本の軍事安全保障に関わる行動を軽視するべきではなく、むしろ反戦平和運動が十分に注目できてこなかったし実感することもできず、なおかつ、多くの活動家にとっては既存のノウハウを活用することも難しい領域であるところを政府は見透し、サイバー領域を日本の軍事安全保障再構築の突破口にできると見込んでいるようにも思う。しかも、実際には、平時と思われている状況のなかでネットワークを介しての攻撃が常態化しているために、これを立法事実として利用しやすい環境にあることは事実だ。これは日本側の政府やメディアの報道では、もっぱら中国やロシア、朝鮮などの行為として日本=被害者として報じられるが、米国なども、具体的にどのような行動をとっているかは秘匿されているが、同様のサイバー攻撃を行なっていることは米国自身も隠していない。

3. 令状主義を否定するサイバー通信情報監理委員会の新設

法案では、サイバー通信情報監理委員会が新たに設置されることになっている。なぜ裁判所の令状による制度を採用しないのか。「提言」は以下のように述べている。

今般実現されるべき通信情報の利用は、重大なサイバー攻撃による被害を未然に防ぐため、また、被害が生じようとしている場合に即時に対応するため、具体的な攻撃が顕在化する前、すなわち前提となる犯罪事実がない段階から行われる必要がある。したがって、通信情報を取得しようとする時点では、いかなる具体的態様でサイバー攻撃が発生するかを予測することはできず、あらかじめそのサイバー攻撃に関係する通信手段、内容等を特定することは通常は困難であるから、犯罪捜査とは異なる形で通信情報を取得し利用する必要があり、被害の防止と通信の秘密の保護という両方の目的を適切に果たすためには、これまで我が国では存在しない新たな制度による通信情報の利用が必要とされると考えられる。

強制捜査は、人権を一定程度例外的に抑制して、私たちの自由や財産権を制限することになるので、捜査機関は強制捜査を必要とするに足る証拠を裁判所に提出し、この証拠に基いて裁判所が令状を発付することになる。この一連の過程が、本法案が想定している事態では成立しない状況が想定されている。つまり、法案が対象としている通信情報の状況とは、

• 犯罪事実がない
• 具体的な攻撃が顕在化していない
• 具体的にどのようなサイバー攻撃が発生するか予測できない
• サイバー攻撃に関係する通信手段、内容等の特定が困難

である。こうした前提で、法案では、情報収集の強制捜査を行なう必要がある、という理屈になっている。

同時に、強調されているのは、「被害が生じようとしている場合に即時に対応するため」という文言にあるように、迅速性である。裁判所の令状発付では対処が遅くなる、ということが前提になっている。上記のような前提のなかでサイバー通信情報監理委員会が公正な判断を下せる余地はないと思う。

提言の主張を法案は、法制度の体裁を整えているので、より縛りが厳しいかのような文言になっているが、実際の運用は提言が目指した線になると思う。つまり、ほぼ制約なしに通信を常時大規模に監視する体制をとる、ということだ。この法案が成立すれば、法制度上は大規模監視は可能になる。どれほどの規模で可能になるのかは、警察や自衛隊の諜報に関する技術と民間通信事業者やセキュリティ企業などの協力にかかってくる。これが法案の官民連携に関する部分になる。そして本稿では十分に言及できないが、捜査機関等が取得する通信情報の暗号化の状況が重要な鍵を握ることにもなる。日本政府が米英などの政府とともに長年画策してきた暗号利用の弱体化が制度化される危険性にはもっと注目しておく必要がある。¹⁰

こうした前提のなかでサイバー通信情報監理委員会が強制捜査、つまりネットワークへの侵入行為の可否を判断するということになる。結果として監理委員会は、かなり幅広くネットワークへの侵入を許可することにならざるをえないだろう。令状主義¹¹が形骸化していることはよく知られているが、それだけでなく、監理委員会制度は、警察などの強制捜査へのチェックを骨抜きしつつ対外的にはあたかも第三者(？)のチェックが働いているかのような体裁がつくろわれることになる。とりわけ外外通信は、日本の有権者にとって直接の利害がないかのようにみえるために、外国の通信なら――ましてや中国やロシアや朝鮮なら当然のこと――スパイしてもよいのではないか、外国の諜報機関でもやっていることだから、日本でできないのはおかしい、などという意見が出やすい。こうした意見が排外主義と憎悪を扇動する世論形成につながってゆく。

4. 情報収集の対象が国外であることの意味

法案そのものでは、情報収集についてどのように記載されているのだろうか。

法案では、情報収集活動については、新法4章と6章に記載がある。4章は送受信がともに国外であり、日本国内を経由する「外外通信送信目的措置」を規定して以下のような記述になっている。

第十七条　内閣総理大臣は、外外通信…であって、重要電子計算機に対する国外通信特定不正行為のうちその実行のために用いられる電子計算機、当該電子計算機に動作をさせるために用いられる指令情報その他の当該国外通信特定不正行為に関する実態が明らかでないために当該国外通信特定不正行為による重要電子計算機の被害を防止することが著しく困難であり、かつ、この項の規定による措置以外の方法によっては当該実態の把握が著しく困難であるものに関係するものが、特定の国外関係電気通信設備…を用いて提供される事業電気通信役務が媒介する国外関係通信に含まれると疑うに足りる場合において、必要と認めるときは、当該国外通信特定不正行為に関する第二十二条第二項に規定する選別の条件を定めるための基準…を定め、サイバー通信情報監理委員会の承認を受けて、当該国外関係通信により送受信が行われる媒介中通信情報…の一部…が複製され、内閣総理大臣の設置する設備…に送信されるようにするための措置…を講ずることができる。

上記では「実態の把握」が主目的とされており、これは情報収集行為になり、しかも、ここでは相手国のコンピュータ等への侵入については、当事国の国内法上の手続きを無視しており、同意によらない通信情報の収集である。これらは国際法上のスパイの定義に該当する行為になる。

興味深いのは、不正行為の実態が明かではないが不正行為がありうるという推測が可能な場合を想定している。この想定は、サイバー領域における技術的な手段だけで判断できる場合だけとは思われない。いわゆる地政学的な背景や国家安全保障の戦略的な要請から判断されるとみていいだろう。

送受信の一方が国内の場合は「外内通信」あるいは「内外通信」と呼ばれて、第32条、33条に規定がある。いずれも「外外通信」とほぼ同じ規定である。法案は「内内通信」は対象になっておらず、「国内通信特定不正行為」も対象ではない。純粋に国内を対象としたスパイ活動は、一般にどこの国にあっても原則認めていない。日本の場合、純粋に国内の通信を標的とした情報収集を行なうことになれば憲法の「通信の秘密」の侵害が甚大であり違憲であることは明白だから、法案に盛り込まなかったのだろうか。それとも盗聴法の拡充などで対処可能とみて今回は見送ったのだろうか。¹²

もうひとつの論点として、法案が定めている情報収集期間が半年と非常に長い点もスパイ活動を想定している理由になる。新法17条3項で「外外通信目的送信措置を講ずることができる期間…は、六月とする」としている。内外通信、外内通信の場合は3ヶ月である。いずれも延長が可能だ。これは、サイバー攻撃がかなり切迫した段階での情報収集とは考えられず、むしろ常時情報収集を行なうことを前提としているとみていい。この点からも情報収集に力点が置かれており、本法案がスパイ法案であることを裏づけるものだ。

5. 諸外国の法制度とは情報機関関連の法制度だ

法案の説明文書や提言などで繰り返し言及されている諸外国の制度について、簡単にみておこう。

日本政府が肯定的に参照している諸外国の法制度は、これまでも繰り返しその人権侵害的な制度であるとして批判されてきたものだ。たとえば、

• 英国・調査権限法 JCA-NETも署名した国際声明「英国政府によるエンド・ツー・エンド暗号化を標的とした捜査権限法の使用に関する共同書簡」では、調査権限法によるAPPLEへのユーザー監視命令が大問題になった。¹³調査権限法は、EU司法裁判所からEU法違反と判決された。¹⁴また、プライバシー・インターナショナルからの批判¹⁵など人権団体からも批判されてきた。
• 米国・外国情報監視法(FISA)¹⁶ 国外にいる外国人のみを標的にして令状なしでの情報収集を認めたものだが、実際には米国人への監視ツールとして利用されてきた。人権団体が繰り返し違憲として提訴。¹⁷令状なしの情報収集を違憲とする判決もでている。バイデン政権は、FISAをはじめとする監視法制の改悪を繰り返してもいる。
• ドイツ・連邦情報局法 米国のNSAに情報を提供していたことで批判される。2020年段階で以下のように指摘されている「BNDは、他のシークレットサービスと同様に、フランクフルト／マインにあるDe-Cixのようなインターネットノードで大量のトラフィックデータを迂回させることで、オンライントラフィックを監視している。BNDは1日に最大1兆2000億の接続を分岐させることができる。そしてBNDは、電子メールアドレスや電話番号、デバイス番号など、いわゆるセレクタの助けを借りて、得られたデータを検索する。」¹⁸ ドイツの最高裁判所はBNDがドイツ国外で外国人の通信を盗聴することを認める法律違憲と判決している。¹⁹

このように、法案が前提としている諸外国の法制度は、諜報機関に関連する法制度であって、到底私たちが納得できる枠組とはなっていない。特に注目すべきこととして、いずれの国においても、見た目の制度ではある程度プライバシーに配慮しているような文言で飾られていても、実際の運用は、法を容易に逸脱したものになっており、これを押し止めるには、この運用実体を突き止め証拠を集め裁判で勝利して、やっと司法の判断としての歯止めへの可能性が開かれ、そこから更に実際の法制度の修正へと向うことが可能になる。

もうひとつの注目点は、いずれの法制度も、自国民あるいは自国の領土内にいる人々と外国にいる人々などいくつもの区別を設けて、比較的広範囲に組織の裁量を大幅に認めた監視を合法とする枠組があることだ。多くの場合、自国民に対して自国の政府が憲法に保障されているプライバシーや通信の秘密を侵害するような法執行権力を行使することには批判が集中しやすく困難なために、もっぱら外国を標的とした情報収集を合法化する枠組を作ろうとする。そして、この枠組を巧妙に利用して自国民への監視にも転用しようとする。この意味で、ドイツ最高裁は外国にいる外国人対象の情報収集も違憲としたのは注目すべきことかもしれない。

日本の今回の法案も、通信を国境を越えるケースと日本国内で完結するケースに分けるなどで、あたかも日本国内の「国民」を標的にした通信の秘密への介入にはあたらないかの体裁を整えようと苦労している。今回は言及しないが、こうした区別はほどんど意味をもたないと思う。網羅的な情報収集は回避できないとみておく方がいい。

法案の背景説明で参照されている海外の法制度は、多かれ少なかれ国家の諜報機関に関わる制度である。諜報機関の活動は、例外的に、違法な情報収集を適法とする枠組を前提として活動する。日本には諸外国と同様の諜報機関が制度として明確にされておらず、国家による情報活動、つまりスパイ活動についても法的な枠組がないようにみえる。そのために、市民運動においても国会の議論においても、日本の政府による情報収集活動と法の枠組との関係が真剣に議論されてこなかったかもしれない。

6. 欧州のGDPRの歯止めがかからない領域

この問題の重要性は、国家安全保障に関する情報収集の場合は、一般の個人情報保護やプライバシーの権利の枠では対応できない領域に属する、ということがある。たとえば、日本でも評価が高い欧州の一般データ保護規則(GDPR)²⁰ですら対処できていない領域になる。GDPR23条は、例外規定を定めている。

データの管理者若しくは処理者が服する EU 法又は加盟国の国内法は、その制限が基本的な権利及び自由の本質的部分を尊重するものであり、かつ、以下の対象を保護するために民主主義社会において必要かつ比例的な措置である場合、第 12 条から第 22 条に定める権利及び義務に対応するそれらの法律の条項範囲内で、立法措置によって、第 12 条から第 22 条及び第 34 条並びに第 5 条に定める義務及び権利の適用範囲を制限できる

個人情報の権利を制限することができる場合として、国家安全保障、防衛、公共の安全などを列挙しているのだが、「公共の安全への脅威からの保護及びその防止を含め、犯罪行為の防止、捜査、検知若しくは訴追又は刑罰の執行」も対象にされており、政府の政策によってはGDPRのこの例外条項が悪用される可能性があると思う。したがって、本法案が前提としている国家安全保障関連の事案という法の立て付けを前提にしたとき、EUのGDPRですら例外とせざるをえない領域になる。

民主主義を標榜するどこの国においても、国家安全保障は別枠とされて基本的人権や自由の権利を特別に規制し抑圧することを国家権力の正当な行使として認めている。国家安全保障と人権とは相反関係にあることを忘れてはならない。だから、今回の法案に関連して私たちが、立脚すべき観点は、

• 国家安全保障を口実に人権保障を弱体化させるべきではない
• 国民か国民ではない人か、あるいは領土内か外か、といった区別を否定し、人間としての普遍的な権利の平等を前提とする

という観点だろう。日本の野党も国家安全保障を否定するだけの度胸がない。しかし、私たち民衆の安全は国家によっては保障しえないことは、国家が引き起してきた紛争や戦争の経験から私たちはよく知っているはずのことだ。サイバーの領域も同様である。民衆のサイバーセキュリティを確立することこそが現在の「サイバー攻撃」の横行への唯一の回答になるべきものだと思う。

7. 法案の背景説明にある海外の「アクセス・無害化」事例について

法案の背景説明として、2024年中に観測されたサイバー関連攻撃の通信の99%以上が海外から発信である点が強調されている。²¹ つまり、攻撃元は海外にあり、この標的を日本側から「無害化」=攻撃する場合が中心になる。この場合、日本のどの組織がサイバー領域における海外での攻撃行為(無害化)の主体となりうるのかが問題になる。法案では、自衛隊と警察がおおむね並列されるようだが、いずれであれ、国外において、違法なアクセスとハッキング攻撃を行なうことなしには無害化はありえない。法案審議では、有権者を念頭において国内の「国民」のプライバシーなどに焦点があてられた議論になるかもしれないが、法が実際に目指しているのはむしろ国外の事例になる。そうなると「国外ならいいんじゃないの」という的外れなナショナリスト野党の声が聞こえてきそうだ。果してそうだろうか。

しかし法案説明の文書では、たった1行づつの記載だが、自国内での無害化のケースが例示されている。国内「無害化」の事例として、米国でのVolt Typhoon対策がとりがげられている。Volt Typhoonは最近起きた米国内の事件で、悪質なコードを組み込まれたルーターなどの機器が米国内に数千台の規模で存在したために、国内で無害化措置がとられた。²²この措置にはFBIとNSA、つまり警察と国防総省の両方が関与している。Volt Typhoonは、「アメリカの民間重要インフラを標的にし、紛争が発生した場合にアメリカ市民や地域社会に実害をもたらすよう事前に準備」したものだと米国司法長官は判断している。²³長期にわたり情報収集を目的に、ルーターなどの脆弱性を利用して潜伏していたプログラムとみられ、具体的な実害としてどのような攻撃があったかは不明だ。米国などはこれを中国によるものと判断しているが、中国側は否定している。²⁴ 法案の解説でこの事例が取り上げられているのは、FBIとNSAとの連携であること、実害はなくても無害化措置をとった事例であることなど、今回の法案が目指すシナリオにとってうってつけだったことがあるかもしれない。²⁵

法案説明資料でこのケースが例示されている理由は、自国内でも実施できるということ、実害がなくても実行可能であること、警察と軍の諜報機関が連携しているなど、本法案が意図している場合に合致しているからだろう。しかし、不都合なことは説明文書には明記されていない。Volt Typhoonの無害化措置のために、裁判所の令状を取得して実行可能になったケースなのだ。この裁判所の許可には言及されていない。

もうひとつの事例として紹介されているのは、カナダのケースだ。こちらについては、「政府ネットワークからの情報窃取防⽌⽬的で、攻撃者の海外サーバに対する無害化措置」と紹介されている。このケースの詳細を私は把握できていない。カナダの通信セキュリティ局(Communications Security Establishment CSE)のウエッブでは「積極的サイバー作戦」として「カナダに対する外国の脅威の能力を混乱させるオンライン行動をとることができる」として、標的は、外国のテロリスト・グループ、外国のサイバー犯罪者、敵対的諜報機関、国家に支援されたハッカーであり、これらの集団のの通信デバイスを無効化することによって通信や攻撃計画を阻止することだとしている。²⁶こうしたCSEの無害化措置を高く評価しているようにみえるが、実際には、CSEによる情報収集は長年にわたって秘密裡にしかも広範囲に行なわれてきており、その人権侵害が問題視されてきた側面は考慮されていない。²⁷

8. サイバー領域におけるスパイ行為は武力行使全般への入口になる

政府側の法案の背景説明で参照されている海外の組織などから推測して、日本政府が海外の諜報機関の活動に特段の関心を寄せ、同種の活動を日本政府も実施可能な法制度を模索しているのではないかと私は推測している。

しかし、各国とも諜報活動の基盤には軍による活動があり、軍事安全保障との関連が制度化されていなければならないが、日本には軍法がないように、諸外国と同等の法的な基盤がない。にもかかわらず、強引にサイバースパイのための法制度を捩じ込む今回の法案は、日本の法体系と法の支配の下にある政府機関全体を大きく毀損することになる。

同時に、外国と日本国内の居住者との間の通信(外内通信、内外通信)のように一方が日本国内にある場合であっても情報収集の対象となることも問題だ。たぶん米国の愛国者法の制定にみられるように、対テロ戦争とグローバルなインターネットの仕組みを前提とした場合、もはや国内の住民と国外にいる敵対的なアクターとを区別すること自体が不可能になっており、結果として国内の人々への監視が正当化されてきた。今回の法案もこうした流れを受けて、内内通信のみをかろうじて対象にしていないような体裁をとっているが、実際にこの区別は意味をなさないと思われる。

諜報活動の法制度化、とりわけサイバー領域における諜報活動は、政府にとっては国家安全保障の軍事体制整備の突破口として格好の条件を備えている。諜報活動は、憲法9条の武力行使や武力の威嚇とはみなされないであろうということ、また日本の反戦平和運動が主要に関心を寄せている領域でもないだろう、ということがある。しかも、諜報活動の主要なターゲットは海外であり、多くの場合が外国の人々であるという口実によって、たとえ日本国内との通信であっても標的は外国であるかの体裁がとりやすく、「通信の秘密」侵害という批判をかわしやすい。こうして情報収集活動は、あたかも有権者の利害に直接関わらないという言い訳に騙されやすい。こうした状況から政府は、日本「国民」に対して憲法上の制約があるような通信の秘密やプライバシーに関しても、ある種の例外規定としてなら容認されやすいと踏んでいるのかもしれない。しかし、実際には、諸外国の例にあるように、いったん法整備が進めば、国籍とか居住地などとは無関係に、事案に応じて、すべての人々の全ての通信の秘密が侵害されるような仕組みが制度化される。このことは政府が参照している欧米諸国のいずれにおいても見られる問題として、どこの国でも、人権団体などが裁判も含めて強く批判してきた事柄である。

9. そもそもスパイとは

これまで定義もなくスパイという言葉を使ってきたが、定義をある程度確認しておこう。国際法上スパイを定義した最も古い条約がハーグ陸戦法規慣例条約(1910年発効)だとおもわれる。この条約にスパイ(間諜)について次のように規定されている。

第二章 間諜 第29条:交戦者の作戦地域内において、敵勢力に通諜する意志をもって、隠密に、または虚偽の申告の下に行動して、情報の蒐集をしようとする者を間諜とする。故に、変装せずに、軍人として情報収集の為、敵軍の作戦地域内に侵入した者は間諜と認めない。軍人であるか否かに係わらず、自軍または敵軍宛の通信を伝達する任務を公然と執行する者も間諜と認めない。 第30条:間諜の現行犯は裁判を経て罰しなければならない。 第31条:所属する軍勢に復帰後に捕らえられた間諜は、俘虜として取り扱い、復帰前の間諜行為を罪に問うことはできない。

スパイの要件は

• 秘密または身元を偽って行動すること
• 情報収集を目的とすること

である。この規定は非常に古いが、サイバー領域におけるスパイ活動についてもしばしば引用される。たとえば、NATOのTallin Manualのなかの「平時におけるサイバースパイ活動Cyber Espionage」におけるサイバースパイの定義は「サイバー能力を秘密裏に、または嘘の口実を使用して情報を収集する、または収集を試みる行為を指す」(ルール32)とあり、ハーグ陸戦慣例条約をそのまま踏襲している。

サイバースパイ行為をTallin Manualは三つの場面に分けている。

• 物理層 製造過程でハードウェアにコードを挿入し、その後遠隔操作を可能にしたり、通信ケーブルを介して送信されるデータを傍受目的で特定の国にリダイレクトしたりする。
• 論理層 脆弱性を利用する。通信を監視するように設計されたマルウェアによる悪用。
• ソーシャル・エンジニアリング 人を騙してアクセスに必要な認証情報などを取得する。フィッシング、スピアフィッシング、およびホエーリングなど。

法案はこうした行為を具体的に特定しておらず、事実上どの手法を使うことも禁じていないともとれる。本法案との関連でいえば、本法案は

• 外国において、秘密に、あるいは偽装して行動することを許すような規定があるか
• 上記の条件のもとで秘密裡に情報収集を許す規定があるか

が鍵になる。たとえば、法案第四章「外外通信目的送信措置」で、国外にあるサーバーなどへの侵入による情報収集だろう。法案には、サーバーを設置している国への通知などの義務付けはないので秘密裡の行動ということになる。当然のこととして標的に感知されないようネットワークを管理しているシステムを何らかの方法で騙すことによって侵入を図ることになるが、これも禁じられていない。

例示されていたVolt Typhoonのような場合を念頭に置くとすると、日本国内においても警察などのハッキングや合法マルウェアなどスパイ活動を合法化する枠組が必要になるだろう。いわゆるおとり捜査の拡大傾向がすでにあるなかで、本法案はこの動きを加速化することになるかもしれない。

10. スパイ行為の国際法上の位置付け

他国において、その主権の範囲内で、その国の了解を得ることなく、事実上の違法行為を行なうことは、その国の法律に違反しているという意味では犯罪行為になる。しかし、だからといって国際法上も違法とはいえない、というのがスパイに関する国際法の主流の考え方のようだ。つまり、他国の領域内でのスパイ行為は国際法上禁じられていないという解釈が支配的だ。とはいえ、スパイ行為の手段によっては、国際法に違反する場合もありうるとしている。²⁸

あるいは、ある国家の領域内のスパイが密かに標的とするコンピュータに物理的に接触してUSBを挿入してマルウェアなどをインストールする場合(いわゆる「接近型サイバー作戦」とも呼ばれる)が合法か違法かについても議論が分れるようだ。専門家の多数意見は、こうした場合は主権侵害とみなしてはいる。²⁹

残念なことだが、スパイ行為に関する限り、国際法は味方にはなりえない可能性が高い。国際法が国家の自衛権を認めているために、9条を完全非武装の宣言として読むことの助けに国際法を持ち出せないのと似た状況がある。

11. 米国防総省の戦争法マニュアル

米国の国防総省の戦争法マニュアル³⁰は、主に戦時を前提としたマニュアルだが、平時における諜報活動についての言及がある。³¹

平時における情報および防諜活動。国際法および長年にわたる国際規範は、サイバー空間における国家の行動にも適用可能であり、平時における情報および防諜活動の合法性に関する問題は、ケースバイケースで検討されなければならない。一般的に、サイバー作戦が、単に情報を取得する目的でのコンピュータ・ネットワークへの不正侵入といった、伝統的な諜報および防諜活動に類似する範囲においては、そのようなサイバー作戦は国際法の下でも同様に扱われる可能性が高い。米国はサイバー空間を通じてそのような活動を実施しており、そのような作戦は、それらの作戦が敵対行為と解釈される可能性も含め、長年にわたって確立された考慮事項によって管理されている。

ここに明言されているように、米国は「単に情報を取得する目的でのコンピュータ・ネットワークへの不正侵入」を実施してきたとしている。このことはスノーデンの暴露で誰もが知っていることでもある。もしそうであるなら、「同盟国」を標榜する日本が同種のネットワークへの不正侵入を行なおうとする動機がない方が不自然ではないだろうか。ここで問題になるのは、日本は、米国のような諜報活動の法整備がなされていない、という点だ。だからこそ日本政府は法整備を急いでいるといえる。

多くの国が軍隊を擁し、それと不可分一体のものとして諜報活動を展開する制度的な枠組をもっていたのに対して、日本の自衛隊は対外的な武力行使に焦点を宛てた組織という体裁をとることができてこなかった。しかし、自衛隊がますます他国との軍事同盟の一翼を担うようになってきてしまった現在、日本だけでなく共同して作戦に臨む同盟国の実力部隊の行動を支える情報収集は必須の条件になりつつある、というのが政府の認識なのだろう。

12. サイバースパイ行為もまたサイバー攻撃である

実空間におけるスパイ行為は、武力行使や威嚇とは一線を画すもので、いわゆる武力攻撃にはあたらない、というのが常識的な判断だろう。そして、この判断をそのままサイバー領域におけるスパイ行為にも当て嵌めてしまうために、サイバースパイがサイバー攻撃なのかどうかという重要な問題をきちんと問うことなく、サイバースパイはサイバー攻撃ではないと決めつけがちだ。しかし、現実はかなり複雑だ。本法案も、その前提になる「提言」においても、日本が行使する違法・不正なネットワークへの侵入やシステム破壊行為は「攻撃」と呼ばれていない。しかし、他方で、外部からは様々な「サイバー攻撃」が繰り返されていることもまた強調され、これが立法事実として重視されてもいる。同じ行為でも、「敵」がやれば「攻撃」であり、自分たちがやれば「アクセス・無害化」と呼ぶ、というのは欺瞞でしかない。

暗号とセキュリティの専門家のブルース・シュナイアーはアトランティック誌への寄稿³²のなかで興味深い観点を示している。

中国がスパイ目的で米国のコンピューターネットワークに侵入しているという報道が最初に報じられたとき、私たちもかなり強い表現でそれを表現した。私たちは中国の行為を「サイバー・攻撃」と呼んだ。時には「サイバー戦争」という言葉さえ使ったし、サイバー攻撃は「戦争行為」であると宣言した。

エドワード・スノーデンが、NSAが中国とまったく同じことを世界のコンピューターネットワークに対して行っていることを暴露した際、私たちは米国の行動を表現するのに、スパイ行為、情報収集、スパイといった、より穏健な言葉を使用した。私たちは、これは平時に行われる活動であり、誰もがやっていることだと強調した。

同じことでも「敵」がやれば攻撃や戦争行為とみなし、味方がやれば、情報収集とかスパイ行為といった穏健な表現を選択する。シュナイアーはこうした言説のアンバランスを指摘した上で、では、スノーデンもやっていたであろうスパイ行為は「サイバー攻撃」なのかどうかと問う。シュナイアーによれば、米軍はコンピュータ・ネットワークへの侵入を意味するCNE(Computer Netwaork Exploit) とネットワークの無効化や破壊を意味するCNA(Computer Netwaork Attack)を区別しているという。これは、本法案でいう「アクセス・無害化」とちょうど対応する。アクセスとはCNEであり無害化とはCNAである。この区別はあくまでネットワークに侵入する側に即した分類であり、侵入される側からすれば、CNEであってもサイバー攻撃とみなすだろう。だから、日本のこれまでのサーバーセキュリティに関する様々な報告はCNEもCNAもともに「サイバー攻撃」として一括して統計に入れてきたのではないか。攻撃を受ける側は、攻撃者の意図はわからない場合が多い。つまり単なる情報収集なのか、この情報収集が将来の攻撃に結びつくものとして計画されているのかは、攻撃者側もその意図を隠すから受け手がわかるはずもなく、結局は、文字どおりの意味での攻撃でありうることとして理解する方が防護の観点からは安全だ、という考え方になるだろう。

つまり、防護する側からすれば、ネットワークをより安全なものに保つためには、CNAだけではなくCNEもまた防ぐ必要があるということになる。CNEもCNAもともにネットワークをリスクに晒すのであれば、そうした行為を政府が行うことは許されていいのだろうか。シュナイアーはサイバースパイ行為も明確にサイバー攻撃として国際法上の制約を課すべきだと指摘しているが、米国のスパイ行為を禁止すべきだとは主張していない。しかし私は、むしろどこの国であれスパイ行為を禁止することなしには、CNAを阻止することもできないと思う。問題は、すでに軍隊がありサイバー部隊を組織している多くの国の現実を与件としてしまえばスパイ行為の禁止は、単なる理想論として退けられてしまうだろう。不正アクセスによる情報収集が未だに国家の権利として制度化されていない日本には空論に終らせないかろうじての手掛かりがあるのだが、それが今失われようとしている。

13. 最後に

本法案が目指しているのは、日本政府が批判している外国政府による「サイバー攻撃」を日本もまたより高度な技術を駆使して実践できるような合法性の枠組を構築することである。

こうした日本政府の方向は、一見すると武力行使とは無縁にみえるサイバースパイ行為を通じて、より一層深刻な武力紛争に日本が加担することを選択している、ということを見抜く必要がある。私たちがとるべき唯一の方向は、これとは真逆でなければならない。国家のサイバースパイ行為は、その対象が外国であったとしても、必ず自国内部とも関わりをもつことになる。人と人との繋りが国境を越えているグローバルなネットワークの現実を軽視してはいけない。しかも、自国民の「通信の秘密」が守られるのであれば、自国による他国の人々への人権侵害を容認するというような立場はとるべきではない。とりわけ立法府の議員は有権者の「票」に影響されやすく、自国中心主義をとりがちだが、グローバルな人々の安全を脅かし、国境を越えて連帯と相互扶助によって紛争に立ち向かおうとする人々の努力に敵対することが、国籍のいかんにかかわらず全ての人々のサイバー領域におけるセキュリティの脅威になることを自覚すべきだ。国家安全保障や「サイバー攻撃」の脅威などの宣伝に惑わされることなく、サイバースパイ行為を一切させるような権限を国家に与えてはならない。サイバースパイの後ろに控えているのは、無害化などと微温い言葉遣いでごまかしているが、人々の言論表現の自由を支える通信への大量監視であり、これが選挙や世論を左右し、更にその後に控えているのは、深刻な武力行使にも相当しかねないサイバー攻撃である。サイバー安保法案は、自衛隊を含む国家安全保障に組み込まれた武力行使や威嚇を可能にするサイバーと実空間との軍事的に統合された構造を民間も含めて構築してゆく突破口である。こうした傾向全体を転換することが必要であり、この転換のためには、日米の軍事同盟やグローバルな監視社会のシステムを覆す闘いが必要になる。そのためにもサイバースパイを許すような法制度は一切認めるべきではない。

Footnotes:

¹

https://www.cas.go.jp/jp/houan/217.html

²

内閣官房 https://www.cas.go.jp/jp/siryou/221216anzenhoshou.html

³

「サイバー対処能⼒強化法案及び同整備法案について」内閣官房サイバー安全保障体制整備準備室、2025/2 https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/pdf/setsumei.pdf

⁴

私のブログを参照。https://www.alt-movements.org/no_more_capitalism/

⁵

内閣官房サイバー安全保障体制整備準備室のウエッブに掲載されている「説明資料」 https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/pdf/setsumei.pdf

⁶

正式名称は「重要電子計算機に対する不正な行為による被害の防止に関する法律案」と「重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案」である。この二つを合わせて便宜上「サイバー安保法案」と呼ぶ。政府はこれらを「サイバー対処能力強化法案及び同整備法案」と呼んでいる。法案関連は内閣官房のウエッブに掲載されている。https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/index.html

⁷

第四章「外外通信目的送信措置」、第六章「で外内通信目的送信措置及び特定内外通信目的送信措置」

⁸

たとえば、総務省は通信の秘密の範囲について、「通信の秘密とは、①個別の通信に係る通信内容のほか、②個別の通信に係る通信の日時、場所、通信当 事者の氏名、住所、電話番号等の当事者の識別符号、通信回数等これらの事項を知られることによって 通信の存否や意味内容を推知されるような事項全てを含む。」と説明している。電気通信事業法及び通信（信書等を含む）の秘密 https://www.kantei.go.jp/jp/singi/titeki2/tyousakai/kensho_hyoka_kikaku/2018/kaizoku/benkyoukai/siryou4.pdf

⁹

https://laws.e-gov.go.jp/law/411AC0000000137

¹⁰

英国でiPhoneユーザーはクラウドの暗号化機能が使えなくなることが大きな波紋を呼んでいる。もし現在上程されているサイバー安保法が成立した場合、同じことが日本でも起きる可能性がある。この件については、以下の声明を参照。「英国政府によるエンド・ツー・エンド暗号化を標的とした捜査権限法の使用に関する共同書簡」 https://www.jca.apc.org/jca-net/ja/node/436 今回の措置は、英国の捜査権限法に基くものだ。この捜査権限法は本法案においても政府が外国の法制度として参照しているもののひとつである。2020年に英国、日本、米国など7ヶ国が共同で「エンドツーエンド暗号化及び公共の安全に関するインターナショナル・ステートメント」を出し、暗号化の規制を求めた。外務省「エンドツーエンド暗号化及び公共の安全に関する インターナショナル・ステートメント」https://www.mofa.go.jp/mofaj/la_c/sa/co/page22_003432.html%E5%8F%82%E7%85%A7。 今回の英国の措置は、この線に沿ったものともいる。この7ヶ国声明に対しては当時、以下の抗議声明が出されている。「暗号規制に反対します―日本政府は「エンドツーエンド暗号化及び公共の安全に関するインターナショナル・ステートメント」から撤退を!!」https://www.jca.apc.org/jca-net/ja/node/104

¹¹

憲法35条「第三十五条 何人も、その住居、書類及び所持品について、侵入、捜索及び押収を受けることのない権利は、第三十三条の場合を除いては、正当な理由に基いて発せられ、且つ捜索する場所及び押収する物を明示する令状がなければ、侵されない。 (2)捜索又は押収は、権限を有する司法官憲が発する各別の令状により、これを行ふ。 」https://laws.e-gov.go.jp/law/321CONSTITUTION/#Mp-Ch_3-At_35

¹²

「外内通信」については以下のように規定されている。

第三十二条　内閣総理大臣は、外内通信であって、重要電子計算機に対する国外通信特定不正行為に用いられていると疑うに足りる状況のある特定の国外設備を送信元とし、又は当該国外通信特定不正行為に用いられていると疑うに足りる状況のある特定の機械的情報…が含まれているもの…の分析をしなければ当該国外通信特定不正行為による重要電子計算機の被害を防止することが著しく困難であり、かつ、この項の規定による措置以外の方法…によっては当該特定外内通信の分析が著しく困難である場合において、必要と認めるときは、この項の規定による措置により取得通信情報を取得した場合における第三十五条第二項に規定する選別の条件を定めるための基準…を定め、サイバー通信情報監理委員会の承認を受けて、国外関係電気通信事業者の設置する特定の国外関係電気通信設備であって当該国外関係電気通信設備を用いて媒介される国外関係通信に当該特定外内通信が含まれると疑うに足りるものにより送受信が行われる国外関係通信媒介中通信情報が複製され、受信用設備に送信されるようにするための措置…を講ずることができる。

「内外通信」については以下のように規定されている。

第三十三条　内閣総理大臣は、内外通信…であって、重要電子計算機に対する国外通信特定不正行為に用いられていると疑うに足りる状況のある特定の国外設備を送信先とし、又は当該国外通信特定不正行為に用いられていると疑うに足りる状況のある特定の機械的情報が含まれているもの…の分析をしなければ当該国外通信特定不正行為による重要電子計算機の被害を防止することが著しく困難であり、かつ、この項の規定による措置以外の方法によっては当該特定内外通信の分析が著しく困難である場合において、必要と認めるときは、当該措置により取得通信情報を取得した場合における同条第二項に規定する選別の条件を定めるための基準…を定め、サイバー通信情報監理委員会の承認を受けて、国外関係電気通信事業者の設置する特定の国外関係電気通信設備であって当該国外関係電気通信設備を用いて媒介される国外関係通信に当該特定内外通信が含まれると疑うに足りるものにより送受信が行われる国外関係通信媒介中通信情報が複製され、受信用設備に送信されるようにするための措置…を講ずることができる。

¹³

https://www.jca.apc.org/jca-net/ja/node/436

¹⁴

CNN「英の調査権限法は「違法」、プライバシー侵害　欧州司法裁」 https://www.cnn.co.jp/world/35094148.html

¹⁵

https://privacyinternational.org/advocacy/5085/pis-submission-independent-review-investigatory-powers-act-2016

¹⁶

概要は https://crsreports.congress.gov/product/pdf/IF/IF11451 機械翻訳 https://cryptpad.fr/pad/#/2/pad/view/W+786RMzaTZpdGJRt1UI1Yf8uPHW5ohzmfCXmiWn3w0/

¹⁷

たとえば米国自由人権協会は数回にわたって提訴している。https://www.aclu.org/warrantless-surveillance-under-section-702-of-fisa 機械翻訳 https://cryptpad.fr/pad/#/2/pad/view/uvr22oiE7Abwjh7cxN6nrRFg2puLF88+AzgrqnADnHs/ また電子フロンティア財団は令状なしの情報収集を違憲とする判決を勝ち取っている。https://www.eff.org/deeplinks/2025/01/victory-federal-court-finally-rules-backdoor-searches-702-data-unconstitutional 機械翻訳 https://cryptpad.fr/pad/#/2/pad/view/LIx+5-2fxRpT1Yzg0FGGMqHf7pMVXlLnNCGzASUTUzU/

¹⁸

https://tuta.com/ja/blog/bnd-german-surveillance-unconstitutional

¹⁹

https://www.bbc.com/news/world-europe-52725972

²⁰

日本語訳 https://www.ppc.go.jp/files/pdf/gdpr-provisions-ja.pdf

²¹

内閣官房 サイバー安全保障体制整備準備室 による説明スライド。https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/pdf/setsumei.pdf

²²

https://www.cnn.com/2024/01/29/politics/fbi-doj-chinese-hacking-us-infrastructure/index.html https://www.washingtonpost.com/national-security/2024/01/31/china-volt-typhoon-hack-fbi/

²³

https://www.justice.gov/usao-sdtx/pr/us-government-disrupts-botnet-peoples-republic-china-used-conceal-hacking-critical

²⁴

https://www.globaltimes.cn/page/202404/1310584.shtml https://www.cverc.org.cn/head/zhaiyao/futetaifengEN.pdf

²⁵

ちなみに、同様のケースが日本で生じた場合、裁判所の令状になるのか監理委員会の承認で済まされるのか、法案の組み立てをさらに検討する必要がある。

²⁶

https://www.cse-cst.gc.ca/en/mission/cyber-operations

²⁷

「CSEの任務は、シグナルインテリジェンスとサイバーセキュリティの2つに大別される。CSEは、国防大臣が発行する機密の「大臣権限」と「大臣指令」によってスパイ権限を与えられている。この認可は、CSEが通信、通信に関するメタデータ、その他の電子データを入手・保存するための広範な範囲を定めている。」https://bccla.org/2022/12/pulling-back-the-curtain-on-canadas-mass-surveillance-programs-part-one-a-decade-of-secret-spy-hearings/

²⁸

Tallin Manyualは次の例を挙げている。「例えば、ある国家の機関がデータを抽出するために、機能停止を招くような形で他国のサイバーインフラに侵入した場合、専門家によれば、そのサイバースパイ活動は後者の国家の主権を侵害することになる。同様に、スパイ目的のサイバー作戦が国際的なプライバシーの権利（規則35）を侵害する場合、そのサイバースパイ活動は違法となる。」

²⁹

Tallin Manyual ルール32、パラ5。

³⁰

DoD, Law of War Manual https://media.defense.gov/2023/Jul/31/2003271432/-1/-1/0/DOD-LAW-OF-WAR-MANUAL-JUNE-2015-UPDATED-JULY%202023.PDF

³¹

DoD, Law of War Manual, p.1029

³²

There’s No Real Difference Between Online Espionage and Online Attack

Date: 2025/2/22

Author: toshi

Created: 2025-03-03 月 12:06

Validate

Table of Contents

能動的サイバー防御批判(有識者会議資料に関して)その1

• 1. (承前)サイバー安全保障分野での対応能力の向上に向けた有識者会議
  • 1.1. (スライド5) 国家安全保障戦略（抄）
    • 1.1.1. 先制攻撃そのもの
    • 1.1.2. 国策に従属させられる民間企業
  • 1.2. (スライド6) 内閣サイバーセキュリティセンター（NISC）の強化
    • 1.2.1. 莫大な経費？
    • 1.2.2. 戦時と非戦時という漠然として領域
  • 1.3. (スライド7) 全体イメージ
    • 1.3.1. 「社会の安定性」とは何なのか
    • 1.3.2. 無害化という名の攻撃
  • 1.4. (スライド8) 主要国における官民連携等の主な取組
    • 1.4.1. ゼロデイ攻撃
    • 1.4.2. 脅威ハンティングとは
  • 1.5. (スライド9) 主要国における通信情報の活用の制度概要
  • 1.6. (スライド10) 外国におけるアクセス・無害化に関する取組例
    • 1.6.1. FBIによるハッキング捜査
    • 1.6.2. 中国犯人説をめぐる攻防
    • 1.6.3. なぜVolt Typhoonにこだわるのか
    • 1.6.4. 日本でも米国のような捜査手法は可能か
  • 1.7. (スライド11) 現行制度上の課題
    • 1.7.1. 政府部内の思惑が統一されていない？
    • 1.7.2. 表現の自由、通信の秘密と公共の福祉
• 2. スライドの検討のまとめ
• 3. 参考資料 (小倉のブログから)

1. (承前)サイバー安全保障分野での対応能力の向上に向けた有識者会議

以下では、前稿に引き続き有識者会議に内閣官房サイバー安全保障体制整備準備室¹が提出したスライドの順番に沿って、ひとつづつ、論点を洗い出す。本稿ではスライド5以降を取り上げる。このスライドの多くが、22年12月に出された安保3文書の記述をそのまま引用するなど、ほぼ踏襲しており、その上でいくつかの解決すべき論点が出されている。

1.1. (スライド5) 国家安全保障戦略（抄）

このスライドで能動的サイバー防御という概念が登場し、この実現のための基本的な方向性を三点にわたって指摘している。この箇所が、有識者会議の基調になっており、第一回の会合冒頭の河野デジタル庁大臣の挨拶でもほぼこの三点のみを強調し、会合の最後に座長から、この三点についてそれぞれ個別の部会を設置して検討することが提案・了承されている。このスライドにある能動的サイバー防御という文言の定義は、「戦略」文書をそのまま引き写した文言であるため、その定義はあいまいなままである。

1.1.1. 先制攻撃そのもの

このスライドの文言でいう能動的サイバー攻撃の前提条件は、

• 武力攻撃に至らない重大なサイバー攻撃のおそれ
• 安全保障上の懸念に該当し、かつ「重大」である

であるが、「至らない」「おそれ」「懸念」という現実には未だに何も攻撃や武力行使などが起きていない状況のなかで、将来そうした事態がありうると予測された場合、先手を打って攻撃に出る、ということになる。

このスライドであれ国家安全保障戦略であれ、その文言のレトリックの力の呪縛から自由になって物事を理解するのは容易いことではない。「サイバー攻撃のおそれ」という言い回し自体が私たちの問題へのイメージを縛ることになる。もしサイバー攻撃があるとしたら、という仮定のもとで議論をするように誘導されてしまうからだ。議論の出発点は、「おそれ」や「懸念」ではなく、こうした予測を導いたそもそもの分析の妥当性を検証することから始めなければならないだろう。この予測をめぐる検証のプロセスがこのスライドでは全くとりあげられていない。つまり「おそれ」という結論そのものの検証と透明性が議論には欠けている。「サイバー攻撃のおそれ」を想定した議論に対して、あえて「サイバー攻撃は現時点で実際に行なわれていない」ということをもって反論とするという場合、こうした反証や状況の分析に対する別の解釈を問題の争点することが、安保3文書でもこのスライドでも、事実上排除されてしまっている。本来であれば軍事安全保障による対処ではない外交的な対処など様々な選択肢がありえるはずだが、こうした選択肢の多様性を奪い、最初からサイバー戦争に収斂する方向で全体の枠組を規定しようとする傾向が顕著だ。議会や世論がこうした方針を支持するかどうかは、不安感情を政府がどれだけ煽ることに成功するかどうか、という情報戦にかかることになってしまうのではないか。こうした次のような懸念が生まれる。

• 現実の攻撃は存在しなくもよい。「懸念」「おそれ」があればサイバー攻撃を仕掛けるべきだ、という考え方は、先制攻撃そのものだ
• 導入される能動的サイバー防御の定義がないから、恣意的に運用できてしまう

1.1.2. 国策に従属させられる民間企業

ここで能動的サイバー防御は、重要インフラを含めた民間事業者が、サイバー攻撃において様々な方法で積極的に関与する主体として位置付けられている。これは、サイバー領域全体の性格に共通する特徴でもある。民間インフラは、政府や自衛隊によって防衛される受け身の存在ではない。それ自体が国家安全保障を優先させ民衆の安全保障²をそこなう「自衛」の主体とされ、それ自体が攻撃の主体にもなるのだ。民間の情報通信インフラ企業は、国家の命令による攻撃の主体になることによって防御を実現する、という位置に置かれる。言い換えれば、サイバー領域の軍事安全保障分野が他の軍事領域と決定的に異なるのは、民間事業者が情報収集から攻撃に至るプロセス全体の主体となることなしには成り立たない、という点にある。このスライドで例示されているVolt Typhoonの事例はその典型でもある。(民間事業者についてはスライド8参照)³

このスライドで語られていない重要な問題がひとつある。それは、ここでは「サイバー攻撃」の「おそれ」のみが対象であるかのように語られているために、サイバーと実空間(キネティック)における「攻撃」がサイバー領域の行動においてどのような関係をもっているのかが、全く語られていない点だ。後述するスライド7の想定でもこの点が抜けている。その結果、能動的サイバー防御などサイバー領域での「戦争」が実空間での「戦争」と切り離されているかのような印象を与えている。サイバー領域での軍事作戦は実空間における武力行使と密接に関わる。サイバー領域で完結することはまずない、といっていい。この認識は防衛省の制服組は明確にもっている⁴。しかし、実空間との関連が問われることになると、該当する領域は極めて広範囲にわたり総力戦体制そのものとならざるをえず、当然憲法9条の制約問題が意識されるだろう。この問題化を回避する意図もあるのか、あえてサイバーと実空間とを横断する作戦の具体的な構造をあいまいにして、軍事安全保障の対処領域を意図的に狭くみせようとしている印象がある。現実の戦争では、こうしたことはありえない。戦争の攻撃目標が敵の社会インフラにある場合、これをサイバー領域を通じてサイバーの武器によって実現するのか、それ以外の方法で実現するのかは、戦略・戦術上の選択の問題でしかないはずだ。

1.2. (スライド6) 内閣サイバーセキュリティセンター（NISC）の強化

内閣サイバーセキュリティセンターを政府全体のサイバー領域における司令塔にしようというのが国家安全保障戦略の思惑だろう。しかし、これらの内容の具体について公表されないなかで予算、人員の強化だけが先行している。

1.2.1. 莫大な経費？

上記のスライドでいう「「四経費」のうちサイバー安全保障に関する経費」という文言にある「四経費」が何なのか明記がないが、主計局主計官、渡辺公徳は「新たな国家安全保障戦略等の策定と 令和5年度防衛関係予算について」のなかで以下のように述べている。

「三文書」の検討の中で、整備計画の対象となる経費に加え、安保戦略において総合的な防衛体制を強化するための取組とした、（1）研究開発、（2）公共インフラ、（3）サイバー安全保障、（4）我が国及び同志国の抑止力の向上等のための国際協力の四つの分野を、防衛力の抜本的強化を補完する取組の中核をなすものとして新たに位置づけることとなった。その上で、歴代の政権で、これまでNATO定義を参考にしつつ、安全保障に関連する経費として仮に試算してきた際に含めてきたSACO・米軍再編関係経費、海上保安庁予算、PKO関連経費等に加え、四つの分野に関する経費についても、「補完する取組」として計上されることとなった。」(主計局主計官、渡辺公徳「新たな国家安全保障戦略等の策定と 令和5年度防衛関係予算について」、財務省『ファイナンス』、2023年4月号。

予算についても、スライドでは「サイバー安全保障に関する経費は 124.5億円 （他省庁計上分を含む）」とあるが、主計局主計官 後藤武志「令和6年度防衛関係予算について」(財務省『ファイナンス』、2024年4月号)の解説では2024年度防衛予算のうちサイバー関係は以下のように説明されている。

サイバー領域における能力強化
○　防衛省・自衛隊全体の情報システムの合理化（クラウド化等）やセキュリティ強化に向け、必要なシステム経費（1,012億円）を措置。
○　防衛省・自衛隊のサイバー分野における教育・研究機能の強化に向け、陸上自衛隊システム通信・サイバー学校や陸上自衛隊高等工科学校におけるサイバー教育基盤の拡充のための経費（20億円）、部外力を活用したサイバー教育のための経費（16億円）を措置

上にあるシステム、セキュリティ強化経費の1012億円は、戦闘機であれば10機近く購入できる莫大な金額⁵だ。しかし、更に、防衛省の資料ではサイバー領域における能力強化として2024年度予算は約2115億円という数字が示されている。

このようにサイバー関連の国家安全保障の予算は、それ自体が領域横断的で戦時と非戦時を包含する漠然とした領域に関わるので算定の詳細を開示されない限り、よくわからないというしかない。こうした予算の問題は、実体としてのサイバー領域の戦争と不可分である以上、詳細の開示は安全保障などを口実に非公開にされてはならないし、有識者会議に提出された予算など財政関連の数字は鵜呑みにできない。

1.2.2. 戦時と非戦時という漠然として領域

他方で、自衛隊の組織再編は、戦略の文書を踏まえると以下のようになるだろうか。この組織再編も名称や系統図のような組織の枠組だけではその実態はわかったとはいえない。

1.3. (スライド7) 全体イメージ

この「全体イメージ」では、通信情報の活用として「攻撃サーバ等を検知するため、明確な法的根拠を設けた上で、通信情報を活用」とある。つまり、現行法では違法とされるような手段で「敵」とみなされるサーバーを検知するなど、本来であればハッキング行為や違法行為とされる活動を合法化する内容を含んでいる。

1.3.1. 「社会の安定性」とは何なのか

サイバー攻撃の範囲は、従来の刑事司法が担当してきたサイバー犯罪をほぼ網羅している。スライドの見出しは、「国民生活の基盤をなす経済活動」や「社会の安定性」とされているが、これが文字通りの「全体イメージ」とはいえない。隠された領域がある。この全体イメージに決定的に欠落しているのが、いわゆる情報戦の領域だ。情報操作や偽情報など、情報戦は安全保障戦略のなかでも重要な領域とされているが、ここには描かれていない。例示されている「守る対象」は実空間の重要インフラだけだ。「国民生活の基盤をなす経済活動」はこれである程度カバーできているとしても「社会の安定性」の方は世論操作などプロパガンダ領域を含まないわけにはいかないはずだ。様々な紛争事態で、サイバー領域において、ほぼ共通して起きていることは、インターネットへのアクセスの遮断⁶、SNSなど情報発信のプラットフォーム企業を巻き込んだ検閲⁷、SNSのインフルエンサーを利用したプロパガンダ(偽情報や一方的な国威発揚)⁸、選挙への介入⁹などにおける国家における組織的な介入だ。

ある種の戦時態勢では「社会の安定性」とは国内の反政府運動を不安定要因として抑制することが一般的に行なわれる。したがって、国内の反政府運動もまた、サイバー防御の潜在的にターゲットになるという観点を持つ必要がある。というのも、スライド1で事例として挙げられている「他国の選挙への干渉」は、実際には自国政府による反体制派への弾圧の手段として用いられているケースが極めて多い。また、「偽情報の拡散」についてもガザ戦争で典型的に示されているように、イスラエル政府が国内世論を操作する意図をもって自国民に対して行なう情報戦となっている。このように、「社会の安定性」のターゲットの少なくない部分は自国の内部に向けられている。こうした現実に起きている事態について全くといっていいほど言及がない。

1.3.2. 無害化という名の攻撃

このスライドには「アクセス・無害化措置確認された攻撃サーバ等に対し、 必要に応じ無害化」という記述があるが、誰が無害化、つまり攻撃サーバへの攻撃の主体となるのかが曖昧にされている。全体イメージといいながら、ここでは領域横断的な対応については言及がないこととも相俟って全体の構造をはぐらかすかのような印象操作を感じざるをえない。

「全体」についてのイメージは、防衛白書(2023年)の次のような記述と比較するとかなりの違いがみられる。

万が一、抑止が破られ、わが国への侵攻が生起した場 合には、わが国の領域に対する侵害を排除するため、宇 宙・サイバー・電磁波の領域及び陸・海・空の領域にお ける能力を有機的に融合し、相乗効果によって全体の能 力を増幅させる領域横断作戦により、個別の領域が劣勢 である場合にもこれを克服しつつ、統合運用により機動 的・持続的な活動を行い、迅速かつ粘り強く活動し続け て領域を確保し、相手方の侵攻意図を断念させる。

ここでは実空間での陸海空の作戦との融合が明確に述べられている。以下のイラストを上の有識者会議に提出されたスライドのイラストと比較すれば一目瞭然だ。

1.4. (スライド8) 主要国における官民連携等の主な取組

高度な攻撃に対する支援・情報提供、ゼロデイ脆弱性の対処、政府の情報収集・対処等を支える制度の三項目について、英国、EU、米国、オーストラリアについて表で示している。

1.4.1. ゼロデイ攻撃

ゼロデイ脆弱性とは、何らかのプログラムのバグその他の脆弱性が存在していることが開発者にもセキュリティ企業にも知られていないときに、これに気づいた攻撃者が、このババクなどを利用しうる状態をいう。開発者側ではこの脆弱性に気づいていないか未だ対処がされていないために、対処のための修正がなされるまでは無防備となる。この脆弱性は、システムやプログラムを開発した企業がいずれは発見する確率が高いし、オープンソースであれば、コミュニティが発見する可能性がある。政府やサイバー軍などだけに発見の任務を担わせることは現実的ではない。このスライドでゼロデイを取り上げているのは、民間のIT企業を取り込むことが国家の防衛や重要インフラにおけるサイバー上の脆弱性の把握には欠かせない。

この点を踏まえて、この表が目論んでいるのは民間企業をいかにして巻き込むか、巻き込みの制度化(強制)をどのように構築するか、といったことにある。

• 恒常的な情報共有基盤の構築
• セロデイのような緊急に対応が必要な場合への対処
• 製品の脆弱性についての企業責任の明確化
• 「重要インフラ事業者の報告義務化」がどこの国でも記載されている。

民間を巻き込む構造を前提として、国家安全保障を理由としたハッキングなどを不正アクセスから除外する法制化が必要になる。その上で以下のような制度の枠組を構築することになるだろう。

• 民間事業者等がサイバー攻撃を受けた場合等の政府への情報共有→民間の通信事業者が保有する個人情報を政府(自衛隊)に提供する
• 民間事業者の情報を活用し攻撃者の利用が疑われるサーバ等を検知→監視と情報収集。民間事業者に協力させてサーバのデータに国の機関がアクセス。
• 攻撃者のサーバ等への侵入・無害化。「検知」にとど まらず標的に対して攻撃を行なう。

こうした国策への強制的な協力の体制は、民間事業者のサービスに依存して私たちのコミュニケーションの権利が現実の土台を何とか確保できている現状を根底から脅かすことになる。民間事業者は私たち一般のユーザーのプライバシーや人権、自由の権利を侵害したとしても免責され、逆にこうした侵害行為を強制する国家の法によって、私たちの権利を防衛しようとする民間事業者や組織の行動や対処を犯罪化してしまう。メールやSNSのプライベートなメッセージ、暗号の使用など様々な領域のサービスが国策への強制的な協力によって突き崩される。それだけでなく、日本の国内に居住する外国籍のマノリティへの選択的な監視に民間事業者が加担させられ、結果として監視の強化にも繋がることになる。この点で有識者会議には民間事業者が何人か参加しているが、彼らがこうした政府の方針に明確に反対できるかどうかが問われている。

1.4.2. 脅威ハンティングとは

有識者会議に提出された資料には「脅威ハンティング」という概念が登場する。これは、あまり聞かない言葉かもしれないので、少し補足したい。脅威ハンティングについて、IBMのサイトでは以下のように説明されている。

脅威ハンティングは、サイバー脅威ハンティングとも呼ばれ、組織のネットワーク内に存在するこれまで知られていなかった脅威、あるいは現在進行中の未解決の脅威を特定するためのプロアクティブなアプローチです。 https://www.ibm.com/jp-ja/topics/threat-hunting

脅威ハンティングは組織内監視という性格が強くなり、労働者への監視強化になりかねない。目的は脅威への対処だとしても、何を脅威とみなすのか、脅威監視のためには、脅威ではないような事柄についても網羅的に監視することが必要になり、こうして収集されたデータが別の目的で転用されたり政権の政策や法制度の改悪によって権利侵害的な利用に転用される危険性がつきまとう。¹⁰

1.5. (スライド9) 主要国における通信情報の活用の制度概要

ここでいう通信情報とは、プライバシーに関わるような「通信の秘密」に該当する内容とみていい。いずれの国も国家安全保障の必要があれば通信の秘密を侵害していい、という法制度があることを強調している。これに加えて外国へのスパイ行為(米、オーストラリア)、ドイツは重大な危険分野に関する情報入手に必要であればよい、という記述だ。ただし、英国は「国内通信内容の分析を原則禁止」、ドイツは「自国民等の個人データの分析を原則禁止」とある。また米、豪は裁判での証拠としての利用禁止とある。これをどう理解すべきか。

この整理が妥当かどうかは精査が必要である。

ここでは通信の秘密に関する政府側の憲法21条についての見解だけを紹介しておく。憲法21条は以下だ。

第二十一条　集会、結社及び言論、出版その他一切の表現の自由は、これを保障する。
②　検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。

これに対して、近藤正春内閣法制局長官は２月5日の衆院予算委員会で以下のように述べた。

近藤政府特別補佐人　今お尋ねは、憲法第二十一条二項に規定する通信の秘密ということが中心かと思いますけれども、通信の秘密はいわゆる自由権的、自然的権利に属するものであるということから最大限に尊重されなければならないものであるということでございますけれども、その上で、通信の秘密につきましても、憲法第十二条、第十三条の規定からして、 公共の福祉の観点から必要やむを得ない限度 において一定の制約に服すべき場合があるというふうに考えております。

公共の福祉を持ち出して通信の秘密を制約する考え方に私は強く反対したい。後程スライド11について検討するところで詳しく述べる。

1.6. (スライド10) 外国におけるアクセス・無害化に関する取組例

ここでも再度、Volt Typhoonを例に、その無害化についてとりあげられている。Volt Typhoonについては本稿の前編でも無害化のプロセスについて若干言及したが、ここでも更に追加の議論をしておきたい。

1.6.1. FBIによるハッキング捜査

無害化のプロセスについて、米国司法省は、2024年1月31日にプレスリリースを発表し、同日テキサス州南部地区連邦検事局が連邦地方裁判所に捜索、差し押さえ令状発付の申請書を出す。この申請書には次のように書かれている。

1. FBIは、この地区およびその他の地域のSOHO（スモールオフィス／ホームオフィス）ルーターに侵入し、マルウェアに感染させた外国政府支援のハッカー（以下「ハッカー」）を捜査している。このマルウェアは、SOHOルーターをノードのネットワーク、すなわちボットネットにリンクさせる。ハッカーは、このボットネットをプロキシとして使用し、身元を隠しながら、米国の別の被害者に対してさらなるコンピュータ侵入を行う。
2. FBIは、添付資料Aに記載されているように、マルウェアに感染した米国ベースのルーターのリストを特定する予定である。FBIは、添付資料Bに記載されているように、連邦刑事訴訟規則41条(b)(6)(B)に基づき、これらのルーターを遠隔操作で捜索し、ハッカーの犯罪行為の証拠および手段を押収する許可を申請する。この捜索および差し押さえの一環として、FBIは感染したルーターからマルウェアを削除し、再感染を防ぐために限定的かつ可逆的な措置を講じる。

ここに述べられているFBIの令状申請の趣旨は、リモートからルータ(大半はサポート期間が過ぎたCiscoおよびNetGearのルーター)を捜索¹¹し、マルウェアを削除するとともに、再度の感染を防ぐ措置をとる、というものだ。また、対象となるルータの数が数百(あるいはそれ以上)になるため、これらひとうひとつについて個別に令状を発付することを求めるのではなく、一括してたぶん単一の令状によってすべてのルーターへの捜索を可能にすることを求めている。

このVolt Typhoonについてのメディアの各種報道も、この令状申請書に記載されている以上の事実を報じているものはないように思う。

1.6.2. 中国犯人説をめぐる攻防

Volt Typhoonとは誰なのかについては、欧米や日本のメディア報道や今回の内閣官房のスライドの記述では、中国の国策ハッカー集団であるという判断がほぼ確定しているとしており、この犯人については疑問の余地がないような印象が与えられている。しかし、中国側は、この指摘を受け入れていない。それだけでなく、反論のレポート¹²まで公表している。タイトルがプロパガンダ色が強いので内容の信憑性に欠けるかのような印象をもつが、文面はいたって冷静ともいえるものだ。

この中国の報告書では、サイバー領域の「戦争」の難しさのひとつに、攻撃の責任主体を明確にすること――アトリビューションと呼ばれる――自体の困難さがある、と指摘している。この問題は立場の違いを越えてサイバー戦争に固有のリクスの大きな課題だとも指摘されている。そして、この報告書では、アトリビューションの難問が、Volt Typhoonでも生じていると指摘している。中国側の主張は、マイクロソフトや米国側が公表した資料を使いながら、IPアドレスを分析するなかで、Dark Powerというランサムウェアグループとの関わりがあるのではないかと指摘する。そして、分析結果として、国家を後ろ盾とはしない「サイバー犯罪グループである可能性が高い」と結論づけた。では、なぜマイクロソフトはじめ米国政府などが中国犯人説をとったのか、という理由として、IT産業や情報機関による国家予算獲得作戦の一環として、アトリビューションの決定的な証拠を掴む努力をせず拙速に走った結果だとした。この報告書の結論で以下のように述べている。

我々は、サイバー攻撃の帰属は国際的な難題であることを認識した。サイバー兵器の流出と攻撃・防御技術の急速な普及により、サイバー犯罪者の技術レベルは大幅に上昇している。2016年には、IoTボットネットの第1世代であるMiraiが米国で広範囲にわたるインターネット障害を引き起こし、また、ランサムウェアに感染したコロニアル・パイプラインが米国の一部で非常事態を招く事態となった また、ロシアとウクライナの紛争における親ロシア派と親ウクライナ派のハッカーグループの争いは、一部のランサムウェアグループやボットネット運営者が、一般的な国家よりも多くのリソースと技術的能力を持ち、サイバー戦争のレベルにまで達していることをはっきりと示している。同時に、ランサムウェア組織やボットネット運営者は、利益に駆り立てられ、成熟したアンダーグラウンドエコシステムを長年にわたって確立しており、これらのサイバー犯罪集団はますます横行している。 これらのインターネット上の脅威は、中国や米国を含む世界のすべての国にとって共通の脅威である。しかし、米国政府と政治家は常に「少数の結束」と「小さな庭と高い塀」政策を堅持し、サイバー攻撃の起源追跡を政治化し、マイクロソフト社やその他の企業を操って中国に対するメディア中傷キャンペーンを行い、ただ自分たちの懐を肥やすことしか考えていない。このような「Volt Typhoon」の物語は、国際的な公共のサイバー空間の正常な秩序に何の利益ももたらさず、米中関係を損なうだけであり、最終的には自らの苦い果実を食らうことになるだろう。

では、この中国のレポートは反論に成功しているのか。この点になると私のレベルの技術的な知識ではその判断がつかない。一般論としていえばIPアドレスだけからDark Powerという別の「犯人」を特定することには疑問がある。またIPアドレスの絞り込みの手続きが妥当かどうかも私には検証する技術がない。とはいえ、私が接した情報に限っていえば、マイクロソフトのレポートも含めて、中国がVolt Typhoonの後ろ盾となっているということを立証した資料をみていないと思う。マイクロソフトはアトリビューションの難しさがあるにもかかわらずハッカーなどの命名に国別分類を導入するなど、誤認した場合に先入見や偏見を固定化して紛争リスクが大きくなる対応をとっているように思う。この問題は未だに収束していないようだ。¹³

1.6.3. なぜVolt Typhoonにこだわるのか

Volt Typhoonが有識者会議の政府側資料のなかでかなりの比重を占めていることをどう判断したらいいだろうか。あるいはどのような点に注意すべきだろうか。

第一に、Volt Typhoonのアトリビューション問題は決着がついていない、ということだ。日本政府が中国犯人説を支持するのであれば、それなりの根拠と中国側の反論への反論くらいは公表する必要がある。サイバー領域の安全保障にとって最重要の課題がアトリビューション問題、つまり敵の誤認の回避といってもいいくらいセンシティブになるべき問題だ。サイバー領域では、お互いに攻撃の主体であることを偽装しながら作戦を展開する極めてリスクの大きな領域であるにもかかわらず、米国が言うことだから間違いないといった対応はすべきではない。イラクの大量破壊兵器をめぐる米国の情報戦を忘れてはならない。米国の思惑や戦略から導かれた行動に引きまわされる危険性がこの国の政府にはある。アトリビューションを確定できない場合に、サイバー領域も含めて軍事的な対処を回避することが何よりも重要な立ち位置になる。こうした態度がどうしたらとれるのか。その重要な条件は、そもそもサイバーを含めて武力行使の手段を保持しないことなのだ。つまり、武力ではない別の選択肢がいくらでもありうること、逆に軍事的な選択肢への依存はサイバー領域における私たちの権利を突き崩すことになることを忘れてはならない。

第二に、Volt Typhoonが無害化のひとつのモデルとして提示されているということであり、同じことを日本も実行できる法制度の条件が目論まれている、ということ。Volt TyphoonではFBIが取り組んだということの含意は、捜査対象が、国外ではなくグアムを含む米国内であった、ということとも関連している。つまり、国内であってもまた様々な手法による権力による私たちのコミュニケーション・インフラへの侵害行為がありうる、ということだ。サイバー戦争では、戦争=国外の「敵」との戦争という既成概念に囚われるべきではない、ということだ。この間もっぱら防衛省や自衛隊と安保3文書の関連に焦点が当てられてきた感があり(私の関心もそのような傾向があった)、法執行機関の軍事化が戦争と不可分であることを自覚する必要がある。これはいわゆる戦争に伴う治安弾圧という問題だけでなく、法執行機関自身が戦争に主体になる、ということでもある。言い換えれば、サイバー領域に関していえば9条問題=戦争放棄の問題であっても、司法警察組織も視野に入れる必要がある、ということだ。

第三に、FBIがとったリモートからの侵入捜査と無害化の処理という手法には、今後の日本の捜査機関がサイバー安全保障の分野でとりうるであろういくつかの問題が示されている。ひとつは、多数の捜索対象に対して一つの令状で処理したこと。つまり令状主義が大きく後退していること。もうひとつは、リモートからの捜索とハッキングによる無害化という処理である。今回は、捜査機関による何らかのソフトウェアのインストールなどより侵襲性の大きい行為のための令状ではないとあえて限定する文言がFBIの令状請求にみられるが、このことは裏をかえせば標的となったシステムへの何らかのソフトウェアなどのインストール(合法マルウェアなど)といった行動も令状さえ取得できればありうる、ということを意味している。米国の法令上では、こうしたFBIの捜査は国外で行なうことも令状が発付されれば認められる。有識者会議にこうした資料が出されたということは、政府側はこうした米国の手法を日本にも導入しようとしていることを暗示している。

1.6.4. 日本でも米国のような捜査手法は可能か

では日本では、こうした米国の対応がどの程度可能といえるのか。私はかなりのところまで技術的に可能であり、また現行法でも可能ではないかと危惧している。実際に2019年、総務省は、国立研究開発法人情報通信研究機構(NICT)による「IoT機器調査」を実施している。これは、NICTが各家庭や企業に設置しているIoT機器のリスク調査という名目で、リモートで侵入調査を行なった。こうした行為がハッキングとして犯罪化されないよう法的な措置までとられた。これは、日本もまた、ある意味でいえばVolt TyphoonについてFBIがやったことと類似した行動をとれることを意味している。

もうひとつ、日本の私たちにとって危惧すべきことは、Volt Typhoonが標的としたグアムの通信システムはNTTDocomoが100パーセント出資している現地法人ドコモ・パシフィックが運営しているものだった、ということだ。¹⁴ この意味でVolt Typhoonの問題は日本企業をも巻き込んでいたことになる。有識者会議では、NTTも委員として参加しており、こうした事例が有識者会議で議論される可能性がある。グアムで日本の関連企業が受けた被害、という構図は、日米同盟によるサイバー戦争の作戦の舞台としては格好のケースモデルを提供しかねない。とすれば、国家間の対立や緊張を煽る方向でより一層軍事・国家安全保障に傾いた法制度に有利な材料として利用され、結果として、お国のために個人の自由やプライバシーを我慢するというこの国に根深いナショナリズムに人々の感情が動員されることになるかもしれない。

1.7. (スライド11) 現行制度上の課題

このスライドで有識者会議での検討課題が再度三点にわたって列記されている。

ここでは以下の論点をめぐっての法制度の改悪が重点課題になる。いずれも重大な法制度の改悪であり、戦後の自由をめぐる私たちの基本的な権利を根底から覆すことになりかねない。

• 政府による統制強化(サイバーセキュリティ基本法、各種業法)
• 通信傍受(憲法21条)
• 無害化などサイバー攻撃能力(不正アクセス禁止法)

この改悪を前提とした新たな「政府の司令塔機能」の構築が提案されている。しかし、現実には、内閣府と自衛隊との関連、あるいは司法警察やデジタル庁、総務省など電気通信関連省庁との関連をどう調整するのか、という問題が未解決の状態ではないかと思う。

1.7.1. 政府部内の思惑が統一されていない？

能動的サイバー防御を前提にして、民間企業が取得しているデータを政府に提供させるとともに、政府による命令権の強化が目指されていること、また政府が民間企業をまきこんでハッキングの手法をとることが可能なように不正アクセス禁止法など関連法において、国家安全保障を例外扱いするであろうことなどは想定できるが、実際に官僚機構がこうした構造に対応できているとは思えない。サイバーセキュリティに関連する分野について、各省庁の思惑や関心がバラバラであり、中核をなすデジタル庁はマイナンバーカード問題で忙殺状態のようにみえる。またサイバーセキュリティ戦略本部が2024年3月に改訂した「重要インフラのサイバーセキュリティに係る行動計画」においては、サイバー攻撃への言及は多くみられるにもかかわらず、自衛隊への言及はなく、防衛省については一箇所のみでほとんどその意義がみられない。これに対して警察への言及がかなり多くみられる。(だからVolt TyphoonのようなFBIが対処した事例が実は意味をもつのだと思う)。こうした事態に防衛省や軍事安全保障に関連する組織はある種の危機感をもっていてもおかしくない。

このようなちぐはぐな政府諸組織の連携の不十分さという現状は、組織再編のブレーキになるよりも、むしろ軍事安全保障に前のめりになる一部の政治家や官僚の独走=独裁を招く危険性の方が大きいのではないかと思う。既得権を保守しようとする官僚や政治家たちは世論からすれば評判はよくない。危機を煽り国家の体制を軍事安全保障の側に引き寄せて人々にありえない「夢」や「希望」を与えるようなポピュリズムの潮流は、国際的にも無視できない力をもちはじめている。日本も例外ではない。

1.7.2. 表現の自由、通信の秘密と公共の福祉

ここでは、スライドとの関連で、通信傍受に関わる憲法21条に関する事柄だけ簡単に述べておきたい。このスライドで、明確に憲法21条を改憲の柱のひとつに据えた。9条改憲とに比べて注目されてこなかった観点だ。これまで盗聴法の成立以降例外的に盗聴権限の拡大が進められてきたが、こうした小手先の対応ではなく、根本からの改正を検討するということだろう。

有識者会議の立ち上げによって、メディアも能動的サイバー防御について活発な報道をするようになった。そのなかで争点としてメディアが注目しているのは通信の秘密や透明性¹⁵ かもしれない。通信の秘密については、政府側は公共の福祉によって制約されるという立場を明かにしている。¹⁶ また、サイバー領域における日本の行動についてどこまで国会などがチェック機能を果たしうるのかも疑問点とされている。

自民党の改憲草案では21条の通信の秘密そのものに関しする条文特については明確な変更がない。ただし21条第１項が大幅に変更(2項が追加)されているので、事実上通信の秘密も明示的に公共の福祉によって制約されるものという位置づけになるのだろう。以下が自民党改憲草案21条である。

第21条（表現の自由）
１　集会、結社及び言論、出版その他一切の表現の自由は、保障する。
２　前項の規定にかかわらず、公益及び公の秩序を害することを目的とした活動を行い、並びにそれを目的として結社をすることは、認められない。
３　検閲は、してはならない。通信の秘密は、侵してはならない。

サイバー領域の戦争といった事態について改憲草案あるいは伝統的な自民党の改憲派の念頭にはなかったと思われるので、今後の改憲プロセスでは、サイバー領域に関しては特に想定外の改変を政権側が提起する可能性がある。

言い換えれば、能動的サイバー防御は、私たちの通信の秘密を侵害することなしには成立しない手法である、ということでもある。もし通信の秘密が厳格に、例外なしに権利として確立された場合は、能動的サイバー防御ハ機能しえない、ということでもある。

ここで現行憲法21条の表現の自由について私の考え方を補足しておきたい。憲法21条は、憲法12、13、22、29条のように「公共の福祉」を理由とした制限を明記していない。憲法には「公共の福祉」による制限を明記している条文と明記していない条文がはっきりと分れている。この違いは興味深いのだが、私は、21条は、公共の福祉に反することがあっても表現の自由や通信の秘密を保護していると解釈すべきだ、という立場をとる。単なる「表現の自由」ではなく「一切の」とあえて強調している点は、通信の秘密を理解する上でのポイントにもなる。通信はプライバシーに関わるコミュニケーションを含む。プライバシーの概念に複数の人間が相互に関わるコミュニケーションのどこまでを包摂できるのかは難しい問題だが、集団とは、多かれ少なかれその内部だけで閉じられている関係があり、外部に対しては秘匿すべきコミュニケーションがあるだろうということは容易に想像できる。とはいえ人間の社会集団が絶対的な自由を表現の領域で実現することは不可能でもある。一定の規範的な(道徳的倫理的)制約がありながら、逸脱する表現領域がある。この逸脱を法のみが定めるべき問題かどうかは議論の余地がありうる。私は、法によって網羅的に、誰に対しても適応される(法の下の平等)とは限らない錯綜した規範の領域があると思う。社会のなかの様々な下位集団が共有するこの集団に固有の規範や共同の誓約が構成メンバーのコミュニケーションを制約することがありうる。これが法の枠組とは乖離あるいは抵触することも、あるいは他の社会の下位集団とも対立したり差異があったりすることもある。もちろんこうした下位の文化的な共同性ガ支配的な社会の価値観などとも乖離することは普通にみられる。人々は法だけでなく、時には法を逸脱しても自らが帰属する社会集団の規範に従うことがある。こうした領域は公共の福祉というたったひとつのモノサシでは計りえない規範の重層的で相互に摩擦をもつ構造のなかにあることになる。通信の秘密が重要なのは、こうした複合的で錯綜し相互に対立しうる複数の文化が構築するある種の規範の多様性にかかわるからだ。ここには、私が容認できない規範による言動を駆使する集団もある一方で、私にとっては容認できるが違法あるいは適法とはいいがたい言動を肯定する集団もある。

通信の秘密が遵守できないから能動的サイバー防御には反対である、という主張には、通信の秘密が遵守できるなら能動的サイバー防御には賛成である、ということが含意されかねない、ということだ。通信の秘密を遵守しながら能動的サイバー防御を実現するということはありえない。私たちは二者択一を迫られているのだ、ということを強く自覚した上で、通信の秘密の権利こそが私たちの基本的人権と自由の権利の礎であるとして、能動的サイバー防御を否定する立場を明確にとることが必要だ。必要になってくるのが原則的な立場をきちんととれるかどうかである。このときに、戦争放棄や通信の秘密といった統治機構の基本的な理念に関わるところでの私たちの立ち位置がとても重要になってくる。

本稿では立ち入れないが、通信の秘密に関連して明示されていない重要な問題として、通信の暗号化に関する問題があることを指摘しておきたい。通信がエンド・ツー・エンドで暗号化されてしまうと、サーバーでも経路上でも盗聴や監視が不可能になる。復号化のための高度な技術を用いるか、さもなければ、ユーザーが復号化してデータを読む行為をしている最中にこれを窃取できる仕組みを導入する必要¹⁷がある。法制度としては、政府が解読できない暗号を原則禁止する、通信事業者に協力させるなどで暗号化を弱体化させることも可能である。

こうした弱体化は、軍事が絡む国家安全保障領域を聖域として暗号化を弱体化させる特権を与えるだけでは十分ではない。軍事と非軍事が絡みあうので、警察などもまたエンド・ツー・エンドの弱体化の重要なアクターとなる。¹⁸

2. スライドの検討のまとめ

前稿も含めて、スライドで言及されていないが、重要な観点についても何度か指摘してきた。これまで私が指摘してこなかったことを一つだけここで述べておく。それはAIについてである。スライドではAIへの言及が極めてわずかだ。これは安保3文書のAIへの言及の少なさを反映している。安全保障戦略ではたった一箇所だけだが「我が国の安全保障のための情報に関する能力の強化」の項目で「情報部門については、人工知能 （ＡＩ）等の新たな技術の活用も含め、政府が保有するあらゆる情報 手段を活用した総合的な分析（オール・ソース・アナリシス）」を進めるとのみ述べられている。国家防衛戦略では「ＡＩや有人装備と組み合わせることにより、部隊の構造や戦い方を根 本的に一変させるゲーム・チェンジャーとなり得る」とか「ＡＩの導入等を含め、リ アルタイム性・抗たん性・柔軟性のあるネットワークを構築し、迅速・確実なＩ ＳＲＴの実現を含む領域横断的な観点から、指揮統制・情報関連機能の強化を図 る」などの文言が散見されるが、まとまった記述はない。防衛力整備計画も同様だ。また、AIを軍事安全保障の領域で用いる場合にありうる危険性の問題への言及は皆無といっていい。最近のEUによるAI規制法¹⁹をめぐる議論での争点のひとつは、安全保障分野でのAI利用については、利用規制の対象から外す方向をとったために多くの批判を浴びている²⁰。また、現在のガザ戦争におけるイスラエルによるAIの利用の現実からは、殺傷力のある兵器との関連でのAIの利用が重要な争点になっている。²¹ AIの人権侵害やプロパガンダ、大量監視などの問題は、安全保障分野においてAIを網羅的な監視の手段として用いようという意図をもつ安保防衛3文書のスタンスからみたとき、EUで起きていることの数倍も悪条件をもって人権への侵害を引き起しかねないのが日本の場合だということを自覚しなければならないだろう。

その上で、大枠として有識者会議の資料で述べられていない重要な観点として、以下の点を挙げておきたい。

• 政府は憲法9条を一切考慮していおらず、サイバー領域における武力行使の問題がほとんど論点としても考慮されていないが、領域横断的な作戦のなかで用いられるという現実を念頭に置けば、9条問題は無視できないだけでなく、むしろ9条の枠組では戦争を阻止するには不十分ですらある。
• サイバー領域における自衛隊や日本の関連する省庁、企業の現状についての言及は一切ない。
• 米軍など同盟国側のサイバー領域での作戦についての現状についての言及はなく、一方的にロシア、中国などから攻撃されるケースのみが取り上げられている。

一部のメディア²²、財界²³、右派野党²⁴ は能動的サイバー防御に前向きである。他方で、慎重な姿勢を示すメディアは、通信の秘密への危惧を取り上げることが多いように思う。²⁵ メディアの主張は、サイバー安全保障は必要であるという前提のもと、通信の秘密との兼ね合いで、どのようにバランスとるか、といったところに争点を設定しようとしている。これは政府の思う壺である。国家安全保障と私たち民衆の安全保障は両立しないのであって、妥協の余地はないが、これはサイバー安全保障においてもいえることであって、国家のサイバー安全保障と民衆のサイバー安全保障とは両立することはない。

3. 参考資料 (小倉のブログから)

https://www.alt-movements.org/no_more_capitalism

サイバー領域におけるNATOとの連携――能動的サイバー防御批判
https://www.alt-movements.org/no_more_capitalism/blog/2023/10/11/jieitai_nato_cyber/

能動的サイバー防御批判としてのサイバー平和の視点―東京新聞社説「サイバー防御　憲法論議を尽くさねば」を手掛かりに
https://www.alt-movements.org/no_more_capitalism/blog/2023/09/24/cyber_peace_against_active_defense/

能動的サイバー防御批判(「国家防衛戦略」と「防衛力整備計画」を中心に)
https://www.alt-movements.org/no_more_capitalism/blog/2023/09/06/noudouteki-saiba-bogyo-hihan2/

能動的サイバー防御批判(「国家安全保障戦略」における記述について)
https://www.alt-movements.org/no_more_capitalism/blog/2023/08/20/3410/ サイバー戦争放棄の観点から安保・防衛3文書の「サイバー」を批判する(3)――自由の権利を侵害する「認知領域」と「情報戦」

https://www.alt-movements.org/no_more_capitalism/blog/2023/02/26/anpo-bouei3bunsho-hihan3/サイバー戦争放棄の観点から安保・防衛3文書の「サイバー」を批判する(2)――従来の戦争概念を逸脱するハイブリッド戦争

https://www.alt-movements.org/no_more_capitalism/blog/2023/02/17/anpo-bouei3bunsho-hihan2/
サイバー戦争放棄の観点から安保・防衛3文書の「サイバー」を批判する(1)――グレーゾーン事態が意味するもの https://www.alt-movements.org/no_more_capitalism/blog/2023/02/17/anpo-bouei3bunsho-hihan1/

Footnotes:

¹

サイバー安全保障体制整備準備室が有識者会議の事務局をつとめているようだが、内閣官房のウエッブにも専用のウエッブページももたず、その業務内容についても説明がない。G-GOVポータルの行政機関横断検索 検索でも内閣官房のページ内検索でも該当するページは見当らないようだ。

²

民衆の安全保障は国家安全保障とは対立する概念であり、自国の軍隊であっても民衆を守らない、という歴史的な経験から提起された概念である。民衆の安全保障〉沖縄国際フォーラム宣言参照。https://www.jca.apc.org/ppsg/Doc/urasoede.htm

³

日本の民間企業は、すでに自衛隊などとともにNATOのサイバー軍事演習の正式に参加している。日本はNATOのサイバー防衛協力センター(CCDCOE)の正式メンバーでもある。小倉「サイバー領域におけるNATOとの連携――能動的サイバー防御批判」参照。https://www.alt-movements.org/no_more_capitalism/blog/2023/10/11/jieitai_nato_cyber/

⁴

「今後の戦いにおいては、従来のキネティック破壊が主流ではなく、宇宙 ドメインにおける衛星の無効化やサイバー及び電磁波を用いて武器の機能 を停止させるといったノンキネティックな戦いを組み合わせた作戦が主流 となってくるであろう。」中矢潤「領域横断作戦に必要な能力の発揮による海上自衛隊と しての多次元統合防衛力の構築について」海幹校戦略研究 2019年7月（9-1）https://www.mod.go.jp/msdf/navcol/assets/pdf/ssg2019_09_07.pdf ；「各国は今後、宇宙利用の拡大、通信技術の発展により多くの目標が探知でき るようになる。また、各国は AI 技術の発展に伴い、目標の存在だけでなく、活 動内容の類推、更には部隊等の練度が評価できるようになるだろう。さらに各 国は目標の特性に応じて、キネティック・ノンキネティック手段が複合された、 即時的で、連続的な打撃が可能となるだろう。よって、それに抗する防護 （protection）等のありようが変化するだろう。つまり、今後は全防護対象を防 護するには多大な部隊を要し、かつ彼の打撃手段の逐次の迎撃には多様な弾種 を実効的に発射する必要が出てくることから、より早く彼の企図を察知し、よ り効果的にその打撃の被害を局限するための新たな発想や手段が必要となるだ ろう。」陸上自衛隊の新たな戦い方検討チーム「陸上自衛隊の新たな戦い方コンセプトについて」https://www.mod.go.jp/gsdf/tercom/img/file2320.pdf 陸自のこのレポートでは次のようにも述べている。「陸上自衛隊はそれに適合するために、従前の役割に加え、今後は戦略レベル では有事以前や有事を問わず、非軍事分野を含め、より早期に、かつ積極的な 対処を実施する。また、作戦・戦術レベルを一体として捉えて、有事以前や有 事を問わず陸領域を基盤とし、警戒監視（situation awareness）、防護を行い ながら、陸領域から彼の重心を消滅させるよう役割を拡大させる必要がある。」

⁵

F35aは一機116億円といわれている。NHK「「Ｆ35Ａ」は116億円 主要装備品の単価一覧公表」https://www.nhk.or.jp/politics/articles/lastweek/12870.html

⁶

紛争における政府などによるインターネット遮断について以下、いくつかの事例を挙げる。(Access Now, #KeepItOn)2023年の暴力とインターネット遮断：過去最悪の年となる https://www.jca.apc.org/jca-net/ja/node/359; #KeepItOn：戦時における スーダンの通信遮断を早急に撤回すべき https://www.jca.apc.org/jca-net/ja/node/340; すべての国際的なアクターへの呼びかけ：ミャンマーにおける放火と殺戮を覆い隠すインターネット遮断を止めるためにさらなる努力を https://www.jca.apc.org/jca-net/ja/node/200;Access Now、軍事クーデターによるミャンマーのインターネット停止を非難 https://www.jca.apc.org/jca-net/ja/node/101 ； (CNN、ICANN)ウクライナ政府、ロシアのインターネット遮断を要求 https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/1931/； (Access Now)パレスチナ・アンプラグド：イスラエルはどのようにしてガザのインターネットを妨害しているのか(レポート：抄訳) https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/access-now_palestine-unplugged_jp/ (SMEX)暗闇の中の虐殺―イスラエルによるガザの通信インフラ抹殺 https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/smex_massacres-in-the-dark/ #KeepItOn ガザ地区での通信途絶は人権への攻撃だ https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/keepiton-communications-blackout-gaza-strip_jp/

⁷

たとえば、2023年10月7日以降のイスラエルによるガザ戦争では、米国のプラットーマーを巻き込んでイスラエルが検閲や国策としてのヘイトスピーチを展開してきた。以下を参照。(smex.org)Meta、”シオニスト “という用語の使用禁止を検討する https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/smex-meta-contemplates-banning-the-use-of-the-term-zionist_jp/； (Human Rights Watch)Meta： パレスチナ・コンテンツへの組織的検閲 https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/human-rights-watch_meta-systemic-censorship-palestine-content_jp/； (7amleh)Metaは憎しみから利益を得るのをやめるべきだ https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/7amleh_meta-should-stop-profiting-from-hate_jp/； (7amleh)Palestinian Digital Rights Coalition、Metaにパレスチナ人の非人間化と声の封殺をやめるよう求める https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/7amleh_palestinian-digital-rights-coalition-calls-on-meta-to-stop-dehumanizing-palestinians-and-silencing-their-voices_jp/； (7amleh)Metaよ、パレスチナに語らせよ! https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/meta-7amleh-org_intro_jp/ ； (ARTICLE19)イスラエルと被占領パレスチナ地域： 言論の自由への攻撃を止め、市民を守れ https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/article19_israel-and-occupied-palestinian-territories-stop-the-assault-on-free-speech-and-protect-civilians_jp/； (EFF)プラットフォームはパレスチナ人による、あるいはパレスチナ人に関する投稿の不当な削除を止めなければならない https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/eff_platforms-must-stop-unjustified-takedowns-posts-and-about-palestinians_jp/ ； (Global Voices)デジタル・ブラックアウト:パレスチナの声を組織的に検閲する https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/global-voices_digital-blackout-systematic-censorship-of-palestinian-voices_jp/； 企業内部のパレスチナ支持者の声を弾圧する動きも無視できない影響を与えている。たとえば、以下を参照。(medium)イスラエルによるアパルトヘイトに加担するGoogle：Googleはいかにして「多様性」を武器にパレスチナ人とパレスチナ人権支援者を黙らせているのか？https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/medium_googles-complicity-in-israeli-apartheid-how-google-weaponizes-diversity-to-silence-palestinians_jp/ ； (wired)「ガザの投稿はSNSで“シャドーバンニング”されている」──パレスチナ人や支援者が訴え https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/wired_palestinians-claim-social-media-censorship-is-endangering-lives_jp/

⁸

例えば、以下を参照。 (Wired)Xはイスラエル・ハマス衝突の「偽情報」を溢れさせている https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/wired_x-israel-hamas-war-disinformation_jp/； 7amlehは12万件の投稿のうち、ヘブライ語によるヘイトスピーチや扇動が103,000件以上あったことを記録 https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/7amleh-s-violence-indicator-documents-103-000-instances-of-hate-speech-and-incitement-against-palestinians-on-social-media/ ; (7amleh)戦争におけるパレスチナのデジタル権利に対する侵害：声の封殺、偽情報、扇動 https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/7amleh_briefing-on-the-palestinian-digital-rights-situation-since-october-7th-2023_jp/ ；

⁹

インターネットと選挙への介入に関しては、2016年の米国大統領選挙におけるケンブリッジアナリティカのスキャンダルが有名。この事件については内部告発者のブリタニー・カイザー『告発 フェイスブックを揺るがした巨大スキャンダル』、染田屋茂他訳、ハーパーコリンズ・ ジャパン参照。また選挙への政府などの介入とこうした動きへの批判については以下を参照。(PI) データと選挙 https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/data-and-elections_jp/； #KeepItOn: インターネット遮断に立ち向かうための新しい選挙ハンドブック https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/keepiton-new-handbook/； (PI) 選挙におけるプロファイリングとマイクロターゲティングを懸念する理由 https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/pi-why-were-concerned-about-profiling-and-micro-targeting-elections_jp/； (#KeepOnItl/AccessNow)インターネット遮断と選挙ハンドブック https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/keeponitl-accessnow_internet-shutdowns-and-elections-handbook/； (#KeepItOn)全く不十分。アップルとグーグル、政府の圧力に屈し、ロシアの選挙期間中にコンテンツを検閲 https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/keepiton_apple-google-censor-russian-elections/； (Access Now) KeepItOn ロシアの選挙期間中にインターネットのオープン性と安全性を保つための公開書簡 https://www.alt-movements.org/no_more_capitalism/hankanshi-info/knowledge-base/russia-votes-bigh-tech-open-internet_jp/

¹⁰

脅威ハンティング関連資料 Threat Hunting Techniques: A Quick Guide
https://securityintelligence.com/posts/threat-hunting-guide/

Inside the DHS’s AI security guidelines for critical infrastructure
https://securityintelligence.com/news/dhs-ai-security-guidelines-critical-infrastructure/

DHS Publishes Guidelines and Report to Secure Critical Infrastructure and Weapons of Mass Destruction from AI-Related Threats
Release Date: April 29, 2024
https://www.dhs.gov/news/2024/04/29/dhs-publishes-guidelines-and-report-secure-critical-infrastructure-and-weapons-mass

FACT SHEET: DHS Advances Efforts to Reduce the Risks at the Intersection of Artificial Intelligence and Chemical, Biological, Radiological, and Nuclear (CBRN) Threats
https://www.dhs.gov/sites/default/files/2024-04/24_0429_cwmd-dhs-fact-sheet-ai-cbrn.pdf

MITIGATING ARTIFICIAL INTELLIGENCE (AI) RISK: Safety and Security Guidelines for Critical Infrastructure Owners and Operators
https://www.dhs.gov/sites/default/files/2024-04/24_0426_dhs_ai-ci-safety-security-guidelines-508c.pdf

¹¹

この令状発付の申請書によると、米国のばあい、5つ以上の地区にまたがる捜索のばあいにはリモートによる捜索が認められるとの記述がある。(パラ7)

¹²

“<Lie to me/>、Volt Typhoon：Volt Typhoon：A Conspiratorial Swindling CampaigntargetswithU.S. Congress and Taxpayers conductedbyU.S.Intelligence Community”, https://www.cverc.org.cn/head/zhaiyao/futetaifengEN.pdf 以下の記事も参照。”GT exclusive: Volt Typhoon false narrative a collusion among US politicians, intelligence community and companies to cheat funding, defame China: report” https://www.globaltimes.cn/page/202404/1310584.shtml

¹³

最近、NATTO ThoughtsというサイトにWho is Volt Typhoon? A State-sponsored Actor? Or Dark Power?という記事が掲載され、これまでの経緯を検証しているが、この記事でもアトリビューションの問題は未解決だとしている。https://nattothoughts.substack.com/p/who-is-volt-typhoon-a-state-sponsored なお、このサイトの主宰者など背景譲歩を私は持ち合わせていない。

¹⁴

Press Releases, DOCOMO PACIFIC responds to multiple service outage https://bettertogether.pr.co/224192-docomo-pacific-responds-to-multiple-service-outage

¹⁵

毎日 2024/6/7 能動的サイバー防御、「通信の秘密」制約容認の局面か　透明性課 題https://mainichi.jp/articles/20240607/k00/00m/010/306000c

¹⁶

2024年2月5日衆議院予算委員会 内閣法制局長官内閣法制局長官の自民党、長島昭久委員への答弁。

　ここが、能動的サイバー防御を可能にする法改正の肝の肝です。今、河野大臣がまさに言われたように、いや、これは憲法二十一条、通信の秘密の保障があるから、能動的サイバー防御の法制化、つまりは電気通信事業法や不正アクセス禁止法の改正はなかなか難しいんだ、こういう声が政府内からも実は聞こえてくるんですね。

　では、ここで、そもそも通信の秘密の保障とは何ぞやということで、内閣法制局長官に今日は来ていただいていると思いますので答弁をお願いしたいと思いますが、私から、一応、憲法学界多数説じゃなくて通説を御紹介申し上げますが、二十一条の一項はもちろん表現の自由ですけれども、二項は「検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。」。非常に端的な文章でありますけれども、「検閲は、これをしてはならない。」というのは、これは絶対的禁止。どんな理由があろうとも検閲は駄目だと。しかし、通信の秘密につきましては、憲法十二条、十三条に明記された公共の福祉による必要最少限度の制約を受ける、この解釈でよろしいですね、政府も。

○近藤政府特別補佐人　今お尋ねは、憲法第二十一条二項に規定する通信の秘密ということが中心かと思いますけれども、通信の秘密はいわゆる自由権的、自然的権利に属するものであるということから最大限に尊重されなければならないものであるということでございますけれども、その上で、通信の秘密につきましても、憲法第十二条、第十三条の規定からして、公共の福祉の観点から必要やむを得ない限度において一定の制約に服すべき場合があるというふうに考えております。

○長島委員　これは非常に大事な答弁だというふうに思います。通信の秘密は絶対無制限なものではないと。したがって、憲法に規定された公共の福祉による必要最少限度の制約を受けるということであります。

　実際、これはまさに常識でありまして、ほかの先進国、先進立憲民主主義国家でも、成文憲法があるなしにかかわらず、我が国と同様、通信の秘密あるいはプライバシーというのは憲法で保障されているわけです。それでも、ほかの国は、国家の安全と重要インフラを守るという公益の観点から、パブリックインタレストの観点から、つまり公共の福祉の観点から一定の制約を認めて、アクティブサイバーディフェンス、能動的サイバー防御が行われている、こういうことなんですね。

　私は今日二十一条を見せましたけれども、この二十一条は、特に日本に特有の条文でも何でもないんですね。日本国憲法の中で比較憲法学上特別な条文があるとしたら、憲法九条二項ぐらいですよ。しかし、憲法九条二項でも「陸海空軍その他の戦力は、これを保持しない。」と書いてありながら、陸海空自衛隊の存在を合憲としているわけですね。したがって、解釈の余地はあるということなんです。もっと柔軟に解釈してほしいというのが私の要望です。

¹⁷

以下を参照。
(プレスリリース)EUROPOLの報告書：セキュリティとプライバシーの均衡：暗号化に関する新しい報告書 2024年6月
https://www.europol.europa.eu/media-press/newsroom/news/equilibrium-between-security-and-privacy-new-report-encryption
(機械翻訳)
https://cryptpad.fr/pad/#/2/pad/view/8f5qn5o9TN4PvO7jrG9aKnI41zMenH5XRXV12v7GD-Y/

欧州警察本部長、エンド・ツー・エンドの暗号化に反対する措置を講じるよう業界と政府に要請
https://www.europol.europa.eu/media-press/newsroom/news/european-police-chiefs-call-for-industry-and-governments-to-take-action-against-end-to-end-encryption-roll-out
(機械翻訳)
https://cryptpad.fr/pad/#/2/pad/view/Y+Fz+IMqRtbcDdAOSAzrtaj0K8yPSE3JVo-iPGdGWFE/

¹⁸

政府などによる暗号化の弱体化という目論見は、インターネットやコンピュータ・ネットワークの草創期から現在まで絶えることなく続いている対立である。インターネット初期のころの米国政府による暗号規制との闘いについては、シムソン・ガーフィンケル『ＰＧＰ　暗号メールと電子署名』、ユニテック訳、オライリージャパン。最近の状況については以下を参照。なぜ暗号化が必要なのか？ https://www.jca.apc.org/jca-net/ja/node/143； (共同声明)大量監視と暗号化の脆弱化の問題の議論がEU理事会に依然として残されている https://www.jca.apc.org/jca-net/ja/node/350； 暗号規制に反対します―日本政府は「エンドツーエンド暗号化及び公共の安全に関するインターナショナル・ステートメント」から撤退を!! https://www.jca.apc.org/jca-net/ja/node/104； 暗号をめぐる基本的な仕組みと社会運動への応用については、グレンコラ・ボラダイル『反対派を防衛する――社会運動のデジタル弾圧と暗号による防御』、JCA-NET訳、https://www.jca.apc.org/jca-net/sites/default/files/2021-11/%E5%8F%8D%E5%AF%BE%E6%B4%BE%E3%82%92%E9%98%B2%E8%A1%9B%E3%81%99%E3%82%8B(%E7%B5%B1%E5%90%88%E7%89%88).pdf

¹⁹

P9_TA(2024)0138 Artificial Intelligence Act https://www.europarl.europa.eu/doceo/document/TA-9-2024-0138_EN.pdf

²⁰

以下を参照。EDRi and et.al., AI Act fails to set gold standard for human rights, https://edri.org/wp-content/uploads/2024/04/EUs-AI-Act-fails-to-set-gold-standard-for-human-rights.pdf ; Access Now, The EU AI Act: a failure for human rights, a victory for industry and law enforcement, https://www.accessnow.org/press-release/ai-act-failure-for-human-rights-victory-for-industry-and-law-enforcement/; Amnesty International, EU: Artificial Intelligence rulebook fails to stop proliferation of abusive technologies, https://www.amnesty.org/en/latest/news/2024/03/eu-artificial-intelligence-rulebook-fails-to-stop-proliferation-of-abusive-technologies/; Article 19, EU: AI Act passed in Parliament fails to ban harmful biometric technologies, https://www.article19.org/resources/eu-ai-act-passed-in-parliament-fails-to-ban-harmful-biometric-technologies/;

²¹

(Common Dream)イスラエルのAIによる爆撃ターゲットが、ガザに大量虐殺の ” 工場 ” を生み出した https://www.alt-movements.org/no_more_capitalism/blog/2023/12/03/common-dream_gaza-civilian-casualties_jp/; (+972)破壊を引き起こす口実「大量殺戮工場」： イスラエルの計算されたガザ空爆の内幕 https://www.alt-movements.org/no_more_capitalism/blog/2023/12/04/972_mass-assassination-factory-israel-calculated-bombing-gaza_jp/;

²²

能動的サイバー防御を推進する主張として、例えば日本経済新聞社説2024年1月21日「能動的サイバー防御の始動を遅らせるな」 、読売新聞社説2024年1月21日「サイバー防衛　脆弱な体制をどう改めるか」 、読売新聞社説2024年6月9日「サイバー防御　インフラを守る体制整えたい」など。

²³

経団連は2023年4月に安保3文書のサイバー安全保障に関連して内閣官房の担当者を招いて説明会を開催している。「改定安保3文書に関する説明会を開催－サイバー安全保障の今後について聴く／サイバーセキュリティ委員会」経団連タイムス、2023年4月20日。また経団連は2023年5月に開催した「サイバー安全保障に関する意見交換会」の記事で次のように述べている。

経団連として、当該組織の新設に向けた法制度整備の方向性や「能動的サイバー防御」のあり方など、政府の動向を注視することに加え、民間としていかに取り組むべきか実務的な検討を重ねていくことは、極めて重要な課題である。

以下も参照のこと。「国家安全保障におけるサイバー防御のあり方」経団連タイムス、2023年11月30日。

²⁴

能動的サイバー防御やサイバー安全保障について、野党の一部がすでに法案を提出している。日本維新の会「サイバー安全保障態勢の整備の推進に関する法律案」国民民主の浜口誠「サイバー安全保障を確保するための能動的サイバー防御等に係る態勢の整備の推進に関する法律案」 https://www.shugiin.go.jp/internet/itdb_gian.nsf/html/gian/kaiji213.htm

²⁵

毎日新聞2024年6月7日「能動的サイバー防御、秋にも法案提出　「通信の秘密」整合性が課題」(Yahoo経由) 、朝日新聞「通信を監視する「能動的サイバー防御」は必要か　専門家の見方」 日経2024年6月4日「能動的サイバー防御、問われる「通信の秘密」との整合性」毎日新聞2024年6月7日「能動的サイバー防御、秋にも法案提出　「通信の秘密」整合性が課題」

Date: 2024年6月22日

Author: toshi

Created: 2024-06-20 木 21:48

Validate