【声明】通信の秘密を侵害する能動的サイバー防御制度の導入に反対する声明

2024年 10月 28日

通信の秘密を侵害する

能動的サイバー防御制度の導入に反対する声明

２０２４年１０月２５日

秘密保護法対策弁護団

１　能動的サイバー防御制度の導入に向けた政府の動き

　世界各地でサイバー攻撃が相次いでいる。政府は２０２２年末に改定した国家安全保障戦略で、サイバー脅威に対し「対応能力を欧米主要国と同等以上に向上させる」とされている。サイバー空間を平時から監視し、不審な通信やサーバーを検知する、さらに重要インフラなどを狙った重大なサイバー攻撃の危険性が高い場合は、未然に攻撃者のサーバーに侵入して、マルウエアを送り込んで無害化する「能動的サイバー防御（ACD）」制度を導入するとしている。

　２０２４年6月7日から、このようなサイバー攻撃を未然に防ぐための「能動的サイバー防御（ACD）」制度の導入に向けた有識者会議会合が開催されている。政府は、総選挙後の秋の臨時国会にも法案を提出するよう、準備を進めていると報じられている。

　しかし、サイバー攻撃に対する対策の基本は、侵入を防ぐためのシステムの防御であり、攻撃によって食い止めるという方法は、その効果も不確実であり、副作用も大きい。このような制度の導入が、効果をあげられるかどうか、どんな弊害が考えられるかが、まず十分検討される必要がある。

２　有識者会議に示された論点

　政府は有識者会議に、主な論点として、①民間企業との情報共有や政府の司令塔機能強化を含む「官民連携の強化」、②通信状況を監視し、悪用されているサーバーを検知する「通信情報の活用」、③重大な被害を未然に防ぐため、攻撃サーバーを特定し、機能停止に追い込む「無害化措置」の3点を想定するよう提示して、議論を始めている。

　本年8月7日には、有識者会議の「議論の整理」がまとめられ、公表された。

３　危惧される問題点

(1)情報提供を強いられる民間事業者

　官民連携の強化について、企業がサイバー攻撃を受けたことについて国に対して報告義務を課されることが想定されている。サイバー空間でどんなやりとりがなされているか、通信事業者が、政府から情報提供を強いられる懸念も否定できない。

　報道では、国内間の通信などは監視の対象外になるとの報道もあるが、有識者会議での議論では、海外との通信を中心として情報収集するとされているのみで、国内間の通信が対象外とするとは明言されていない。

(2)あいまいな情報収集の要件

　通信情報の活用については、不審なサーバーの検知や攻撃者を特定するための通信記録の監視や解析は、憲法21条が保障する通信の秘密に抵触し、プライバシーの侵害につながる懸念がある。

　内閣法制局は2月の衆院予算委員会で「通信の秘密についても公共の福祉の観点から必要やむを得ない限度において一定の制約に服すべき場合がある」と答弁し、公共の福祉の観点から必要やむを得ない場合には能動的サイバー防御は容認されるとしている。

　現在検討されている情報収集の条件として、（1）目的の正当性、（2）行為の必然性（その行為以外に手段がないこと）、（3）手段の相当性（必要最小限にとどめること）のほか、（4）内容の限定性（メールの中身や件名といったプライバシーにはかかわらない付随情報＝メタデータにとどめる、海外との通信については、特に必要性が高いとされているが、これに限定することは約束されていない）などがあげられているという。

　政府内の検討では、通信内容の提供は原則として受けないとしているが、あくまでスタート時点の話であって、通信傍受法（盗聴法）も当初の運用条件が大きく拡大されている。政府が今後提出する法案において、十分な歯止めになるような条件が定められる保障は極めて疑わしいといわざるを得ない。

(3)サイバー攻撃が主権侵害になる可能性もある

　無害化措置のための攻撃元への侵入は、他人のサーバーへの侵入を禁止する不正アクセス禁止法や刑法に抵触し、攻撃元が海外にある場合は国際法上の外国の主権侵害に当たる可能性がある。サイバー攻撃を行っているサーバー国は、日本とは緊張関係を抱えている国のサーバーが用いられており、サイバー攻撃の防止のための措置が、国際紛争を拡大し、期せずして熱戦にまで発展する危惧まであるといわざるを得ない。

4　独立の監督機関の必要性

　議論の整理では「通信の秘密との関係を考慮しつつ丁寧な検討を行うべき」「主要先進国を参考にしながら現代的なプライバシーの保護や独立機関を組み合わせ、ち密な法制度をつくりあげていく」などとされているが、裁判所による事前審査はすでに放棄されている。

　政府資料には、ドイツの法制度について次のような説明がなされている。

　能動的サイバー防御の制度の必要性があるかどうかも根本的に問い返される必要があるが、仮にこのような制度を導入するとしても、プライバシーの侵害を防止し、深刻な国際紛争の発生を回避するためには、明快な承認要件と独立機関による事前審査と継続的な事後監督の制度を備えることは、最低限の要件である。

　英国では、海外からの通信を対象に、安全保障上の必要や重大犯罪の検知を目的にした情報収集が認められている。取得した情報の閲覧や複製などは必要最小限に制限され、独立の監督機関が設置されている。

５　政府による監視社会化の流れに歯止めを

　2013年には日本版「国家安全保障会議」（NSC）が創設された。年末には特定秘密保護法が成立した。2017年には「共謀罪」の趣旨を盛り込んだ「テロ等準備罪」を新設する改正組織犯罪処罰法が制定された。政府による監視社会化の流れが強まっている。

　しかし、サイバー攻撃が怖い、だから政府に守ってもらおうという短絡的な考え方は極めて危険だ。ネットにおける情報流通が政府に監視されれば、市民の表現の自由は根底から崩される。これまでの有識者会議の動向を見る限り、政府が導入しようとしている能動的サイバー防御制度は、人権侵害の危険性が高いと言わざるを得ず、私たちはこれに反対する。

by himituho | 2024-10-28 14:29 | 弁護団の声明など