能動的サイバー防御法──沈黙は守られるのか？

2025年5月16日、「重要電子計算機に対する不正な行為による被害の防止に関する法律」（通称：サイバー対処能力強化法、以下「強化法」）および「同施行に伴う関係法律の整備等に関する法律」（通称：サイバー対処能力強化法整備法、以下「整備法」）が成立し、同月23日に公布されました。

29日、政府は、総理大臣官邸で「サイバーセキュリティ戦略本部」の会合を開き、NISC＝内閣サイバーセキュリティセンターを、司令塔機能を担う新組織に改組し被害の未然防止に向け、高度な情報収集・分析能力を担う体制を整えていくことを確認したとの報道がありました。

NISC＝内閣サイバーセキュリティセンターって、なんだかかっこよい響きですよね。
これらの法制度は、日々巧妙化・深刻化するサイバー攻撃から国民生活・経済活動の基盤を守るため、そして国家と国民の安全を確保するために、能動的サイバー防御の法的枠組みを構築するものであり、その必要性は否定しようがありません。
ただ、弁護士として若干気にかかる点について、コメントさせてもらいたいと思います。

📌 背景と法制度の柱

政府が示す新たなサイバー防御体制の三本柱は以下のとおりです：

官民連携の強化
通信情報の取得・分析
攻撃サーバ等へのアクセス・無害化措置

これらの措置は、法的には「強化法」および「整備法」の両輪で制度化されています。背景には、有識者会議による提言や、国際的な対応事例（米国FISA、ドイツBND法など）も踏まえた制度設計がなされています。

🤝 官民連携の具体的中身

強化法は、特定重要電子計算機（＝インフラ企業の重要なサーバや端末）を対象とし、インシデントが発生した際の報告義務や、事前の登録・届出制度を規定しています。

インフラ事業者は、重要な端末の導入時に製品情報を事業所管大臣に届け出
インシデントや攻撃兆候が認知された場合、政府への報告が義務化
政府側は分析結果を共有し、再発防止や被害抑止を図る

📡 通信情報の取得と監理制度

通信情報の取得は、攻撃の兆候や通信パターンを事前に検出するために、通信事業者と連携して実施されます。

ただし、これは憲法21条「通信の秘密」に抵触しかねないため、強化法では以下のようなチェック体制を設けています：

独立監理機関「サイバー通信情報監理委員会」の承認を必須
利用目的・取得範囲を限定し、目的外使用を禁止
対象はメタデータ（通信の宛先、日時、通信量など、通信の内容そのものではない情報）に限定されるとされるが、境界は曖昧

この点については、法制度上の必要性を認めつつも、弁護士として慎重な運用と監視体制の強化が必要だと感じています。

🛡 攻撃サーバへのアクセス・無害化措置

整備法では、サイバー攻撃の実行元とされるサーバ等に対し、警察庁または防衛省（自衛隊）が技術的な手段によりアクセスし、無力化することが認められています。

対象は攻撃の「兆候」がある場合を含む
技術的措置の正当性は、独立機関の承認・事後監視を受ける
海外サーバへの措置には、国際法との整合性が求められる

これらの措置は、「必要性・相当性・限定性（比例原則）」を満たす場合に限って許容されるべきであり、恣意的運用を排するための制度設計が問われます。

⚖️ 弁護士の視点──制度の必要性と懸念

サイバー攻撃は、国家安全保障に直結するリスクです。
したがって、能動的なサイバー防御体制の構築は、一定の合理性があります。
しかし一方で、以下のような懸念が残ることもまた事実です：

通信情報の取得範囲が不明瞭で、プライバシー侵害の懸念
裁判所の令状を要しない点での手続的保障の欠如
アクセス措置が他国サーバに及ぶ場合の国際法上の正当性
恣意的運用や目的外使用への歯止めが制度的に不十分

こうした懸念は、法律の文言が整っているかではなく、現実にどのように運用されるかにかかっています。
人のすることに絶対の安全と信頼を預かると言うことはできません。
民主主義社会における防衛体制は、常に透明性と説明責任を要します。
この制度が、憲法の通信の秘密と、日本の安全保障の根幹にかかわるものである以上、今後の運用がどのようにすすめられるのか、興味が尽きません。
問題なく制度が機能し、国外からのサイバー攻撃に対する適切な対処がなされることを願っています。

※制度の詳細は、内閣官房サイバーセキュリティセンター（NISC）等の公式情報をご参照ください。