私は26日の衆院内閣委員会で、国民の通信情報を常時収集・監視する「能動的サイバー防御法案」について、本人の同意なく個人情報が取得、利用される危険な実態を追及しました。
同法案は基幹インフラ事業者に加え、家電メーカーなどあらゆる民間事業者に通信情報を提供させる協定を結ぶことができるとしています。
私は、どのような情報を提供させるかなどを定める協定内容には公表義務がないことを指摘し、「インフラ等の利用者に対し情報提供の同意はとるのか」と質問。内閣官房の小柳誠二審議官は「個々の利用者から同意を得ることは難しい」と同意がないことを認めました。
さらに私は、同法案は、協定当事者の同意を得れぱ、取得した通信情報からIPアドレスやメールアドレスなどの機械的情報を選別したものを、総理がサイバー攻撃の被害防止以外の目的に利用できる規定があるのではないかと質問。小柳審議官はその通りだと認めました。さらに、その規定は警察や自衛隊にも準用されるのではないかと質すと、準用されることを認めました。
私が、警察や自衛隊がサイバー攻撃の被害防止とは無関係な自らの業務に、取得した通信情報を利用できてしまうと追及すると、平将明デジタル相は「利用目的は必ずしも特定被害防止目的に限られない」と認めました。
私は、岐阜県大垣市で脱原発運動や平和運動をしていた市民の個人情報を県警が収集し電力会社に提供していた事件が起きており、取得した通信情報が「市民運動を監視する目的で使われる可能性もある」と告発。本人の同意なく目的外利用、第三者へ提供、海外移転を行うことは「個人情報保護の原則に背く」と批判しました。
同意なく情報取得・利用/衆院内閣委/サイバー法案/塩川氏質問に審議官
「しんぶん赤旗」3月27日・2面より
日本共産党の塩川鉄也議員は26日の衆院内閣委員会で、国民の通信情報を常時収集・監視する「能動的サイバー防御法案」について、本人の同意なく個人情報が取得、利用される危険な実態を追及しました。
同法案は基幹インフラ事業者に加え、家電メーカーなど、あらゆる民間事業者に通信情報を提供させる協定を結ぶことができるとしています。
塩川氏は、どのような情報を提供させるのかを定める協定の内容は公表義務はないと指摘。インフラ等の利用者本人に情報提供の同意はとるのかと質問しました。内閣官房の小柳誠二審議官は「個々の利用者から同意を得ることは難しい」と同意がないことを認めました。
さらに塩川氏は、同法案は、首相が、取得した通信情報からIPアドレス(ネットワーク上の住所)やメールアドレスなどの機械的情報を選別したものを、協定当事者の同意を得ればサイバー攻撃の被害防止以外の目的に利用できる規定があるのではないかと質問。内閣官房の小柳氏はその通りと認めました。さらに塩川氏が「その規定は警察や自衛隊にも準用されるのではないか」とただすと小柳氏は、準用されることを認めました。
塩川氏が、警察や自衛隊がサイバー攻撃の被害防止とは無関係な自らの業務に、取得した通信情報を利用できてしまうと追及すると、平将明デジタル相は「利用目的は必ずしも特定被害防止目的に限られない」と認めました。
塩川氏は、岐阜県大垣市で脱原発運動や平和運動をしていた市民の個人情報を県警が収集し電力会社に提供していた事件が起きており、取得した通信情報が「市民運動を監視する目的で使われる可能性もある」と告発。本人の同意なく目的外利用、第三者へ提供、海外移転を行うことは「個人情報保護の原則に背く」と強調しました。
「議事録」
第217回通常国会 令和7年3月26日(水曜日)内閣委員会 第8号
○塩川委員 日本共産党の塩川鉄也です。
法案について質問いたします。
先日の質疑では、政府が必要と判断した通信情報を取得する際は、やり取りの内容も含んだ情報を一旦は全てコピーしてくること、選別された後に残った機械的情報も通信の秘密の対象であることなどを確認してきました。
通信の秘密の侵害は、市民が情報発信自体をちゅうちょすることにつながり、ひいては表現の自由を侵害するものでもあります。
その上で、政府と事業者との協定について引き続きお尋ねします。
自治体を含む基幹インフラ事業者だけでなく、ネット回線を利用していればどんなものでも対象になり得るということでした。ほぼ全ての国民の通信情報が関わってきます。
そこで、お尋ねしますけれども、こういった協定の内容はインフラなどの利用者に対し公開されるんでしょうか。
○小柳政府参考人 お答えをいたします。
本法案におきまして、当事者協定を締結したことについての公表に関する規定は設けてございません。
なお、協定当事者におきまして、利用者に配慮するなどして協定締結に関する情報の公表を希望する場合もあるというふうに考えられますところ、公表を行うかどうかは、協定当事者の御要望も踏まえて個別に判断をしてまいります。
○塩川委員 協定に関する公表規定はないということです。
利用目的の特定と外部提供の制限という個人情報保護の原則からしても、どういう協定を結ぶのか、どういう情報を政府に提供するのか、その通信情報が取得される利用者に対し公表するのが当然だと思いますが、インフラなどの利用者は、自分の情報が政府へと提供されるということを、そもそもどうやって認識することができるんでしょうか。
○小柳政府参考人 お答えをいたします。
政府におきましても、協定を締結した基幹インフラ事業者等におきましても、政府に提供される情報に特定の利用者の情報が含まれるかどうかを把握することは困難と考えられます。
ただし、例えば、事業者が協定を締結した旨を公表することがあれば、利用者は自分の情報が政府に提供される可能性があることは知ることができることとなるものでございます。
○塩川委員 何も、それが義務づけられているわけではないところであります。
大臣にお尋ねしますけれども、このような協定を結ぶかどうかというのは同意を前提ということですが、あくまでも事業者のものであって、利用者の同意というのはないということでよろしいんでしょうか。
○平国務大臣 塩川委員にお答え申し上げます。
協定を締結をする基盤インフラ事業者等において、政府に提供される情報に特定の利用者の情報が含まれるかを把握することは困難であること等から、個々の利用者から提供について同意を得ることは難しいところでございます。
その上で、当事者協定で取得した通信情報については、自動的な方法によって、不正な行為に関係があると認めるに足りる機械的情報のみが選別をされ分析対象となるほか、特定の個人を識別することができることとなるおそれが大きい情報については他の符号に置き換えるなどの非識別化措置を講ずることとし、また、独立機関であるサイバー通信情報監理委員会の検査等の対象ともなるものであり、協定当事者の通信の相手方の権利にも十分配慮をすることとしています。
したがって、こうしたことにも鑑みると、通信の秘密との関係で問題を生じるものではないと考えております。
○塩川委員 通信の当事者の相手方の利用者の個々の同意というのは難しいということですから、利用者の同意はないということです。
基幹インフラ事業者の同意があれば、利用者には同意もなく自らの通信情報を政府に取得されることとなります。今るるそれに対しての御説明がありましたけれども、今日の質疑の中でも目的外利用の禁止の話などもありましたが、ただ、原則禁止するという、原則という言葉がついていたわけですね。そういう点でも、目的外利用の禁止の例外があるということであります。
そこで、二十四条の非識別化はちょっと後に回して、二十三条関係で続けて質問しますけれども、二十三条四項で規定をする選別後通信情報の利用、提供の例外規定についてお尋ねをいたします。
二十三条の第四項は、「内閣総理大臣は、次に掲げる場合には、選別後通信情報を、特定被害防止目的以外の目的のために自ら利用し、又は提供することができる。」としております。一号では、選別後通信情報を協定当事者の同意を得て自ら利用し又は提供する場合、二号では、関係行政機関や外国政府等への提供を規定しております。一号では、協定当事者の同意を得れば、選別後通信情報を目的外利用できるし、外部提供できるとしているわけです。
お尋ねしますけれども、条文上、目的外利用についての縛りはないと思いますが、協定の相手方の同意があれば、サイバー攻撃の被害防止以外の目的に利用することも排除されていないのではありませんか。
○小柳政府参考人 お答えを申し上げます。
本法律案におきましては、御指摘のとおり、特定被害防止目的以外の目的にも利用することが例外的に認められているわけでございますけれども、まず、特定被害防止目的とは、国外からの重要電子計算機に対するサイバー攻撃等の被害を防止する目的を指すものでございまして、選別後通信情報については、この特定被害防止目的以外の目的での利用を原則として禁止する旨を規定しているところでございます。
その上で、二十三条四項でございますけれども、特定被害防止目的以外の目的のために例外的に利用できる場合について規定してございますけれども、選別後通信情報につきましては、自動選別によって一定のサイバー攻撃に関係があると認めるに足りる機械的情報に限定されたものでありまして、そのため、選別後通信情報の利用は、いずれにせよ、サイバーセキュリティー対策の範囲内に通常限られるというふうに想定されるものということでございます。
○塩川委員 条文上でも特定被害防止目的以外の利用も可能とするという点では、それは可能だということですので、そういう点でいえば、協定当事者の同意があれば、内閣総理大臣が幅広い目的で選別後通信情報を利用できるというのが二十三条四項の一号であります。
そういう点では、想定されることはあるということですけれども、しかし、実際にこのような利用目的についての例外ということは当然行われるわけで、そういう点でも、このような、排除はされていない規定というのが問われてくると思います。
さらに、この二十三条四項一号の規定については、三十一条三項で、選別後通信情報の提供を受けた機関、通信情報保有機関の長にも準用されるということで、そういうことであれば、警察やまた防衛省・自衛隊にも準用されるということでよろしいんでしょうか。
○小柳政府参考人 お答えをいたします。
本法律案第二十三条第四項第一号の規定でありますけれども、警察庁、防衛省・自衛隊等に対しても、これらの機関が本法律案の規定により、例えばアクセス・無害化措置のために通信情報の提供を受けて通信情報保有機関に該当することとなった場合には準用されるというものでございます。
○塩川委員 大臣にお尋ねします。
協定に関する選別後の通信情報の提供を受けた警察や自衛隊が、協定相手の同意があれば、その情報をサイバーセキュリティーとは無関係な自らの業務のために利用することも可能ということになりはしませんか。
○平国務大臣 お答え申し上げます。
本法律案第二十三条第四項第一号の規定により、協定当事者の同意を得た場合には、御指摘のように、その利用目的は必ずしも特定被害防止目的に限られないことになります。
しかしながら、選別後通信情報は、自動的な方法による選別により、一定の重大なサイバー攻撃に関係があると認めるに足りるIPアドレス、コマンドなど機械的情報に限定されたものであり、また非識別化措置も講ずることから、いずれにせよ、サイバーセキュリティーに関係する業務で用いられることが想定されるものです。
したがって、警察や自衛隊においてサイバーセキュリティーと無関係な業務のために利用されることは、協定当事者の同意がある場合を考慮に入れたとしても、通常想定されるものではありません。
○塩川委員 機械的情報であっても通信の秘密の対象となるということもありますし、非識別化といっても再識別化もできるという規定もあるところであります。
そういう点では、選別後通信情報であっても、やはり恣意的な選別が行われる疑いがある、このことは拭えないと思いますし、そもそも通信の秘密に該当する情報であり、メールアドレスや個人の特定や行動を把握し得るものであります。そういう情報について、インフラ事業者だけでも既に広範な国民が利用しているものである。加えて、さらに、家電メーカーなども含むあらゆる民間事業者と協定を結ぶことで収集をし、警察や防衛省・自衛隊が自らの業務のために利用するのではないのか。
例えば、岐阜県大垣市で、脱原発運動や平和運動をしていた市民の個人情報を県警が収集をし電力会社に提供していた事件のように、市民運動を監視する目的で使われる可能性もある、こういったことも排除されないのではないのか。この点も問われると思うんですが、それについてはいかがでしょうか。
○小柳政府参考人 お答えを申し上げます。
本法案におきましては、通信情報を内閣総理大臣が取得したときには、閲覧その他の人による知得を伴わない方法によって、不正な行為に関係があると認めるに足りる機械的情報のみを選別して分析をするということとなってございます。そして、それ以外のものを消去する措置を講じなければならないということが法律で定められてございます。
そのため、選別後通信情報に広く一般のユーザーの個人情報が含まれるといったことは想定されるものではございません。
○塩川委員 不正の目的で個人情報を使っているということが断罪されたのも大垣事件でもありますので、そういった点でも、機械的情報、通信の秘密に関わるような情報とその他の情報も一体にすることによって、警察等の業務に関わるようなものが不当な扱いにされる、また、そういったこともこれまでの事例でもあるという点での懸念、危惧が拭えないということを申し上げておきます。
ちょっと時間があれですが、二十四条の関係で、選別後通信情報は通信の秘密の対象となるということですけれども、国民のプライバシー権との関係でどうかという問題もあります。
お尋ねしますが、選別後通信情報に個人情報が含まれている場合もあるのではないのか。この点、これまでの質疑にあるように、メールアドレスとか、SNSのアカウント、電話番号等も含まれるということでよろしいでしょうか。
○小柳政府参考人 お答えを申し上げます。
委員御指摘のとおり、選別後通信情報が個人情報に該当する可能性はあるものというふうに認識をしてございます。
通信情報に含まれる個人情報につきましては個人情報保護法の規定が適用されることとなりますので、個人情報保護法の規定も遵守し、適正な取扱いを行ってまいります。
その上で、先ほど申し上げたとおりでございますが、自動選別におきましては、閲覧その他の人による知得を伴わない自動的な方法によって、不正な行為に関係があると認めるに足りる機械的情報のみが選別をされて、それ以外のものは消去されるということでございまして、選別後通信情報に広く一般のユーザーの個人情報が含まれるということは想定されないというところでございます。
○塩川委員 最後に大臣にお尋ねしますが、機械的情報が個人情報に該当する場合には個人情報保護法の規定が適用されるということでありました。個人情報保護の原則からすれば、本人の同意を取ることすら行わずに、目的外利用や第三者提供、さらに、海外移転などができるはずがないのではありませんか。
○平国務大臣 選別後通信情報が個人情報である場合には、選別後通信情報を第三者に提供する場合も含め、個人情報保護法の規定を遵守し、適正に取扱いをしてまいります。
○塩川委員 本人同意もなしにそういうことを行うのは個人情報保護法の立場にも背くものだということを申し上げて、質問を終わります。
