「サイバー攻撃による重要インフラサービス障害等の深刻度評価基準(試案)」に関する意見の募集について

内閣官房内閣サイバーセキュリティセンター(NISC)から「サイバー攻撃による重要インフラサービス障害等の深刻度評価基準(試案)」に関する意見の募集がでています。

これは、「サイバー攻撃によりシステムの不具合が発生し、それが「重要インフラサービス障害」(以下、「サービス障害」といいます。)にまで至ってしまった場合に、そのサービス障害が国民社会に与えた影響の深刻さを表す」ものになります。

「重要インフラサービス障害」とは、「システムの不具合により、重要インフラサービスの安全かつ持続的な提供に支障が生じること。」と定義されています。

「重要インフラサービスの安全かつ持続的な提供に支障」という要件に該当した場合に、どのような効果が発生するのか、というのが、気になります。

もともととしては、「重要インフラの情報セキュリティ対策に係る第4次行動計画」に基づいており、この計画は、「サイバーセキュリティ基本法」(平成26年法律第104号)の基本理念にのっとっているので、この要件に該当する場合は、「国民生活及び経済活動の基盤であって、その機能が停止し、又は低下した場合」(サイバーセキュリティ基本法附則2条)ということになるかと思います。

この場合の法的な効果としては、「国民の生命、身体又は財産に重大な被害が生じ、又は生じるおそれがある緊急の事態への対処及び当該事態の発生の防止」(内閣法15条1項の内閣危機管理監の職務)に該当することになる、というのか組織法上の効果になるかと思います。

具体的な政府の対応手法を発動させるのか、という点についていえば、「我が国の平和と独立並びに国及び国民の安全の確保に関する法律(以下、事態対処法という)」についていえば、同法21条の「国及び国民の安全に重大な影響を及ぼす緊急事態」と上の「システムの不具合により、重要インフラサービスの安全かつ持続的な提供に支障が生じること。」が、同一であるのか、という解釈上の論点が発生します。

もし、この重要インフラ支障事態(?)が、上の「国及び国民の安全に重大な影響を及ぼす緊急事態」と同一であるならば、法的には、同法21条2項の
「一 情勢の集約並びに事態の分析及び評価を行うための態勢の充実
二 各種の事態に応じた対処方針の策定の準備
三 警察、海上保安庁等と自衛隊の連携の強化」
の措置をとることができることになります。

国際法的には、このサイバー攻撃が、主権の侵害をおよぼす(干渉)ものであれば、国際的違法行為として対抗措置を許容するということになりそうです。主権の絶対性の対象となる物に関する干渉(interference)は、国際法の侵害になるとされているわけです。ここで、干渉とは、そのものに損傷(damage)を与えるか、もしくは、その機能を重大に損なわせることをいいます。

でもって、この深刻度評価基準ですが、何の効果をもたらすのか、というのが、私のレベルでは分析できないので、基準として、妥当なのか、どうかというのもコメントできないですね。

(ちなみに、脆弱性に関しては、脆弱性自体の深刻度と、社会に対する影響度というのを分けています。用語も統一されていないというのも微妙な感じがしますね)

It's only fair to share...Share on LinkedInTweet about this on TwitterShare on Facebook