なぜ日本はサイバー攻撃を「撃退」できないのか？ 高市総理が解き明かす、法制度の“致命的な穴”
日本を襲うサイバー攻撃は、もはや「防壁を厚くする」だけで防げるレベルを超えています。しかし、敵のサーバーに踏み込んで無害化する「能動的サイバー防御（ACD）」を導入しようにも、日本には強固な法的制約が立ちはだかっています。
「攻撃の兆候を察知しても、手出しができない--」。2024年当時、経済安全保障担当大臣だった高市早苗氏は、著書『日本の経済安全保障 国家国民を守る黄金律』（飛鳥新社）の中で、日本のセキュリティ対策が抱える構造的な欠陥を厳しく指摘していました。
2026年現在、国のトップに立つ彼女が、当時から訴え続けてきた「憲法・法律と通信の秘密」を巡る葛藤、そして日本を守るために不可欠な法整備の具体策とは。現職総理の政策思想の原点ともいえる、踏み込んだ解説を抜粋・再構成して紹介します。
私は、複数の法を改正しなければ、十分なサイバーセキュリティ対策を実施できないと考えている。
この点については、自民党サイバーセキュリティ対策本部長として2019年5月10日に取りまとめた『第二次提言』に記して、当時の安倍晋三総理に提言した。
同提言には、「アクティブ・ディフェンスの検討」として、それを可能とする法的根拠の必要性についても記したが、これは、いわゆる「ACD（Active Cyber Defense）」すなわち「能動的サイバー防御」のことだ。
私が所管してきた『経済安全保障推進法』に基づいて対応可能なサイバーセキュリティ対策については、簡単に述べると、「特定社会基盤事業者」に指定された事業者に限定して、重要設備を導入したり維持管理の委託をしたりする際に、国が事前審査を行い、役務の安定的な提供が妨害されるおそれが大きい場合には、計画の変更や中止を求めるものだ。ACDとは関係がない。
ACDを可能とするためには、少なくとも『電気通信事業法』『不正アクセス禁止法』『刑法』に加え、ACDについて一元的な権限と責任を担うことになる行政機関の『設置法』など、複数の法律を改正しなくてはならない。
たとえば、平時からサイバー空間を監視し、攻撃者による悪用が疑われるサーバを検知し、大規模サイバー攻撃の兆候があれば攻撃者を特定したうえで相手のサーバに侵入、無害化する。
そして、もし攻撃によって重要情報が窃取された場合にはウイルスを仕込んで削除する。こうした技術力も高度人材も必要になるが、いずれも法律に根拠規定を置かなければ実行できない。
情報収集や同志国との情報共有に制約がかからないように、憲法第12条・第13条の「公共の福祉」との関係を明確にしなければならない。
そのうえで「通信の秘密」を厳格に規定している『電気通信事業法』を改正すべきだ。そもそも『日本国憲法』制定時には、インターネットは存在しなかった。
この点、2024年2月5日の衆議院予算委員会で、内閣法制局長官が以下のように答弁されたことは、法改正に向けて大きく道を拓くことになると期待している。
「憲法第21条2項に規定する通信の秘密ということが中心かと思いますけれども、通信の秘密は、いわゆる自由権的、自然的権利に属するものであるということから最大限に尊重されなければならないものであるということでございますけれども、そのうえで、通信の秘密につきましても、憲法第12条、第13条の規定からして、公共の福祉の観点から必要やむを得ない限度において一定の制約に服すべき場合があるというふうに考えております。」
仮に攻撃者が、「使用する設備への侵入」や「窃取された情報の削除」を実行したとすると、現行の『不正アクセス禁止法』違反や『刑法』の「ウイルス作成罪」に問われる可能性が高い。
ちなみに、ウイルス作成が正当と判断される条件は、研究やセキュリティ診断の目的に限定されている。捜査や反撃のためのウイルス作成は認められていない。
さらに、このような任務を実行する権限を特定の政府機関に付与する『設置法』も必要になる。
ただ残念ながら、ACDに係る法整備は私の担務ではなかった。2023年9月までは谷公一国家公安委員長の担務であり、その後、河野太郎デジタル大臣の担務となった。
両大臣の下で検討が進められてきたのだと思うが、できる限り早期の法制度整備を心待ちにしてきた。
※本記事は、2024年9月刊行の『日本の経済安全保障 国家国民を守る黄金律』（高市早苗著、飛鳥新社）に基づく内容です。(文:高市 早苗)
能動的サイバー防御の法整備が急務日本政府や重要インフラ事業者も、情報共有や監視体制の強化など、サイバーセキュリティ対策を進めてきた。だが、これらはあくまで「侵入を待つ」受動的な防御に留まっており、巧妙化する攻撃から国家や国民生活を守り切れない深刻な局面に入っている。
「攻撃の阻止」が、現行法では「犯罪」になるというジレンマまず「攻撃者を特定」するためには、『日本国憲法』第21条の「通信の秘密は、これを侵してはならない」という規定がネックになる。
