本当にできる？サイバー攻撃に遭う前に先制攻撃 能動的サイバー防御に必要なのは国際的な連携

有識者は各方面から集められているので、それぞれの立場によって変わるが、端的にいえば論点は2つある。

①国の安全保障にかかわる状況で、憲法に規定された通信の秘密をどこまで制限できるか（あるいは制限せず、何ができるか）、②有事の際にサイバー攻撃を可能とする法整備だ。

1つめの通信の秘密に関する議論では、メールの内容そのものではなく、発信元や受信先の国や地域、時間、メッセージのサイズ、頻度といった情報までにとどめる方向で調整が進められている。データ収集にあたっては独立した機関による承認を取るプロセスも組み込まれる予定だ。

2つめは、有事の際にサイバー攻撃を可能とするための体制づくりが議論されているが、具体的な内容についてはこれからとなっている。よく言われる「サーバー無効化」や「先制攻撃」はここで議論されるはずだ。

だが、議論の本質はサーバー無効化を含むACDのグレーゾーンを国防や重要インフラ保護に適用できるようにする法整備にある。有識者会議のメンバーをみても、他国への先制攻撃のような憲法議論に踏み込んだ話にはならないだろうし、させてはならない。

ACDが法制化された場合の企業への影響

現在進められている議論では、通信事業者は政府の指示（第三者機関の承認を経た）により、必要な通信情報、ログを開示しなければならないとされる。また、情報漏洩を故意に行った者、重大な過失によりサイバー攻撃を受けた者を罰則する規定も盛り込まれるとされる。

これが通信事業者やサービスプロバイダーといった民間企業の新たな負担になる可能性がある。民間企業としては、政府に恩を売れるメリットはあるかもしれないが、データの収集・管理コストは（補填がないかぎり）自腹で負担となる。

現状でも、犯罪捜査では裁判所の令状とともに通信情報の開示が行われている。また、ネットの誹謗中傷問題から、民事訴訟でも開示請求が増えていて、プロバイダーも対応できる体制をとりつつある。

これと同じレベルの情報開示ならいいが、実際のサイバー攻撃や諜報活動を強制されるといった追加負担も考えられる。また、罰則規定の新たな追加も、重要インフラ事業者や関連企業にとってあまりうれしいものではない。重大な過失をどう整理するかによるが、過失とはいえ被害者でありながら処罰も受ける事態を考えなければならない。