防衛関連企業で発生した不正アクセス

2020年1月、国内の防衛関連企業4社が過去にサイバー攻撃を受けていたことが明かされた。

当該4社の被害状況は下記のとおり。

サイバー攻撃の報告義務

企業は、次に該当するサイバー攻撃が発生した場合、関係機関に報告する義務がある。

1. 下記に該当する情報が漏洩した、またはそのおそれがある場合

・個人情報
生存する個人に関する情報のことで、氏名、生年月日などのデータによって特定の個人を識別できる情報、または個人識別符号を含む情報。
報告先：個人情報保護委員会（内閣府外局）
https://www.ppc.go.jp/files/pdf/190327_rouei_gaiyou.pdf

・秘密、特定秘密、特定防衛秘密（以下「防衛秘密」）
秘密保全に関する訓令、特定秘密の保護に関する法律、日米相互防衛援助協定等に伴う秘密保護法が定める知識、文書、図画また物件（電磁的記録を含む）。
報告先：防衛省・自衛隊
https://www.mod.go.jp/asdf/3dep/prd/kouji/kouji-pdf/4-5-2019.pdf

2. 重要インフラサービス障害・システムの不具合等の発生
法令等で定められた重要インフラサービス障害・システムの不具合等が発生した場合、各所管省庁への報告する。
報告先：各所管省庁
https://www.nisc.go.jp/active/infra/pdf/infra_rt4_r1.pdf

※重要インフラとは、「重要インフラの情報セキュリティ対策に係る第４次行動計画」が定める「情報通信」、「金融」、「航空」、「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス（地方公共団体を含む）」、「医療」、「水道」、「物流」、「化学」、「クレジット」及び「石油」の14分野

日本政府のコメント

三菱電機、NECに対する不正アクセスを受けて、日本政府は主に以下のようにコメントし、セキュリティの強化を要請した。

防衛大臣

各社から被害状況について報告を受けていることを明かした。防衛省はこれまで、不正アクセスがあっても防衛秘密等の流出がなければ未公表扱いとしてきたが、今後は公表する方針を示した。

経済産業大臣

三菱電機の一件が発覚した際、「早急に報告すべきだった」と対応の遅れを批判した。その後、電子情報技術産業協会（ＪＥＩＴＡ）や電気事業連合会などの業界団体を通じて、各企業に不正アクセスを確認した企業は速やかに報告し、特段の理由がなければ、公表することを求めた。

経産大臣の発言の根拠は？

三菱電機、NECの事案では、防衛秘密は漏洩していない。個人情報は、三菱電機が「流出した可能性がある」と発表している。両社とも重要インフラ企業には該当しない。

この場合、防衛省に防衛秘密漏洩の"おそれ"として報告が必要である可能性はあるが、経産省に報告する必要（義務）はないと思う。

経産大臣は何を根拠として上記のように発言しているのだろうか？

どなたか詳しい方、ご教示ください。

防衛産業の厳しい状況

三菱電機やNECなど、防衛装備品を開発している企業は一般に「防衛産業」と言われる。しかし、日本の防衛産業に、防衛を専門とする企業はほとんど存在しない。

各防衛産業の防衛需要依存度（防衛関連売上／全社売上）は平均4.4%。さらに、防衛装備品の開発で得られる利益は5%程度。

この4.4%のために、防衛産業は他国から情報を狙われ、昨今ではサイバー攻撃を受ける。少しでも被害が発生すれば、今回のように大きく報道され批判を受ける。そして政府は、サイバーセキュリティの強化を要求する。

売り上げのわずか4.4%のために、政府が求めるようなセキュリティ対策を講じることは、企業にとって割りに合うのだろうか。

日本の防衛費は年々増額されており、2020年には6年連続の過去最高額となった。しかし、防衛装備品の調達額において、伸びているのは海外からの調達。2020年度には、4700億円が米国からの調達（FMS）だ。

確かに、三菱電機やNECのような大企業は、防衛装備品以外にも重要インフラなどの機微な情報を扱っており、セキュリティを強化する必要がある。

しかし、採算の低い防衛事業を行うことで高度なサイバー攻撃を受け、世間から批判に合うくらいなら、防衛部門を撤退しようと考える企業も出てくるのではないか？

日本政府は、根拠もなく企業にセキュリティの強化と情報の公開を迫るだけでなく、自ら企業のセキュリティ強化を支援し、企業が安心して情報を公開できる法的な枠組みを整備する必要があると思う。
今後の動向を注視したい。

以上