2023.11.01 07:46

情報通信機構法（NICT法）の改正法案について

デンパ地下は基本大好き、電波ははいらないこともあるけど・・・。

　国立研究開発法人情報通信研究機構法（以下、NICT法）の改正法案が総務省より第212回臨時国会に提出されている。国立研究開発法人情報通信研究機構とは通称NICTと呼ばれ当該法によると「情報通信研究機構は、情報の電磁的流通及び電波の利用に関する技術の研究及び開発、高度通信・放送研究開発を行う者に対する支援、通信・放送事業分野に属する事業の振興等を総合的に行うことにより、情報の電磁的方式による適正かつ円滑な流通の確保及び増進並びに電波の公平かつ能率的な利用の確保及び増進に資すること」を目的にする機関である。電磁波であったり、ネットワークに関する研究、サイバーセキュリティやデータ駆動知能システム、新しいところではBeyond 5G研究開発推進も負っている。日本の標準時を電波を通じて発しているのもNICTである。太陽の地磁気の乱れを観測または予測してデータを公開する宇宙天気予報も行っている。2022年の交付金は282億円、補正予算での補助金は502億円となっている。収入は170億円である。従業員は1295名で全国8か所に研究拠点を持っている。明治29年に設立された通信総合研究所と昭和54年に設立された通信・放送機構が平成16年に統合された研究機関で日本の情報通信技術の開発や事業支援を先導する役割を担ってきた。企業や学術機関と共同研究を行ったり、企業からの研究を受託したり、オープンイノベーションとしてデータや設備の使用ができたり、研究の国際連携の窓口にもなっている。

　さて、今回の改正法案は前年（令和4年）にも行われた改正と被っている。NICTが令和５年度末までに限り行うこととされているID・パスワードに脆弱性があるIoT機器の調査（特定アクセス行為）を令和６年度以降も継続的に実施できることとすることについてはこれまでもその都度に期間が延長されてきた。サイバー攻撃はこの10年間、WINDOWSではなくIoT機器に向けられるようになっている。NICTは2005年から脆弱なIDやパスワードの設定などサイバー攻撃に悪用される恐れのあるIoT機器を調査し、同機器の利用者に対してISP経由で注意喚起する取り組みを行っている。家庭にあるブロードバンドルーターに関してだが、最近の機種はそもそも外部からIDやパスワード等を打ち込めるような仕様になっていないが、旧タイプのルーターにはそれができるものがある。パスワードがデフォルトのままになっていたりすると、この調査によって、ユーザーが契約しているISPから「端末が脆弱な状況にあるので対策をしてください」という案内文がメールで届くという仕組みである。この仕組みを「NOTICE」と名付けている。日本にある数億のIPアドレスに対してスキャンをかけ応答があった機器に対してIDとパスワードの入力を行い、ログインできた場合はその情報をISPへ提供する役割をNICTが担っている。IPアドレスにスキャンをかけてIDやパスワードまで入力する行為は本来ならば不正アクセス防止法に抵触する。不正アクセス防止法を犯さないようにNICTを改正することでそれを可能としている。NICT法は特別法であり一般法の不正アクセス防止法に優先する。よって、IDやパスワードまで入力することはかなり踏み込んだ行為ではあるが違法ではない。参議院調査室の「立法と調査、No402」では不正アクセス防止法の規制から除外されるという認識を明記している。今回の法改正でも不正アクセス禁止法の除外規定を継続する。

　NICTの発表によると「2019年第2四半期までの実施状況は、NOTICEは調査対象となった約1億のIPアドレスのうち、ID、パスワードが入力できたものが約9万8000件、そのうちログインが成功し注意喚起の対象となったものが延べ505件だった。マルウェアの感染が検知された機器利用者への注意喚起は、ISPへの通知件数が1日あたり80～559件発生した」という。探したがそれ以降の状況を示す数値は見つからなかった。NICT法改正を継続するのではあればせめて2022年度か2023年上期の状況を示すデータをあれば理解を得やすいのではないか。

　NICTによるIoT機器の脆弱調査は憲法の定める「通信の自由」を侵しているのではないかという意見もある。先の「立法と調査No402」によると政府参考人は「通信当事者の同意がない場合であっても、法令行為、正当業務行為、正当防衛又は緊急避難に該当する場合は違法性が阻却される」という考えを示したとされる。また、正当業務行為については「電気通信事業者が電気通信役務の提供等の業務を行うために必要であって、目的の正当性、行為の必要性等を満たす行為」だとした。

　「通信のひみつ」に関してはどうか。総務省は電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会（第三次）「ユーザーが、どの時間に、どのIPアドレスを使っているか、という情報それ自体が通信の秘密の対象になる。IoT端末への注意喚起について約款に包括同意として定める場合、仮に同意がない場合であっても、その脆弱性が放置されることにより、感染する端末が多数することとなり、ISPの電気通信役務提供に支障が生じる蓋然性が具体的にある場合に限って、正当業務行為として許容される」という方針をまとめている。

　「プライバシー権」ついてはどうか。衆議院の基本的人権の保障に関する調査小委員会の資料によるとプライバシー権を「プライバシーおよび人格に関する権利」と呼び、それが侵される場合を以下としている。公権力が思想の中身や手順を決めてしまうことによって人格を侵害する場合、公権力が身体に立ち入ったり身体をコントロールすることによって人格を侵害する場合、公権力が生活のプラン型ないしスタイルの選択を指図することによって人格を侵害する場合、個人の印象やイメージなど人が他者に与えかつそれを通じて自己のアイデンティティが明らかにされる生活上の情報について誰が何を知っているかを十分にコントロールできなくなってしまう危険性のある公権力による情報の収集・保有およびその伝播のシステムが整っている場合とされる。NICTの調査によってWEBカメラやマイクが付いた危機に侵入された場合は確かに生活上の情報の収集が可能となってします。よってプライバシー権が侵害される可能性についてあるものと認識する。

　個人情報保護の観点についてはどうか。独立行政法人等の保有する個人情報の保護に関する法律によるとIPアドレスは個人情報にはあたらない。IPアドレスだけだと個人の特定にはつながらないが名前や住所など他の情報と関連付けることで個人を特定することが可能になる場合は個人情報として保護される。そうでない場合はIPアドレスは単なる個人関連情報でしかなく個人情報保護法で保護される情報ではない。NICTの調査において個人情報保護法は恐らく抵触しないものと思われるが、プロバイダーへの情報が提供される場合は別だと思料する。プロバイダーはIPアドレスと個人情報を結びつけることが可能である。

　前述をまとめると、憲法上の「通信の自由」の侵害にはあたらない。「通信の秘密」においては正当行為である。ただし、プライバシー権を侵している可能性は否定できない。IPアドレスは個人情報の保護にはあたらない。

　さて、昨年度のNICT法改正法案にはいくつかの付帯決議が付けられている。その進展についても明らかにすべきであろう。

＊ビヨンド５Gの社会実装に向けた支援状況は。

＊ビヨンド５Gの国際標準規格における知的財産権の取得状況は。

＊本法では電波利用料が活用されているがその活用使途の開示を。

＊光ファイバー、５Ｇ、データセンター等の情報通信インフラ整備について地方のニーズはどのように反映させているのか具体例を。

＊（本法とは関係ないが、電波利用料を最大限にする手段としての電波オークションの導入を検討するべきでは。）

参考

令和4年度　国立研究開発法人情報通信研究機構法及び電波法の一部を改正する法律

https://www.sangiin.go.jp/japanese/joho1/kousei/gian/210/pdf/k0802100202100.pdf

情報通信研究機構　Wikipedia

https://ja.wikipedia.org/wiki/%E6%83%85%E5%A0%B1%E9%80%9A%E4%BF%A1%E7%A0%94%E7%A9%B6%E6%A9%9F%E6%A7%8B