外部からのサイバー攻撃を未然に防ぐため、攻撃の兆候を収集して攻撃元を特定し、そのサーバーに侵入して無害化すること。
サイバー攻撃は急増している。国立研究開発法人情報通信研究機構によれば、2015年に632回だった攻撃関連の通信が、2024年には6862回と10倍以上になっている。航空会社や金融機関、安全保障関係の企業などへの大規模なサイバー攻撃も起きており、中には外国政府を背景としたグループの行動と考えられるものもある。
こうした事態を受けて、欧米主要国では政府によるACDを可能とする法制度が整備されているが、日本では、これまでの法律では他者のシステムに無断でアクセスすることは禁止されており、ACDは違法だった。
重要インフラへのサイバー攻撃は深刻な被害を起こしかねないため、日本政府は2022年の国家安全保障戦略にACDの導入を盛り込み、2025年5月16日には参議院本会議でACD関連法が可決・成立した。これにより、政府は平時からネット上の情報を収集・分析し、重大な攻撃の恐れがある場合は、警察・自衛隊が攻撃元のサーバーに侵入し、プログラムの設定を変えたり、削除したりすることが可能になる。2027年までに施行される。
ACD関連法の第一のポイントは、政府と重要インフラ事業者の情報共有である。電気、ガス、水道、鉄道、貨物自動車運送、航空、空港、外航海運、港湾、石油、電気通信、放送、郵便、金融、クレジットカードの15業種に関わる213の事業者に対し、サイバー攻撃を受けた場合に政府への報告が義務付けられるほか、特定のIT機器やソフトウェアの導入に際しても届け出が必要になる。そうして集めた情報を対策に活かすため、「官民協議会」を設置し、分析で得られた知見を事業者と共有する。
第二のポイントは、政府が平時から通信情報を監視することが可能になることだ。内閣総理大臣が重要インフラ事業者などに対して監視・分析のために通信情報の提供を求めることができる。
しかし、令状なしで通信情報にアクセスすることは、憲法21条第2項が保障する「通信の秘密」に抵触する。そのため、これに対する歯止めとして以下の規定が設けられた。情報収集は、日本を経由する外国同士の通信と、日本と外国間の通信に限られ、国内の通信は除外される。また、収集・分析の対象はメールアドレスやIPアドレスなどの「機械的情報」に限定され、メールの件名や本文などの「コミュニケーションの本質的内容」はシステムによって自動的に除外される。監視期間は、外国同士の通信は原則6カ月、日本と外国間の通信は3カ月に限定される。
また、政府が規定を順守しているかどうかをチェックするため、内閣府の外局として5人の委員で構成される「サイバー通信情報監理委員会」が設置される。ACDを行う際には、政府は事前に監理委員会の承認を受けるが、その余裕がないときは事後報告も認められる。政府の職員が情報を不正利用したり、漏洩したりした場合は、4年以下の拘禁刑または200万円以下の罰金を科せられる。
一方で、インフラ事業者に対しても、攻撃を受けたのに報告しなかったり、政府の是正命令に従わなかった場合は、200万円以下の罰金を科せられるなどの罰則が設けられている。
第三のポイントが、警察・自衛隊によるACDの実施である。政府機関や基幹インフラなどにサイバー攻撃もしくはその疑いがあり、生命や身体、財産に対して重大な危害が及ぶ可能性があるときは、警察が「危害防止措置」としてACDを行うことができる。攻撃が「外国からの特に高度に組織的かつ計画的な行為」であると認められる場合は、自衛隊が「通信防護措置」として警察と共同で対処する。
ACD関連法については、メールアドレスやIPアドレスだけであっても他の情報と組み合わせれば個人に関する情報が推測できる可能性があり通信の秘密を侵害し得ることや、他国のサーバーへの侵入が相手国から主権侵害と見なされ、国際法上、違法とされる可能性があるなどの指摘がある。
