基幹インフラ事業者からのインシデント報告制度の在り方について、上沼紫野参考人（弁護士）と持永大参考人（芝浦工業大学准教授）がそれぞれ見解を述べました。上沼参考人は、政府と事業者が事前にすり合わせを行い認識のずれを防ぐことが負担軽減と報告基準明確化において最重要だと主張し、一元的な報告体制の構築を訴えました。持永参考人は、現状でＪＰＣＥＲＴコーディネーションセンターが年間約４万６千件のインシデント報告を受け付けているのに対し、ＮＩＳＣへの報告は年間約400件にとどまっている実態を示し、民間事業者が監督官庁への報告をためらう背景として行政指導への懸念があると指摘しました。その上で、報告義務は罰則につながらず、政府側からの情報還元など報告することがインセンティブとなる制度設計が必要だと主張しました。

サイバーセキュリティー分野の人材育成と処遇改善について、持永大参考人と酒井啓亘参考人が意見を述べました。持永参考人は強く賛成する立場から、「決め手となる給与水準が低いことが課題」と指摘し、関係する行政官や技術者の給与を「民間並みではなく、民間以上の水準で確保する必要がある」と主張しました。また、科学技術への投資の絶対額が少なく、情報セキュリティー分野の科研費採択件数が僅か36件にとどまるなど裾野が狭いと述べ、研究の重複や失敗を許容したうえで予算配分を拡大すべきだと訴えました。酒井参考人は、サイバー行動に関する国際法規則の専門知識を有する人材の育成が急務であると指摘しました。監理委員会に参加する人材の処遇についても議論され、持永参考人は重い職責と必要な能力に見合うよう「給与を3倍程度にする必要がある」との意見を示しました。

通信の秘密保護とサイバー攻撃対処のバランスについて、上沼紫野参考人と齋藤裕参考人が対立する見解を示しました。上沼参考人は、本法案が対象とする情報はコミュニケーションの本質的内容に当たらない機械的情報（ＩＰアドレス、ポート番号、通信量等）に限定され、さらに自動選別・独立機関による監視・透明性確保の仕組みが組み込まれており、通信の秘密と対処の必要性のバランスが取れていると評価しました。一方、齋藤参考人は、当事者協定による通信情報の利用は具体的な必要性が全く要件とされておらず、最高裁の判断枠組みから合憲性に疑問があると批判しました。また、機械的情報であっても送信先等から個人の思想・性的指向が判明し得るとして、通信の秘密侵害の可能性は払拭できないと懸念を示しました。

サイバー通信情報監理委員会の在り方について、上沼紫野参考人、酒井啓亘参考人、齋藤裕参考人の三者が見解を述べました。上沼参考人は、本法案が三条委員会として独立性を高く設置することを評価しつつ、「独立性がある機関と孤高を保つ機関は同義ではない」として、独立性の維持と関係当事者との円滑なコミュニケーション、および実効的な人的リソースの確保が不可欠だと主張しました。個人情報保護委員会程度の規模が望ましいとの意見も示しました。酒井参考人は、アクセス・無害化措置の濫用防止のために独立機関が実効的に機能することが不可欠であり、憲法・通信法・国際法それぞれに精通した専門家の助力を得る体制整備が今後の課題だと指摘しました。齋藤参考人は中立的な立場から、委員会の機能発揮にはケーススタディの積み重ねと公表が有効だとしつつも、法第23条第4項が明文で目的外利用を許容している以上、第三者機関がそれに反するチェックを行うことは困難だと懸念を示しました。

中小企業のサイバーセキュリティー対策支援について、上沼紫野参考人と持永大参考人が意見を述べました。上沼参考人は、政府の「サイバーセキュリティお助け隊サービス」は有益な取組だが認知度が低いとして、広報の徹底が重要だと主張しました。また、中小企業が「100％できないと意味がない」という諦めに陥りがちだとして、基礎的な対策でも効果があることを普及啓発することが重要だと述べました。持永参考人は、発注元から下請へのセキュリティー費用の転嫁が課題であるとして、「元請側から追加のセキュリティー対策費用を払うような制度や契約条項を設けることが、国が直接支援するよりずっと効果的だ」と主張しました。中小企業は費用負担の方法が分からず委託先に丸投げしてもその委託先もセキュリティーを理解していないという連鎖的問題があると指摘しました。

無害化措置の発動基準と国際法上の緊急避難（緊急状態）要件の関係について、酒井啓亘参考人と齋藤裕参考人が議論しました。酒井参考人は、改正警職法第6条の2第2項は国際法上の緊急状態要件そのものを規定したものではなく、国内法上の行為要件を定めたものであり、国際法上の要件は別建てで適用されるという立て付けを支持しました。緊急状態の要件が国内法に逐一明記されていなくても、それ自体は問題ではないとの立場です。一方、齋藤参考人は、政府が示す発動基準（「マルウェアが感染しＣ２サーバーと定期的に通信を行っており攻撃者の意図次第でいつでも攻撃が行われると認められる場合」）は、ＩＣＪの判決等で示される緊急避難の急迫性・即時性の要件を満たさないケースを許容しており、警職法に要件を明記しなければ現場の警察官が国際法違反の行為を行うリスクがあると主張しました。また、時間的要素（ほかの措置をとる時間的いとまがないこと）を法文に明記すべきだとの意見も示しました。

地方公共団体のサイバーセキュリティー体制強化と国の支援について、持永大参考人が見解を述べました。持永参考人は、地方公共団体では先進的な取組をする団体がある一方で人材が全くいない団体もあり、既存の情報システムへのセキュリティー対策を考えられる人材が不足していると指摘しました。その上で、「セキュリティー対策をせよと言うだけでなく、国がセキュリティー対策の施されたシステムを地方公共団体に提供する形が有効だ」と述べ、地方に追加的な予算負担を掛けずに提供できる手段としてクラウド基盤の活用を提案しました。

基幹インフラ事業者への報告基準の明確化について、上沼紫野参考人が見解を述べました。上沼参考人は、報告基準を策定するにあたって最も重要なのは事前の関係事業者からの情報収集と政府側とのすり合わせだと主張しました。「事業者が必要と考えているところと政府側のイメージがずれると、そのずれが一番の負担になる」として、事前の丁寧なすり合わせと一元的な報告体制の構築が不可欠だと述べました。

分析対象とする通信情報を用いて一般個人の行動を追跡・監視できるかについて、上沼紫野参考人、持永大参考人、齋藤裕参考人が議論しました。上沼参考人は「一般個人の行動を網羅的に追跡することは難しい」との立場から、外内通信という通信の性質上、国内個人の行動追跡は困難であり、さらに機械的情報への限定と対象不正行為に関わる自動選別によって個人追跡の可能性は大きく絞られると評価しました。持永参考人も同様に、選別後情報はサイバー攻撃関連に限定されており、仮に特定ＩＰアドレスを監視しようとすればサイバー通信情報監理委員会が不適切な運用としてはねると述べ、個人追跡は非常に難しいと評価しました。一方、齋藤参考人は、踏み台として利用された個人のＩＰアドレスをキーに通信情報が取得される可能性があり、その情報が弾圧等への目的外利用に使われるリスクは払拭できないと懸念を示しました。

官民連携によるサイバーインシデント情報の共有体制について、上沼紫野参考人と持永大参考人が意見を述べました。上沼参考人は、民から官への情報提供だけでなく官から民への情報還元が重視されており、「報告するだけでその結果の解析情報を教えてもらえない」との民間側の不満が有識者会議でも指摘されていたとして、双方向の情報共有体制が重要だと述べました。持永参考人は、ＪＰＣＥＲＴコーディネーションセンターが年間約4万6千件のインシデント報告を受け付けているのに対してＮＩＳＣは年間約400件にとどまる実態を示し、ＪＰＣＥＲＴが「中立性と技術的専門性を持つ独立組織として国内外の信頼を蓄積してきた」ことがその差の要因だと分析しました。その上で、政府が新たな独自の仕組みを構築するのではなく、既存の信頼ある情報流通チャネルを活用し、官民が相互にフィードバックし合える体制を整備することが重要だと主張しました。

当事者協定における目的外利用の許容規定をめぐり、上沼紫野参考人と齋藤裕参考人が対立する見解を示しました。上沼参考人は、通信当事者（国内事業者）の同意がある場合は通信の秘密性が除外されるという前提に立ち、選別後通信情報の利用範囲が限定されていることから現行規定は謙抑的だと評価しました。一方、齋藤裕参考人は強く反対する立場から、法第23条4項が明文で「特定被害防止目的以外に使用してよい」と規定している以上、「法の趣旨に照らして第三者機関がチェックできる」との政府の説明は法治主義の観点から成り立たないと批判しました。政府自身が「サイバー防御以外に使いようがない」と言うのであれば目的外利用を許容する規定は不要であり削除すべきで、少なくとも限定列挙で目的制限を法文に明記すべきだと強く主張しました。

当事者協定による通信情報の利用における具体的必要性の要件の有無について、上沼紫野参考人と齋藤裕参考人が議論しました。上沼参考人は、通信当事者（国内事業者）の同意があれば通信の秘密性が除外されるという原則から、当事者協定の現行要件を概ね容認する立場を示しました。また、対象が外内通信であり国内の通信の相手方が国外になることから、国内個人の通信の秘密侵害の問題が生じにくいとも述べました。齋藤参考人は強く反対する立場から、外外通信以外の通信情報利用では何らかの形で具体的必要性が要件とされているのに対し、当事者協定による利用には具体的必要性が全く要件とされておらず「非常に異質だ」と批判しました。最高裁平成11年の決定が「具体的にやむを得ない」場合に通信の秘密制限を認めていることを根拠に、当事者協定による通信情報利用は合憲性に疑問があると主張しました。

能動的サイバー防御の一環としてのアクセス・無害化措置の必要性について、持永大参考人が見解を述べました。持永参考人は強く支持する立場から、現状の対処における限界として、悪用されているコンピューターの修復が管理者の自主的行動に委ねられており、通知を受けた組織がその機器を認識していなかったり、サポート期限切れの機器を使い続けたりする状況が続いていると指摘しました。アクセス・無害化は「脆弱なコンピューターを攻撃者が悪用できないように政府が管理者に代わって対策することを可能とする」ものであり、従来より高いセキュリティーを達成して攻撃キャンペーンを終了に追い込むことができると主張しました。また、米国のボルト・タイフーン対処事例を引き合いに出し、5年間にわたる攻撃に対して防御側が兆候をつかむまでに2年半を要した実態を示しました。

改正警職法によるアクセス・無害化措置の要件と令状主義（憲法35条）の関係について、酒井啓亘参考人と齋藤裕参考人が議論しました。酒井参考人は、警職法第6条の2第2項は国内法上の行為要件を定めたものであり、国際法上の緊急状態の要件とは別建てで適用されるという立て付けを支持しました。国際法上の要件は慣習国際法の国家責任法レベルで相手方に主張・説得するものであり、全てを国内法に書き込む手法は我が国では取っていないと説明しました。齋藤参考人は反対寄りの立場から、当事者協定以外の通信情報の利用は「特定不正行為の疑い」という犯罪行為を基準とする制度であり、最高裁昭和47年判決が税務調査に令状主義適用を否定した理由（刑事責任追及に一般的に結び付かない等）が通信情報の利用には当てはまらないとして、令状なしの制度は憲法35条に違反する可能性があると主張しました。

通信の秘密保護と監視制度の適正運用について、上沼紫野参考人と齋藤裕参考人が見解を示しました。上沼参考人は、本法案が自動選別・独立機関による事前事後の監視・透明性確保の仕組みを組み込んでおり、通信の秘密の制限が必要最小限に留まる設計となっていると評価しました。通信情報の利用目的の限定、法令違反時の措置、そして国会への報告等による透明性確保の仕組みが制度の適正運用を担保すると述べました。齋藤参考人は反対寄りの立場から、当事者協定による通信情報の利用は具体的必要性が要件とされておらず、かつ目的外利用も許容されているため、「市民の通信の秘密は非常に危険にさらされる」と批判しました。今回の審議で最大の課題は当事者協定であり、入口（具体的必要性の欠如）と出口（目的外利用の無制限な許容）の両面での改善が必要だと主張しました。

重要電子計算機への不正行為防止を目的とした通信情報の取扱いについて、上沼紫野参考人と齋藤裕参考人が議論しました。上沼参考人は、本法案が対象とする機械的情報（IPアドレス、ポート番号、送受信日時、通信量等）はコミュニケーションの本質的内容に当たらないものであり、通信の内容ではなく通信の存在に関わる情報のみを扱う設計だと評価しました。さらに、自動選別によって恣意的な内容把握を防ぎ、独立機関による監視で不当な侵害を抑止する仕組みが組み込まれており、通信の秘密との両立を図った規定だと述べました。一方、齋藤参考人は、機械的情報であっても送信先や受信先、アクセス先サイト等の情報から「性的マイノリティーの方の性的指向や思想・信条が判明し得る」として、機械的情報だからといって通信の秘密侵害の可能性は払拭できないと懸念を示しました。

法案全体を通じ、通信情報の利活用やアクセス・無害化措置に関する賛否が鮮明に分かれた。特に当事者協定による通信情報利用の要件の不十分さと目的外利用の許容、および警職法への国際法上の緊急避難要件の不明記が大きな争点となり、法案の修正を求める意見と現行の立て付けを支持する意見が対立した。サイバー通信情報監理委員会の独立性・実効性の確保、人材育成・給与水準の改善、官民の情報共有体制の整備については与野党を通じて課題として認識され、今後の運用に向けた継続的な検討の必要性が指摘された。