すみません。岸田政権におけるDFFTの話を纏めると記して1年、話の前提のひとつがなくなりそうな状況でしたので、恥ずかしながらその点だけ文章を記します。
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
もう半年前の話ですが、こちらの文章の最後、『日本国内におけるDFFTの変質』という一節で岸田政権におけるDFFTの流れとして
・甘利前幹事長一派による経済安全保障としてのDFFT
・トラストをIT用語に置き換えた、専門家や経団連主導のDFFT
この2つの存在を記しました。というより当初は前途を疑問視しながらも、この前者の流れが岸田内閣におけるDFFTの主流となるのではないかとすら記していました。
しかしその前者の根底であった経済安全保障ごと、第二次岸田改造内閣唯一の甘利前幹事長一派留任者であった山際経済再生担当大臣の退任を以て終了した旨報道されています。
報道の内容はさておき、当時は「法案が実効性を帯びれば読んだ人も理解するだろう」と高をくくっていた
経済安全保障法制に関する提言の第Ⅲ章を読めば明らかなように、推進法の第二の柱「インフラにおける安全確保」はサイバーセキュリティを目的としたデジタル機器に関する発注プロセスの整備及び国際ルールとのすり合わせを焦点としています。
これは甘利前幹事長が推し進めたデータの二元論的経済安全保障のひとつの結実であり、G7の方向性にDFFT発信国の日本が同調したという指標でもあります。
一方で、国際ルールと自国の安全保障のすり合わせを焦点とする点においてはnon-trust状態でのDFFTのたたき台とも言えるものではないか、と思われます
という一節すなわち経済安全保障推進法とDFFTの関係について、このまま意味不明のままにならないよう少し補足しておこうと思います。相変わらず、死んだ子の歳を数える行為が私は大好きなのです。
***************
***************
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
1.デジタル機器導入審査とルールベースの国際秩序国家群
さて経済安全保障推進法というと一般的に重要物資の供給強化や産業支援ばかりメディアで取り上げられ、あまりデータの安全保障には関わらないような感覚があります。
同法については内閣府HPに
法律の概要.pdfが貼られているのですが、主にデータ面の経済安全保障について記されている『3. 基幹インフラ役務の安定的な提供の確保に関する制度(第Ⅲ章)に
基幹インフラの重要設備が我が国の外部から⾏われる役務の安定的な提供を妨害する行為の⼿段として使⽤されることを防⽌するため、重要設備の導⼊・維持管理等の委託の事前審査、勧告・命令 等を措置
とのみ記され、大分要点が分かりにくいものとなっています。また実際の条文に至っては
第四十九条 政府は、基本方針に基づき、特定妨害行為(第五十二条第二項第二号ハに規定する特定妨害行為をいう。次項において同じ。)の防止による特定社会基盤役務の安定的な提供の確保に関する基本指針(以下この条において「特定社会基盤役務基本指針」という。)を定めるものとする
とこれまた分かりにくいので、
NHK記事のこちらが分かりやすいでしょう。
【2本目の柱】インフラの安全確保
重要インフラの安全性を確保するための対策です。電力や通信、金融といった国民生活を支えるインフラを担う14業種の大企業を対象に、重要機器を導入する際には国が事前に審査を行います。サイバー攻撃を受けたり、情報を盗み取られたりしないための対策です
つまりサイバー攻撃の踏み台がデジタル機器供給を行うほど大規模な組織のバックアップを受けて仕掛けられていないか、とりあえず重要インフラ産業に限定してデータ流通の信頼醸成のため事前審査を行うというものです。以前のファーウェイ問題を念頭に置けば納得して頂けるでしょうか。
そもそも同法の基本方針.pdfについて、4ページ目に
①国民生活及び経済活動の基盤を強靱化することなどにより、他国・地域に過度に依存しない、我が国の経済構造の自律性を確保すること(自律性の確保)
②先端的な重要技術の研究開発の促進とその成果の活用を図ることなどで、他国・地域に対する優位性、ひいては国際社会にとっての不可欠性を獲得・維持・強化すること(優位性ひいては不可欠性の獲得・維持・強化)
③国際秩序やルール形成に主体的に参画し、普遍的価値やルールに基づく国際秩序を
維持・強化すること(国際秩序の維持・強化)
に向けた取組が必要であり、それらの実現に向けて安全保障の確保に関する経済施策を総合的かつ効果的に推進していく必要がある
と記している通り、経済安全保障とは自律性や優位性といった日本国内の面だけではなく、ルールベースの国際秩序を標榜するG7ルールへの参加を目的としております。特にデジタル機器導入審査はファーウェイ問題を念頭に置くG7に対し、日本型の普遍的ルールを示す目的もあった訳です。
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
***************
2.非戦時の国際ルールと安全保障の正当性のためのDFFT
この『日本型の普遍的ルール』に当るのが同法と国際ルールとのすり合わせです。
有識者会議における法案への最終提言.pdfにおいて、
今回の提言で政府に検討を求める制度は、外国製の設備の利用又は外国企業からの調達と自国製の設備の利用又は自国企業からの調達との間で同等の規制が及ぶものであり、内外無差別の制度となっている。政府において具体的に制度を設計・運用していく際には、我が国が締結している国際約束との整合性に留意する必要がある。
このため、新たな制度において、我が国の基幹インフラ事業者が利用する設備を供給する事業者や、当該設備の維持管理等を受託する事業者の国籍のみをもって差別的な取り扱いをすることは適切ではない 。また、専ら外国資本等のみを対象とする制度を設ければ、WTO 協定等の国際ルールにも抵触するおそれがあるため、これも適切ではない(P20)
との提案を受け供給業者の国籍や資本状況を問わず一律に導入審査を行う形となっています。上記経済安全保障推進法の概要.pdfにはしっかり国外からの妨害行為と記していますが、それでもWTOルールとの衝突は避けた訳です。
***************
DFFTには様々な定義がありますが、少なくとも「国家間の」「信頼醸成と並行したデータ流通」のための枠組みです。そしてDFFTはサイバー攻撃が特定国家の紐付きで行われたとしても当該国への犯罪帰属(アトリビューション)を問うことが困難どころか、逆に犯罪発信国から逆ねじを食らわされるこの世界で、被害国の正当性を守りながら構築しなければなりません。
そもそも経済安全保障とは国家が安全を脅かされる際、非戦時という前提を通じて被害国の防衛行為を妨害する特定国家に対抗するためのものです。そして非戦国に適用されるWTOルールや規範を盾に彼らから妨害されることは、ルールベースの国際秩序を標榜する国家群が経済安全保障に出る際のジレンマであり宿痾でもあります。
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
※経済安全保障という名称から「経済を使った攻撃からの防衛」というイメージが強いのですが、経済安全保障の経済という言葉は経済・社会・人道的配慮まで含めた「非戦時のルール」と考えた方が分かりやすいと思います。経済安全保障の防衛対象であるハイブリッド攻撃が「兵器と経済・サイバー攻撃の併用」ではなく「開戦・非戦の状況をあいまいにすることで、相手国やその同盟国に非戦時のルールを要請しながら行う攻撃行為」であるのと同じように。
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
この件について、小林前経済安保担当相が出席した最後の有識者会議(2022/07/25)議事録にこう記されています。
国際法に違反するような暴挙を行う国と我が国のように民主主義や平和といった価値を尊重する国との違いを示し、価値観を共有する国との連携を図るという点においても、我が国の正当性を今後も確保していくという点においても重要(P4)
経済安全保障推進法に高い関心を有する各国からの照会に対応する際、重要なのは、制度設計の詳細もさることながら、基本的な考え方。この点、日本が目指す経済安全保障の理念を示す基本方針は大変重要な文章。原案が、経済安全保障の基本的な考え方として、自由な経済活動との両立を大きく掲げた上で、自律性の確保、優位性・不可欠性の獲得・維持・強化、国際秩序の維持・強化を目的として明確に示していることを評価。とりわけ、国際秩序の維持・強化に経済安全保障を役立てるという方向性は非常に重要(P7)
原則的にルールベースの国際秩序遵守を標榜する国は、データ流出入やデジタル機器の依存という形で悪意の介入を禁じ得ないいわばnon-trustの状況下にあります。それゆえにWTOルールへの抵触を避けながら(自国の法が明確に及ぶ)物理的な防衛領域を確保する手順、およびその構築状況と困難な点を信頼しうる国家群に随時提示していく作業は、経済安保のたたき台という側面でのDFFTだと言える訳です。
もちろんデータ流通面における信頼(confidence)自体が国家への信頼(trust)まで昇華されない、最初から信頼醸成済みの国家間にのみ共有される、特定国家との対立を前提とした点では甘利前幹事長の二元論から完全に脱却してはいませんが。
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
***************
おわりに:Trustとトラストの話
※non-trustは個人的な造語ですが、物理的な領域防衛への信頼を排除しユーザーを「決して信頼せず、常に検証する」ゼロトラストの考え方とある意味対極の意味を含んでいます。
ゼロトラストはデータ管理者とユーザー間のテクニカルな概念であり、ユーザーや端末の所在に関わらず等しくトラストを与えない代わりに、検証を受け続けたユーザーは認証を受けたデータ空間限定のトラストが与えられます。
一方でデータ管理者やユーザー、及びデジタル機器やユーザー以外の国民など多岐の対象に対する保護や悪意の監視、更に他国に対する国家責任の概念がnon-trustです。
国家はデータに関する悪意に対し多岐の対象の保護に努める一方で、自国領域に存在する多岐の監視対象に対し推定無罪の原則を守らなければなりません。物理空間上もデータ空間上も悪意が行きかうnon-trustという認識下では、まず明確な自国領域内にtrustを確保することが最も効果的な安全保障手段ではある訳です。もちろんデータ・ローカライゼーションに抵触する行為ではあるのですが……。
2022/10/25 abemaTVにおける会話内容(34:50~37:05)を観れば分かるように、河野現デジタル相は今年度クラウド提供公募に際し必要なセキュリティ・サービスを国内企業が提供できなかった話ののち、各企業に「日本国内にデータを置き、海外流出不可」「クラウド提供企業の帰属国家の要請ではなく日本政府の要請に応じること」「データ関係の裁判は企業帰属国家ではなく日本の法の下で行うこと」を公募条件に加えた旨を語っています。
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
***************
なお、ゼロトラストの「トラスト」とnon-trustの"trust"は同じDFFTに連なるべき言葉ですが、その意味が異なります。そしてこの「トラスト」を掲げたDFFTが岸田政権発足後デジタル庁を中心に急速に広がっているのですが、この辺は後日の文章にて。
***************
***************