METIリリース 産業サイバーセキュリティ研究会「攻撃技術情報の取扱い・活用手引き」及び「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」を策定
サイバー攻撃が高度化する中、攻撃の全容の把握や被害の拡大を防止する等の観点から、被害組織を直接支援する専門組織を通じたサイバー被害に係る情報の速やかな共有が効果的である。この観点から、経済産業省では、2023年5月より「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」を開催し、同年11月に最終報告書等を取りまとめた。
今般、最終報告書の提言を補完する専門組織向けの手引書(「攻撃技術情報の取扱い・活用手引き」)及びユーザー組織と専門組織間のモデル条文(「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」)について、昨年11月から12月に実施した意見公募で頂いた御意見も踏まえて策定し、公表した。
1.背景・趣旨
サイバー攻撃が高度化する中、単独組織による攻撃の全容解明は困難となっており、攻撃の全容の把握や被害の拡大を防止する等の観点からサイバー攻撃に関する情報共有は極めて重要である。経済産業省では、産業サイバーセキュリティ研究会の下に「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」を開催し、被害組織自身による情報共有ではなく、被害拡大防止に資する専門組織を通じた情報共有を促進するための必要事項の検討を行い、2023年11月22日に、最終報告書を取りまとめた。また、本報告書の提言を補完する観点から、同日、専門組織として取るべき具体的な方針について整理した「攻撃技術情報の取扱い・活用手引き(案)」及び「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文案」を提示した。
手引き案及びモデル条文案について、同年11月22日から12月22日まで意見募集を実施し、頂いた御意見も踏まえて必要な修正を行った上で、この度、「攻撃技術情報の取扱い・活用手引き」及び「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」を策定した。
2.「攻撃技術情報の取扱い・活用手引き」及び「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」の概要
「攻撃技術情報の取扱い・活用手引き」は、セキュリティベンダや調査ベンダ等の専門組織がとるべき具体的な方針を示すものであり、具体的には、速やかな情報共有の対象となる各攻撃技術情報の解説や被害個社名等を推測可能な情報を除く非特定化加工のユースケースなどをまとめている。
また、「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」は、円滑な情報共有の促進に向けて、専門組織が非特定化加工済みの攻撃技術情報を共有したことに基づく法的責任を原則として負わないことをユーザー組織と事前に合意するための秘密保持契約に盛り込むべき条文案を示したものである。
3.意見募集の結果について
本件に関してお寄せいただいた主な御意見に対する経済産業省の考え方については、関連資料「意見募集の結果」を確認いただきたい。
関連資料
- サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書概要(PDF形式:392KB)
- サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書(PDF形式:2,912KB)
- 攻撃技術情報の取扱い・活用手引き(PDF形式:5,622KB)
- 秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文(PDF形式:124KB)
- 意見募集の結果(PDF形式:763KB)
