地政学リスクが引き金となるサイバー攻撃の実態

現代の企業IT部門が直面するリスクは、もはや単純なシステム障害や従来の金銭目的の不正アクセスだけにとどまらない。国家間の政治的緊張が高まるたび、国境とは無関係に民間企業が攻撃の標的とされる現実が常態化している。

その最も顕著な例が、2022年2月のロシアによるウクライナ侵攻の直前に発生した一連のサイバー攻撃である。ウクライナの国防省や主要金融機関は、大規模な分散型サービス拒否（DDoS）攻撃によって機能不全に陥った。同時に、「HermeticWiper」と呼ばれる極めて破壊的なマルウェアが展開された。米国のサイバーセキュリティ・インフラセキュリティ庁（CISA）やウクライナ政府の報告によれば、このマルウェアはコンピュータの起動に必要なマスターブートレコードを上書きし、システムを回復不可能な状態に陥らせるものであった。これは、軍事作戦の開始に先立ち、社会の神経中枢を麻痺させるために周到に準備された攻撃であったことは明らかである。

日本も決して対岸の火事ではない。台湾有事や朝鮮半島危機といった地政学的な緊張が報道されるたび、国内の防衛産業はもちろん、金融、通信、物流といった国民生活を支える基幹分野が標的となる可能性は常に存在する。サイバー空間には物理的な国境が存在しないため、攻撃は瞬時に国境を越える。さらに深刻なのは、攻撃の主体が国家なのか、金銭目的の犯罪集団なのか、あるいは両者が協力関係にあるのか、その見極めが非常に困難であることだ。攻撃の「責任の所在」は意図的に曖昧化され、漂流する。従来の延長線上にあるリスク管理手法では、もはやこの新たな脅威に対応しきれない状況が現実のものとなっている。

過去に世界を揺るがした事件は、その被害の甚大さを物語っている。2021年5月に発生した米国のColonial Pipeline事件では、石油パイプライン事業者がランサムウェア攻撃の被害に遭った。米司法省および連邦捜査局（FBI）の発表によれば、同社は事業継続の危機に瀕し、システム全体の停止という苦渋の決断を下した。その結果、米国東部全域で深刻な燃料不足が発生し、ガソリン価格の急騰、一部航空便の運航調整、物流の大混乱という社会的なパニックを引き起こした。同社は約440万ドル相当の暗号資産を身代金として支払ったが、この事件は重要インフラがいかにサイバー攻撃に脆弱であるかを露呈させた。事件後、米運輸保安局（TSA）はパイプライン事業者に対し、サイバー防御の強化と通報体制の整備を義務付ける緊急指令を発する事態となった。

2017年のWannaCry攻撃も、世界中に深刻な爪痕を残した。欧州刑事警察機構（Europol）によれば、この攻撃は150か国以上で20万台を超えるコンピュータに感染するというパンデミック的な広がりを見せた。特に英国では、国民保健サービス（NHS）が甚大な被害を受け、予約システムが停止。医師は紙のカルテを手作業で参照せざるを得なくなり、多くの手術が延期された。韓国では自動車工場の操業が停止し、中国や日本でも業務中断が相次いだ。この攻撃の背景には、米国家安全保障局（NSA）が保有していた「EternalBlue」と呼ばれる脆弱性攻撃ツールが流出し、悪用されたという事実があり、国家によるサイバー兵器の管理責任という重い問題を突きつけた。

さらに、2020年末に発覚したSolarWinds事件は、サプライチェーン攻撃という手法の恐ろしさを世界に知らしめた。セキュリティ企業FireEye（現Mandiant）の調査によれば、攻撃者はITインフラ管理ソフトウェアの正規の更新プログラムにマルウェアを忍び込ませた。その結果、米財務省やエネルギー省を含む政府機関、さらには数百社以上の大企業が、信頼していたソフトウェアを通じてバックドアを仕掛けられるという未曾有の事態に陥った。米議会はこれを国家安全保障上の重大問題として追及し、政府調達品を含むサプライチェーン全体の防御体制を見直すきっかけとなった。この深刻な反省を踏まえ、バイデン政権は2021年に大統領令EO14028を発し、2022年の米行政管理予算局（OMB）のメモM-22-09において、連邦政府機関に対し2024年度末までに「ゼロトラストアーキテクチャ（ZTA）」の導入を完了するよう厳命した。

日本国内においても、被害は枚挙にいとまがない。2020年11月、大手ゲーム会社のカプコンがランサムウェア攻撃を受け、最大39万人分の個人情報流出の可能性（うち約1.6万件は流出を確認）が公式に発表された。株価は急落し、企業のブランドイメージは大きく毀損した。経済産業省は「知的財産の流出は国益に直結する」と強い警告を発した。2021年10月には、徳島県つるぎ町立半田病院が攻撃され、電子カルテシステムが暗号化され使用不能となった。この事件を受け、厚生労働省は全国の医療機関に緊急の注意喚起を行い、「サイバー攻撃は医療安全保障の問題である」という認識が医療界全体に広がった。2023年7月には、日本の物流の心臓部である名古屋港の港湾コンテナターミナル管理システムがランサムウェア攻撃により停止し、トレーラーが長蛇の列を作り、自動車輸出などに深刻な影響が出たことも記憶に新しい。

自治体サービスも標的となっている。コンビニエンスストアでの証明書交付サービスが一時停止に追い込まれた問題や、大阪府立病院機構の大阪急性期・総合医療センターがランサムウェア攻撃により長期間システム停止に陥り、患者対応に甚大な混乱が生じた事例もある。総務省は自治体のシステムを堅牢な「ガバメントクラウド」へ移行する方針を進めているが、現場では専門人材の不足や予算の制約が大きな課題となっている。こうした事態を受け、警察庁は2022年に「サイバー特別捜査隊」を新設し、国家レベルでの捜査・支援体制の強化に乗り出している。

加速する国際連携と防御技術の進化

国境を越え、複雑化する脅威に対抗するため、国際社会は法制度の整備と国際連携の強化を急ピッチで進めている。2001年に採択されたブダペスト条約（サイバー犯罪条約）は、越境サイバー犯罪の捜査協力における最初の国際的な枠組みとなったが、ロシア、中国、北朝鮮といった主要な攻撃元と目される国々が未だに加盟しておらず、その実効性には限界がある。

こうした中、軍事同盟である北大西洋条約機構（NATO）は、2014年のウェールズ首脳会議において「重大なサイバー攻撃は集団防衛条項（第5条）を発動し得る」と明言した。これは、サイバー攻撃を従来の武力攻撃と同等に扱い、同盟国全体で防衛するという強い意志の表れである。

特に企業活動に直結する動きとして注目すべきは、欧州連合（EU）と米国の規制強化である。EUが2022年に採択したNIS2指令（ネットワーク・情報システムセキュリティ指令の改定版）は、対象となる重要インフラ事業者の範囲をエネルギー、運輸、金融、医療などからさらに拡大し、極めて厳格な義務を課した。欧州連合サイバーセキュリティ庁（ENISA）の解説によれば、重大なインシデントが発生した場合、企業は「24時間以内の早期警告」「72時間以内の詳細通知」「1か月以内の最終報告」という段階的な報告義務を負う。さらに、違反した場合の制裁金だけでなく、企業の経営層が対策の不備について説明責任を負うことも明記された。

米国では、CISAが“Shields Up”（盾を構えよ）キャンペーンを展開し、地政学的緊張の高まりに応じて官民に広く防御態勢の強化を呼びかけている。さらに法的な拘束力を持つ動きとして、証券取引委員会（SEC）が2023年7月に採択した改正規則がある。これにより、米国の上場企業は、サイバーセキュリティの重大インシデントが発生した場合、それが「重要（Material）」であると判断してから原則4営業日以内に開示することが義務付けられた。これは投資家保護を目的としており、開示の遅れや不備が株主訴訟に直結するリスクを高めるものだ。

日本もこうした国際的な潮流と無縁ではいられない。情報通信研究機構（NICT）は「CYDER」と呼ばれる実践的なサイバー防御演習を実施し、内閣サイバーセキュリティセンター（NISC）などと連携して官民の対応能力の底上げを図っている。さらに、ASEAN諸国や米国との協力演習も拡大しており、国際協調の枠組みは2025年時点においても強化され続けている。

法制度と同時に、防御を支える技術も大きな変革期を迎えている。従来型の、社内ネットワークと外部インターネットの境界線に「城壁」（ファイアウォールやVPN）を築いて守るという「境界型防御」は、SolarWinds事件のような巧妙な内部侵入や、リモートワークの普及による境界線の曖昧化によって、その限界を露呈した。

これに代わる新たなパラダイムが「ゼロトラストアーキテクチャ（ZTA）」である。「何も信頼しない（Zero Trust）」を前提とし、社内・社外を問わず、すべてのアクセス要求を都度厳格に検証・認証するという考え方だ。米OMBが連邦機関に導入を義務付けたことは、この流れを決定的なものにした。ゼロトラストの実現に不可欠な要素として、多要素認証（MFA）の全社的な適用も各国当局によって強く推奨されている。多くの先進的な企業では、脆弱性の温床となりがちな従来のVPNを段階的に廃止し、外部委託業者のアクセスも含めてゼロトラスト基盤に統合する取り組みが進んでいる。これにより、接続経路の可視化が進み、運用の複雑性を低減させる効果も報告されている。

さらに、攻撃が高度化・潜伏化する中で、「可観測性（Observability）」というアプローチが重要性を増している。これは、システムから得られるログ、メトリクス、トレースといった多様なデータを統合的に分析し、システム内部で何が起きているかを深く、横断的に把握する技術である。金融機関や重要インフラ事業者を中心に、この可観測性基盤を活用して、潜伏型のマルウェアを早期に検知したり、システム横断的な異常の兆候を捉えたりする取り組みが拡大しており、業務停止リスクの低減に繋がりつつある。CISAやNISCが推進する「脅威インテリジェンス」の官民共有も、リアルタイムの攻撃情報に基づいた迅速な防御を可能にする上で不可欠な要素となっている。これらの技術投資は、ガバナンスの強化と表裏一体であり、セキュリティ対策はもはや経営戦略の中核をなす存在へと変貌している。

「知らなかった」では済まされない経営責任と防御投資の必然性

サイバー攻撃は、今やIT部門の技術的な問題ではなく、経営層の責任を直接問う重大な経営リスクとなった。米国SECの改正規則は、インシデント開示の不備が直ちに株主代表訴訟のリスクに発展することを意味する。欧州のNIS2指令も、違反企業には高額な制裁金が科される可能性があり、その責任は経営層にまで及ぶ。日本国内においても、株主総会で「サイバー対策の怠慢は、取締役の善管注意義務違反にあたるのではないか」といった厳しい指摘が増加している。

これまで、多くの企業がリスク移転の手段として依存してきたサイバー保険も、その万能神話は崩れつつある。2022年、ロイズ保険市場が公表した通達Y5381は、保険業界と企業経営者に衝撃を与えた。この通達は、国家が関与する大規模なサイバー攻撃を、従来の「戦争行為」に準ずるものとして、保険金の支払い対象外（免責）とする方針を明確にしたものである。これは、ウクライナ情勢などに見られる国家主導型の攻撃によって発生した損害は、もはや保険ではカバーしきれない可能性があることを示唆している。保険への過度な依存の限界が明らかになるにつれ、企業はリスク移転から、自らを守るための「防御投資」へと重心を移さざるを得なくなっている。

さらに深刻なのは、経営層や担当役員が「個人」として法的責任を問われる現実が浮き彫りになったことである。米司法省の発表によれば、Uberの元最高情報セキュリティ責任者（CISO）が、過去のデータ漏洩インシデントへの対応をめぐり、当局への報告義務違反や証拠隠蔽の罪で刑事訴追され、最終的に有罪判決を受けた。この事件は、セキュリティインシデントへの対応を誤れば、企業防衛の最前線に立つCISOや経営陣が、個人として法的責任を問われかねないという厳しい現実を突きつけた。

国境を越えるサイバー攻撃は、国家と企業、そして犯罪集団との境界を曖昧にし、誰が真の攻撃者なのかという責任の所在を漂流させる。日本政府もサイバー防衛隊の増員や官民連携の演習を進めているが、欧米のように企業に対して罰則付きでセキュリティ投資を義務化する段階には、2025年の時点では至っていない。しかし、グローバルに事業を展開する、あるいは国際的なサプライチェーンに組み込まれている日本企業は、事実上、EUのNIS2指令や米国のSEC規則といった世界標準の規制に従うことを求められている。IT担当者は、これらの複雑な技術的・法務的要件を、経営陣が理解できる言葉に「翻訳」し、ゼロトラストや可観測性といった次世代の防御体制への投資判断を支えるという、極めて重要な役割を担っている。

司法の効率化への誘惑

世界各国の司法制度は、深刻な機能不全の危機に直面している。裁判官や検察官の不足、手続きの煩雑さ、そしてそれに伴う審理の長期化は、多くの国で共通の課題だ。日本も例外ではなく、労働訴訟や行政訴訟では、第一審の判決を得るまでに数年の歳月を要することも珍しくない。「遅すぎる司法は、正義の否定に等しい」という不満や、判断プロセスに対する不透明感への苛立ちは、市民の司法に対する信頼を静かに蝕んでいる。

この閉塞感を打破する「特効薬」として、人工知能（AI）への期待が急速に高まっている。すでに法曹界では、膨大な判例データの検索、複雑な契約書の自動生成、証拠の整理といった周辺業務においてAIの導入が進んでおり、その利便性は広く認められつつある。しかし、議論はすでに次の段階、すなわち「判決そのものをAIに委ねる」という領域に踏み込んでいる。これは単なる業務の効率化にはとどまらない。人間の判断領域をどこまで機械に委ねるかという問いは、司法の存在意義、そして「裁き」という行為の根源的な意味を社会全体に問い直すものだ。

この構造的な課題は、民間企業がAIを導入する際のガバナンス設計とも驚くほど共通している。人間の専門家が担ってきた意思決定プロセスにAIを組み込むとき、いかにしてその判断の透明性を保ち、結果に対する責任を担保するのか。司法の現場で起きている葛藤は、AIと共存する未来の社会全体の縮図でもある。

AIによる司法の試みは、すでに世界各地で始まっている。2017年、中国の杭州に設立されたインターネット裁判所は、オンライン紛争を専門に扱う世界初の裁判所として注目を集めた。ここでは電子商取引をめぐるトラブルなどがオンラインで処理され、証拠はブロックチェーン技術で管理されるなど、手続きの徹底したデジタル化と自動化が進められている。アバター（分身）の裁判官が登場するといった演出が話題を呼んだが、現状ではAIの役割はあくまで裁判官の補助的なものにとどまっているとされる。

一方、2019年には北欧のデジタル先進国エストニアが「7,000ユーロ以下の小額訴訟をAIが処理する」と報じられ、AI裁判官の登場として国際的な議論を巻き起こした。しかし、この報道は後に同国法務省によって「そのようなAI判事は開発していない」と公式に否定されている。実際の導入には至らなかったものの、この一件は「AIが人間を裁く」というシナリオが単なるSFの世界の出来事ではなく、現実的な政策課題であることを世界に強く印象づけた。

より深刻な議論の舞台となったのは米国だ。刑事裁判の量刑判断、特に被告が将来再び罪を犯すかどうかの「再犯リスク」を予測するために、「COMPAS（コンパス）」と呼ばれるAIツールが一部の州で使用されてきた。2016年、被告が「AIによる評価が量刑に不当な影響を与えた」として、その評価プロセスの開示を求めた「ルーミス事件」は象徴的である。ウィスコンシン州最高裁判所は、最終的な判断を下したのはあくまで人間の裁判官であるとして訴えを退けたものの、AIの判断根拠が被告に開示されない「透明性の欠如」については、深刻な懸念を表明した。AIは司法手続きにどこまで関与し、その判断はどの程度の重みを持つべきか。黎明期の事例は、重い問いを投げかけている。

アルゴリズム司法に潜む危険性

AI司法の導入が慎重になる最大の理由は、その判断プロセスが人間には見えない「ブラックボックス」になりがちであること、そして誤った判断が下された場合に誰が責任を負うのかが不明確になる点にある。近代司法の正統性は、判決が「理由の提示」とセットであることによって担保されてきた。しかし、深層学習（ディープラーニング）のような高度なAIは、なぜその結論に至ったのかを開発者自身さえも完全に説明できない場合がある。

米国のCOMPASをめぐる問題は、この危うさを露呈させた。2016年、調査報道機関ProPublica（プロパブリカ）は、COMPASのアルゴリズムを詳細に分析した結果、人種的な偏見、すなわちバイアスが存在する可能性を指摘した。分析によれば、実際には再犯しなかったにもかかわらずAIによって「高リスク」と誤判定された割合が、白人被告に比べて黒人被告は約2倍に達していた。効率化と客観性の名の下に導入されたテクノロジーが、結果として社会に根強く残る差別や偏見を学習し、増幅させてしまう危険性を示したのである。英国においても、AIを用いて犯罪発生を予測する「予測型パトロール」の導入が議論されたが、特定の地域や人種への偏見を助長する懸念が根強く指摘され、その実効性にも疑問が呈されている。

アルゴリズムの暴走が社会に深刻なダメージを与えた例は、司法分野に限らない。オランダでは2010年代、児童手当の不正受給を検知するAIシステムが導入された。しかし、このシステムが微細な入力ミスや不備を「不正の疑い」として機械的に弾き続けた結果、約2万6,000世帯が誤って不正受給者と認定され、多額の返還命令を受けた。多くの家庭が経済的に破綻し、精神的に追い詰められるという深刻な社会問題に発展。この「オランダ児童手当スキャンダル」の責任を取り、2021年には内閣が総辞職する事態に至った。しかし、この大規模な人権侵害において、システムの開発者や行政担当者の誰一人として、法的な責任を問われることはなかった。これは、AIによる自動化された意思決定が「責任の空白」を生み出す典型例となった。

こうした構造は、民間企業においても同様に見られる。米Amazon（アマゾン）はかつて、採用候補者を評価するためのAIツールを開発していたが、過去の採用データ（多くが男性）を学習した結果、履歴書に含まれる「女性」に関連する単語を不利に評価するバイアスが発覚し、2018年にプロジェクトの中止を余儀なくされた。また近年では、弁護士がChatGPTのような生成AIに作成させた準備書面を、内容を精査しないまま裁判所に提出するケースが問題化している。2023年に米国で発覚した事例では、AIが「存在しない過去の判例」を複数でっち上げ、それを提出した弁護士が制裁金を科された。これらの事例に共通しているのは、AIの判断に対する過信、説明不能性、そして結果責任の不在である。

ガバナンスの模索――世界のルールと人間の責任

アルゴリズム司法がもたらすリスクに対し、各国は法規制とガバナンスの構築を急いでいる。最も包括的かつ厳格なルールを導入したのはEU（欧州連合）だ。2024年に成立した「AI法（AI Act）」では、AIがもたらすリスクを4段階に分類し、司法や法執行機関による利用を最も厳格な「高リスク」カテゴリーに指定した。高リスクAIの提供者や導入者には、運用における高い透明性、人間の監督可能性、そして厳格な監査義務が課される。特に司法分野での利用は、市民の基本的人権に重大な影響を及ぼすとして、その利用条件は厳しく制限されている。

米国では、連邦レベルでの包括的な規制は存在しないものの、2022年に公表された「AI権利章典の青写真」がガバナンスの基本文書となっている。これは、AIシステムが安全であること、差別的であってはならないこと、そして人間による代替手段が常に確保されるべきことなどを定めた原則だ。ルーミス事件の判決が示したように、米国司法の現場では、アルゴリズムはあくまで補助的な情報源であり、最終判断は憲法上の権利とデュー・プロセス（適正手続き）を理解する人間の裁判官が行うべきであるという姿勢が貫かれている。

一方、日本政府の方針は、現状では「慎重な漸進主義」と要約できる。内閣府などが公表するAI戦略文書では、司法のような高度な判断にAIを導入する場合には、説明可能性と公平性の確保が最優先されるべきとの立場が繰り返し示されている。現在のところ、AIの利用は判例検索や文書作成支援といった補助的な役割にとどまっており、文化的・倫理的な観点からも、AIに裁きを委ねることへの国民的コンセンサスは形成されていない。2024年から2025年にかけて、AIを発明者として認めるかを争った特許訴訟において、日本の裁判所が「発明者は人間に限る」との判断を相次いで示したことも、法的な責任の主体はあくまで人間であるべきという日本の基本的な立場を反映している。

EUは「規制先行」、米国は「憲法原則による限定」、日本は「補助からの漸進」。アプローチは異なるものの、いずれの国も「AIに司法判断を全面的に委ねる」ことには極めて慎重な姿勢を取っている。この慎重さの背景には、数千年にわたる人類の思想史的な蓄積がある。古代ギリシャのプラトンやアリストテレスが正義を「人間の徳性」や「他者との関係性」に見出したように、司法とは単なるルールの機械的な適用ではなく、複雑な社会関係の中で最適な解を導き出す、高度に人間的な営みと考えられてきた。

モンテスキューは裁判官を「法を語る口」と表現したが、その「口」がAIに置き換わるとき、法の条文は忠実に適用されるかもしれないが、個別の事情や社会的文脈を汲み取る「情理」の余地は失われる。ハンナ・アーレントがナチス戦犯アイヒマンの裁判を通じて暴いた「悪の凡庸さ」とは、思考停止し、官僚的なルール適用に終始した個人が、いかに巨大な悪に加担しうるかを示したものだ。もし司法から「判断する主体」としての人間が消え、アルゴリズムというルールの奴隷となったとき、そこに責任は存在するだろうか。ユルゲン・ハーバーマスが説いたように、司法の正統性は、市民による公共的な討議と納得感によって支えられている。AIが導き出した効率的な「解」は、社会的な公正感や納得感を醸成できるだろうか。

AI司法を社会が受け入れられるかは、世代や文化によっても大きく異なる。「人間の裁判官は偏見を持つが、AIのほうが公平かもしれない」と考える若年層がいる一方で、「人間の感情や機微を理解できない機械に裁かれること」への根強い不安も存在する。この受容性のギャップは、企業がAIを導入する際に直面する抵抗感とも通底している。

AI司法の未来は、判例検索などを支援する「補助型」、AIが判断の選択肢を提示し人間が最終決定する「協働型」、そしてAIがすべての判断を担う「全自動型」に大別できる。現実的な着地点は「協働型」であると見られているが、その場合でも、AIの判断を人間が覆し、軌道修正できる制度設計、いわば「人間によるリセット権」の確保が、議論の中心となるべきである。

AI司法は、効率性と公平性という魅力的な可能性を秘めている。しかしその進展は、司法という営みから「責任」と「説明」を奪い去る危険性を常にはらんでいる。いま私たちに問われているのは、「AIを司法に導入するか否か」という単純な二者択一ではない。「人間は、司法の最終的な担い手であり続ける覚悟があるか」という問いである。その線引きこそが、AI時代の正義と信頼のあり方を決定づけていくに違いない。