データベースに戻る

189-衆-厚生労働委員会-35号 平成27年08月26日

渡辺委員長

次に、伊佐進一君。

伊佐委員

おはようございます。公明党の伊佐進一です。

年金情報の流出問題、今回、三つの報告書が出そろいました。この報告書に書かれておりますこと、今回の問題について年金機構あるいは厚労省あるいは関係機関がどういうような対応を行ってきたかという事実関係も書かれております。その上で、それぞれの報告書に書かれておりますのは、今後の対応、こうすべきだというような提言も示されているところでございます。

きょうは限られた時間でありますので、今後、この報告書に書かれた、示された提言を受けて、指摘を受けて、厚労省また年金機構がどう変わっていくのかということを中心に質問させていただきたいと思っております。

まず、その前に一点、事実関係の確認なんですが、国民の皆様の大きな心配、不安が一つありましたのは、本当にこれは百二十五万件だけだったのかという御不安もございます。これは、基礎年金番号、氏名、生年月日というもの、こういった情報が出ていったわけですが、しかし、パソコンが三十一台感染した、その中にはもしかするとほかに重要ないろいろな情報があったかもしれない、こういった情報、ほかのデータというものが流出してしまっているんじゃないかという懸念もございました。

これまでの国会答弁を見させていただくと、報告書が出る前の答弁では、こうした懸念も払拭できないというような答弁でありました。今回、この調査と検証を受けた結果、国民の皆様に影響を与えるような、百二十五万件以外の流出はなかったというふうに言ってよろしいでしょうか。

水島参考人

お客様の個人情報ファイルについて申し上げれば、流出した可能性のあるファイルについて、警察が外部でのサーバーで発見したファイルと重なるものは、今回、フォレンジック調査を行っておりますが、これに関しては確認できました。一方で、警察が外部のサーバーで発見したファイルと重ならないものはフォレンジック調査によっても確認をされなかったということでございます。

フォレンジック調査では、お客様の個人情報やそれ以外の情報を含めまして、流出した可能性のあるファイルが判明をいたしております。今回のフォレンジック調査は攻撃者の操作全てを解明するものではございませんが、本件において感染が判明いたしました三十一台の端末等に関しまして、全て対象といたして行っております。技術的に可能な範囲の解析がなされまして一定の精度は保たれていると考えておりますが、この結果、お客様の個人情報に関しましては、現在判明をいたしております約百二十五万件以外の新たな情報流出は確認されておりません。

このことについて断定的に申し上げることは難しいとは思っておりますが、百二十五万件以外の個人情報が流出した可能性は極めて低いと考えております。

伊佐委員

つまり、調査を行うまでは懸念が確かに払拭できなかったけれども、今回のこの調査によって懸念は払拭できたんだということを答弁いただきました。

では、その上で、それぞれ報告書の提言について質問させていただきたいと思います。

この報告書を読みますと、百二十五万件が流出していく過程、経緯の中で幾つも防止できるポイントというのがありました。それがそのポイント、ポイントで適切に対応できずに、ことごとく行われずに、最後は大量の情報流出に至ったという指摘がされております。もちろん、今後どういうシステムを設計していくか、あるいはどういう人員を配置していくか、これも重要なんですが、報告書にもありますとおり、根本的なところがまず変わらないといけないんだという指摘がございます。

この根本的な問題として、検証委員会の報告書では二点指摘がされております。

まず一点目は、そのまま読み上げさせていただきますと、機構、厚労省ともに、標的型攻撃の危険性に対する意識が不足しており、事前の人的体制と技術的な対応が不十分であったこと、二つ目は、情報や危機感の共有がなく、組織が一体として危機に当たる体制になっておらず、場当たり的な対応に終始したというふうに言われております。

一体としてというところも、例えば、NISCから第一報があったのは五月の八日。この翌日、五月の九日には委託会社の方から情報漏えいの可能性は極めて低いというふうに言われていたわけですが、ただ、機構の担当者はそのときに、いやいや、ちょっと待て、標的型攻撃というのもあるんじゃないかと疑っていた、事実それを発信していたというふうに指摘されています。ところが、この発信も共有されなかったというふうに指摘されています。

そういう意味では、この二点、意識の問題と、そしてもう一つは組織の一体感の問題、この二つが根本的な問題だという指摘がなされております。

それぞれについて質問させていただきます。

まず意識、機構職員の危機管理に対する意識、これをどう今後向上させていきますでしょうか。

水島参考人

職員の危機管理の意識に関しましては、発足以来、各種研修等を通じて努力をしてきたところではございますが、今回の事案を踏まえますと、極めて不足をしていたということを認めなければならないというふうに思っております。

具体的には、標的型メールへの対応策があらかじめルール化されていなかった。やはりそこには組織全体としてのリスク認識の甘さがあったというふうに考えております。また、共有ファイルサーバーに保存する個人情報にパスワードが付されていない、あるいは共有ファイルサーバー自体に個人情報が保存されている。この点に関して、ルールがあったにもかかわらず、それが守られ、あるいは守る努力がなされていなかった。加えまして、ルールが不在のときに緊急事態に際して幹部が適切な判断ができなかったということが極めて大きな問題だというふうに認識をしているところでございます。

もちろん体制面の強化もございますが、まずは情報セキュリティーの強化を図ることが必要だというふうに考えておりまして、その司令塔といたしまして、情報管理対策本部を新設する方針でございます。この本部は、いわゆる規程整備面、あるいは研修面、あるいはリスクアセスメント、こういうソフト面に加えまして、CSIRTのような緊急体制機能も加えて設けていく方針でございます。

こういうことによりまして、異常事態に遭遇した際におけるリスクへの認識、事案への対処方法、対応策の検討など、機構組織全体として情報共有を図りまして、職員に対する危機管理意識の浸透を図ってまいりたいと考えております。

伊佐委員

理事長の方から今、全体的な、総合的な形での御答弁をいただきましたが、具体的に一つ一つしっかりと検討いただきたいのは、例えば、研修だって毎年されていたわけです。毎年されていたんだけれどもこういうことを行っていたというのを考えますと、その研修の中身についても、一体どこに問題があって、今後そういうところが課題だからこういう研修に変えなきゃいけないんだというような、しっかりとこれまでの体制に向き合っていただいて、一つ一つ丁寧に対応していただきたいと思っております。

二つ目の根本原因と申し上げました、組織が一体として危機に当たれなかったという点について質問させていただきたいと思います。

まず、厚労省の体制、これは大臣にお伺いしたいと思います。

現在の厚労省の体制、情参室というのがございまして、情報政策担当参事官室というのがあります。この中にセキュリティーの担当部署があるわけですが、この報告書にも指摘されておられますとおり、充て職だったというところがたくさんあって、要は兼務で体制を構築していた。

報告書の中で、実質は何人だったかといいますと、実質ではわずか一名だったということが書かれております。この一名の仕事も、サイバーセキュリティーのルール整備、研修、こうしたものだけじゃなくて、マイナンバー制度への移行とか、いろいろな制度、さまざまな業務も一緒になってこの一名が全部抱えていたというような状況でした。専門性についても、人事が、通常に回る人事ローテーションの中で異動されていたということですので、専門性も十分とは言えなかった、こういう指摘がなされております。

この情報セキュリティーに係る人員また体制、今後しっかりと強化していただきたいと思いますが、大臣、いかがでしょうか。

塩崎国務大臣

今回、検証委員会から厳しい指摘がこれについてもありまして、今お話がありましたように、四名情参室に担当がいたといえども、一人が実質的に担当し、なおかつ他の業務を兼務しているということであれば、一人にも足らないような、〇・七とか八とかそういうカウントかもわからないというぐらいのことでありまして、まさにこれは、報告書どおり、不備があったということを認めざるを得ないというふうに思います。

その原因は、先ほどお話があったように、やはり危機意識がなかったがゆえに、体制も、そして人的能力も欠けていた。

この能力に関しても、サイバーセキュリティーの専門家というわけではなかったということを考えてみると、これからは、危機意識に基づいて、さっき申し上げたように、いろいろなところの情報流出リスクというものをきちっと評価できる、そういう人材がここにいなければいけない、能力がある者がいなきゃいけないということ。

体制としても、全体を見られて、なおかつそこに対して物を言えるような、そういう体制にしていかなきゃいけないということで、今、厚労省の中でも、組織をどうやって、一元化をしながら、全組織あるいは独法あるいは特殊法人を含めて、きちっとしたことを、物を言えて実効性があるセキュリティー体制の確保ができるものにしていくか、検討中でございます。

伊佐委員

私は、厚労省こそがまさしく、全ての省庁の中で一番、個人情報のセキュリティーにしっかりと取り組まなきゃいけない、また、情報の活用、ビッグデータと言われますが、活用に取り組んでいかなきゃいけない省庁だと思っております。

厚労省が一番個人情報をたくさん抱えているというのはもちろんのことなんです。その上でセキュリティーをしっかりしなきゃいけないということはもちろんなんですが、これからの少子高齢化の中で社会保障をどう構築していくかというのを考えますときに、いかに情報を活用していくか、ビッグデータをいかに守って活用していくかということが非常に大事な、今、国家としても大きなイシューになっているわけでございます。

マイナンバー制度も十月から始まる。これは年金情報だけじゃありません、いろいろな情報、個人情報が入っております。また、がん登録というものも始まります。今後、社会保障費をどうやって効率的に抑えていくかというのを考えますと、社会保障の分野でのデータの管理であるとかあるいはデータの活用というのが全ての省庁の中でもこれほど重要な役所はないと私は思っております。

そういう意味では、国民の皆さんが安心して任せられる、データを委託されるような、信託されるような、こういう体制を構築していく必要があると思っております。

その点でもう一点伺いますと、情報共有という点についてですが、今回、年金機構と厚労省との情報共有、機構の調査報告書でもこう書かれています。案件の内容や重要性に応じてどのレベルで連絡し、相談するかに関するルールがあらかじめ定められていなかった、そのために担当者レベルにとどまっていた、こういう指摘があるわけです。

この厚労省との情報の共有の問題、これは年金機構に限ったことじゃないんじゃないかなという心配があります。さっき申し上げたとおりで、今後、年金記録だけじゃなくて、厚労省として、いろいろな個人情報を守って活用していかなきゃいけないという中で、厚労省のいろいろな独法、年金機構だけじゃなくて、さまざまな独法、関係機関との共有のルールをしっかりとつくっておかなきゃいけないんじゃないかというふうに思います。そういうルールを定めるべきだというふうに思いますが、大臣、いかがでしょうか。

〔委員長退席、とかしき委員長代理着席〕

塩崎国務大臣

御指摘をいただきましたように、常日ごろからルールをしっかりと明確にし、インシデントの発生時にきちっとした情報共有ができて対応もできるという体制を確保しなければいけないということで、先ほど厚労省の中の情報セキュリティー体制を抜本的に見直すという話を申し上げましたが、これはまさに、今お話がありましたように、ひとり厚労省だけではなくて、そこから関係する独法やあるいは特殊法人などについても同じように問題意識も共有し、危機意識も共有し、そして情報もきちっと共有する中で情報を守っていかなきゃいけないということだろうと思います。

厚生労働省のセキュリティーポリシーに基づく手順書ではセキュリティー事案の対応は課室長の判断のもとに対処することになっておりますけれども、今回の事案では、組織内や組織間、今お話があった独法とか特殊法人などの間を含めて的確な情報共有とか危機感の共有がなされていなかった、対応もできなかったということも間々あってきたわけでありますけれども、現在は、セキュリティー責任者であります課室長がみずから把握することを徹底し、特にNISCからのインシデント事案の通報につきましては、大臣まで必ず上げろ、そして対処をどうしたかという報告まできちっと大臣まで上げろということで、そのことによって全体がラインでもって知るところとなるわけでありまして、対応の結果を含めて共有するという、先生が今御指摘になったことだと思います。

独法等との連絡につきましても、現在は課室長まで事案を報告することを徹底しておりますけれども、さらに対処手順書の見直しなどを行ってインシデント発生時の情報共有の徹底を図ってまいりたいと思いますけれども、その際の手順書などは、今先生御指摘のように、やはり一貫した哲学で、厚労省と同じ意識を持って、哲学を持って情報を守るというセキュリティーポリシーを共有していくということがとても大事だということを、今御指摘のとおりだと思ったところでございます。

伊佐委員

ありがとうございます。

大臣の方から、今回は年金機構の事案なんですが、年金機構だけじゃなくて全体をしっかり見直していくんだという前向きな御答弁をいただきました。また、全てのインシデントについてしっかり大臣まで上げろということで、大臣のリーダーシップのもとで、トップダウンで、これから情報セキュリティーの対応にしっかり当たっていくという御答弁をいただきました。しっかりと我々は見守ってまいりたいと思います。

時間もなくなりましたので、ちょっと順番を入れかえまして、基礎年金番号の変更について一点確認をさせていただきたいと思います。

今回、この基礎年金番号、情報が流出した番号については全て変えるという決断をなされております。

これまで、では、具体的に変えなきゃいけない何かトラブルがあったかといいますと、年金受給においてこれまで具体的なトラブルは発生しておりません。ただ、やはりこれからのことを考えますと、万が一のことを考えて今回全て変えるんだという決断をなされました。

この中で一つ考えなきゃいけないことは、基礎年金番号を変えることによってほかに波及するような影響があるのかないのかという点、一つ懸念があると思っております。この影響をどう考えるか。

基礎年金番号というのは、いろいろな業務にひもづけがされております。市町村の業務であったりとか、あるいは共済であったり企業年金の業務、いろいろなものにひもづけがされておりますので、これを変えるのであれば、全部、全て変えていかなきゃいけないというようなことになります。こうした手続に瑕疵がないようにという点と、また、もし変えるのであれば、しっかりと年金機構あるいは行政の側でこれを担っていただきたい。間違っても、変える側の、利用者の皆さんの負担になるような、手間になるようなことはあってはいけない。そういうことはしませんということを明言していただきたいと思います。

水島参考人

まず、御指摘がございましたが、六月一日に本事案を公表いたしました後、定時払いは六月十五日、八月十四日と行ってまいりましたが、このお支払いに関しては現状問題が発生していないということでございまして、皆様方の御協力、御指導に心から感謝を申し上げる次第でございます。

また、さらに安全性を確保するために基礎年金番号を変更するということにさせていただいておりまして、具体的には、八月二十四日からお送りするということを開始いたしております。現在、簡易書留でお送りをいたしておりますが、九月中には皆様のお手元にお届けをするべく今努力をいたしておるところでございます。

まず、今後でございますが、今後は変更後の基礎年金番号で手続をいただくことになるわけでございますが、万一変更前の番号でお客様がおいでになっても決して御迷惑をおかけしないように、もちろん御本人であることをきちんと確実に確認させていただいた上でございますが、対応をするというシステム上の対応をとっております。

また、今御指摘がございました、いわゆる他の機関等で基礎年金番号をお使いになっていらっしゃる、具体的には市町村でございますとか共済組合、企業年金等でございますが、これらの各機関には私どもから情報提供を行うということで、基礎年金番号等の変更によりましてお客様御自身が手続を行っていただくというような御負担をおかけしないように努力をしているところでございます。

このような努力を重ねまして、お客様に御負担をかけずに着実かつ安全に基礎年金番号をお送りする手続が進むように、現在全力を尽くしているところでございます。

〔とかしき委員長代理退席、委員長着席〕

伊佐委員

時間が来たので終わりますが、しっかり多重防護という観点をぜひまた今後、私も事務的にもやりとりさせていただきたいと思います。

以上、終わります。ありがとうございました。

データベースに戻る

ページトップへ戻る