POLICY BLOG旧政策ブログ

厚生労働委員会

「マイナンバー」「サイバー攻撃」等について参考人質疑 8/25 厚労委

8月25日 (火)厚生労働委員会にて、「年金機構個人情報流出」「マイナンバー」「サイバー攻撃」等について参考人質疑を致しました。
議事録のUPが遅れて申し訳ありません。


○福島みずほ君 社民党の福島みずほです。
 報告書が出たので、何が問題かということが以前よりもかなり分かるようになりました。とりわけ第三者委員会という立場でこれをまとめられた甲斐中参考人、今日もお出ましいただきまして、心からこの労苦に関して感謝を申し上げたいというふうに思っております。
 ところで、これを、報告書を二つ、第三者委員会の分と年金機構と両方読んで、実は余りに驚いたことがたくさんあります。今日も委員からも出ておりますが、とりわけ、一部の者が重要な資料を出し渋り、黒塗りをするなどの態度は論外であるという検証報告書の三十六ページなど、この期に及んでまだこういうことが起きていたのかということに実は唖然といたしました。やはりそんな態度で改革などできるのかというのが一点です。
 それから第二点目は、私たちは、これ、一民間企業であればこんなに議論を絶対しないんですが、甲斐中参考人も冒頭おっしゃいましたが、みんなの年金が懸かっている、みんなの年金の情報が懸かっているわけですから、こういう状況だとこの議論を国民の皆さんが聞いたら、本当に大丈夫かというふうに思われるというふうに正直思います。ですから、これはもうしっかりうみを出すというか、何が問題かをきっちりやって、もう一回やり直さなければならないというふうに思っています。
 ところで、六月四日に至るまで遮断が実施されなかったことについて報告書で挙げてありますが、実は二つの報告書を読み比べてみますと、第三者委員会の方は、十九日の段階でインターネットの全面遮断に踏み切るべきであったというふうに書いてあります。ところで、機構の報告書では、十八ページ目、五月二十九日の時点で、当機構全体の統合ネットワークを通じたインターネット接続の遮断と同時に実施すべきでしたとなっている。ここでももう違うんですね。第三者委員会は十九日にやるべきだった、機構は五月二十九日の時点でやるべきだった。
 このことについて、甲斐中参考人、水島理事長、それぞれ御見解をお願いいたします。 

○参考人(甲斐中辰夫君) 私どもの調査結果では、それまでの状況を総合的に判断すると、やはり遅くも十九日の時点ではネット遮断すべきだったという結論になりました。

○参考人(水島藤一郎君) まず、検証委員会の御報告では、五月十八日に送信されてきた不審メールが百通余りあったということでございまして、また、一旦五月十八日にこの送信元を切ったわけでございますが、切った後もまた新たにメールが送られてきたということでございまして、これに関しましては、機構は標的型攻撃であるということをきちんと認識をして、その時点でインターネットの遮断をするべきだったという御指摘でございます。
 これに関しましては、まさにそのとおりだというふうに思っておりまして、私どもは二十二、二十三とセグメント遮断をいたしまして、最終二十九日にしておりますが、基本的にはできるだけ早く遮断を行うべきだったというのは、現在も私どもは同じように考えております。
 ただ、私どもの報告書では、少なくとも五月二十日には遮断を行うべきだったというのが私どもの報告書の結論になっておりますが、十九日の方がよりよかったというふうには思っております。

○福島みずほ君 今おっしゃった、十八日に職員に送信されてきた不審メールが百通余りということですが、そのことを機構が把握したのはいつですか。

○参考人(水島藤一郎君) 五月十八日同日でございます。

○福島みずほ君 そうしたら、やはりその時点でもっと対応すべきではなかったんでしょうか。

○参考人(水島藤一郎君) 甚だ不明を恥じるわけでございますが、五月十八日にその報告を受けた際に私が指示をいたしましたのは、警察に御相談をして、届けなさいという指示でございました。遮断をしろという指示はいたしておりません。まさに今、不明を恥じております。
   〔委員長退席、理事福岡資麿君着席〕

○福島みずほ君 先ほど水島理事長は二十日とおっしゃいましたが、報告書の十八ページ目では、五月二十九日の時点で当機構全体の統合ネットワークを通じたインターネット接続の遮断と同時に実施すべきでしたとなっていて、二十九日ではないですか。

○参考人(水島藤一郎君) ちょっと今私どもの報告書が手元にすぐ出てまいりませんが、いずれにいたしましても、それぞれの、二十九日ではなくて、それより前に統合ネットワークを通じたインターネットの遮断は行うべきであったというふうに考えております。

○福島みずほ君 済みません、ちょっと初歩的なところで時間がもったいないんですが、十八ページ目、これは機構の方の十八ページ目なんですが、真ん中から下の段のところ、本来であれば、五月二十九日金曜日の時点で、当機構全体の統合ネットワークを通じたインターネット接続の遮断と同時に実施すべきでしたとなっているので、全てのインターネットの遮断を二十九日にやるべきだったというふうに私は読んだんです。違うんですね。

○参考人(水島藤一郎君) ここの文章の趣旨は、二十九日に私ども統合ネットワークとの全面遮断をいたしまして、六月四日にインターネット回線、メールの回線を閉じております。したがいまして、私どもは二つの回線でインターネットの出口がございました。これを、六月四日にメール回線を閉じたわけでございますが、五月二十九日に同時に閉じるべきであったという意味でここに書いてございます。
 それから、インターネット全体に関しましては、もっと前に、二十二あるいは二十日の時点でも止めるべきだったというふうに書いてあるはずでございます。

○福島みずほ君 何日までに何をやるべきであったかということなんですが、一方で、二十九日の時点で全て遮断すべきであったという報告書になっていて、もちろんその前にもいろんな機会があったわけですが、他方、第三者委員会の方は、これは十九日の段階で全面遮断に踏み切るべきであったというふうにしております。この点については、やはり機構の判断よりも第三者委員会の方がもっと早く遮断すべきであったという点は機構としても重く受け止めるべきではないか、いかがですか。

○参考人(水島藤一郎君) まさにその御指摘については重く受け止めておりますし、私どもの対応が間違いだということに関しましてはおわびを申し上げなければならないというふうに思っております。

○福島みずほ君 いや、私が思ったのは、同時刻に同じような報告書が出て、一方はもっと早く、第三者委員会の方は十九日で遮断をすべきだと言っているのに、機構の方はもっと遅くて、全ての遮断が二十九日の時点だと言っている点で、やっぱりちょっと遅いんではないかというふうに思ったんです。
 では、インターネットの遮断のルールが定まっていなかったというふうに報告書の十七ページにありますが、インターネットの遮断のルールは決まっていなかったんでしょうか。
   〔理事福岡資麿君退席、委員長着席〕

○参考人(水島藤一郎君) インターネットの遮断ルールは決まっておりませんでした。 

○福島みずほ君 NISCにお聞きをいたします。
 インターネット遮断のルールが国の各機関、各独立行政法人で定まっているんでしょうか。その扱いはどうなんでしょうか。チェックはどうなっているんでしょうか。

○政府参考人(谷脇康彦君) お答え申し上げます。
 まず、政府機関でございますけれども、政府統一基準におきましてそうした規定がございます。すなわち、情報セキュリティーインシデントが発生した情報システムの停止又は隔離について、CSIRT責任者の判断で指示又は勧告するとなっております。したがいまして、各府省庁の情報セキュリティーポリシー、手順書におきましても同じ旨の規定がされております。なお、こうした内容につきましては、各府省庁が自組織におきまして、この情報セキュリティー監査を行う際に自己点検を行っております。
 また、独立行政法人でございますけれども、平成二十七年度より政府統一基準を踏まえたセキュリティー対策を講じるということになっておりまして、現在、その取組を進めているところでございます。
 独立行政法人のチェック体制でございますけれども、基本的には、主務大臣が各事業年度ごとに評価を行う際に、その実施状況についても評価を行う、また、その結果についてはNISCでも確認をするという体制になっているところでございます。

○福島みずほ君 報告書の十七ページ目では、インターネット遮断のルールが定まっていなかったと機構の報告書にあるんです。だから、何か定まっていなかったのかなというふうに思っていたら、そうではなくて、実は、NISCからいうと、ある種のこうやれ、ああやれ、独立行政法人についてもこうやれというのはあったわけですよね。
 ですから、インターネット遮断のルールが定まっていなかったという意味は、そういうものをちゃんと遵守していなかった、決めていなかったということなんでしょうか。これはどういうことなんでしょうか。

○参考人(水島藤一郎君) 私どものセキュリティーポリシーにおきまして、標的型攻撃について、抜線をするというルールはございましたが、そのほかインシデント手順書等が作成されておりませんでした。このことが今回適切に対応できなかった大きな要因の一つだというふうに考えております。
 今後、標的型メール攻撃を受けたと認識した場合には、速やかにインターネット接続の遮断について検討すべき、行うべきと考えておりまして、その具体的なルール、手順等につきましては諸規定を整備する中で検討してまいりたいというふうに考えております。

○福島みずほ君 NISCから見て一体何が問題なんでしょうか。つまり、NISC側は、こういう手順があってこうだというふうに答弁される、一方で機構側は、遮断のルールが定まっていなかった、今後ちゃんと対応したい。何がまずいんですか。

○政府参考人(谷脇康彦君) お答え申し上げます。
 日本年金機構は特殊法人でございますので、そういった意味では、今、私どもの取組、これまでの取組は、政府機関及び独立行政法人でございました。今回の教訓を踏まえまして、公的業務を行う、政府と一体として行う特殊法人につきましてもこうした運用を明確に守っていただく、こういった体制の強化が必要だというふうに考えております。

○福島みずほ君 しかし、年金ですから、情報が極めて大事だということはあると思うので、この間のいろんなルールを決めていなかったということは大変致命的だというふうに考えております。
 それで、マイナンバーについてお聞きをいたします。インターネット遮断のルールについて、マイナンバーではルールは的確になっているんでしょうか。

○政府参考人(其田真理君) お答え申し上げます。
 特定個人情報保護委員会では、昨年十二月に策定しましたガイドラインにおきまして、政府統一基準等に準拠した各省の情報セキュリティーポリシーを各省が遵守することを前提といたしまして定められているものでございますけれども、ガイドラインにおきまして、情報システムを外部から不正アクセス又は不正ソフトウエアから保護する仕組みを導入し、適切に運用する、また、個人番号利用事務の実施に当たり、接続する情報提供ネットワークシステム等の接続規定等が示す安全管理措置を遵守するといったことについて定めております。
 また、今般の年金機構の事案を踏まえまして、七月二十九日に国の行政機関及び独立行政法人等に対しまして、安全管理措置を講ずるに当たり留意すべき事項といたしまして、個人番号利用事務で使用する情報システムが接続するネットワークはインターネットに接続されたネットワークから物理的又は論理的に分離すること、個人番号利用事務で用いる特定個人情報ファイルは電子媒体を介してインターネットに接続されたパソコン等で取り扱わないことということにつきまして通知をいたしまして、インターネットから分離する形で番号利用事務を行うことを求めております。
 今後、政府部内におけるセキュリティー対策の検討状況も踏まえまして、ガイドラインの見直しを検討してまいりたいと思います。

○福島みずほ君 マイナンバーの担当局としては、今回この年金に関してインターネット遮断のルールが定まっていなかったということは事前に把握をされていましたか。

○政府参考人(其田真理君) 年金の特定個人情報評価書におきましては、マイナンバーを導入する際の取扱いとして、特定個人情報を扱う端末とインターネットを使う端末とを分けており、特定個人情報を扱う端末については外部と接続をしないことというふうに記載されておりましたので、そのように認識しております。

○福島みずほ君 こういうふうに秘密を守ります、情報は漏れませんとあるけれども、実際はすごく漏れているわけですよね。
 ちょっとよく分からないんですが、マイナンバーの場合も遮断のルールをガイドライン決めたりやっているというので、今回、実は年金機構においてインターネット遮断のルールが定まっていなかった、このことは、この報告書が出る前、あるいはマイナンバーの担当部局として知っていましたか、この問題点を。

○政府参考人(其田真理君) そういったルールは承知をしておりませんでしたが、評価書の記載において、インターネットと接続をしないというふうに記載がございましたので、そのように取り扱われるものというふうに認識をしておりました。

○福島みずほ君 インターネットと接続しないから大丈夫という意味なんでしょうか。どういう意味なんでしょうか。

○政府参考人(其田真理君) 接続をしないということに加えまして、個人情報の複製、それから外部への持ち出しを禁止する、それから不正プログラム対策や不正アクセス対策を講じることが記載されておりまして、これらが確実に実施されるのであればリスク対策として問題はないというふうに考えておりました。

○福島みずほ君 いや、全然駄目ですよ。だって、外部への持ち出しやって、いろんなことがあって、全然対応できないということが明らかになったのが今回の事件であり、報告書なわけじゃないですか。
 以前もこの委員会で議論しましたが、「特定個人情報保護評価書(全項目評価書)」で、評価書番号一、評価書名「公的年金業務等に関する事務 全項目評価書」、評価実施機関名厚生労働大臣、そして承認日平成二十七年三月三日、塩崎大臣がきちっと大丈夫だということを言っていると。
 リスク対策のところの自己点検、十分に行っているとなっていて、そして具体的な内容、データに対するコンピューターウイルス対策を講じること、これ全部十分に行っているということなんです。ですから、今、マイナンバーの担当者が、外部に情報を持ち出しません、接続しません、だから大丈夫だと思っているというようなことは、絵に描いた餅じゃないですか。
 実際、そういうことは一切履行されていないし、むしろそれに反する実務が横行している。それのチェックもできなければ、今現場がちゃんとやるということを前提に答弁されても、この評価書、全然駄目だったということじゃないですか。だったら、マイナンバーやり直すべきじゃないですか。

○政府参考人(其田真理君) 特定個人情報保護評価書と申しますのは、特定個人情報を各機関が保有する前に、どういうシステムをつくってどういうリスク対策を講ずるのかということを評価し、記載をして公表する制度でございます。ですので、マイナンバーが導入され、年金機構が保有するときにはこのようにきちんとやるといった前提で書かれている評価書でございます。

○福島みずほ君 きちっとやるということを前提に全部十分できるという報告書が出ているわけですが、実際、全く現実はそうでないという現実の報告書が出ているわけですから、絵に描いた餅。本人の自己評価、丸、丸、丸というのを信用してマイナンバーの導入することなど一切できないと思います。
 マイナンバーについては、連合審査を要求をいたします。

○委員長(丸川珠代君) ただいまの件につきましては、後刻理事会において協議をさせていただきます。

○福島みずほ君 もう一つマイナンバーで非常に懸念しているのは、実は県などは財政があるけれど、市区町村はサイバー攻撃やマイナンバーに対しての費用がとてもかさんで対応できないと。とにかく、大きな市ならまだしも、町村ではもう無理だとか、サイバー攻撃に耐え得るのかという話などを聞いたりしております。
 今日、総務省に来ていただきました。自治体のサイバー攻撃への対応、これはできているんでしょうか。

○政府参考人(猿渡知之君) お答え申し上げます。
 自治体における情報セキュリティー対策につきましては、本年三月に、標的型攻撃に対する対策等を加えまして、地方公共団体における情報セキュリティポリシーに関するガイドラインを改定し、その強化を図ったところでありますけれども、今般の日本年金機構における事案は自治体にとっても改めて重大な警鐘となりましたので、直ちに緊急時の対応体制やシステム、ネットワークの総点検等をお願いしているところであります。
 総務省におきましても、専門家及び実務家から成る自治体情報セキュリティー検討チームを立ち上げまして、この八月十二日には中間報告が取りまとめられたところであります。
 これを受けまして、インシデント発生時におけるNISCまでの連絡ルートの強化や、あるいは自治体における緊急時対応計画の見直しと訓練の徹底等を図るとともに、インシデント情報の共有や情報セキュリティー専門人材のノウハウを自治体の対策に生かす仕組みづくりなどを今鋭意推進しているところであります。
 今後とも、NISCを始め関係機関と連携しながら、自治体における情報セキュリティー対策が充実してまいりますよう努めてまいります。

○福島みずほ君 もしサイバー攻撃をやろうと思ったら、強いところではなくて弱い自治体、というか町村から入ってやるとか、日本全国の市区町村全部でサイバー対策なんてやれないですよ。だって、年金機構でこれだけやれていないんだから、市区町村で本当にやれるのか、それに対して莫大な人員とお金とを割けるのかということもあり、その意味でも、マイナンバーには極めて弱点があるというふうに思います。
 それで、今日警察庁にも来ていただいております。素朴な疑問で、誰が何のためにやったのか。現在、刑事捜査、言える範囲でどうなっているのか。それともう一つ、これ、被害届は書面でちゃんと出ているんでしょうか。

○政府参考人(斉藤実君) 本件事案につきましては、サイバー攻撃による年金に係る大量の個人情報が流出をした極めて重大な事案であると認識をしておりまして、現在、警視庁において捜査中であります。
 具体的な捜査状況についてはお答えは差し控えさせていただきますが、委員御指摘の、誰が何のためにやったのかという点も含めまして、事案の全容を解明すべく現在鋭意捜査をしているところでございます。
 お尋ねの被害届についてでございますが、現時点、被害届は提出をされておりませんが、警視庁におきましては、日本年金機構からの通報、相談があり、かつ関連する資料の提出も受け、所要の捜査を行っているところでございまして、被害届の有無が私どもの捜査に何らかの影響を及ぼしているということではございません。

○福島みずほ君 いや、弁護士の立場からすると、被害届を出さないと警察は普通動いてくれませんよね。

○政府参考人(斉藤実君) 被害届の提出がなければ捜査をしないということではございません。

○福島みずほ君 もちろんそういう回答になるかもしれないんですが、実際は、告訴、告発するとか被害届を出すとか、やっぱり書面を出して、これちゃんとやってくださいで、今回の件で高井戸警察署に相談しているという時点から、きちっとこれ刑事事件としてやるのかとか、被害届を書面で出してちゃんとやっているのかというのが、今日の答弁でも、被害届が書面として出ていないという点では、本当にちょっと、えっという声も出ておりますが、きちっと刑事手続としても構えて、あるいはちゃんとメスを入れてやるんだというのが本当に機構の側にあったのかというふうに思います。
 それで、今日は資料として契約書をお配りをいたしました。というのは、報告書の中に何度も何度も運用委託会社というのが出てきて、それから、運用委託会社との連携が良くなかったと。例えば報告書の二十九ページ、運用委託会社は、部分的な情報をもとに五月八日の事象をマルウエアの分析結果に基づき、情報漏えいの可能性は極めて低いと報告し、機構もその内容をうのみにしてしまったというふうになっております。
 報告書をいただきました。でも、この報告書を読む限りは、これはLANシステムサーバー等の賃貸料や保守業務であって、サイバー攻撃について本当にどこまで打合せをやり、どこまで責任を持ち、どこまでお金を払っていたのかというのがよく分からないんです。運用委託会社としっかり会って、きちっと会議をやって、打合せをやったんでしょうか。ということについて、理事長、いかがでしょうか。

○参考人(水島藤一郎君) 解析に関して手順書があるということは既に申し上げたとおりでございます。
 五月十八日から二十日までに受信をいたしました不審メールへの対応につきましては、情報セキュリティー担当部署から運用委託担当部署を通じまして運用委託会社に、不審メールの受信者の確認調査、不審メールの送信元のメールアドレスの受信拒否設定並びにウイルスの解析等を依頼をいたしております。
 この間、運用委託担当部署と運用委託会社との間では、受信拒否設定の具体的な内容や不審メールを特定するための抽出方法などの打合せを行っております。
 なお、運用委託会社から、この時点で標的型攻撃に対する具体的な提言はなかったという報告を受けております。

○福島みずほ君 質問は、この契約書を読む限りは、運用委託会社がサイバー攻撃に対して、先ほど別の契約の書面があるとおっしゃいましたけれど、どの程度関与してやっていたのか、役割分担も含めて極めて曖昧ではないかと思います。
 私は、この点については素人なので、四十五億円、これは数年にわたるものですし、最後の年間の賃借料、環境整備等に係る一時費用として年間十二億円払っているというのも、多いのか少ないのか、これにサイバー攻撃の分が入っているのか入っていないのかというのもよく分かりません。また、報告書の中に、CIO補佐官の活用ができていなかったとか、いろんな記述があるのですが、まだたくさん論点がありますので、引き続きしっかり追及するよう集中審議をお願いすると申し上げ、質問を終わります。
MENU