7月2日(木)の参議院厚生労働委員会で、マイナンバー制度と年金情報流出問題について質問しました。
○福島みずほ君 社民党の福島みずほです。
順番を変えて、マイナンバーの方からお聞きをいたします。
マイナンバーに対するセキュリティー対策として、NISCによるGSOC以外にセキュリティー部門、SOCを新設すると報じられています。この監視対象は全国の自治体や国を専用回線で相互に接続する総合行政ネットワークのことですが、これを監視することによって各自治体が保有している個人情報の流出も発見できるのでしょうか。
○政府参考人(谷脇康彦君) お答え申し上げます。
NISCにおきましては、政府機関に対するサイバー攻撃等の不審な通信を監視、分析し、これを感知した場合には関係府省に通知をし、所要の対策を講じることを求めております。
先ほどもお話ございましたけれども、一昨日閣議決定されました日本再興戦略改訂二〇一五の中で、LGWAN、総合行政ネットワークについても集中的にセキュリティー監視を行う機能を設けるなど、GSOCとの情報連携を通じてマイナンバーシステムに係る国、地方全体を俯瞰した監視・検知体制を整備するということになっているところでございます。
NISCといたしましては、このセキュリティー分野の政府全体の司令塔機能を果たしながら、総務省あるいは特定個人情報保護委員会等関係機関と連携しながら、サイバーセキュリティーの確保に努めてまいりたいと考えております。
○福島みずほ君 全国の自治体が有している情報が漏れないということなんでしょうか。
○政府参考人(谷脇康彦君) お答え申し上げます。
先ほど申し上げました統合行政ネットワーク、LGWANでございますけれども、これは各地方自治体の情報システムがつながって、接続されているものでございます。SOCの機能でございますけれども、これはインシデント等についてこれを感知するという機能でございます。
地方自治体におけるそれぞれの情報セキュリティーの確保につきましては、このLGWANのSOCに加えまして、それぞれの地方自治体におきましてセキュリティー対策を講じ、個人情報漏えい等が起きないようにしていく必要がある、また、その対策につきましては特定個人情報保護委員会の方で担っているというふうに理解をしております。
○福島みずほ君 年金情報がこれだけ漏れるんですから、全ての自治体が持っているそれぞれの情報が漏れないという保障をつくるのは並大抵ではないと思います。その構築なくしてマイナンバーの制度導入を来年一月にするのは早いんじゃないか、確立してからやれというか確立してからやるべきだというふうに思います。
年金機構は、来年一月のマイナンバー制度導入を前提に行った個人情報漏えいに関する自己点検、特定個人情報保護評価において十分な措置を講じていると評価をしております。全項目評価書、評価実施機関名、厚生労働大臣、「特定個人情報の漏えいその他の事態を発生させるリスクを軽減させるために十分な措置を講じ、もって個人のプライバシー等の権利利益の保護に取り組んでいることを宣言する。」というのを今年の三月三日に出していますが、結局これは、漏れたということは、使い物にならなかった、厚生労働大臣の評価が間違っていたということではないんですか。
○政府参考人(其田真理君) 先生が御指摘の評価書は、マイナンバーの取扱いの際にということでございますけれども、特定個人情報を扱う端末とインターネット端末を分けるということ、それから端末については外部と接続をしないこと、個人情報の複製、外部への持ち出しを禁止すること、それから不正プログラム対策、不正アクセス対策を講じるということが記載をされておりまして、日本年金機構がこの評価書に記載されているとおりに扱うのであれば、そういうリスクがちゃんと講じられているという趣旨で記載されているものだというふうに承知をしております。
当委員会におきましても、マイナンバー制度の信頼を確保するために、その評価書に記載されているリスク対策がきちんと運用されるかどうかということは監視、監督をしてまいりたいと思います。
○福島みずほ君 いや、年金記録が漏れたわけですよね。ちゃんとやっていないことが山ほどあって漏れた。だとしたら、この自己評価、丸というのは間違っているんじゃないですか。
○政府参考人(其田真理君) 特定個人情報保護評価という制度は、国の行政機関や地方公共団体がマイナンバーを保有する前にそのリスクを評価をして、その対策を講じるということを評価する制度でございますので、事前評価を公表し、宣言するという制度になっております。
そういう意味において、マイナンバーが始まるときにはこのような仕組みでこのように保護しますということを説明した書類でありますので、このようにきちんと確実にやっていただくことが重要であろうというふうに考えております。
○福島みずほ君 だって、今回の件が表に出なければ、ちゃんとやっているとみんな思っているわけじゃないですか。年金情報が漏れるなんて夢にも思っていない。この厚生労働大臣の宣言、「特定個人情報の漏えいその他の事態を発生させるリスクを軽減させるために十分な措置を講じ、もって個人のプライバシー等の権利利益の保護に取り組んでいることを宣言する。」、これは公的年金業務等に関する事務、全項目評価書ですよね。これ間違っていたんじゃないですか。
○国務大臣(塩崎恭久君) 先ほど来御答弁がありましたけれども、言ってみれば、魂が入っていないということなんだろうと思うんですね。形は整っていたという評価をして、厚生労働大臣がその形についての評価をしたということで、それが実行をされなければいけないということだというふうに理解をしているわけで、この特定個人情報保護評価、国の行政機関や地方公共団体などマイナンバーを保有する機関がマイナンバーを保有する前に自ら情報漏えい等のリスク対策を講じ、これを国民に公表する制度であって、マイナンバーの保護措置の一つとして重要な制度であるということは私もそのとおりだというふうに思っているわけで、御指摘の、この取扱いについて記載があって、評価書に記載されているとおりにやっていれば、取り扱うとすれば十分な措置が講じられているとなる自己評価だというふうに私は理解をしております。
この委員会で、マイナンバー制度の信頼を確保するために、評価書に記載されている適切なリスク対策とその確実な運用がなされるようにこちらの委員会がしっかりと取り組んでいただけるということを前提にこのような評価をしているということだというふうに理解をしております。
○福島みずほ君 自民党の席から無理という声が上がりましたけれども、これ、評価実施機関名が厚生労働大臣で、特定個人情報保護委員会は三月三日承認しているんですよ。魂が入っていなかったって大臣言いましたけれど、魂入っていなくて情報が漏えいするなんてしゃれにならないと思いますが、いかがですか。
○政府参考人(其田真理君) 委員会といたしましては、評価書の中身も細かく審査もいたしまして、委員会で議論もいたしまして、それから厚生労働省、それから年金機構の方にもおいでいただいてヒアリングもいたしました。かなり細かい技術的なことまでヒアリングをした上で、このように確実に実施してほしいということを承認書に記載をいたしまして、また、承認書を交付する際にも確実に実行してほしいということを申し上げて承認をいたしております。
○福島みずほ君 特定個人情報保護委員会は無力だったということじゃないですか。ヒアリングをやって、でも年金記録は漏えいした。無力だったということじゃないんですか。
○政府参考人(其田真理君) 先ほど申し上げましたけれども、これ、特定個人情報、マイナンバーのファイルを保有する前に、保有する段階でどのように事務を取り扱うか、リスク対策を講ずるかということを書類にして公表するシステムでございますので、マイナンバーを持つ前の段階で私ども評価書を評価をしております。
ですので、始まるときにこのように確実に実行していただくということが基本だろうと思います。
○福島みずほ君 だって、これは評価実施機関が厚生労働大臣で、「プライバシー等の権利利益の保護に取り組んでいることを宣言する。」、公的年金業務等に関する事務、全項目評価書ですよ。自己評価でオーケーと言えばオーケー、このとおりやってくれるんだったらオーケーというんだったら、マイナンバーに対する信頼は全くないと思いますが、いかがですか。
○政府参考人(向井治紀君) 第三者評価制度というのはいわゆるPIAと呼ばれておりまして、いわゆる事前のアセスメントでございます。
まず、要するに、マイナンバーが始まったときにどう取り扱うかというものを評価するものでございます。その上で、マイナンバーの取扱いにつきましてのセキュリティーあるいは情報漏えいへの防止措置、これらをそういうそれぞれ情報を保有する機関がそのようにやるということをパブリックコメントを掛けて第三者の意見を聞いた上で宣言するというものでございますので、それはマイナンバーが始まりましたらそのとおりにやっていただくというふうなものだと考えております。
○福島みずほ君 そのとおりにやっていなかったから年金記録も漏えいしたし、また対策も全く対応やっていなかったからここまで広がったわけですよね。
きちっとやってくれるだろうということでマイナンバーなんてやられたら、非常に貴重な情報が必ず漏えいしますよ。予言しますよ、本当に。必ずや、そんな、やってくれるだろう、厚生労働大臣が宣言してこのとおり適用してくれるだろうということを前提にマイナンバーなんてやったら、予言します、必ず漏えいしますよ。いかがですか。
○政府参考人(向井治紀君) お答えいたします。
マイナンバー制度、もちろん、何といいますか、私どもが設計する際に、できるだけリスクを増えないようにということで考えております。
いわゆる、何といいますか、情報漏えいリスクとかそういうあらゆるリスクが、マイナンバーの制度が入る前と入る後とで、マイナンバーが入ることにより情報漏えいリスクが増えることのないように設計しているつもりでございます。
○福島みずほ君 特定個人情報保護委員会の特定個人情報保護評価は、自己採点なんですよね。宣言しますといってスルーしているんですよ。こんなのインチキじゃないですか。インチキじゃないですか。厚生労働省でこんなにだったら、他の役所だって一緒でしょう。「権利利益の保護に取り組んでいることを宣言する。」、それでスルーしているんですよ。駄目でしょう。今回敗北したということを認めてくださいよ。
○政府参考人(向井治紀君) 私どもといたしましては、マイナンバー制度が始まるまでにそういう体制をきっちり取っていただくということが必須であると思いますので、国会答弁でも申し上げているとおり、この検証結果が明らかにしてから年金についてマイナンバーをいつ導入するかについては検討させていただきたいと思っております。
○福島みずほ君 この委員会で明らかになったとおり、本当に機構も厚生労働省も、まあ機構ですが、おぼつかないですよ。悪いけれども、まともな答弁もできていない状況で、マイナンバーをやるまでにきちっと情報はコントロールされるだろうなんて、楽観的というかファンタジーですよ。あり得ない。いかがですか。
○政府参考人(向井治紀君) 機構の問題につきましては、今は第三者委員会、厚労省で設置されております委員会等で検討がされております。それらの結論を待って、マイナンバーをいつ年金に導入するかについては検討させていただきたいと思います。
○福島みずほ君 厚労省の自己評価で、宣言するというのでスルーさせているじゃないですか、マイナンバーが。だとしたら、他の役所もまあ推して知るべしだというふうに思いますよ。そして、今日の、現在の段階でも客観的な事実すらほとんど分からない、答弁できない。こんな状況でマイナンバーの導入はできないと思いますが、いかがですか。
○政府参考人(向井治紀君) 今回の事件は遺憾ではございます。ただし、今回の事件を機に、さらに関係する各省、あるいはマイナンバーに関係いたします独立行政法人、地方自治体に改めて、再度セキュリティーにつきましては通達をし、あるいは情報を取っているところでございます。
これらにつきまして、できるだけ早期に更なる対策を講じたいというふうに考えております。
○福島みずほ君 更なる対策を講じていない段階でマイナンバー法の改正法を成立させることはできないですよ。
大臣、先ほど魂が入っていなかったとおっしゃいましたが、どういうことでしょうか。
○国務大臣(塩崎恭久君) 先ほど申し上げたように、この評価は事前評価であって、導入後の業務がどうかということを事前に点検しているものだというふうに私は理解をしております。
さっき申し上げたのは、もうこれは何度も申し上げておりますけれども、今回本当に足らざるところがたくさんあって個人情報を守り切れなかった、幾ら不正なアクセスあるいは標的型メール攻撃だといっても、守る体制としてはウイルス対策のような問題意識でやっていたということが魂が入っていないということを申し上げているので、マイナンバーとは、それはまだ導入もしていないわけでありますから、少し違う話だというふうに思いますので、いずれにしても、年金情報は、これは個人情報の大事な塊でありますので、これを守り切るという体制を再構築するということが私の使命だというふうに思っております。
○福島みずほ君 年金情報流出に関して、今日の時点でこのようなていたらくであるのであれば、また回答も、ちゃんと適用していただけるのであればみたいな答弁でやっているわけで、マイナンバーの改正法案は廃案にすべきだということを強く申し上げます。
素朴な疑問で、ちょっと教えていただきたいのですが、私が分からないのは、特定個人情報ファイルというのは例えば年金についても記録される項目、百項目以上なんですよね。そして、四情報以外に、その他住民票関係情報や個人番号、その他の識別情報、内部番号、主な記録項目もあるわけです。
今回、なぜ四情報しか流出していないというか、他の情報はなぜ出なかったんですか。出ないと考えていますか。
○参考人(水島藤一郎君) 警察から日本年金機構のファイルではないかということでお知らせをいただいて、その内容について私どもで調査をいたしましたところ四情報であったということでございます。
○福島みずほ君 いや、今の段階では四情報なんですが、先ほどもおっしゃったとおり、それだけにとどまらない。さっきも同僚議員からありましたが、ファイルにはたくさんの情報があるわけですよね。だから、もしかしたら、まだ出ていないけれども、どこかにそれがもう流出しているかもしれない、そういう可能性や推測や組立てというのは、機構、どう考えているんですか。
○参考人(水島藤一郎君) 四情報以外が、先ほども申し上げましたが、共有ファイルの中に四情報以外の情報が含まれているということは、その可能性は否定をいたしませんというふうに申し上げております。現時点において、流出したかどうかについては判断ができないというふうに先ほど申し上げたところでございます。
○福島みずほ君 いや、ちょっと時間がもったいないんですが、私が本当に素朴に疑問に思うのは、たくさんの情報が入っているのに、なぜその四情報だけが現時点で流出しているのか、何かそのからくりがあるんでしょうか。何なのか、これちょっと教えていただきたい。
○参考人(水島藤一郎君) 繰り返しになって大変恐縮なんでございますけれども、流出したと、そもそも通信ログの結果としてURLが特定されていったと。そのURLがどこにあるかは分からないわけですが、そのうち、そのURLが、サーバーが見付かったものがあって、そこに私どもの情報が残っていたと。その情報を解析を、内容を調べたところ、百二十五万件の最大四情報であったということでございまして、その限りで百二十五万件だったということでございます。
○福島みずほ君 私の疑問はちょっと払拭されないんですが、また別の機会にお聞きをいたします。
今日はほかの方にも来ていただいているので、警察にお聞きをいたします。
三十一台のPCはどこから流出したんですか。
○政府参考人(高橋清孝君) お答えいたしますけれども、具体的に私どもの方から、何台のPCから流出したかということにつきまして、まさに捜査中でございますので、答弁はいたしかねるということでございます。
○福島みずほ君 百一万人の年金情報はいつの段階でどう流出したのか、それは教えていただけますか。
○政府参考人(高橋清孝君) 本件事案につきましては、まさに現在、警視庁におきまして捜査中でございます。そういう意味で、いつの段階でどのような情報が流出したのかといった犯行の具体的な状況につきましても捜査中でありますし、また今後の捜査に支障が生ずるおそれもありますので、明らかにすることはできないということについて御理解いただきたいと思います。
○福島みずほ君 これは質問通告していなくて申し訳ないんですが、警察がコンタクトを取っていた年金機構の人あるいは厚労省の人はどなたなんでしょうか。誰を中心にやり取りをしていたのか教えていただけますか。
○政府参考人(高橋清孝君) これに限らず、いわゆる被害者の方、年金機構の方はですね、被害者の方ですので、具体的に警察の方から被害者のどなたというのはなかなか申し上げにくいものですから、できれば年金機構の方に逆に聞いていただければ有り難いというふうに思います。
○福島みずほ君 年金機構あるいは厚労省で警察とコンタクトを取っていたのは誰なんですか。
○参考人(水島藤一郎君) 法務・コンプライアンス部が警察とのコンタクトについては所管をいたしております。個人名は御勘弁をいただきたいと思います。
○福島みずほ君 というのは、先ほどまた同僚委員からありましたけれども、警察とコンタクトを取るって、やっぱりかなりのことだと思うんですよ。ですから、どうしてそれが厚労省や大臣やいろんなところと共有されなかったのか、実は極めて謎なので、それは今後もまたお聞きをいたします。
今日は内閣官房にも来ていただいているので、お聞きをいたします。
内閣官房内閣サイバーセキュリティセンター、NISCは、年金情報流出問題に関して、まず、やっぱりたくさんある中で、これは変と思って、だって年間五件ぐらいですよね、やったりしているので、変と思って通告をされているわけですが、どういうふうにアドバイスをして通告されたのか、教えてください。
○政府参考人(谷脇康彦君) お答え申し上げます。
まず、実績値として申し上げますと、平成二十五年度でございますけれども、私どものセンサーで監視をしておりますいわゆる脅威、イベントという言い方をしておりますが、これが一年間で約五百八万件でございます。その中で、今回の年金機構の事案のように、センサー監視によって関係省庁に通報する件数が百三十九件、これは平成二十五年度の数字でございます。
今回の事案におきましても、NISCにおきましては、五月八日それから二十二日に不正な通信を検知した後、様々な助言を厚生労働省に対して行うとともに、厚生労働省が講じた措置について報告を求めてきたということでございます。
○福島みずほ君 厚生労働省に対してやっているわけですよね。検知しているのは物すごくたくさんある中で、その中で限られていると。だから、これに関して、ちょっとこれまずいぞとか、深刻な事態になるぞと限られた中から警告を出しているわけですから、非常に何かあったと思うんですが、具体的に厚労省などにその深刻さやそういうものが伝わるような形でおっしゃっているんでしょうか。
○政府参考人(谷脇康彦君) お答え申し上げます。
一般論ではございますけれども、私どもがイベントを感知し、そしてまた通報を行うと、また、通報を行った後にも、事案の重篤性、深刻度というものについては、原因解明の進捗によって段階的に判明をしてくるというものでございます。今回の年金事案のケースにつきましても、五月の八日に私どもが感知をした後、その後、段階的に状況というものが判明をしてきた、重篤度が高まってきたということでございます。
○福島みずほ君 正直言って、これやばいぞというか、これ大変だと思われたのはいつでしょうか。それから、その危機感は伝わっていたんでしょうか。
○政府参考人(谷脇康彦君) お答え申し上げます。
私どもNISCの中でも、担当者がこのGSOCの検知あるいは通報を行っているわけでございますけれども、私どもの中の内規によりまして、深刻度に応じて上に上げるような仕組みになっております。ただ、どういう基準で重篤度というものを認識しているのか、それからどのタイミングで上に上げていくことになるのかという点については、これは明らかに攻撃者を利することになりますので、お答えは控えさせていただきたいと思います。
○委員長(丸川珠代君) 時間でございますので。
○福島みずほ君 はい。
私は、今回、NISCの対応がどうだったのか、それから厚生労働省の中の対応がどうだったのか、機構がどうだったのか、その問題解決の対応の仕方がどうだったのか、極めて問題だと思います。
まだまだたくさん聞きたいことがありますので、情報がまだまだ出てきておりませんので、引き続き質問したいと思います。
ありがとうございます。
○福島みずほ君 社民党の福島みずほです。
順番を変えて、マイナンバーの方からお聞きをいたします。
マイナンバーに対するセキュリティー対策として、NISCによるGSOC以外にセキュリティー部門、SOCを新設すると報じられています。この監視対象は全国の自治体や国を専用回線で相互に接続する総合行政ネットワークのことですが、これを監視することによって各自治体が保有している個人情報の流出も発見できるのでしょうか。
○政府参考人(谷脇康彦君) お答え申し上げます。
NISCにおきましては、政府機関に対するサイバー攻撃等の不審な通信を監視、分析し、これを感知した場合には関係府省に通知をし、所要の対策を講じることを求めております。
先ほどもお話ございましたけれども、一昨日閣議決定されました日本再興戦略改訂二〇一五の中で、LGWAN、総合行政ネットワークについても集中的にセキュリティー監視を行う機能を設けるなど、GSOCとの情報連携を通じてマイナンバーシステムに係る国、地方全体を俯瞰した監視・検知体制を整備するということになっているところでございます。
NISCといたしましては、このセキュリティー分野の政府全体の司令塔機能を果たしながら、総務省あるいは特定個人情報保護委員会等関係機関と連携しながら、サイバーセキュリティーの確保に努めてまいりたいと考えております。
○福島みずほ君 全国の自治体が有している情報が漏れないということなんでしょうか。
○政府参考人(谷脇康彦君) お答え申し上げます。
先ほど申し上げました統合行政ネットワーク、LGWANでございますけれども、これは各地方自治体の情報システムがつながって、接続されているものでございます。SOCの機能でございますけれども、これはインシデント等についてこれを感知するという機能でございます。
地方自治体におけるそれぞれの情報セキュリティーの確保につきましては、このLGWANのSOCに加えまして、それぞれの地方自治体におきましてセキュリティー対策を講じ、個人情報漏えい等が起きないようにしていく必要がある、また、その対策につきましては特定個人情報保護委員会の方で担っているというふうに理解をしております。
○福島みずほ君 年金情報がこれだけ漏れるんですから、全ての自治体が持っているそれぞれの情報が漏れないという保障をつくるのは並大抵ではないと思います。その構築なくしてマイナンバーの制度導入を来年一月にするのは早いんじゃないか、確立してからやれというか確立してからやるべきだというふうに思います。
年金機構は、来年一月のマイナンバー制度導入を前提に行った個人情報漏えいに関する自己点検、特定個人情報保護評価において十分な措置を講じていると評価をしております。全項目評価書、評価実施機関名、厚生労働大臣、「特定個人情報の漏えいその他の事態を発生させるリスクを軽減させるために十分な措置を講じ、もって個人のプライバシー等の権利利益の保護に取り組んでいることを宣言する。」というのを今年の三月三日に出していますが、結局これは、漏れたということは、使い物にならなかった、厚生労働大臣の評価が間違っていたということではないんですか。
○政府参考人(其田真理君) 先生が御指摘の評価書は、マイナンバーの取扱いの際にということでございますけれども、特定個人情報を扱う端末とインターネット端末を分けるということ、それから端末については外部と接続をしないこと、個人情報の複製、外部への持ち出しを禁止すること、それから不正プログラム対策、不正アクセス対策を講じるということが記載をされておりまして、日本年金機構がこの評価書に記載されているとおりに扱うのであれば、そういうリスクがちゃんと講じられているという趣旨で記載されているものだというふうに承知をしております。
当委員会におきましても、マイナンバー制度の信頼を確保するために、その評価書に記載されているリスク対策がきちんと運用されるかどうかということは監視、監督をしてまいりたいと思います。
○福島みずほ君 いや、年金記録が漏れたわけですよね。ちゃんとやっていないことが山ほどあって漏れた。だとしたら、この自己評価、丸というのは間違っているんじゃないですか。
○政府参考人(其田真理君) 特定個人情報保護評価という制度は、国の行政機関や地方公共団体がマイナンバーを保有する前にそのリスクを評価をして、その対策を講じるということを評価する制度でございますので、事前評価を公表し、宣言するという制度になっております。
そういう意味において、マイナンバーが始まるときにはこのような仕組みでこのように保護しますということを説明した書類でありますので、このようにきちんと確実にやっていただくことが重要であろうというふうに考えております。
○福島みずほ君 だって、今回の件が表に出なければ、ちゃんとやっているとみんな思っているわけじゃないですか。年金情報が漏れるなんて夢にも思っていない。この厚生労働大臣の宣言、「特定個人情報の漏えいその他の事態を発生させるリスクを軽減させるために十分な措置を講じ、もって個人のプライバシー等の権利利益の保護に取り組んでいることを宣言する。」、これは公的年金業務等に関する事務、全項目評価書ですよね。これ間違っていたんじゃないですか。
○国務大臣(塩崎恭久君) 先ほど来御答弁がありましたけれども、言ってみれば、魂が入っていないということなんだろうと思うんですね。形は整っていたという評価をして、厚生労働大臣がその形についての評価をしたということで、それが実行をされなければいけないということだというふうに理解をしているわけで、この特定個人情報保護評価、国の行政機関や地方公共団体などマイナンバーを保有する機関がマイナンバーを保有する前に自ら情報漏えい等のリスク対策を講じ、これを国民に公表する制度であって、マイナンバーの保護措置の一つとして重要な制度であるということは私もそのとおりだというふうに思っているわけで、御指摘の、この取扱いについて記載があって、評価書に記載されているとおりにやっていれば、取り扱うとすれば十分な措置が講じられているとなる自己評価だというふうに私は理解をしております。
この委員会で、マイナンバー制度の信頼を確保するために、評価書に記載されている適切なリスク対策とその確実な運用がなされるようにこちらの委員会がしっかりと取り組んでいただけるということを前提にこのような評価をしているということだというふうに理解をしております。
○福島みずほ君 自民党の席から無理という声が上がりましたけれども、これ、評価実施機関名が厚生労働大臣で、特定個人情報保護委員会は三月三日承認しているんですよ。魂が入っていなかったって大臣言いましたけれど、魂入っていなくて情報が漏えいするなんてしゃれにならないと思いますが、いかがですか。
○政府参考人(其田真理君) 委員会といたしましては、評価書の中身も細かく審査もいたしまして、委員会で議論もいたしまして、それから厚生労働省、それから年金機構の方にもおいでいただいてヒアリングもいたしました。かなり細かい技術的なことまでヒアリングをした上で、このように確実に実施してほしいということを承認書に記載をいたしまして、また、承認書を交付する際にも確実に実行してほしいということを申し上げて承認をいたしております。
○福島みずほ君 特定個人情報保護委員会は無力だったということじゃないですか。ヒアリングをやって、でも年金記録は漏えいした。無力だったということじゃないんですか。
○政府参考人(其田真理君) 先ほど申し上げましたけれども、これ、特定個人情報、マイナンバーのファイルを保有する前に、保有する段階でどのように事務を取り扱うか、リスク対策を講ずるかということを書類にして公表するシステムでございますので、マイナンバーを持つ前の段階で私ども評価書を評価をしております。
ですので、始まるときにこのように確実に実行していただくということが基本だろうと思います。
○福島みずほ君 だって、これは評価実施機関が厚生労働大臣で、「プライバシー等の権利利益の保護に取り組んでいることを宣言する。」、公的年金業務等に関する事務、全項目評価書ですよ。自己評価でオーケーと言えばオーケー、このとおりやってくれるんだったらオーケーというんだったら、マイナンバーに対する信頼は全くないと思いますが、いかがですか。
○政府参考人(向井治紀君) 第三者評価制度というのはいわゆるPIAと呼ばれておりまして、いわゆる事前のアセスメントでございます。
まず、要するに、マイナンバーが始まったときにどう取り扱うかというものを評価するものでございます。その上で、マイナンバーの取扱いにつきましてのセキュリティーあるいは情報漏えいへの防止措置、これらをそういうそれぞれ情報を保有する機関がそのようにやるということをパブリックコメントを掛けて第三者の意見を聞いた上で宣言するというものでございますので、それはマイナンバーが始まりましたらそのとおりにやっていただくというふうなものだと考えております。
○福島みずほ君 そのとおりにやっていなかったから年金記録も漏えいしたし、また対策も全く対応やっていなかったからここまで広がったわけですよね。
きちっとやってくれるだろうということでマイナンバーなんてやられたら、非常に貴重な情報が必ず漏えいしますよ。予言しますよ、本当に。必ずや、そんな、やってくれるだろう、厚生労働大臣が宣言してこのとおり適用してくれるだろうということを前提にマイナンバーなんてやったら、予言します、必ず漏えいしますよ。いかがですか。
○政府参考人(向井治紀君) お答えいたします。
マイナンバー制度、もちろん、何といいますか、私どもが設計する際に、できるだけリスクを増えないようにということで考えております。
いわゆる、何といいますか、情報漏えいリスクとかそういうあらゆるリスクが、マイナンバーの制度が入る前と入る後とで、マイナンバーが入ることにより情報漏えいリスクが増えることのないように設計しているつもりでございます。
○福島みずほ君 特定個人情報保護委員会の特定個人情報保護評価は、自己採点なんですよね。宣言しますといってスルーしているんですよ。こんなのインチキじゃないですか。インチキじゃないですか。厚生労働省でこんなにだったら、他の役所だって一緒でしょう。「権利利益の保護に取り組んでいることを宣言する。」、それでスルーしているんですよ。駄目でしょう。今回敗北したということを認めてくださいよ。
○政府参考人(向井治紀君) 私どもといたしましては、マイナンバー制度が始まるまでにそういう体制をきっちり取っていただくということが必須であると思いますので、国会答弁でも申し上げているとおり、この検証結果が明らかにしてから年金についてマイナンバーをいつ導入するかについては検討させていただきたいと思っております。
○福島みずほ君 この委員会で明らかになったとおり、本当に機構も厚生労働省も、まあ機構ですが、おぼつかないですよ。悪いけれども、まともな答弁もできていない状況で、マイナンバーをやるまでにきちっと情報はコントロールされるだろうなんて、楽観的というかファンタジーですよ。あり得ない。いかがですか。
○政府参考人(向井治紀君) 機構の問題につきましては、今は第三者委員会、厚労省で設置されております委員会等で検討がされております。それらの結論を待って、マイナンバーをいつ年金に導入するかについては検討させていただきたいと思います。
○福島みずほ君 厚労省の自己評価で、宣言するというのでスルーさせているじゃないですか、マイナンバーが。だとしたら、他の役所もまあ推して知るべしだというふうに思いますよ。そして、今日の、現在の段階でも客観的な事実すらほとんど分からない、答弁できない。こんな状況でマイナンバーの導入はできないと思いますが、いかがですか。
○政府参考人(向井治紀君) 今回の事件は遺憾ではございます。ただし、今回の事件を機に、さらに関係する各省、あるいはマイナンバーに関係いたします独立行政法人、地方自治体に改めて、再度セキュリティーにつきましては通達をし、あるいは情報を取っているところでございます。
これらにつきまして、できるだけ早期に更なる対策を講じたいというふうに考えております。
○福島みずほ君 更なる対策を講じていない段階でマイナンバー法の改正法を成立させることはできないですよ。
大臣、先ほど魂が入っていなかったとおっしゃいましたが、どういうことでしょうか。
○国務大臣(塩崎恭久君) 先ほど申し上げたように、この評価は事前評価であって、導入後の業務がどうかということを事前に点検しているものだというふうに私は理解をしております。
さっき申し上げたのは、もうこれは何度も申し上げておりますけれども、今回本当に足らざるところがたくさんあって個人情報を守り切れなかった、幾ら不正なアクセスあるいは標的型メール攻撃だといっても、守る体制としてはウイルス対策のような問題意識でやっていたということが魂が入っていないということを申し上げているので、マイナンバーとは、それはまだ導入もしていないわけでありますから、少し違う話だというふうに思いますので、いずれにしても、年金情報は、これは個人情報の大事な塊でありますので、これを守り切るという体制を再構築するということが私の使命だというふうに思っております。
○福島みずほ君 年金情報流出に関して、今日の時点でこのようなていたらくであるのであれば、また回答も、ちゃんと適用していただけるのであればみたいな答弁でやっているわけで、マイナンバーの改正法案は廃案にすべきだということを強く申し上げます。
素朴な疑問で、ちょっと教えていただきたいのですが、私が分からないのは、特定個人情報ファイルというのは例えば年金についても記録される項目、百項目以上なんですよね。そして、四情報以外に、その他住民票関係情報や個人番号、その他の識別情報、内部番号、主な記録項目もあるわけです。
今回、なぜ四情報しか流出していないというか、他の情報はなぜ出なかったんですか。出ないと考えていますか。
○参考人(水島藤一郎君) 警察から日本年金機構のファイルではないかということでお知らせをいただいて、その内容について私どもで調査をいたしましたところ四情報であったということでございます。
○福島みずほ君 いや、今の段階では四情報なんですが、先ほどもおっしゃったとおり、それだけにとどまらない。さっきも同僚議員からありましたが、ファイルにはたくさんの情報があるわけですよね。だから、もしかしたら、まだ出ていないけれども、どこかにそれがもう流出しているかもしれない、そういう可能性や推測や組立てというのは、機構、どう考えているんですか。
○参考人(水島藤一郎君) 四情報以外が、先ほども申し上げましたが、共有ファイルの中に四情報以外の情報が含まれているということは、その可能性は否定をいたしませんというふうに申し上げております。現時点において、流出したかどうかについては判断ができないというふうに先ほど申し上げたところでございます。
○福島みずほ君 いや、ちょっと時間がもったいないんですが、私が本当に素朴に疑問に思うのは、たくさんの情報が入っているのに、なぜその四情報だけが現時点で流出しているのか、何かそのからくりがあるんでしょうか。何なのか、これちょっと教えていただきたい。
○参考人(水島藤一郎君) 繰り返しになって大変恐縮なんでございますけれども、流出したと、そもそも通信ログの結果としてURLが特定されていったと。そのURLがどこにあるかは分からないわけですが、そのうち、そのURLが、サーバーが見付かったものがあって、そこに私どもの情報が残っていたと。その情報を解析を、内容を調べたところ、百二十五万件の最大四情報であったということでございまして、その限りで百二十五万件だったということでございます。
○福島みずほ君 私の疑問はちょっと払拭されないんですが、また別の機会にお聞きをいたします。
今日はほかの方にも来ていただいているので、警察にお聞きをいたします。
三十一台のPCはどこから流出したんですか。
○政府参考人(高橋清孝君) お答えいたしますけれども、具体的に私どもの方から、何台のPCから流出したかということにつきまして、まさに捜査中でございますので、答弁はいたしかねるということでございます。
○福島みずほ君 百一万人の年金情報はいつの段階でどう流出したのか、それは教えていただけますか。
○政府参考人(高橋清孝君) 本件事案につきましては、まさに現在、警視庁におきまして捜査中でございます。そういう意味で、いつの段階でどのような情報が流出したのかといった犯行の具体的な状況につきましても捜査中でありますし、また今後の捜査に支障が生ずるおそれもありますので、明らかにすることはできないということについて御理解いただきたいと思います。
○福島みずほ君 これは質問通告していなくて申し訳ないんですが、警察がコンタクトを取っていた年金機構の人あるいは厚労省の人はどなたなんでしょうか。誰を中心にやり取りをしていたのか教えていただけますか。
○政府参考人(高橋清孝君) これに限らず、いわゆる被害者の方、年金機構の方はですね、被害者の方ですので、具体的に警察の方から被害者のどなたというのはなかなか申し上げにくいものですから、できれば年金機構の方に逆に聞いていただければ有り難いというふうに思います。
○福島みずほ君 年金機構あるいは厚労省で警察とコンタクトを取っていたのは誰なんですか。
○参考人(水島藤一郎君) 法務・コンプライアンス部が警察とのコンタクトについては所管をいたしております。個人名は御勘弁をいただきたいと思います。
○福島みずほ君 というのは、先ほどまた同僚委員からありましたけれども、警察とコンタクトを取るって、やっぱりかなりのことだと思うんですよ。ですから、どうしてそれが厚労省や大臣やいろんなところと共有されなかったのか、実は極めて謎なので、それは今後もまたお聞きをいたします。
今日は内閣官房にも来ていただいているので、お聞きをいたします。
内閣官房内閣サイバーセキュリティセンター、NISCは、年金情報流出問題に関して、まず、やっぱりたくさんある中で、これは変と思って、だって年間五件ぐらいですよね、やったりしているので、変と思って通告をされているわけですが、どういうふうにアドバイスをして通告されたのか、教えてください。
○政府参考人(谷脇康彦君) お答え申し上げます。
まず、実績値として申し上げますと、平成二十五年度でございますけれども、私どものセンサーで監視をしておりますいわゆる脅威、イベントという言い方をしておりますが、これが一年間で約五百八万件でございます。その中で、今回の年金機構の事案のように、センサー監視によって関係省庁に通報する件数が百三十九件、これは平成二十五年度の数字でございます。
今回の事案におきましても、NISCにおきましては、五月八日それから二十二日に不正な通信を検知した後、様々な助言を厚生労働省に対して行うとともに、厚生労働省が講じた措置について報告を求めてきたということでございます。
○福島みずほ君 厚生労働省に対してやっているわけですよね。検知しているのは物すごくたくさんある中で、その中で限られていると。だから、これに関して、ちょっとこれまずいぞとか、深刻な事態になるぞと限られた中から警告を出しているわけですから、非常に何かあったと思うんですが、具体的に厚労省などにその深刻さやそういうものが伝わるような形でおっしゃっているんでしょうか。
○政府参考人(谷脇康彦君) お答え申し上げます。
一般論ではございますけれども、私どもがイベントを感知し、そしてまた通報を行うと、また、通報を行った後にも、事案の重篤性、深刻度というものについては、原因解明の進捗によって段階的に判明をしてくるというものでございます。今回の年金事案のケースにつきましても、五月の八日に私どもが感知をした後、その後、段階的に状況というものが判明をしてきた、重篤度が高まってきたということでございます。
○福島みずほ君 正直言って、これやばいぞというか、これ大変だと思われたのはいつでしょうか。それから、その危機感は伝わっていたんでしょうか。
○政府参考人(谷脇康彦君) お答え申し上げます。
私どもNISCの中でも、担当者がこのGSOCの検知あるいは通報を行っているわけでございますけれども、私どもの中の内規によりまして、深刻度に応じて上に上げるような仕組みになっております。ただ、どういう基準で重篤度というものを認識しているのか、それからどのタイミングで上に上げていくことになるのかという点については、これは明らかに攻撃者を利することになりますので、お答えは控えさせていただきたいと思います。
○委員長(丸川珠代君) 時間でございますので。
○福島みずほ君 はい。
私は、今回、NISCの対応がどうだったのか、それから厚生労働省の中の対応がどうだったのか、機構がどうだったのか、その問題解決の対応の仕方がどうだったのか、極めて問題だと思います。
まだまだたくさん聞きたいことがありますので、情報がまだまだ出てきておりませんので、引き続き質問したいと思います。
ありがとうございます。
