年金情報流出に関する集中審議が参議院厚生労働委員会で開かれました。
私の質問は以下の通りです。
○川田龍平君 維新の党の川田龍平です。
厚労省は五日、薬事分科会における審議参加規程に違反した事実があったとしておわび文を掲載しました。冒頭、その一件だけ質問させていただきます。
大臣、これはまたかというような感想を言わざるを得ないこの案件ですが、医薬品を承認する国の審議会委員の利益相反問題は度々国会で取り上げられ、私も四月の厚労委員会で大臣に調査を求めたところです。
〔委員長退席、理事羽生田俊君着席〕
この医薬品承認の委員八名が規程違反で全員辞任というNHKの報道もありましたが、実際は三百二十八名中二十四名もの委員が製薬企業から寄附金、契約金をもらっていたことを正しく申告していなかったということです。薬害被害者の人たちが指摘してきた現実がやっと明らかになったわけですが、これらの委員が関わった議決は無効とすべきではないでしょうか。
また、今の参加規程では、委員の任期中にお金をもらっても、それが五十万円と五百万円という、この区分の変更につながらなければ明らかにされないという制度的な欠陥があります。このことについて、薬害オンブズパースン会議では、最も多い年度のみを幾ら以上という形で申告させるのではなく、いつ、幾らもらったか具体的な金額を申告すべきと提案しています。
薬事行政への国民の信頼を回復する上でも、新たな不祥事が発覚する前に、今回の発覚を奇貨として参加規程の再度見直しを行うべきと考えますが、大臣の見解を短く伺います。
○国務大臣(塩崎恭久君) 今回の薬事・食品衛生審議会薬事分科会、ここにおける先生今御指摘の点、大変残念なことでございまして、私としても大変遺憾に思っているところでございます。
この委員に、本来委員になれない人が委員に就任をしていた、あるいは議決に参加できない人が議決に参加したといった事例があったわけでございまして、委員の自己申告によっているものの事務局による規程の内容の周知徹底、そしてまた、委員就任時の確認というのが不十分だったということがその一因でもあるわけでありまして、事務局が至らなかったということは率直に認めなければいけないというふうに思います。
顧問等への就任や寄附金等の申告の誤りがあったことはこれは確かなことでございまして、法律的には過去に遡って議決の効果を打ち消すまでのものはないとは思いますけれども、寄附金等の額については、これは製薬関係団体などが透明性ガイドラインで企業による医療関係者への寄附金等の自主的な開示が具体的な数字を持ってされているわけでありまして、また、薬事分科会では、企業からの寄附金等の額の枠に応じた各委員の審議やその議決への参加の可否を明らかにしてきたわけでありますけれども、今後、同様の事案が再発しないようにするために、一つは委員の申告内容を企業に確認をする裏取りを導入する、それから申告対象の年度誤りを防止する観点から様式を改訂をする、そして規程の重要事項について会議開催の都度注意喚起をするなどして、今後とも審議の信頼性を高めるように努力をしていかなければならないというふうに思います。
○川田龍平君 是非、制度設計を改めてやっていただきたいと思います。
このおわびも、実は年金の問題が出て大騒ぎしているときにちょろっと出てくるという、非常に何かの大きな問題が起きたときにちょっと出してきたんじゃないかということを疑われるような時期、タイミングだったんではないかと私は思っていますが。
年金機構の個人情報流出問題について私が知ったのは、ちょうどこの内閣委員会の連合審査でマイナンバー法案の改正案について質疑通告を厚労省の職員に行っている最中でした。翌二日の審議で厚労省の今別府統括官は、マイナンバーと年金のシステム自体は別なので年金機構におけるマイナンバーの取扱いに影響は生じないと答弁しましたが、五日になって甘利経済財政担当相は、事件を検証し導入時期を考えたいと述べ、先送りの可能性を示唆しています。
私は、この年金だけではなく、病歴などを含む特定健康診査情報についてもマイナンバーとの連携を先送りすべきと考えますが、大臣の見解を伺います。
○国務大臣(塩崎恭久君) このマイナンバーにつきましては、今日も様々な議論が出ておりましたが、国民の皆様の生活にとって重要な制度であるというふうに考えておりまして、引き続き関係省庁と連携をして個人情報の保護に万全を尽くしながら、マイナンバーに対する御理解を深め、これ自体は前に進めていくようにしていきたいと思っております。
〔理事羽生田俊君退席、委員長着席〕
今御指摘の年金分野でのまずマイナンバーの利用開始時期への影響については、今御指摘がありましたけれども、本件の原因究明、それから再発防止策の検討結果を見極めて判断をするという必要があると考えています。
そして、今御指摘いただきました特定健診情報、この情報へのマイナンバーの利用については、生涯を通じた予防健康づくりを推進する観点から、転職等で保険者を異動した場合に本人の同意を前提に特定健診情報が円滑に引き継がれていくということ、この関係者の理解を得た上できちっと引き継がれるように進めるものであって、私どもとしては適切なものではないかというふうに考えているところでございます。
○川田龍平君 このマイナンバー導入により民間の中小企業まで管理者が広がることで、ますます個人情報の漏えいが起きることを、私は非常に強く懸念をいたします。
二〇一三年のサイバーセキュリティ戦略には、日本全体で八万人の要員が不足、またその七割が能力不足と政府自らが記載をしています。この状況が十分に改善されるまではマイナンバー制度は先送りをすべきです。少なくとも、医療情報など要配慮個人情報とマイナンバー制度のひも付きを行うべきではないのではないでしょうか。内閣官房、いかがですか。
○政府参考人(向井治紀君) お答えいたします。
セキュリティー技術の確保につきましては極めて重要な課題であると考えておりまして、積極的に推進することが重要であると思います。
一方で、マイナンバー制度におきましては、制度上、システム上の両面から様々な安全管理措置を講じた上で、独立した第三者機関である特定個人情報保護委員会がマイナンバーの取扱いに関する監視、監督を行う、あるいは、万が一正当な理由なくマイナンバー付きの個人情報ファイルを提供した場合などに現行法規よりも重い罰則を適用するなどの安全管理措置を講じているところでございます。
先生御指摘の特定健診でございますが、マイナンバーの機能には二つございまして、一つは、マイナンバーをその機関の中で利用することにより同一人であることを確実にするということ、もう一つは、それぞれの別の機関で同一人である確認された情報をやり取りすることなんですが、特定健診の方は前者の方の同一人であることを確認する部分しか使えないようになってございます。
したがいまして、そういう意味では、マイナンバーが入ることによるリスクというものはほとんど上がらないものではないかと考えておるところでございます。
○川田龍平君 今回年金機構を襲ったマルウエアによるサイバー攻撃は、政府機関や防衛関連、研究、学術機関、クラウド事業者まで、少なくとも三百か所に侵入済みだとセキュリティーソフト会社が説明をしています。年金以外の国が管理する個人情報は本当に流出していないのでしょうか、確認していますでしょうか。
○政府参考人(谷脇康彦君) お答え申し上げます。
ただいま委員御指摘のような報道がされているということは、私どもとしても承知をしております。政府におきましては、今回の日本年金機構における情報流出事案を受けまして、杉田官房副長官を議長といたしますサイバーセキュリティ対策推進会議を六月の一日に開催をいたしまして、各府省庁に対しまして、インターネットに接続されている府省庁の情報システムについて、類似の手口による攻撃を受けていないかどうか、点検及び結果報告を速やかに行うよう指示をしているところでございます。
○政府参考人(上村進君) 私ども総務省では、行政機関個人情報保護法、独法個人情報保護法を所管する立場からでございますけれども、現時点におきまして、今般のサイバー攻撃によります国の管理する年金以外の個人情報の流出につきましては把握していないと、そういうところでございます。
○川田龍平君 この答弁者をめぐっては大変押し付け合って、これは内閣官房のものだと、それから総務省の方だということですね。特に、サイバーセキュリティ基本法に個人情報保護ということが目的規定にないことが問題だと思いますが、保有する個人情報をこのサイバー攻撃から守るためにも、これは政府全体として取り組んでいただきたいと思います。
私は、この三日に松野代表と機構本部を視察いたしましたが、その際には説明されなかったパスワード設定が一%以下だった問題や、訪問した高井戸の機構本部にあるパソコンが感染し、大量の個人情報が流出していたことなどが次々に報道で明らかにされています。
私は、機構に情報セキュリティーの対策の手引を資料要求していますが、更なるサーバー攻撃につながるとして提出に応じていただいていません。この中身がずさんで出せないということではないかと考えますが、職員の過半数を非正規の職員が占める状態にあって、果たして本当に機構の職員に対するセキュリティー研修が十分だったのか疑問です。
この一番目と二番目の質問をまとめて理事長に伺いますが、八日に最初の添付ファイルを開いたのは正規職員でしょうか、非正規の職員でしょうか。非正規であれば、派遣労働者でしょうか、それともパートやアルバイトの方でしょうか。いつ採用され、採用後に十分なセキュリティー研修を受けたのでしょうか。この十八日にまた本部の人事管理部でウイルスの入った添付ファイルを開いた職員はいかがでしょうか。
○参考人(水島藤一郎君) 日本年金機構におきましては、個人情報の取扱いにつきましては、正規職員であるか有期雇用職員であるかということに関しましては取扱いに差はございません。したがいまして、同じ義務を課し、そして研修に関しましてもセキュリティー研修をもちろん採用時に行いますほかに、年一回以上実施することといたしております。
八日に添付ファイルを開けた職員、十八日に添付ファイルを開けた職員は正規か非正規かという御質問でございますが、これに関しましては、添付ファイルを開けた日、あるいは開けた人に関しまして、まさに個人の情報にも属しますし、やはり捜査上の面もございますので、その属性を開示することに関しましては御勘弁をいただきたいというふうに思います。
○川田龍平君 いや、ちょっと、これしっかり調べて通告もしていますので、答弁していただきたいんですけれども、マスコミの報道によりますと、この一通目のメールを開けた人と、また二通目、三通目になるのか分かりませんけれども、その後にパソコンを、同じ人に別のパソコンを与えた人がまた同じものを開けたと、同じものではないかもしれませんけれども、メールを開けたという報道もあります。本当にこの職員がどういう人だったのかということをしっかりこれ答えていただきたいんですけれども、これ、明らかにできないという理由が納得できません。
先日、維新の党の会合で、この年金業務監視委員会の郷原信郎前委員長は、旧社保庁時代よりも今の日本年金機構の組織の体質というのは悪くなっていると話をされました。今回の事件の背景には、十分な研修を受けていない職員、非正規職員も過半数にまで増やす一方で、正規職員の間にも給与の高い旧社保庁からの継続雇用の職員と機構が採用した職員がいるという年金機構の組織的な体質があるのではないでしょうか。
セキュリティー対策の必要なスキルを有した職員が適材適所で配置されていないのではないでしょうか。いかがでしょうか。
○参考人(水島藤一郎君) 個人情報の保護に関しましては、やはり正規であるか非正規、有期雇用であるかということに関しましては全く差がないということについては是非御理解をいただきたいというふうに思います。
それから、新聞情報等にございますが、私は特に確認をいたしておりませんが、いずれにしても、添付ファイルを開けた人か、あるいは誰が開けたかということに関しましては、これは全く開示をしておりませんし、開示ができない情報であると思っております。
○川田龍平君 なぜ開示できないんでしょうか。
○参考人(水島藤一郎君) 職員が特定されるというようなこともございますし、今後、捜査も進む過程でそれらの職員に関しましては調査の対象にもなってまいりますので、そのような内容についてここで開示をすることはできないということでございます。
○川田龍平君 捜査の対象だから開示できないということでしょうか。正規、非正規だからということでしょうか。
○参考人(水島藤一郎君) 正規、非正規であるということは全く関係ございません。今後、調査をする、あるいは捜査をするという過程で対象となる人でありますので、具体的な開示は差し控えたいということでございます。
○川田龍平君 次回またしっかりと伺いたいと思いますが、マスコミには、捜査機関からかもしれませんけれども、マスコミの情報としてはもう既に明らかになっていることが多々ありますが、それが捜査のために開示できないというのは全く理解できません。
次に、厚労省の管理責任について伺います。
厚労省の審議会部会は、機構の個人情報保護の取組についてC評価を五年連続で付けていましたが、厚労省はこの事態を放置し、十分な指導監督を怠っていたのではないでしょうか。
○政府参考人(樽見英樹君) お答え申し上げます。
日本年金機構の業務実績に係る評価というものにつきましては、毎年度この機構が策定いたします年度計画の達成状況というものにつきまして、その実績報告と自己評価を基に厚生労働省が評価を行い、社会保障審議会の年金事業管理部会というところに諮問をして決定をしているというものでございます。個人情報保護に関する事項につきましては、御指摘のとおり、五年連続C評価というふうになってございます。
ただ、これにつきまして、この年金事業管理部会における御議論等を含めて、どういうところがその重点になってCになったのかということでいいますと、専ら誤発送ですね、郵便物をたくさん送っておりますけれども、それの誤送付、違った方に年金のいろんなお知らせみたいなものをお送りしてしまうと、これは個人情報の言わば漏えいといいますか、別のところに流してしまうということになる。これがやはりどうしても、ある程度の件数があって、これがなかなか減らないということで五年連続C評価になったというのが実情でございます。
これにつきましては、例えばファクスの使用を原則として禁止するとか、封入、封緘のときに確認印を押すとか、送付物については複数の人間で必ずチェックするとか、そういったようなことで最近少し良くなってきているというような感じがございますけれども、引き続きまして今度の二十六年度の評価を今年やるという形になるわけでございます。
個人情報の保護ということで、例えばこういうセキュリティーの関係というのはどうだったのかということについて言いますと、それも見ていく要素の中には入っておりますので、私どもとしては見ているということでございまして、それをひっくるめてCだということでございます。
いずれにしましても、こうした点について私どもとしても引き続いてしっかりと見ていくというふうにしたいと思っております。
○川田龍平君 資料にありますこの情報セキュリティ対策の手引き、先ほども質疑の中で触れましたけれども、是非この内容についてしっかり精査したいと思いますので、資料要求をしたいと思います。
委員長、これを是非資料として提出していただきますようによろしくお願いします。
○委員長(丸川珠代君) ただいまの件につきましては、後刻理事会において協議をさせていただきます。
○川田龍平君 ほかにこの個人情報保護についてC以下の評価を受けている所管法人というのは、厚労省、ありますでしょうか。
○政府参考人(安藤英作君) お答え申し上げます。
個人情報の保護を含みます情報セキュリティーに関しまして、厚生労働省所管法人、独立行政法人とそれから特殊法人等でございますけれども、この中で日本年金機構以外に過去五年間で、五か年でC評価を受けている法人はございません。
○川田龍平君 膨大な個人情報を有していながら毎年特別低い評価を受け続けていることをもっと深刻に捉えて厚労省としては対策を打つべきだったのではないでしょうか。五月八日の初動の対処を機構に丸投げしたこと、十九日の警察への通報が課長にさえ上がっていなかった対応も危機管理上非常に問題です。
大臣、年金を守るということについての無責任体質は極めて深刻ではないでしょうか。大臣、いかがでしょうか。
○国務大臣(塩崎恭久君) 冒頭から今日申し上げているように、私どもの立場は年金機構を監督をするという立場でございます。
この年金事業運営に責任を持って厚生労働省は日本年金機構を監督する立場だということで、それによって責任を丸投げしているということはないわけでありますが、一方で、今般の不正アクセスの事案の対応に当たっては、結果としてこういう形で個人情報が流出をしたわけでありますから、その責めは当然のことながら負わなきゃいけないんだろうというふうに思いますし、国民の年金を守るということを最優先に二次対策の、防止を図りながら、二度とこういうことが起きない体制を早くつくっていくということが私たちの責任を果たすということになるのではないかというふうに思っております。
○川田龍平君 厚労省では、ほかの社会保険業務においても、基幹システムからデータを抽出し職員のパソコンに一時的に保存することがあるそうですが、厚労省内及び所管法人で、パスワードをほとんど設定せずに国民の個人情報をネットにつながっている情報系ネットワークに一時的にでも保管している部署は、組織は、ほかには絶対ないと言い切れますでしょうか。
○政府参考人(安藤英作君) お答え申し上げます。
厚生労働省及び所管法人におきましては、個人情報を保存する際に、セキュリティーポリシーなどの規定に基づきましてファイルを暗号化するなど安全管理措置を講ずることが求められているということでございます。これはルールでございます。
厚生労働省では、今回の事案を受けまして、速やかに省内職員に対しまして個人情報の取扱いの安全管理の周知徹底を指示するとともに、所管法人に対しまして個人情報の取扱いの安全管理について遵守を徹底するよう指導しているところでございます。
○川田龍平君 周知徹底だけでは先ほどからも言われているように不十分です。医療、介護、生活保護、失業手当など、膨大な国民の個人情報を扱う厚労省が、果たして国民の信頼に応えることができるのかが問われているわけです。
パスワードの設定の有無など、徹底して調査するべきではないでしょうか。大臣、いかがですか。
○国務大臣(塩崎恭久君) いずれにしても、内部の規定としては、セキュリティーポリシーを持ちながら、セキュリティーをどう掛けるかということについては決まったルールを持っているわけでありますが、先ほど来お話が出ているように、機構においてもセキュリティーポリシーを作るように、そしてまたその運用の仕方についても書面でルールを作ってもらっていながらそれが守られていないということを考えてみれば、役所の中でも同様に、遵守状況も含めて私たちはそれを見ていかなければいけないんじゃないかというふうに改めて思っているところでございます。
○川田龍平君 協会けんぽでは、個人情報を扱う基幹システムと日常業務で使用するシステムは物理的に接続されているとのことですが、これでは年金機構と比べても脆弱ではないでしょうか。大臣、いかがでしょうか。
○国務大臣(塩崎恭久君) 協会けんぽは、年金機構とか、あるいは厚労省の組織ではないわけでありまして、民間の組織でございます。
職員が保険給付の処理などの業務を行うに当たって、基幹システムの個人情報を日常業務で使用する端末で取り扱っておりますけれども、基幹システムへのアクセスできる職員を限定すること、あるいは専用のソフトウエアでしかアクセスできなくするということなどで各種の情報セキュリティー対策を講じているところでございまして、しかし、今回の事案を振り返ってみれば、職員が日常業務で使用する端末で基幹システムの情報へのアクセスは行わないといったセキュリティー対策を更に強化するということについて、私どもは協会けんぽに検討をお願いをするというふうに考えております。
○川田龍平君 時間ですので終わりますが、先ほど新聞の広告の話、今日の新聞に出ていましたけれども、これでは不十分だと思いますので、是非マイナンバーの広報予算、十五億四千万円も掛けている予算を振り分けてでも、二次被害対策の、国民の年金は国の責任で必ず守りますという内容の政府としてのテレビCMなどを打つべきではないかと考えます。
また、盗まれた百二十五万件にはこの管理画面上、アラート表示を導入するとのことですが、先ほどから、これは現時点で分かっているだけで百二十五万件、外で見付かったというだけであって、まだ一体どれだけの情報が出ているかということは分かっていません。そういう意味では、ほかの顧客の情報も流出している可能性がある以上、この対応に差を付けることに意味があるのかどうかということも考えられます。
そういった意味で、是非この問題についてはしっかりと検証する必要がありますし、また、この時代のデータ管理においてゼロリスクはあり得ない以上、分散管理こそ重要であって、医療情報の一元管理は急ぐべきではないということを強く主張して、私の質問を終わります。
ありがとうございました。