16日に参議院厚生労働委員会で年金情報流出問題に関する質疑が行われました。
私の質問は下記になります。
○川田龍平君 維新の党の川田龍平です。
まず、二次被害に関して伺います。
昨日、個人情報が流出後、初めての年金支給日でした。今朝の新聞によりますと、週末の詐欺被害に続いて、また今回、和歌山県の六十二歳の女性が流出を装う文書で被害、用紙に個人情報を記入して送付してしまったと、文書でこれまた来ているということですけれども、連日のテレビニュースを見ていると、不安を感じているお年寄りの中には、新聞も読まずにラジオも聞かないという方も多くいらっしゃると思います。
配付資料の一ですけれども、これは六月五日から厚労省のウエブサイトに掲載されているQアンドAですが、これを全国に十二万人いるとされている年金委員に配付するとのことです。高齢者が年金委員にどれだけアクセスできるのかよく分かりませんが、百二十五万件以外にも情報流出の可能性が否定できない状況で、このQアンドAの四にある年金を横取りされることはないのかという不安を十分に解消する回答とはこれはなっていないように思います。
一方、他方で、この三月九日から三月三十一日にかけて、政府はマイナンバー周知のためのテレビCMを全国で九千四百二本、四億七千万円を掛けて行っており、タレントの上戸彩さんを起用したCMは記憶に新しいところです。
政府は、今後更にこのマイナンバーのCMを検討しているということですが、実施を延期して、その予算を一部振り替えてでも、今回のおわびと二次被害の防止策、そして国民の年金は国の責任において必ず守りますという力強いメッセージをテレビCMとして打つべきではないかと考えますが、いかがでしょうか。
○政府参考人(別府充彦君) お答えいたします。
本件、まさにおっしゃいますとおり、非常に国民の皆様に影響が大きいということで、私ども政府広報室といたしましても、この間、新聞の記事下、あるいはラジオ、あるいはモバイル広告とか、いろいろやってきております。委員御指摘のありましたように、そういった新聞とか読まない人もいるのではないかみたいなお話もございますので、新聞の中でも、実はその中で、御親族やそういった方にもお伝えくださいとか、そういうようないろんなやり方はしておるところでございます。
政府広報におきましては、広報の内容、どういう内容をどれぐらいの分量伝えていくか、あるいはそういうものが機動的に対応できるかとか、いろんな問題がございますけれども、様々な方法につきまして検討させていただきまして、引き続き厚生労働省と連携して最も効果的な広報をやっていきたいと思っております。
○川田龍平君 万一、今回個人情報が流出した受給者の方が成り済ましの被害に遭って年金を横取りされてしまった場合、その方の受給権は補償するということでよろしいでしょうか。大臣、いかがでしょうか。
○国務大臣(塩崎恭久君) 当然のことながら、年金を守るということを申し上げてまいりまして、その受給権は守られるということでございます。
○川田龍平君 当然この受給権は認めるべきで、さきに大臣は、この二次被害の例というのもいろいろあるので、金銭的な補償を行う考えは今は持っておりませんと衆議院で答弁しておりますが、その後、山本副大臣が、過失がない成り済ましのような年金の支払が起きた場合、正しい年金記録に基づいて確実に支払うと答弁をされています。
この二次被害にはどのような類型があって、受給者に過失がある被害、金銭的な補償を行わない被害とはどのようなケースを言うのでしょうか。また、被害が起きてから個別に判断をするのでしょうか。一旦正しい口座に振り込まれた後の横取りは補償しないということでしょうか。大臣、いかがでしょうか。
○国務大臣(塩崎恭久君) 今先生御指摘の私の答弁でございますけれども、私は、今回情報が流出した百二十五万件の方々に対して、情報が流出したことのみをもって一律の補償をすることは考えていないということを御答弁申し上げたわけで、年金制度においては正しい年金記録に基づいて御本人に確実に年金を支払っていくことが基本であり、今の受給権そのものでありますが、今回の情報流出の対象である方への年金の支払についても、正しい年金記録に基づき確実に行っていくということも答弁をさせていただいているところでございます。山本副大臣においてもこれと同じように答弁を、その趣旨を同じように答弁をしたものと認識をしておりまして、我々二人の間の認識は変わっていないというふうに思っているわけであります。
年金の支払を確実に行うためにも、いわゆる成り済まし被害の防止など今回の不正アクセス事案による影響を最小のものとすることが何よりも重要であって、いずれにしても、実際に被害を受けた方への補償については、捜査当局の捜査結果等を踏まえつつ、個々の事例に応じて、法律の専門家等の意見も聞いた上で適切に対応をしていきたいと思っております。
いずれにしても、年金受給者の権利はしっかりと守るということでございます。
○川田龍平君 もう既に神奈川県で三百万円の詐欺被害が出てしまっています。このケースは救済の対象になるのでしょうか。一刻も早く救済の線引きを明確にしておくべきと考えますが、大臣、いかがでしょうか。
○国務大臣(塩崎恭久君) 先ほど申し上げたように、神奈川の案件は、今回の個人情報の流出の対象者ではない方に対して、名のっている団体の名前まで全く存在しない名前で、国民年金機構などという団体の職員を名のって行われた、言ってみれば今回の事案を悪用したケースでございます。本当に残念なことではございますけれども、私どもとしては、この事案についても捜査当局にしっかり協力しながら解明をしていくということだというふうに思っております。
○川田龍平君 答えになっていませんけれども、私はまさにこれが国民の一番の心配事だと思いますので、是非これもしっかりと検討して、しっかり補償していただきたいと思いますが、今回の事案と関係のない被害者との公平性も考える必要があろうかと思いますが、これまでこの事案と関係なく年金受給者が詐欺や成り済ましに遭って年金を横取りされた事件というのはどれくらいありますでしょうか。
○政府参考人(樽見英樹君) 第三者が年金の受給者に成り済まして年金を不正に受給した事案ということでございますと、把握している限りでは、平成二十二年一月の年金機構発足以降、平成二十六年までの間で一件でございます。
○川田龍平君 警察庁、いかがでしょうか。
○政府参考人(露木康浩君) 警察庁としても、把握しておりますのは、ただいま厚生労働省から答弁がございました一件でございます。
○川田龍平君 この再発予防というものを検証委員会に丸投げした分で、厚労省は今から真剣にこの救済、補償の在り方について検討して、全国で被害が多発する前に方針を打ち出して国民を安心させてほしいと考えています。
この百二十五万件の個人情報には、管理画面上、アラート表示を導入するとのことでしたが、ほかの顧客の情報も流出している可能性がある以上、対応に差を付けるということは適切なのでしょうか。
○政府参考人(樽見英樹君) 今回のアラート表示ということにつきましては、情報の漏えいが判明した百二十五万件の対象となった方について、まさに成り済まし被害等の二次被害を防止するためにこれが有用であるということで対応したものでございまして、一方、百二十五万件の対象になった以外の方につきましても、まずは窓口に来られる方について本人確認を徹底するようにいたしておりますし、それから、五月八日から六月一日までの間に住所変更の手続を行った方については、住民基本台帳の方の住所を確認した上で、一致しない場合には個別訪問をさせていただく、あるいは金融機関の振り込み口座の変更手続をされた方については、その手続が郵送あるいは代理人であるという場合には、お手紙をお送りをしまして確認をさせていただくといったような形での成り済ましを防止するということをやることにしておりまして、そういう意味で、百二十五万件以外の方についても二次被害というものを最大限防ぎたいということで取り組んでおるところでございます。
○川田龍平君 是非、しっかり二次被害を防止していただきたいと思います。
次に、個人情報流出の再発防止に向けた取組について伺います。
郷原参考人にお尋ねします。
検証委員会の事務局に大臣官房総務課四名の方が庶務を行う名目で入っているようですが、これは、事務局には厚労省職員を入れないとした大臣の発言に矛盾しているように感じます。検証委員会の委員構成や事務局体制について、御意見があればお願いいたします。
○参考人(郷原信郎君) この検証委員会の委員長をお務めになっているのは、私の元上司で大先輩です。もちろん人格、識見共に全く問題ないと思いますし、そういう面では委員の構成としては十分ではあると思うんですが、やはりこういう問題が発生したときの事実の解明、検証というのは、どういうミッションを与えられるかというところが非常に重要です。組織の根本的な問題にまで踏み込んだ調査、原因究明が行われるかどうかということに関しては、できるだけその問題を起こした組織とは切り離された体制であるのが望ましいと思います。そういう面で若干懸念があるということは言わざるを得ないと思います。
○川田龍平君 やはり、この事務局の体制、事務局員にも厚労省の職員ではない方をしっかりと充てて、やっぱり本当の第三者でやっていく必要があるのではないかと思います。
社保審の年金事業管理部会は、今回の不祥事についてどのような取組を行う予定でしょうか。
○国務大臣(塩崎恭久君) 年金事業管理部会、社会保障審議会の下にございますが、これは、それまで主に日本年金機構の評価を行ってまいりました日本年金機構評価部会を改組いたしまして、厚生労働省及び日本年金機構が担う年金事業全体に対して第三者の知見を活用した国民目線からのチェック機能を発揮する場として発足をさせたものでございます。
今回の不正アクセス事案についても、次回予定日でございます二十六日の金曜日に御審議をいただくというふうにしているところでございまして、今後もこの問題を含めて、国民目線という立場から御意見をいただき、事業運営に反映をしてまいりたいというふうに考えております。
○川田龍平君 郷原参考人に伺います。
部会の第一回の会議録を読みますと、年金事業全体に対する国民目線でのチェックという意味では、昨年廃止された総務省の年金業務監視委員会とほぼ同様の機能を所掌するとのことですが、国民目線のチェック、本当にできるんでしょうか。
○参考人(郷原信郎君) 昨年の三月に総務省の年金業務監視委員会が廃止される際に、それに代わるものとして、第三者による機関としてこの年金事業管理部会というのが設置されたということだと記憶しております。
ただ、実際の活動の状況を見てみますと、我々年金業務監視委員会でやってきたこととはちょっとおよそ似て非なるものであると感じております。いろいろ第三者からの御意見を伺う、それも機構や厚労省からの報告に基づいてその場で意見を出しているという程度で、先ほども申しました総務省の行政評価監視の延長として、独立した行政委員会として、この年金業務に対して監視の機能を果たしてきたのとは相当違うというふうに思っております。
ですから、それはまた改めてそういう外からの監視の在り方というのは検討される必要があるんじゃないかと私、個人的には思っております。
○川田龍平君 ありがとうございます。
是非そういった形のものをこれからつくっていかなきゃいけないと私も思います。
それでは、次の質問に参ります。
NISCの初動について西本参考人は一定の評価をしておられますが、マイナンバーの導入を控えて、NISCの権限強化に向けてサイバーセキュリティ基本法の目的に個人情報の保護を追加すべきではないかと考えますが、内閣官房、いかがでしょうか。
○政府参考人(谷脇康彦君) お答え申し上げます。
情報通信技術の発展に伴いまして個人情報を含む様々なデータが情報システムやネットワーク上で蓄積、保存され、かつ流通されるようになってきている一方、これに比例して、個人情報の保護も極めて重要な課題でございます。
サイバーセキュリティ基本法は、第三条第二項の基本理念におきまして、「サイバーセキュリティに対する脅威による被害を防ぎ、かつ、被害から迅速に復旧できる強靱な体制を構築するための取組を積極的に推進する」旨、規定しております。まさに個人情報保護とサイバーセキュリティー確保を車の両輪として一体的に推進すべきものというふうに認識をしているところでございます。
ただ、基本法の在り方につきましては、継続的な見直し、委員の御指摘なども踏まえて検討していく必要があるだろうというふうに考えております。
○川田龍平君 是非これは入れていくべきだと思います。
次に、当委員会の流会の原因となった機構のメール送受信専用外部回線について伺います。
このメール送受信の専用外部回線には容量制限があるとのことですが、この回線からの個人情報の流出は技術的にあり得ないと考えてよいのでしょうか。西本参考人及び内閣官房谷脇審議官、お願いします。
○参考人(西本逸郎君) 技術的には可能です。ただし、これまでの一連のこの手の標的型攻撃において、メールシステムを悪用した遠隔操作及び情報の持ち出しについては確認されていません。
○政府参考人(谷脇康彦君) お答え申し上げます。
あくまで一般論として技術的観点から申し上げれば、インターネットに接続しているメールの送受信回線があれば、外部に情報流出する可能性がないとは言い切れないというふうに思っております。
なお、今回の事案につきましては、NISCにおきましても原因究明調査チームにおいて検証を進めているところでございますので、具体的なコメントは差し控えさせていただきたいと思います。
○川田龍平君 この配付資料の二を御覧ください。これは、先ほどの石橋議員のカラーのものを白黒にして、更に手書きの文字が入っているものですけれども、この厚労省の統合ネットワークを通じてもインターネットメールはやり取りができるはずです。
ところが、実は、厚労省本省、左の上の方の本省でも、これはジーオー・ドット・ジェーピー以外の一般向けのメール送受信用にインターネットへの出口を設けていると聞いていますが、NISCはここを監視していますでしょうか。
○政府参考人(谷脇康彦君) お答え申し上げます。
NISCにおきましては、GSOCセンサーを各府省の情報システムのインターネット接続口に設置をいたしまして、外部との不正な通信等を監視しているところでございます。
今委員お尋ねのメール送受信用のインターネットの接続口につきましても、私どもの監視対象としているところでございます。
○川田龍平君 これは、通告の段階では監視していないと聞いております。
厚労省は、統合ネットワーク以外のインターネットメールの回線を持っているということで聞いておりますが、厚労大臣は、厚労省がそのような回線を維持しているということについて、大臣はこの存在を御存じでしたでしょうか。
○国務大臣(塩崎恭久君) 私の理解では、厚労省、この統合ネットワークが扱っているメールというのは、本省を通っていくものだというふうに理解をしております。
○川田龍平君 いや、中央センターを通ってインターネットに接続しているという図がこの厚労省から配付された資料にありますけれども、その中央センターのところでNISCの監視が働いているということを聞いております。
というわけで、今回、日本年金機構の地方ブロック本部・年金事務所という下の四百五十拠点から、独自の外部回線を持っていた。その独自の外部回線については、NISCはこれは監視対象ではないということでよろしいですか。
○政府参考人(谷脇康彦君) 委員御指摘のとおりでございます。
○川田龍平君 この年金機構と同じく、本省にも外部の回線が開いているということは、これは大臣、御存じでしょうか。
○委員長(丸川珠代君) 速記を止めてください。
〔速記中止〕
○委員長(丸川珠代君) 速記を起こしてください。
○国務大臣(塩崎恭久君) 先生がお配りの中央センターというところと、それから左の本省というところから、これはインターネットメールと書いてありますが、いずれも私は、もちろん事前にこういうものになっているということは知っておりますし、ここはNISCが見ているということも認識をしております。
○川田龍平君 いや、これは、NISCは、この左の本省から直接外部に出ているものについては監視していないんですよ。それでいいですよね、谷脇さん。
○政府参考人(谷脇康彦君) お答え申し上げます。
先ほどの中央センターからのインターネット接続口に加えまして、本省からインターネットメールに出ている接続口につきましても監視をしております。
○川田龍平君 さっき、年金機構の方はしていないと言っていましたよね。
○政府参考人(谷脇康彦君) 御指摘のとおりでございます。
年金機構のインターネットメールについては、我々は監視はしておりません。
○川田龍平君 ジーオー・ドット・ジェーピー以外の一般向けのメール送受信用にインターネットの出口を設けていると聞いていますが、これについてNISCは監視していますでしょうか。ジーオー・ドット・ジェーピー以外のものです。
○政府参考人(谷脇康彦君) その部分については今申し上げましたように監視をしております。
○川田龍平君 この厚生労働省の統合ネットワークに参加している組織のうち、年金機構と本省以外にも、じゃ、その年金機構以外に、ほかにも地方厚生局などありますけれども、NISCが監視していないインターネットへの出口を持っている組織があるのではないでしょうか。これはいかがでしょうか。
○政府参考人(谷脇康彦君) 御指摘でございますけれども、現時点では申し訳ありませんが資料を持ち合わせておりませんので、後刻調査をさせていただき、御報告をさせていただきたいと思います。
○川田龍平君 これ、安藤審議官、いかがですか。
○政府参考人(安藤英作君) 済みません、私も資料を持ち合わせておりませんので、後刻御報告させていただきます。
○川田龍平君 要するに、これ調べていないということですね。本当に、是非これ調べていただきたいと思います。早くやっていただきたいと思いますが、厚労省は様々な個人情報を扱う部署や所管法人がありますので、霞が関の中でも防衛省に準じるほどの高いレベルの手順書やセキュリティー措置を講じるべきと考えますが、大臣の見解はいかがでしょうか。
○国務大臣(塩崎恭久君) 今回のこの深刻な事案を踏まえると、まずはそもそも手順書どおりにやってもらわなきゃいけないのを、やっていない部分がたくさんございました。だから、これをまずやってもらうということが第一であって、手順書に従った運用を徹底するということがまず第一で、より高度なセキュリティー対策が必要である、あるいは人的にも、そしてまたみんなの意識レベルとしてもしっかりしないといけないということはもう明らかだと私は思っています。
どのような措置を、じゃ、このより高度なセキュリティー対策としてとるべきなのか、いろんな意見を今私自身も聞いています。そういうことを、専門家の御意見、そしてまた今回の第三者検証委員会、先ほど独立性がないかのような御指摘がございましたけれども、ロジをやるのが事務局員のさっきの四人程度のことであって、実際の事務局をやるのは全部外の人間であるということを申し添えておきたいと思いますが、そういった方々の厳しい指摘をちゃんと聞いて、これからの検討をば進めてまいりたいと思っております。
○川田龍平君 質問の答えでないところまで答えなくていいですけれども、全国四百五十の拠点の業務系システムと機構LANシステムの端末同士というのは今もイントラメールでやり取りができるということですが、これは事実でしょうか。
○参考人(水島藤一郎君) 業務系システムのPCと機構LANシステムのPC間でのインターネットメールは利用可能でございます。
○川田龍平君 そうだとすると、国民の年金記録の管理を行う業務系システムは、機構LANシステムを通じてインターネットと物理的にはつながっているということになりませんか。これまでの答弁と食い違っていませんでしょうか。
○参考人(水島藤一郎君) 今回の事案は、外部との通信を可能とする情報系端末におきまして、外部から送付されたメールの添付ファイルを開封したことによってウイルスに感染し、管理していた内部情報が統合ネットワークを通じて外部接続により持ち出されたものでございます。
一方、業務系システムでございます基幹システムにつきましては、統合ネットワークを通じた外部接続は一切行っておりません。また、データ更新等は基幹システム内に閉じられておりまして、外部との情報のやり取りは電子媒体によって行われております。
加えて、業務系システムのPCから基幹システムへのアクセスについては、ユーザーID、パスワード認証のほか、指静脈認証等のセキュリティー対策を講じていることから、基幹システムに不正なアクセスが行われることはないと考えております。
また、五月九日以降、通常行っている異常な通信の監視に加えまして、より厳格な監視を継続して実施しております。仮に業務系システムのPCがウイルスに感染したとしても、機構LANシステム、業務系システムの基幹システムでは通信制御や開発言語が相違しております。したがいまして、基幹システムがウイルスに感染することはないというふうに考えております。
○川田龍平君 この衆参の議事録の訂正が必要かどうか是非検討していただきたいと思いますが、この業務系のシステムと機構のLANシステムがイントラネットでメールでつながっているということなんですけれども、西本参考人にお尋ねしますが、機構LANシステムの端末が感染した場合、このイントラメールを通じて業務系システムから情報が抜き取られるということはあり得ないとお考えでしょうか。
○参考人(西本逸郎君) この業務系システム側の端末側のシステムがどのようなものか、私は知識がございませんが、もし一般的なウィンドウズであるとかそういったものを使用しているとすれば、その可能性はあり得ます。
ただし、先ほどお話ししたように、今回の事例等でそういったところまでやられているというのは確認されていません。
○川田龍平君 今までは業務系システムというのはもう完全に独立してインターネットとは物理的に遮断されているという考えで聞いておりましたけれども、もし仮に、業務系システムと機構LANシステムを端末同士で、イントラメールでのやり取りが業務上必要なのかも含めて、これ是非よく検証していただいて、業務系システムの絶対の安全というのを今後しっかり確保していかなければいけないということを申し述べて、質問を終わらせていただきます。
これ、しっかり検討いただきたいと思います。よろしくお願いします。