2日に参議院厚生労働委員会で年金情報流出問題に関する質疑が前回に続いて行われました。
私の質問は下記になります。
○川田龍平君 よろしくお願いします。
前回、時間切れでできなかったこれまでの厚労省と機構の対応について伺います。
情報政策担当参事官室、情参室は、五月八日にはインシデントと認識していたと衆議院で答弁しておりますが、では、いつ深刻なインシデントと認識したのでしょうか。八日なのか、十九日なのか、二十二日なのか、二十九日か、明確にお答えください。
○政府参考人(安藤英作君) お答え申し上げます。
先生御案内のとおり、五月八日にNISCから通知を受けまして、その直後から上司に報告をするということを除けば、私どものインシデント対処手順書にのっとった対応を開始したということでございまして、その対応の過程の中でインシデントであるということを認知したということでございます。
先生御質問の深刻なインシデントということでございますけれども、深刻なインシデントという言葉は、私ども、この対処手順書の中で使っておりませんので正確にはお答えしにくいのでございますけれども、例えば大臣にいつ報告すべきであったかということで申し上げますと、機構が警察に相談をいたしました五月十九日の時点では遅くとも報告をすべきではなかったかと考えてございます。また、現在、大臣から指示をいただきまして、NISCから通知があった段階で大臣まで上げるということで私ども運用しているところでございます。
いずれにしましても、今後、第三者委員会の検証等も踏まえまして、対処手順の見直し等も含めまして検討していきたいと考えてございます。
○川田龍平君 しっかり答えていただきたいと思いますが、先日、修正、加筆された経緯によれば、この情参室は、二十二日にもNISCとやり取りをしているにもかかわらず、機構が警察に届け出たことについて二十九日までNISCへの報告を怠っていました。
政府全体の方針としては、深刻なインシデントはNISCに報告するようになっているにもかかわらず、厚労省の情報セキュリティーインシデント対処手順書ではNISCへの通知が不要となっているとの言い訳をしているようですが、これでいいとNISCは考えていますでしょうか。少なくとも警察に捜査を願い出た時点で報告するべきではないでしょうか。
○政府参考人(谷脇康彦君) お答え申し上げます。
各府省庁の情報セキュリティーポリシーのベースラインとなります政府統一基準におきましては、府省庁の情報システムについて情報セキュリティーインシデントを認知した場合、当該事象について速やかにNISCに連絡する旨を規定してございます。委員御指摘の厚生労働省の情報セキュリティーポリシーあるいは手順書におきましても、同じ旨規定されているものというふうに承知をしております。
また、他の府省庁の情報セキュリティーポリシーにつきましても、今御説明申し上げました政府統一基準に準拠して作成されておりまして、同様の旨を規定しているものと認識をしております。
○川田龍平君 これは通告しておりませんが、これ十九日の時点でなぜ通知しなかったんでしょうか。
○政府参考人(安藤英作君) 確かに、御指摘のとおり、十九日の時点で警察に相談している旨はNISCに御相談をすべきではなかったかと存じます。
私どもとしましては、五月八日の時点でNISCから通知をいただきまして、対処等のやり取りを技術的な助言等をいただきながらやってまいりましたので、その中でこういう形で漏れてしまったことは大変残念なことだと考えてございます。
○川田龍平君 これはちゃんと後で言わなきゃいけないと思いますけれども、やっぱりいろんなことが起きています。
これは通告またしていないんですけれども、協会けんぽでも不審な通信が確認されて、警視庁に相談しているとの報道が十七日にありましたが、保険局はいつこの事実を知り、また情参室はこの連絡を誰からいつ受けておりますでしょうか。
○政府参考人(唐澤剛君) 協会けんぽでございますけれども、不審な通信を行っていたことが判明をしたのは六月十六日でございます。そして、その六月十六日に判明したものを六月十七日にこれを公表しているということでございます。保険局の通告の日は、同じ十六日に保険局の方に報告を受けております。
○政府参考人(安藤英作君) 私ども情参室の方も、保険局の方から同日中に報告を受け、NISCの方にも御報告を申し上げております。
○川田龍平君 医療保険に関する個人情報が流出したかもしれない場合に、所管する厚労省はいち早く連絡を受けて、警察に相談をする段階では当然NISCに一報が行く体制をしくということになっていると思うんですけれども、なぜこれが年金の場合に行かなかったのかと。また、この情参室は職務を適切に果たしていると大臣はお考えでしょうか。今後、抜本的にこの業務体制を見直す必要があるのではないかと考えますが、いかがでしょうか。
○国務大臣(塩崎恭久君) 先ほど来、担当の審議官を含めて、反省すべき点がたくさんあったということはもう率直に認めているところでございまして、手順書などに定められたことは結果としてやったとしても、やはり省としての判断をするような、上に上げるということが全くなされていなかったということは大変申し訳ないと思っております。
この間、十六日にこの委員会で参考人から、今回の事案は標的型メール攻撃によって我が国で初めて大規模な被害が明らかになった事例であるという指摘がありました。それと、水際作戦とともに、それを万全にすることはなかなかできないという前提で、攻撃を受けても実際の被害を出さないようにするということが重要だというような御指摘もあったと記憶をしておりまして、世界でもかなり高度で巧妙な攻撃の危険性というのが増しているというふうに認識をしております。
したがいまして、今回、NISCから注意喚起があったときにはやはりそれなりのときだという認識を持って、私にすぐそれを上げ、そしてそれをどう処理したかというところまできっちり私に上げろということをすぐに指示をいたしました。それから、当然のことながら上司への報告をするという、当然のことを手順を踏んでいない、この手順書をしっかりともう一回徹底しろということも言いました。
それから、昨今の高度化した攻撃に対応できるように、より高度でかつ強固なセキュリティー体制の整備をもう一回やり直すということも、そして対処手順の見直しも、これ、今後NISCともよく連携を取りながら改善強化をしていかなければならないというふうに考えておりまして、情参室の機能はどうだったかと、こういうことでございますけれども、我々はその機能が、さっき申し上げたように反省すべき点たくさんございましたから、この検証委での検証も含めて、原因の究明、そして直すべき点、再発防止のために何をやっていかなきゃいけないかということをしっかり出し、そして結果を出していきたいというふうに思います。
○川田龍平君 次に、年金局について伺います。
これまでの答弁によれば、五月八日以降、二十五日まで年金局の一係長が本事案について一人で問題を抱え込み、上司に報告せず、周囲も気付かなかったとのことです。まあ、あり得ないと思いますが。机や電話の配置、昼食時や休憩時の職員のコミュニケーションなどを考えても私には到底信じられません。年金局は余りにも風通しの悪い職場ではないでしょうか、先ほども話が出ておりましたけれども。また、年金局は機構と情参室のやり取りさえ把握していない時期もあったようです。
組織のトップとして、業務体制、報告体制の見直しをどのように図っているのでしょうか。
○政府参考人(香取照幸君) 御指摘ありましたように、本事案発生以来、局の中での情報連絡の体制、あるいは機構との関係、あるいはNISCとの関係等々を含めまして、体制面あるいはいろいろな情報連絡の面で年金局の中でも様々な問題があったということは、今回、事案を十分検証していく中でやっぱり明らかになってきているんだろうというふうに思っております。
その時点その時点で、機構なりあるいはそれぞれの担当が手順書に沿った最低限の措置は恐らくとっていたのであろうというふうに思いますが、やはり事案の、何といいますか、認識といいますか、先ほどちょっと御質問にもありましたが、インシデントとしてどの程度重要なものと認識をして、それをどのように情報を上げていくかという点では、やはり十分な職員の研修、知識、あるいは中での体制に問題があったというふうに思っております。
通常の業務で行われております指揮命令あるいは情報連絡の流れ等、こういった情報セキュリティーの問題があったときにどういう形でどういう情報体制で誰に連絡するかと、そういったところも必ずしも局内で徹底されていなかったということもありまして、事案の認識の、何といいますか、薄さといいますか、不十分さということも併せてこのようなことになったんだということで深く反省をしております。
事案発生以降は、取りあえずといいますか、現在、当面の体制といたしましては、情報政策参事官室とのやり取り、あるいは機構との連絡、それから今回、様々なNISCその他との関係で他省庁にもいろいろ連絡調整をする体制が必要になりましたので、こういった本件情報セキュリティー案件につきましては、年金局にシステムを担当しておりますシステム室というのが別にございますので、ここで窓口を一元化するという形で、事案の重要度についてある程度判断ができるような形で連絡調整をするということにいたしております。
この問題は、局全体あるいは省全体のセキュリティーに対する体制というものをどのように考えるかということで、かなりしっかりした議論をして体制をつくり直さないといけないと思っておりまして、この点に関しましては検証委員会等でも様々厳しい御指摘があろうかと思っておりますので、それを踏まえて、業務体制全体についてきちんとした見直しを早急に行いたいと考えております。
○川田龍平君 あの事件からもう一か月以上たっているわけで、五月八日からすればもう二か月近くになるわけですが、検証委員会の結論を待つことなく、日常の業務体制の見直しについては当然行ってしかるべきだと思います。是非しっかり取り組んでいただきたいと思います。
先日配付された経緯の修正版というものによれば、年金局と情参室は、八日以降二十二日まで、省内同士で意見交換、情報交換を全くしていないと。危機管理以前に、省全体の日常の業務体制、報告体制というのをもう一度見直すべきではないかと考えますが、大臣、いかがでしょうか。
○政府参考人(蒲原基道君) 厚生労働省におきましては、今回の事案の公表、これは六月の一日でございますけれども、その直後の六月の二日の日に、官房と各部局の総務課長をメンバーといたします臨時の総務課長会議を開催いたしまして、一つは、職員に対する重要な情報を適正管理すると、これを徹底するということ、もう一つは、所管する独法等に対しても重要な情報の適正管理を徹底してほしいということを各局の総務課長を通じて徹底をしたというのがまずございます。あわせまして、その後でございますけれども、六月の十二日と二十二日にも同じように総務課長会議を開催いたしまして、情報セキュリティー事案が発生したときの迅速な連絡体制の確保あるいは手順について再確認をいたしまして、この徹底を図ったというところでございます。
今後でございますけれども、今話がありますけれども、やっぱり職員一人一人がサイバーセキュリティーに対する危機意識というのを持つことが大事だと思いますので、いろんな事案が発生したときに的確に対応できるように、全員に対して実践的な訓練をきちっと行っていくということを考えたいと思いますし、あわせまして、それも含めてですけれども、昨今の高度化したいろんな攻撃に対応できるように、より高度かつ強固なセキュリティー体制の整備、これは組織体制もあれば、先ほど言った人の養成、人の研修もあると思います。そうしたことやルールですね、対処手順の見直し、こうしたことについて改善強化をしていきたいと思っております。
いずれにしても、今後の検証委員会の検証結果も踏まえながら必要な対応を検討していきたいというふうに考えております。
○川田龍平君 今回の事案というのは、私は、サイバーセキュリティーとかメールによって情報流出が起こったからこういう事件が起こったというだけではなくて、実は、年金機構そのものが、外部委託を通して、既に銀行口座など入った情報もUSBに抜き取ろうとしているという情報も既に上がっていますし、こういった、だから、何もメールやサイバー攻撃やネットを通じて流出しただけじゃなくて、個人情報の流出はその前からもう起こっていたし、起ころうとしていたわけですね。そういったことに対する対処ができていなかったことが今回のサイバーセキュリティーの問題にも関係して情報流出が起こっているだけであって、ふだんからの通常業務ができていないからこういうことが起きているんじゃないかと私は思っています。
本当に、特に省庁内のそういった連絡事項も、日報という話も先日も出ましたけれども、日報というのが無理なら、せめて一週間に一度でも業務内容を上司に報告するとか、できることからでも是非直ちに実行していただきたいと思います。
次も、前回の質問の続きとなりますが、機構及び厚労省関係の情報セキュリティー体制について伺います。
前回の質疑で、谷脇審議官及び安藤審議官が、後刻調査して報告しますと口をそろえて答弁した件ですが、その後一向に報告が来ていません。この厚生労働省の統合ネットワークに参加している組織のうち、年金機構と本省以外にもNISCが監視していないインターネットへの出口を持っている組織があるのでしょうか。
○政府参考人(姉崎猛君) お答えをいたします。
今、NISCが監視をしていないインターネットへの出口を持っている組織という御質問でございましたけれども、厚生労働省のシステムにおきます監視機器の配置ですとかその監視機器の運用につきまして具体的に明らかにすることはサイバー攻撃側に情報を悪用されるおそれがあるというふうに考えておりまして、このため、NISCが監視しているか否かといった点につきましてはお答えをするのは難しいということで御理解をいただければというふうに思います。
○政府参考人(谷脇康彦君) お答え申し上げます。
NISCにおきましては、各府省が自ら保有、運営するシステムの構成をまず各省が把握しているという前提の下で、各府省にGSOCセンサーを設置すべき箇所を示していただいた上で設置をしているところでございます。
今委員お尋ねの年金機構のインターネットメール、あるいは統合ネットワーク、あるいは厚生労働省本省のインターネットメール以外の接続口についてNISCが監視しているか否かといった点につきましては、これを明らかにすることによりまして、サイバー攻撃を狙う者にしましては攻撃を行うための情報として利用されることにつながり攻撃者を利することとなりますので、お答えは差し控えさせていただきたいと思います。
○川田龍平君 厚労省では調査はしているんでしょうか。
○政府参考人(姉崎猛君) お答えをいたします。
前回先生から御質問がございまして、統合ネットワークに接続している全てのシステムにつきまして改めて事実関係の確認を行っておりまして、このため大変時間が掛かってしまったことをおわびを申し上げます。
○川田龍平君 調査は完了したんでしょうか。
○政府参考人(姉崎猛君) 事実関係の確認はして、終わっております。調査はちゃんと終わっております。
○川田龍平君 NISCにはちゃんと伝えてあるんでしょうか。
○政府参考人(姉崎猛君) はい。NISCにも御報告をしております。
○川田龍平君 NISCには伝わっていますでしょうか。
○政府参考人(谷脇康彦君) 御報告をいただいております。
○川田龍平君 この件に関しては、二週間以上前に当委員会で後刻報告しますと約束した件ですので、後日ではありませんので、是非、本当に、この西本参考人という方もインターネットメールの専用回線でも情報の漏えいは起こり得ると答弁されていました。この多くの個人情報が行き来する厚労省統合ネットワークに対する信頼に関わる重大な問題ですので、早急にしっかりやっていただきたいと思います。
これも前回お尋ねした件ですが、重大な件ですので、この件に関しても是非委員会に資料を提出するように、委員長、お願いいたします。
○委員長(丸川珠代君) ただいまの件につきましては、後刻理事会において協議をさせていただきます。
○川田龍平君 これも前回お尋ねをした件ですが、この年金機構の基幹システムの端末がインターネットとつながる情報系端末とイントラメールのやり取りができる点について伺います。
理事長、まず、イントラメールとインターネットメール、理事長がまず、インターネットメールは利用可能ということで前回答弁したんですけれども、これはイントラネットメールの間違いではないでしょうか。
○参考人(水島藤一郎君) 大変失礼いたしました。そのとおりでございます。
○川田龍平君 この間のこの理事長の答弁というのは二転三転している印象がありますので、前回も申し上げましたように、この衆議院と参議院の議事録の訂正が必要かどうか、是非よく検討していただきたいと思います。もう既に参議院の議事録ではインターネットメールとなっております。
それではお尋ねしますが、この基幹システムの端末は、業務上、どうしてもイントラメールが必要なのでしょうか。
○参考人(水島藤一郎君) 日本年金機構は、約四百の拠点がございます。この拠点間、職員間で情報の伝達、連携、共有を図るためにはこのイントラネットメールが必要でございまして、基本的には、いわゆるウインドウマシンと言っておりますが、この基幹系に接続している端末がLAN端末の機能も併せ持っているのがございます。その機能によって、イントラネットを利用可能になっているということでございます。
○川田龍平君 これは通信制御ですとか開発言語が違うから大丈夫だと、こういうことを言われているわけですけれども、西本参考人によりますと、イントラメールを通じた情報漏えいというのもあり得るとの答弁でした。今後のハッカー技術の高度化も予測しながら、やっぱりこの基幹システムの端末のセキュリティーの更なる強化というのをいま一度見直していただきたいと思います。
次に、厚労省の一斉点検の結果、協会けんぽで四台の職員端末が外部との不審な通信を行っていたことが分かって警察に相談中とのこと、また健保連でも二台のパソコンが感染し不正なプログラムが作成されていたとのことですが、この二つの組織において、暗号化やパスワードの設定をせずに個人情報をインターネットにつながる端末に保存していた事実がありますでしょうか。また、それはどのような個人情報で、何人分なのでしょうか。
○政府参考人(唐澤剛君) まず、先ほど御答弁少しさせていただきましたけれども、協会けんぽにつきましては、六月十六日に四台の職員端末が不審な通信を行っていたことが判明をしたところでございます。個人情報を含む情報の流出は確認されておりませんけれども、この不審な通信を行っていた端末の中にはパスワードや暗号化が未設定であったファイルが含まれておりまして、協会けんぽの内規に照らしてもこれは不適切な取扱いということで、これは大変遺憾でございます。
この四台の端末の中には、私どもが現在承知しておりますのは、被保険者の資格を喪失した後の、受診をした人の医療費の額や名前などが入っていたというふうに今大ぐくりに聞いておりますけれども、パソコンそのものは現在捜査資料として当局に提出をしておりますので、今後、協会におきまして、この御指摘の内容、件数についてきちんと協会けんぽに調査をさせまして、判明し次第公表をさせていただきたいと思います。
また、健保連につきましては、六月十一日に二台の職員端末からウイルスが検知されたとの報告を受けまして、これを十三日に公表いたしました。ウイルスに感染した端末の中には、これは個人情報の流出を含む情報の流出は確認されておりませんけれども、パスワードが設定されていない研修会の参加者名簿などが含まれていたというふうに聞いております。
この健保組合等におけます個人情報の適切な取扱いのためのガイドラインにのっとった適切な措置を講じていなかった面がございますので、こうした点につきましては適切な取扱いを指導してまいりたいと考えております。
○川田龍平君 保険局はこうやって何のパソコンに何が入っていたかと言えるのに、何で年金機構の方が言えないのかがよく分からないんですけれども、このほかにも報道がありますが、厚労省の一斉点検で、現時点までにどこの組織でウイルス感染や不審な外部との通信が確認されているんでしょうか。また、それぞれについて警察に届けているのでしょうか。また、それぞれについてインターネットにつながる端末に暗号化やパスワードの設定をしていなかった個人情報を置いていた事実があったのでしょうか。あったのであればその人数を教えてください。
○政府参考人(安藤英作君) お答え申し上げます。
六月十一日に国立医薬品食品衛生研究所及び国立精神・神経医療研究センターの端末におきまして、マルウエア感染の可能性があることが分かったことから、感染の防止、拡大等の必要な対応を取るため、各施設、機関におきまして、六月十二日に外部とのネットワークを遮断する等の対応をしたというところでございます。
この国立医薬品食品衛生研究所におきましては、感染した端末を特定するとともに、六月十二日に警察に通報しているということでございます。また、国立精神・神経医療研究センターでは、現時点では端末の感染は確認されていないということですし、また外部との不審な通信や情報漏えいも確認されていないということであります。両機関とも感染が疑われた端末につきましては、個人情報を取り扱うものではなかったと聞いてございます。また、先ほども述べましたが、どちらの事案におきましても個人情報の流出は確認されていないというところでございます。
○川田龍平君 今、厚労省以外にも、ほかのところも出てきていますけれども、本当に、そこは情報をちゃんと出しているんですね。年金機構だけ出していないっておかしな話だと思います。
それで、次の質問、最後にしますが、マイナンバー実施に伴う自治体間の総合行政ネットワークを集中監視する組織、SOCを新設するとのことですが、これは特定個人情報保護委員会の下に置かれるのでしょうか。私は、人材不足で適切な運用ができないのではないかと考えます。
国のネットワークにもつながっていることから、分散監視ではなく、NISCが直接、一元的に監視すべきではないでしょうか。
○委員長(丸川珠代君) 谷脇内閣審議官、時間が来ておりますので簡潔にお願いします。
○政府参考人(谷脇康彦君) お答え申し上げます。
政府におきましては、六月三十日に閣議決定をいたしました日本再興戦略改訂二〇一五におきまして、今委員御指摘のようなマイナンバーシステム、とりわけLGWANと呼ばれております統合行政ネットワークについて、集中的なセキュリティー監視を行う機能を設けるという点を明確にしているところでございます。
政府といたしましては、NISCが政府全体の司令塔機能を果たしつつ、総務省等関係機関と連携しながら、また必要な情報についてはNISCに集約しながら、サイバーセキュリティー対策について強化に努めてまいりたいと考えております。
○政府参考人(時澤忠君) 今NISCからお答えがありましたけれども、LGWANにどのようなセキュリティー監視機能を設けるか、あるいはGSOCとの連携、具体の監視・検知体制につきましては、現時点ではまだ未定でございますが、実施の時期も含めまして、NISCを始めとします関係機関との連携の上、またLGWANを運営しますのは地方共同法人であります地方公共団体情報システム機構でございます、また地方公共団体も関わっておりますので、そういった方々の理解も得ながら検討を行っていきたいと考えております。