会議全体の議事録はこちら
○島津委員 日本共産党の島津幸広です。
まず確認をしたいんですけれども、法案の提案理由で言っているサイバーセキュリティーに関する重大な事象、これはどういう事態なんでしょうか。
○谷脇政府参考人 お答え申し上げます。
いわゆる特定重大事象と言われるものでございますけれども、これにつきましては、サイバーセキュリティ戦略本部で決定をしておりますサイバーセキュリティ戦略本部重大事象施策評価規則において規定しております。そして、戦略本部長である官房長官がこれに該当すると判断した場合には、サイバーセキュリティ基本法に定める原因究明調査の対象になります。
具体的には、国の行政機関で発生をいたしましたサイバーセキュリティーに関する事象のうち、行政事務の遂行に著しい支障を及ぼし、または及ぼすおそれがあるもの、また、国民生活または社会経済に重大な影響を与え、または与えるおそれがあるもの、我が国のサイバーセキュリティーに対する国内外の信用を著しく失墜させ、または失墜させるおそれがある事象、こうしたものを想定してございます。
〔委員長退席、中根(一)委員長代理着席〕
○島津委員 あってはなりませんけれども、個人情報での、今回の年金の流出のような重大な事象などの際、こうした場合には国民に説明する規定というのはあるんでしょうか。
○谷脇政府参考人 お答え申し上げます。
事案が発生した際の国民への公表につきましては基本法上明示的な規定が設けられているわけではございませんけれども、公表することにより攻撃者を利する可能性があること、他方、公表しないことによる国民生活や経済社会活動への深刻な影響等を慎重に比較考量し、公表できるものは公表すべきということが基本的な姿勢であるというふうに考えているところでございます。
○島津委員 年金の個人情報が流出したわけです。これからマイナンバーも万全のセキュリティーが求められているわけです。万が一こうした個人情報が流出してしまえば、その方の権利侵害の可能性は将来にわたって残り続けていくわけです。さまざまな形で未来にわたって悪用される危険がある。
今御答弁があったのは、基本法の第三条六項の国民の権利を不当に侵害しないように留意するということの中にも含まれていると思うんですけれども、セキュリティーというのはあくまでも国民の大事な情報を守る、不利益が生じないようにしっかりやらなきゃいけないということです。そういう点では、やはりきちんと国民の皆さんに説明、報告していくということを確認しておきたいと思うんです。
大臣、通告していませんけれども、IT推進のためというだけじゃなくて、国民のためにやるんだという認識がやはり一番大事だと私は思うんですけれども、これはどうでしょう。
○遠藤国務大臣 今、政治経済の複雑化した中で、こうした対策については、組織を守るためじゃなくて、やはり国民を守るためということは当然であると考えております。
○島津委員 そういう立場でぜひ進めていってほしいと思うんです。
次に、今回の法改正の理由に、年金情報の流出事件があるわけです。
この年金機構の流出の問題、これまでもいろいろなところで議論されてきていますけれども、改めて、この教訓は何か。いろいろあると思いますけれども、ポイントを簡潔にお願いしたいと思います。
○谷脇政府参考人 お答え申し上げます。
昨年の五月二十八日、日本年金機構が保有をしておりました個人情報の一部である約百二十五万件が外部に流出したことが判明したことを受けまして、六月一日、NISCは、客観的、専門的立場から事案の原因究明を実施するため、原因究明調査チームを設置いたしまして事案の解明を行い、これを踏まえ、サイバーセキュリティ戦略本部として、八月二十日、日本年金機構における個人情報流出事案に関する原因究明調査結果を決定、公表しております。
この調査から、具体的な教訓といたしまして、年金機構のセキュリティーポリシーにおいて、インシデント対処体制に関して、サイバー攻撃を想定した具体的な対応が明確化されておらず、事案発生時の報告、連絡が適切になされていなかったこと、また、年金機構においてCSIRT体制が構築されていなかったこと、さらに、標的型攻撃からの有効な遮断機能を有すると考えられるインターネットに接続していない業務系から、インターネットに接続している情報系に個人情報を移して取り扱っていたこと、こうしたことが結果として個人情報の流出につながったというふうにこの報告書の中でも明記をしているところでございます。
○島津委員 今お答えがあったように、やはり年金機構の中でいろいろなずさんなことがやられていたわけです。
今回、この年金の問題について言えば、年金機構がまずセキュリティー対策を講じなきゃいけない主体であったんですけれども、それが不十分だったということです。
ただ、この年金の情報流出の問題は、業務のあり方も反映していると思うんです。年金の給付の管理だけなら年金機構内のオンラインシステムの中でできるんですけれども、LANシステムの共有サーバーに移さないとできない仕事もあった。未納者に督促状を送るだとか、ねんきん定期便を送るだとか、そういうリストをつくる仕事があるんですけれども、そうした仕事が外部委託でやられている。そして、その中で、今もお話がありましたけれども、機構の端末にUSBメモリーを使用してデータを移したり、こういうことがやられていたわけです。
業務経費の削減で、外部委託が拡大しています。職員も削減された。非正規化も進んでいる。社会保険庁が解体されて日本年金機構が発足したんですけれども、その際には正規職員が二千二百人も減らされている、そして労働強化。こういう職場環境の中で起きたということも言えるわけです。
こういう問題にもメスを入れなきゃいけないと思うんですが、どうでしょう、これは通告していませんけれども。
○福本政府参考人 お答え申し上げます。
日本年金機構の情報セキュリティー体制がどうであったかという観点でお答えをいたしたいと思いますけれども、情報が流出した当時のセキュリティー対策に関して申し上げますと、今先生の御指摘にもございましたが、年金の個人情報はインターネット環境から隔離された基幹系システムというところで取り扱うことが基本でありましたけれども、一部の情報については、業務の必要上、インターネット環境に接続された機構LANシステムの中でその共有フォルダに保管し使用するということをしておりました。
また、この共有フォルダにあるファイルでありますけれども、パスワードを設定するというようなルールを設けておりましたけれども、必ずしもそれが徹底されていなかったというような問題もございます。
さらに、標的型メール攻撃、今回はこれを受けたわけですけれども、個人情報を標的型メール攻撃から防ぐための対策、あるいはその対処の手順ということについても定めが十全でなかったというようなこともございます。
そして、さらに加えて、情報セキュリティーについての組織体制でありますけれども、これも十分ではなかったという話もありますし、先生御指摘のような、機構全体で体制が十分であったかどうか、職員の資質あるいは研修ということについても、外部との関係も含めて十全であったかどうかというようなことも今回改めて我々は検証し、その体制の確保に努めていかなければならないと考えておるところでございます。
○島津委員 やはりこうしたところも、行革でただ人を減らせばいいということだけじゃなくて、しっかりやらないとセキュリティーの問題にも影響するということだと思うんです。
年金の問題は、第一義的には年金機構に責任があるわけですけれども、それでは、所管している厚労省はどのような対策をしていたのか。
厚労省が出した「情報セキュリティ強化等に向けた組織・業務改革」で、「機構を監督する厚労省自身の長きにわたっての意識の欠如が、機構の個人情報流出につながった大きな要因。」こう反省しています。これは間違いありませんね。
○安藤(英)政府参考人 お答え申し上げます。
今回の日本年金機構の情報流出事案を受けまして、発生直後から、厚生労働省におきましては、外部有識者による検証委員会を設置し、徹底した原因究明と再発防止策の検討を行うとともに、先ほど御説明がございましたとおり、サイバーセキュリティ戦略本部におきましても原因究明調査をいただいたところでございます。
その結果、日本年金機構及び厚生労働省のいずれにおきましても、サイバー攻撃に対する危機意識が低く、インシデントに対処する体制や技術的対応が不十分であったことが明らかになったということでございます。
今先生から御指摘を受けたとおりということでございます。
○島津委員 厚労省は意識が欠如していたというわけです。
では、ほかの省庁はどうだったかということで、国税庁に来ていただいていますので聞きたいんですけれども、確定申告や法人の納税などをパソコンで行うことができるe―Taxを初め、納税という国民の皆さんにとって最も重要な情報の一つを扱っているわけです。このセキュリティー対策を簡潔に教えてください。
○柴崎政府参考人 お答え申し上げます。
国税庁におきましては、基幹システムで管理しております納税者情報が外部に流出することがないように、納税者情報を管理する基幹システムに接続しております職員の業務用パソコンとインターネット用のパソコンを物理的に分離いたしまして、インターネットを通じて外部から納税者情報に不正アクセスを受けることがないようにしているところでございます。
また、納税者情報を取り扱う全ての事務処理は業務用のパソコンで行っておりまして、インターネット用のパソコンで納税者情報を取り扱う事務処理は行ってございません。
これに加えまして、インターネット用パソコンに納税者情報を持ち込み保管することは禁止しております。
また、納税者情報以外の情報を業務用パソコンからUSBメモリー等を利用して取り出す必要がある場合には管理者の許可を必要としており、さらに、取り出し可能なものをシステム的に制限しているところでございます。
○島津委員 私も事前に説明を今の説明に加えて聞いたんですけれども、なるほどなということでした。
人為的なミスもありますから、絶対ということはないわけです。しかし、それを防ぐために、今お答えがあったように、USBメモリーを使う場合でも二重、三重の仕組みがある、インターネットにつながったパソコンでは仕事ができない、こうした徹底した対策をとっている。年金機構の問題が発覚した後には、こうしたルールの再徹底を行ったということも聞きました。納税情報というのは本当に漏えいしてはならない情報で、絶対に外に出さないという意識で皆さんが業務されていた、既にそのシステムを組んでいたということをお聞きして、実感しました。
大臣、サイバー戦略では、セキュリティーはその組織が自律的に行うことを基本とするとうたっています。ですから、今、国税庁の例が出たわけですけれども、こうした対策をより徹底することこそサイバーセキュリティーの中心に据えるべきじゃないかと思うんですけれども、どうでしょう。
○遠藤国務大臣 お答えいたします。
委員御指摘のように、サイバーセキュリティーの確保については、情報システムの構築、運用とセキュリティー対策を一体として行うべきものであると思いますし、各組織の特性に応じた業務継続性の確保の観点からも、まずは各主体が自律的に取り組むべきものと考えております。
なお、政府機関のサイバーセキュリティー確保については、政府機関の情報セキュリティ対策のための統一規範において、各機関がみずからの責任において対策を図ることにより、もって全体の情報セキュリティー対策の強化、拡充を図る旨を明確化しているところであります。
○島津委員 改めて、年金機構にかかわらず、独立行政法人や認可法人、特殊法人は、行政改革で省庁とは切り離されたとはいえ、重要な仕事を省庁と協力してやっているわけです。所管している省庁がしっかりとセキュリティーについても指導監督をしていくということでこれからやっていくと思うんですけれども、やはり、重大事案が起きたからNISCが一足飛びに監視対象にする、すればいい、こういうことではないと思うんです。
個人の情報流出というのは、厚労省や年金機構そのものの業務のあり方も反映したものです。サイバーセキュリティーについての監査、監視があれば起こり得なかったというものでもありません。セキュリティーはその組織が自律的に行うことが基本であり、まず自分たちで自主的な取り組みを進める、それが十分であるかどうか所管省庁がしっかりと監督する、これをやはり基本としてまずやるべきだということを指摘しておきたいと思うんです。
次に、情報処理推進機構、IPAについてお聞きします。
今回、NISCが監査、監視、調査などの対象に加えるのは、年金機構だけでなく、独立行政法人も行われます。しかも、その広げた部分は、NISCがやるんじゃなくて、IPAに事務を一部委託するというわけです。
このIPAの職員数と、そのうちの非正規職員数、民間からの出向、派遣の職員の人数を教えていただけますか。
○安藤(久)政府参考人 お答え申し上げます。
IPAの職員数は、本日現在で二百六十五名となっております。このうち、民間からの出向者は七十九名でございます。IPAで採用された方が百七十一名、国からの出向が十五名、こういったことでございます。今お尋ねの派遣につきましてはこの外数になっておりまして、派遣の職員数が百二十八名ということでございます。
○島津委員 非正規職員というのはいないんですか。
○安藤(久)政府参考人 いわゆる常勤と非常勤ということで申し上げますと、非常勤職員は二百六十五名の職員のうち八十九名でございます。
○島津委員 今回業務として新たに追加される監査、監視や原因究明調査にも民間からの出向や派遣の方はかかわるんでしょうか。
○安藤(久)政府参考人 お答え申し上げます。
民間からの出向者につきましては、IPAの職員になるということでございます。本法案に基づきまして、秘密保持義務が課せられる対象となります。サイバーセキュリティ戦略本部から委託される今御指摘の独法などへの監査、調査の業務にも従事をする予定でございます。
他方、派遣の職員につきましては、サイバーセキュリティ戦略本部から委託される御指摘の業務については従事をしないという予定でございます。
〔中根(一)委員長代理退席、委員長着席〕
○島津委員 ただ、そういう仕事には従事しなくても、秘密保持規定があるように、いろいろな情報をやはり知り得るわけです。
IPAの職員でなくなった後も秘密保持義務は今言ったようになくならないわけですけれども、しかし、出向期間が終わって自社に帰った後、IPAで知り得た秘密を利用して自社で仕事をしたとしても、誰にもわからないんじゃないでしょうか。これはどうでしょう。
○安藤(久)政府参考人 民間出向者が民間企業に戻った後も、法律上、IPAへの出向中に業務上知り得た秘密については、刑事罰のかかる形で、漏えい、盗用してはならないということになります。
したがいまして、これが発覚するかどうかというのは、一般の事案と同様に、さまざまな事案の発生を受けた捜査の世界に入ってくると思いますけれども、厳密な意味でもともとの職員と同様の法律上の秘密保持義務がかかるということで、強い牽制力になると思っております。
○島津委員 情報漏えいに対する罰則が設けられているわけですけれども、疑ったら切りがないということもあるかもしれませんけれども、やはり新たな情報拡散を招く疑念というのは否定できないと思うんです。
全ての独立法人や特殊法人に演習だとか監視、調査対象を広げていってもNISCがやり切れないのでこの事務をIPAにやってもらう、そしてその業務は今後さらに政令で法人を指定していくことも検討されているわけですけれども、そんなことをしなくても、各省庁や各組織がしっかりと体制をとって対策を進めていくことがやはり必要だと改めて思います。
最後に、NSC、国家安全保障会議との関係についてお聞きしたいと思います。
基本法に基づいて策定されたサイバーセキュリティ戦略、これは二〇一五年九月四日に閣議決定されているわけですけれども、この中で、総務省における、米国とのサイバー攻撃に関するデータの共有及び研究開発の協力関係の加速化、情報の共有の強化などが盛り込まれています。
これはどういうことなんでしょう。どういうことをするんでしょうか。
○谷脇政府参考人 昨年の九月に閣議決定をいたしましたサイバーセキュリティ戦略の中では、さまざまな国際的な連携を強化していくということで、多様な施策を盛り込んでいるところでございます。例えば、日米間におきましても、サイバーセキュリティーに関する研究開発のプロジェクトなどにつきまして、お互いの意見交換、情報の交換などを積極的に推進していく、こういったことも盛り込まれているわけでございます。
○島津委員 具体的に、今回、いろいろ事象が起きた場合には調査したり原因究明したりするわけですけれども、そういう情報も共有するということになるんでしょうか。
○谷脇政府参考人 お答え申し上げます。
サイバー事案の概要ですとか、あるいは政策面でのさまざまな動向については、サイバー空間というものは国境がございません関係上、国際連携を強化し、また情報を共有していくということが極めて重要な課題でございます。
そういった観点から、米国それからオーストラリアあるいは英国等々、さまざまな国々とサイバー協議などを開催し情報の共有を図っております。
そういった文脈の中で、サイバー事案についても、必要な範囲内で情報を他国と共有するということを行っているところでございます。
○島津委員 その情報の内容というのは当然攻撃側に知らせてはならないものもあると思うんですけれども、必要なものというのはしっかりとやはり開示もされて、国民も含めて、国会議員も含めて開示されていくんでしょうか。
○谷脇政府参考人 お答え申し上げます。
例えば、日本年金機構の事案でございますけれども、私ども、昨年の八月に年金機構事案の原因究明調査報告をまとめたところでございます。
その中身につきましては、当然のことながら、国民に対する説明責任ということで、その内容を開示したところでございます。そして、この開示に当たりましては、一部、我々NISCの対処能力を明らかにする部分は正直ございましたけれども、説明責任という公益性を重視してこれを公表したところでございます。
同様の情報については、その範囲内で他国とも共有をしている、こういうことでございます。
○島津委員 NSCとの情報交換が今度あるわけですけれども、そういう内容も含んできちんと必要なものは開示していくということでいいんですね。
○谷脇政府参考人 お答え申し上げます。
サイバーセキュリティ基本法におきましては、サイバーセキュリティーに関する政策課題等について、安全保障にかかわる問題についてNSCと緊密に連携する旨の規定が盛り込まれているところでございます。
したがいまして、こうした安全保障にかかわるサイバーセキュリティーに関する政策のさまざまな動向ですとか事態の推移等につきまして、NSCとNISCとの間で情報を交換し、あるいは意見を交換しているということでございます。
○島津委員 ですから、NSCとの情報交換の中身についてもわかる、開示するということでいいんですね。
○谷脇政府参考人 お答え申し上げます。
個別具体的な協力内容につきましては、事柄の性質上、お答えできないことを御理解いただきたいと存じます。
○島津委員 今回、NSCと緊密連携ということになるわけですけれども、どんな情報がやりとりされていくのかは事柄の性質上答えられないと。これは安全保障上の問題だということなんですけれども。
どんな情報がアメリカ、米国に伝わるのかわからない。一方で、監視調査の対象を広げていく。もちろん、テロというのは、サイバーであれ何であれ絶対に許されないものなんです。しかし、アメリカは、サイバー空間を陸、海、空、宇宙に次ぐ第五の戦場に位置づけて、サイバー攻撃に対しては、現実空間での反撃、攻撃も辞さない、こういう立場です。軍事の対応というのは、憎しみを広げてテロをさらに引き起こす、悪循環につながるわけです。
我が党は、一昨年、サイバーセキュリティ基本法の審議の際、サイバーセキュリティーを軍事や安全保障に密接に結びつけるものであるとして反対しました。しかし、きょう、今議論しましたけれども、やはりアメリカのサイバー戦略に巻き込む、こういう土台づくり、土壌づくりだという懸念は拭い切れません。このことを最後に指摘して、質問を終わります。
