厚労省責任逃れ指摘
年金情報流出報告書 高橋氏が追及
日本共産党の高橋千鶴子議員は26日の衆院厚生労働委員会で、年金記録流出問題の厚労省第三者委報告や日本年金機構など三つの報告書を受けて責任をただしました。
高橋氏は、年金機構への最初のメール(5月8日)の前に厚労省に類似のサイバー攻撃(4月22日)があったことを第三者委員会報告が認定した問題を追及しました。厚労省情報参事官室は、「担当者レベルで確認」していたと認めました。高橋氏が、最初に不審な通信が通知された5月8日に4月22日と同じURLをブロックしているのに知らないはずがないと迫ると、「ブロックしたことを報告書を見て知った」と言い訳しました。
高橋氏は、年金機構についても、情報流出につながった5月20日の不審メールの開封を確認した日(5月25日)が報告書で抜けていることを示し、責任逃れの姿勢は許されないと強調しました。
高橋氏はまた、内閣サイバーセキュリティーセンター(NISC)の報告書に基づき、125万件の流出時点が5月21日~23日の間などログ解析で全容に迫ったことを指摘。年金機構が不審メール問題で警察に相談・捜査依頼したことを厚労省がNISCに報告したのは10日後であり、報告後、即座に特定重大事象として対策チームが派遣され、ログの解析ができたことからすれば、より早く対応できたはずだと批判し、係長一人の責任にして事実を隠していると迫りました。
高橋氏は、年金機構が「ガバナンス・組織風土のゼロベースからの抜本改革」と述べ、厚労省の責任が“旧社会保険庁体質”に転嫁されている問題を批判。厚労省全体への攻撃なのに、小さくみせようとしてはならないと指摘しました。
(しんぶん赤旗2015年8月29日付より)
――議事録――
○高橋(千)委員 日本共産党の高橋千鶴子です。
先週、年金機構、それから検証委員会、またサイバーセキュリティ戦略本部、いわゆるNISCから、それぞれの調査報告書が出されました。
昨日は参議院の厚労委員会でも集中審議がやられましたが、率直に言って、これで終わりですかという気がします。きょうの短い審議で検証が終わったということは到底言えないと思います。
とはいえ、たくさん聞きたいことがありますので、まず質問に入りたいと思います。
私は、第三者の検証委員会を立ち上げたことは当然だと思いますし、また、独立性にこだわったことは重要だと思っているんです。とはいえ、我々国会ではこの審議をこの間もずっとやってきたんですが、何かと、質問すると、今検証委員会をやっているからということで答えが返ってこない、足どめを食らったような格好になりました。しかも、どんな審議をしているのかということも、聞いても、事務方の権限はないのでということで、何も答えてもらえませんでした。
それで、検証委員会の報告書を大変待っていたわけでありますけれども、改めて伺いますが、きょう甲斐中委員長に伺いたいと思うんですが、そういう国会のやりとりを御存じでしたでしょうか。検証委員会は、国会審議でどんな質疑があって、例えば検証委員会に委ねられた問題にはどんなものがあったのかという報告があったのでしょうか、そして、それについて検討されたのでしょうか。
○甲斐中参考人 国会で検証委員会の課題としてどういうことが取り上げられているかということは、一応事務方の方からメモをいただいております。
ただ、私どもも、非常に多岐にわたる議論がなされているようでございまして、時間的制約、人的制約、それから委嘱事項との関連性等もありまして、精いっぱい調査した結果が報告書の形になったということで御理解いただきたいと思います。
○高橋(千)委員 もう一つ聞いてから、今のことに関連して大臣にもちょっと伺いたいと言っておきます。
それで、もう一回委員長に伺いたいんですが、検証委員会の報告書、既にきのうからも議論されているんですけれども、報告書のページでいうと三十六ページ、「終わりに」の前のところに、「これだけの情報を流出して国民に多大の心配をかけていながら、検証委員会の調査を受けるに際し、その後改まったとはいえ、一部の者が重要な資料を出し渋り、墨塗りをするなどの態度は論外である。」と厳しい指摘をされております。
同時に、これは非常に驚きました。何のための第三者の検証委員会なのか。第三者の検証委員会をつくったのに、しかも検証委員会に委ねますと言っているのに、当の人たちは、黒塗りで、資料もろくに出さない。あり得ないと言わなければなりません。
確かに、資料は後で出されたということを聞いておりますけれども、例えば、関係諸内部規程、決裁文書類、関係諸会議体の議事録及び資料、運用委託会社との間の関係契約書類など、さまざま資料を求めたということが報告書の中に書かれてあります。
添付資料が今回出されていないんですけれども、検証委員会が入手した資料を公開する考えはないのでしょうか。
○甲斐中参考人 私どもが提出を求めた先は、機構と厚労省だけではなくて、民間の企業等もございます。そういうところも含めて、資料要求をするに当たっては、当委員会の調査目的以外には利用しないということを確約して提出を求めております。したがいまして、その資料を他へ公にするということは約束違反になりますので、私どもとしてはできないことであろうと思っております。そこのところはどうか御理解いただきたいと思います。
○高橋(千)委員 予想どおりのお答えだったと思うんですけれども、原発の国会事故調のときも同様の議論があったと思うんです。
ただ、御存じのように、事故調の報告書には膨大な資料がそもそもついております。出せるものはちゃんと出しているんです。そこの仕分けがどうしてないのかというのが一点です。
それから、そうはいっても、同じように、本人にはヒアリング以外には利用しないよという前提で聞いたものだから出せませんという話だったんですけれども、段ボール箱でかなりの量が国会図書館に保管をされております。そして、その上で、本人の了解があれば随時アップしていくというような取り組みもされているようです。
ですから、全部が全部、全く出せないということはないのではないかと思いますが、いかがですか。
○甲斐中参考人 民間の第三者委員会が調査する場合、全てと言っていいと思います、私たち委員会と同じような約束をして資料提出を求めたり、それからヒアリングをやっております。私も、今まで何回かいろいろな委員会の委員長をやってまいりました。その都度、内外の国家機関から資料を提出しろという要求がございましたが、全て事情を御説明して御理解をいただいております。
○高橋(千)委員 ですから、それが全てなのかと聞いて、当然出せないものもあるだろうということを前提に伺っております。それで、改めてこれはよく委員会でも議論をしていった方がいいと思うんです。
大臣にも伺いたいと思うんですが、大臣自身がお答えになっていますし、また機構の水島理事長もお答えになっているわけですよね。いろいろなことを聞く、例えばメールを開封した職員の身分はどうですかとか、さまざまなことを質問するたびに、それは検証しますからということでお答えがなかった。そういうことで結局返ってこなかった問題、つまり、検証委員会としては限られた時間と制約の中で出せなかったと言っている問題などをきちんと整理しなければ、結果として宙に浮いたままになると思いますが、その点についてどう責任を果たしていかれるのか伺います。
○塩崎国務大臣 検証委員会の報告書は、私は報告書が全てだというふうに思っています。
もちろん、機構からも報告書が出ているわけでありまして、これは今までお出しできなかったということでありましたけれども、警察などとも協議をして、そしてこの時点になれば全体像として明らかにすることに問題がないということも判断をした上で、今までセキュリティー上の問題あるいは捜査上の問題などを理由にお出しをしなかった問題について、かなり出しているわけであります。
もちろん、まだ残っているもの、出ていないものがございますが、それについて、今後、こういった質疑などを通してお尋ねをいただいて、出せるものはもちろん出していくわけであります。
なお、何度もお話が出ております共有サーバーの中身については、調べているということを申し上げているわけでありますから、多少時間がかかっても、これは結果が判明した際にお出しをするということになるんだろうというふうに考えているところでございます。
○高橋(千)委員 では、今、時間がかかっても出していただけるということもございました。これは引き続いて議論していくべきだと思って、資料が出ていないもの、本来出せるのではないかと思うけれども今は出ていないもの、そういうものをきちんと整理するべきだと思っておりますので、これは強く指摘をして、次に進みたいと思います。
それで、事実経過について質問していきたいんですけれども、資料の一枚目は年金機構がまとめた経緯の概要でございます。二枚目はNISCがまとめたものです。三枚目を見ていただきたいと思うんですね。
これは、年金機構のプロキシーサーバー、外部との通信が例えばファイアウオールで遮断されたとしてもその履歴が残るということで、NISCがそのログの解析を行ったもので、「感染端末と不審な通信」と書いてありますけれども、これでようやっとわかったことがかなりあるのではないかと思います。
上の横軸が時間なんですよね。五月八日から始まっていて、赤い逆三角形が不審メールが来たことを指しております。それから、縦軸が、端末一から端末三十一まであるけれども、これがパソコンを指すと理解をしています。
それで、幾つか確認をしたいと思うんですけれども、情報流出の瞬間、これまでなかなか明らかになってこなかったわけですけれども、二十二日の前後、これは電源を切っていないので零時をまたいでいるんですけれども、この前後に赤が集中している部分、これがそうである。特に、端末のところを見ていただくとわかるんですが、接続先Xと書いている。これが情報流出だというふうに説明されていると思うんですが、この理解でよろしいかということがまず一点。
○谷脇政府参考人 お答え申し上げます。
今委員から御提示がございました資料でございますが、これは私どもサイバーセキュリティ戦略本部の報告書の九ページに掲載をしているものでございます。機構のプロキシーログから不審な通信を抽出いたしまして、各端末からの通信の履歴を接続先ごとに集計してグラフ化したものでございます。
今委員御指摘のとおり、五月の二十一日から二十三日にかけてのグラフの赤い部分でございますけれども、この部分が国内のサーバー、接続先Xへの通信でございますけれども、警察庁からの情報提供によりまして、接続先Xへの通信が約百二十五万件の個人情報の流出に関する通信であったということが判明しているところでございます。
ただし、不審な通信というものは必ずしも情報の流出を意味するものではございませんので、グラフの赤い部分のどの部分が情報流出が始まった瞬間であるかということを特定するのは困難である点は御理解を賜りたいと思います。
○高橋(千)委員 どの部分かというのまでは答えられない、わからないということでありましたけれども、ただ、百二十五万件の出どころがこの瞬間であったということは、この表の中で見てとれるかなと思っております。
それで、NISCが外との不審な通信があるということを通知したのは八日と二十二日だけなんですよね。ところが、その間にも実は通信があった、その間にもやはりNISCが検知できなかった通信があったということでよろしいか。イエスかノーかで簡単に。
○谷脇政府参考人 お答え申し上げます。
今委員御指摘のとおり、今回の事案におきまして、五月の八日及び二十二日にGSOCで不審な通信を検知し、厚生労働省へ通知をしてございます。
他方、今回の事案における標的型攻撃を含めまして、いわゆるサイバー攻撃というのは、正常な通信に紛れ込ませるなど、非常に巧妙であります。また、新たな手法を次々と用いて実行されるということからいいますと、全ての不正な通信を検知するということは技術的に困難な面があるというところもございます。
したがいまして、私どもとしては、攻撃の手法が時々刻々巧妙化していることを踏まえまして、GSOCの機能についても、不断の見直し、大幅な強化に取り組んでまいりたいと考えてございます。
○高橋(千)委員 もちろん、今、検知できなかったことを責めている質問ではありませんので、事実関係を明らかにしたかったということであります。
ついでに、通告していないんですけれども、もう一つ。
下の説明文がありますよね、三角の意味とか、ひし形の意味とか。一番下のところに、端末二は端末一の代替機である、しかもIPアドレスは同一と。これは要するに、端末二は一を使っていた人と同一人物である、こういうふうに見てよろしいでしょうか。これも明らかにならなかった部分なんですが、どうでしょうか。
○谷脇政府参考人 お答え申し上げます。
委員御指摘のとおり、端末一が感染をいたしまして、これが端末の二に代替をされたという意味で記載をしておるところでございます。
○高橋(千)委員 そうだとおっしゃらないんですが、そういう意味だと思うんですね。
これらのことは、何度質問しても、あるいは報道されているにもかかわらず、なかなか認められてこなかったわけでありますけれども、非常に残念なことだと思うんですよね、同じ人が新しいパソコンにかえて、でも、IPアドレスは一緒なので結局感染しちゃったと。こういうことが積み重なってきたということなんですね。
問題は、こんなにログを見ればわかるのに、先ほど井坂委員の質問にもありましたけれども、これがわかったのが非常におくれたということをまた指摘していかなければならないなと思うんです。
検証委員会が、四月二十二日の厚労省に対する標的型攻撃について強く指摘をしております。しかも、これは類似の手口であったというだけでなく、攻撃を受けた部局が年金局そのものだったわけですから、これを知らないとは到底言ってはいけない問題だと思っております。
報告書によれば、この不正な通信は、NISCからの通知を受けた厚労省においてURLブロックを行ったことにより、通信発生の約二時間後に遮断された。攻撃者は、次なる攻撃を検討し、機構が狙われるに至ったものと思われる。四月二十二日に感染した端末が通信を行ったC&Cサーバーのドメインは、五月八日に機構において感染した端末が通信を行ったC&Cサーバーと同一であり、サブドメインのみが異なるものであった。
結局、四月二十二日の時点ではサブドメイン単位でのブロックにとどまって、ドメイン単位でのURLブロックを実施したのは五月八日だったと思っています。
なぜ、この問題が検証委員会の報告書にしか載っていないのか。
○安藤政府参考人 お答え申し上げます。
情参室とそれから統計情報部の担当者レベルで、五月八日に、四月二十二日の事案とドメインが一部共通しているという事実を認識いたしましたが、このドメインが共通しているという以上に二つの事案に類似性があるという認識を持つには至らなかったということでございます。また、本事案が明らかになりました後も、検証委員会の報告が発表されるまで同様の認識であったということでございます。
検証委員会報告書にありますとおり、危険性に対する意識が不足しておりまして、危機感それから情報の共有が図られなかったということで、大変反省すべき点だと考えてございます。
○高橋(千)委員 担当者レベルでは認識していたとお認めになったと思うんですね。
問題は、ですから、そのことを何でこの委員会で、議論していたのに全然、そのとき認識していなかったけれども、結果としてそうだったということにずっと至らなかったということが理解できないということなんです。それを単なる係長一人の責任にするということなんですか。
○安藤政府参考人 繰り返しになりますが、発覚後も、検証委員会の報告が発表されるまで、この二つ、四月二十二日と五月八日の事案に関しまして、ドメインが一部共通しているということ以上の類似性、検証委員会の報告にございますような前兆というようなところまでは認識は全く至らなかったということでございます。
○高橋(千)委員 済みません、水島理事長にも、これは通告していないんですが、今の関連で一点伺いたいんですけれども、URLブロックを五月八日に行ったということを検証委員会の報告には書いているわけなんですよね。それが機構の報告には全然書いていないわけなんですよ。つまり、これは、さっき山井委員も言ったように、認識しなければできないことなんです。そうでしょう。それを何で、やったと言っているのに一切触れていないのか。
やはりそれは、認識が甘かったとかそういう問題ではなくて、あえて事を見せたくない、大きな問題にしたくないという意識が、この報告を書いているだけでもあらわれてきたのではないかと思わざるを得ませんが、いかがですか。
○水島参考人 お答えを申し上げます。
四月二十二日に厚生労働省にそのような攻撃があったということにつきましては、私も検証委員会の報告書を読んで初めて知りました。その時点での具体的な御連絡はございませんでした。
○高橋(千)委員 その時点を聞いているのではありません。検証委員会はちゃんとブロックしたと書いていることをなぜ年金機構の報告書には書いていないのか、重大なポイントじゃないですかと聞いています。
○水島参考人 報告書をまとめた時点でも、四月二十二日に攻撃があってサブドメインでとめて、あるいは五月八日にドメインでとめたということに関しましては、私どもは承知をいたしておりませんでしたので記入をしなかったということでございます。
○高橋(千)委員 とてもじゃないが時間がないので、委員長、これはきょうで終わってはならないですよ。
サブドメインをとめたのは四月二十二日の話なんです、それは厚労省の話。URLブロック、ドメインそのものをとめているのは五月八日なんです。それだけ重大なことを書いていないと私は言っている。
○水島参考人 五月八日にNISCから、不審通信があったということは御連絡をいただいております。その御連絡をいただいたURLについてはフィルタリングを行ったということを私どもの報告書に書いてございます。ただ、このフィルタリングは、私どものプロキシーでとめたということでございます。
○安藤政府参考人 先ほどのサブドメイン、ドメインの話でございますが、私どもが申し上げておりますのは、統合ネットワークにおけますURLブロックでございます。この件に関しましては、機構が取り扱っているものではございませんで、私ども統計情報部の方でやっているものでございます。
それで、このドメインレベルでとめたということ自身も、検証委員会の報告が発表されまして初めて、正直、私ども情参室の参事官以上、確認をして、初めて知ったというところでございます。
○高橋(千)委員 ちょっと、正直余りに驚いて。とめたことを情参室が報告書を見てわかったと。どうなっているんでしょう、これは。検証委員会だって、機構や情参室やNISCやいろいろなところから聞いてまとめているのに。だって、今資料の話をされましたけれども、聞かなきゃ報告書が出てこないのに、報告書を見て初めてわかったという議論がされている。私は、これは絶対に誰かが知らないふりをしている、あるいは誰かの責任にしているとしか言いようがないと思います。到底これはこのままにはできません。
質問を続けますけれども、このままにしない、また引き続いて集中審議を検討するということを委員長に一言お約束いただきたい。
○渡辺委員長 理事会で協議をいたします。
○高橋(千)委員 一つ飛ばします。
同じように私がとても疑問なのは、年金機構の報告書の中に、二十日に不審メールを開封した人がいたんだけれども、それを確認したのは二十五日なんですね。五日もたっている。だけれども、そのことを全く書いていない。二十五日のことを全く書いていない。これは大変なポイントですよね、さっきこの時系列をやりましたけれども。なぜなんでしょうか。
○水島参考人 私どもの調査報告書で、お客様の個人情報は二十一日から二十三日までの間にB拠点から流出をしているということが書かれてございます。
そして、二十日の時点でございますが、二十日の時点で不審メールが届いたという報告はございましたが、開封を確認しなかった、そのために、そこでURLを特定できずにブロックができなかった、そして、そこで通信を確認していれば端末の感染がわかった、こういうことを申し上げているわけでございます。したがいまして、後でわかった、二十五日にわかったことが極めて遅かったわけでございまして、二十日にそれをやらなければならなかったという反省を私どもの調査報告書では書かせていただいているということ。
それから、五月二十五日に関しましての感染の確認に関しましては、私どもで国会に御提出させていただいております「日本年金機構不正アクセス事案の経緯」というところでは記入をさせていただいております。
○高橋(千)委員 私は、二十五日のことをなぜ書いていないのかと言っているんですよ、二十日の対応を言っているのではなくて。
これは、私が何でこだわっているかというと、六月十五日に、理事会に、厚労省と年金機構で経緯を何度も何度も直したものの中で出てきたものなんです。二十日のものが二十五日にわかったんですと。これは、説明に来られた方が大変強調したことなので、改めて、何でこの四枚の紙に書いていたことさえも最終だと言われているこの報告書に出てこないのかということ、やはりそういうところがおかしいということを指摘したいんですね。
もう一つ、私がどうしても納得いかないのは、五月二十九日にNISCが厚労省から説明を受けている中身は、十九日、十日前ですよ、十日前に警察に相談しましたということで、それを二十九日になってわかっているわけです、NISCだけが。何でこうなっちゃうんですかね。
○安藤政府参考人 お答え申し上げます。
五月八日以来、NISCに関しましては、助言をいただいたり技術的なサポート等を大変いただいておりました。この中で、警察に通報いたしましたという報告はなされなかったということでございまして、確かに、私どもの手順書の中では、警察へ通報したことをNISCに報告する事項として明示的に書いていなかったということはございますが、現在は、警察への相談、通報につきましては必ず報告するということで省内徹底しているところでございます。
○高橋(千)委員 そんな問題じゃないと思うんですよ。手順書に書いている書いていないの問題じゃない。
だって、これは、機構の報告書によりますと、十八日です、「理事長及び副理事長から警察に相談するよう指示があったことから、翌日、情報セキュリティ担当部署等が管轄の警察署に相談しました。」と。理事長が決裁したことですよね。それを、結果としては、年金局と情参室には報告している。何でNISCにだけ報告しないのか。NISCはその間も、新しい不審メールが来ました、検体を出して、解析するとその日のうちに返しているんですよ。そういうやりとりをしていて、警察に相談しましたということを一回も言っていない。どういうことですか。
何で私がこれにこだわるかといいますと、NISCの報告書の中に書いてあるんですけれども、NISCは、二十九日ですけれども、警察に報告したということ、それから情報流出があったということを受けて、即座に本部長が特定重大事象であるとの判断を行って、厚労省と機構の対応に対してCYMATを派遣して応援したと書いているわけなんです。だから、最初に説明したログを出せとかいう指導ができるのは、こういう特定重大事象になったからなんですよね。
だから、ずっとおくれたからこそ、こういう対応が適切にできなかった。それはもちろんNISCにとっても、聞けばよかったのになとは思うけれども、しかし、これだけの権限を持っているのに、しかも、わからない、わからないと言ったことがかなりの部分わかったのになぜおくれてしまったのかということを重ねて指摘せざるを得ないなと思います。これは本当に強く言いたいと思います。
それで、もう本当に残念なんだけれども、最後になって、時間になってしまいましたので、いっぱい問いを残しました。
次をやりたいなと思うんですが、私は、この年金機構の報告書の最後に、「ガバナンス・組織風土のゼロベースからの抜本改革」ということで、何か、新しい組織をつくると理事長はおっしゃっていますけれども、そんな問題じゃないと思うんです。そんな問題じゃない。それは厚労省全体にかけられた大きな攻撃であり、もちろん年金機構が一番問題ありますけれども、それを社保庁の問題にしちゃったらだめでしょう。全然話にならないですよ。郷原さんだって、まだそんなことを言っているのかと東京新聞に書いてありましたけれども、そうやって一番肝心なことから逃れようとしているということは強く指摘をしなければならない。こういうことを、やれることをやらなかったわけですから。
それで、漏れているのに漏れていないと言ったお客様の二千四百四十九件についてほとんど言及がありませんけれども、ないしょで戸別訪問していたわけでしょう。ないしょで戸別訪問したために、お客様から問い合わせがあったら、そんなの知らない、振り込め詐欺じゃないかと言ったという笑えない話が起きているわけですよね。それは末端の職員の責任じゃないですよね。トップの責任です。強く言わなければならないと思います。
これは大臣に対してもあわせて指摘をして、次の機会に譲りたいと思います。終わります。
――資料――
