高橋議員 年金情報流出を追及
外部委託と非正規化原因
日本共産党の高橋千鶴子議員は、年金情報流出問題の集中審議が行われた5日の衆院厚生労働委員会で、日本年金機構と厚労省のずさんな対応を追及し、「第二の社会保険庁だという声もあるが、そもそも社保庁を解体して、外部委託と非正規雇用を拡大して個人情報保護を後退させてきたことが問題だ」と主張しました。
高橋氏は、5月8日に内閣サイバーセキュリティーセンター(NISC)から通報を受けながら、隔離したパソコンは1台のみでネットワークから遮断せず「注意喚起」にとどまったことをあげて「極めて危機意識の低い対応だ」と指摘。サイバー基本法に照らせば、機構のセキュリティー対策は厚労相の責任だと強調しました。
塩崎恭久厚労相は、「国に責任がある」と認めましたが、具体的対応については「検証委員会で検証してもらう」と答弁。年金機構の水島藤一郎理事長も「委員会で検証していただく」と述べ、誤りを認めませんでした。
厚労省の安藤英作審議官は、機構は安全性ポリシーに「基本的にのっとっていた」と答弁。高橋氏が「厚労省全体がそういう体制ということになる」と批判すると、安藤氏は「十分検証する必要がある」と認めました。
高橋氏は、同省が、個人情報保護に対する同機構の対応を5年連続で5段階の下から2番目のC評価とする一方、コスト削減についてはB評価としていることに言及。社保庁解体のときに、業務委託で個人情報流出問題が起こっていると追及したことにふれ、「大規模な業務委託と正社員減らし・非正規化で同じことが繰り返されてきた」とただしました。
塩崎恭久厚労相は、「非正規職員の存在がCランクにつながったとは考えていない」と正当化。高橋氏は、業務委託が推進されている一覧表を示し、「信頼できる職員を切り離して非正規雇用に委ねてきたなかで起こってきた問題だ」と指摘しました。
――議事録――
○高橋(千)委員 日本共産党の高橋千鶴子です。
きょうは、二回目の年金情報流出問題に関する集中審議となりました。私自身は初めてですが。
政府としても事態を重く見てサイバーセキュリティセンターの強化などを検討していると報道もありました。
昨日、理事会に、初めて経過についての資料が出されたわけですが、それでもけさの各紙報道を見ると、ゆうべ聞いたことと違うと、非常にたまらない思いでした。既にきょうの委員会の中でもさまざまな事実が判明しており、正直、不信感が募る思いであります。一つでもそれが解消していくことを期待いたしまして、私からも質問させていただきたいと思います。
まず、不審なメールを開いたのが悪いという指摘がございます。
ただ、本人の名前宛てであり、実在する差出人で、タイトルも極めて、自分が所管している分野、よく来るようなタイトルであるということや、さらに手口が巧妙になっているということから、誰しもあり得ることではないかと。一回目はですよ、何度もやっちゃあれですけれども。
私も、恥をさらすことになりますけれども、国会のPCで、いつもお世話になっている国会の部局からのメールだ、これをあけましたら、それはウイルス対応訓練メールでありまして、これは訓練です、あなたはウイルス感染のおそれのあるメールをあけてしまいましたと表示されて、真っ青になったことがございましたけれども、そもそも年金機構もそういう訓練をやっていればよかったかなと思うんですが、国会はそういうセキュリティー対策をやっているということもあるわけです。
ただ、やはり感染はあり得る、その上で、いかに被害を最小限にするか、事後の対策と再発防止策が重要なのではないか、その点での認識と、そのような考え方に基づいて取り組んでいるのか。まずは、NISCに伺いたいと思います。
○谷脇政府参考人 お答え申し上げます。
外部から行われる情報の窃取などの攻撃が大きな脅威となっておりまして、この脅威に対抗していくことが喫緊の課題であると認識しております。
今委員御指摘のとおり、不審なメールを用いたいわゆる標的型攻撃は、手口の巧妙化が進んでおります。したがいまして、従来の不正プログラムへの感染防止策、いわゆる入り口対策だけでは対応が困難でございまして、情報システム内部に侵入した攻撃の発見あるいは遮断を目的としたいわゆる内部対策を組み合わせた多重防御の仕組みが重要となっているところでございます。
NISCといたしましては、標的型攻撃から重要な情報を取り扱う情報システムが守られるよう、各府省庁と連携し、取り組みを加速してまいりたいと考えております。
○高橋(千)委員 今、標的型攻撃のことをおっしゃっていただいたと思うんですが、政府機関の情報セキュリティ対策のための統一基準、この中に今おっしゃったようなことがあって、やはり「完全に検知及び防御することは困難である。」というふうな指摘があったと思います。また、その前段のところで、「その組織の業務習慣等内部情報について事前に入念な調査を行った上で、様々な攻撃手法を組み合わせ、その組織に最適化した方法を用いて、執拗に行われる攻撃である。」と。
なので、入り口と内部対策の多重防護というふうなことが書かれているということは非常に重要な問題であるなと思って、それに照らしてみますと、全くそうはできていなかったなと思って受けとめました。
そこで、今回のウイルスが、国会議員の情報が流出した、あるいは、この間何度か指摘をされている相手と同じであるなどということが指摘をされています。
また、昨日の東京新聞によれば、情報セキュリティー会社のトレンドマイクロ社が、昨年一年間でウイルス感染などの被害があった企業や官公庁が六六・六%に上るという調査結果を発表しております。
やはり日々進化しているとは思うけれども、政府機関を攻撃している狙いや傾向などについて、政府としては、この間、どのような見解を持っているのでしょうか。
○谷脇政府参考人 お答え申し上げます。
委員御指摘のように、政府機関におきましても、外部から行われる情報の窃取、破壊等の攻撃が極めて大きな脅威となっておりまして、この脅威にいかに対抗していくのかということが喫緊の課題でございます。
サイバー攻撃に対しましては、まずは攻撃に強いシステムを構築するとともに、攻撃を防げなかった場合に、これに速やかに、なるべく早く認知をして対策を講じて、被害の拡大を最小限に抑えるということが重要でございます。
このため、政府におきましては、平素から政府機関のサイバーセキュリティー水準の向上に努めるとともに、政府機関等に対する攻撃の二十四時間体制での監視、官民の情報共有の促進等の策を講じているところでございます。
○高橋(千)委員 そこで、その二十四時間監視のもとで、五月八日に最初の一報があったということからこの事案が始まっているわけなんですけれども、NISCからの通報などは厚労省の情報政策担当参事官室に窓口が一本化されていると聞きました。
そこで、この間、省内に対する通報というのはどのくらいあるんでしょうか。
○安藤政府参考人 お答え申し上げます。
昨年度からの数字を申し上げます。
NISCから厚生労働省への通知の件数につきましては、昨年度は十四件でございます。
それから、今年度は、昨日まででございますが、四件でございます。
○高橋(千)委員 そこで、当然のことながら、NISCから通報を受けてからの手順についてはどのようになっているのか。
また、一つは、情報政策担当参事官室の責任はどこまでなのか。つまり、担当の年金局に伝えたら、後はそこからやってくださいよということなのか、あるいはその後の指導もあるのか、あるいは水平展開があると思うんですが、そこをまず、どこまでなのか。
それから、今回のような影響を及ぼす問題、今十四件と四件とおっしゃいましたけれども、それが、事案は省内にはなかったということでよろしいんでしょうか。
○安藤政府参考人 お答え申し上げます。
NISCからいわゆる不審な通信の検知に関する通報を受けた場合の対応でございますけれども、厚生労働省情報セキュリティポリシーに基づき定めました情報セキュリティーインシデント対処手順書、こういった手順書に基づきまして対応するということになってございます。
私どもの部署がNISCから通報を受けまして、それを統計情報部というところで場所を、部局を特定していただきます。それで、特定された部局に対しまして、NISCから不審な通信の検知があったという旨をお伝えし、対応するように通知をするということでございます。その後、それぞれ担当の部局におきまして対応するわけでございますけれども、その都度状況の報告等を受けて、必要に応じて助言、支援等を行っていくという形になります。
それから、NISCからの通報があった事案のうち、今回の年金機構の事案を除きますと、二十六年度以降、個人情報の流出が確認された事案はございません。
○高橋(千)委員 セキュリティーポリシーについては公表はできないということをおっしゃっていたわけですけれども、そのもととなる、準拠としている政府機関の情報セキュリティ対策のための統一基準、それらを参考にさせていただきました。インシデントのことも書いてあったと思います。
そこで、今回の事案はそのセキュリティーポリシーに沿ったものだったということでよろしいんですか。
○安藤政府参考人 基本的にはセキュリティーポリシーにのっとった対応であったと思います。詳細につきましては、今後検証していく必要があると存じます。
○高橋(千)委員 ですから、これはセキュリティーポリシーに沿ったものだと言い切っちゃうと、この程度の年金機構の対応で沿っているのかといったら、全体が問題になっちゃうわけですからね。これは非常に重大な問題だときのうも随分やりとりをしましたけれども、だから、どこまでを見ているのかなというふうに思っているわけです。
もう一度伺いますが、今回の年金機構の対応がセキュリティーポリシーに沿って正しくやったと受けとめてよろしいんですか。
○安藤政府参考人 結果がいろいろ発生しておりますので、何がまずかったのかということについては十分検証する必要があると存じます。
○高橋(千)委員 この点でも十分な検証を求めたいと思います。
そこで、今度は大臣に伺いますけれども、年金機構が、サイバー攻撃から行政機関を守るために国が指定する重要対象に含まれていないという指摘があります。
しかし、サイバーセキュリティ基本法に照らせば、特殊法人に当たる日本年金機構は、第十三条、「国の行政機関等におけるサイバーセキュリティの確保」で明記されているように、「国は、」と主語になっているわけなんですね。つまり、年金機構のセキュリティー対策については厚労大臣の責任だと思いますが、いかがですか。
○塩崎国務大臣 今御指摘のサイバーセキュリティ基本法では、国の行政機関と独立行政法人に係るサイバーセキュリティー施策について明示的に定めてあるわけでありまして、特殊法人である日本年金機構というのは同法の直接的な対象にはなっていないというところでございます。
一方で、年金事務は、厚生労働省の所管事務を厚生労働省と日本年金機構が一体となって処理をしている、そういうものでありまして、かかる事務実施における情報管理の問題については、両組織を一体不可分のものとしてNISCによる監査を受けることは今後とも可能であるというふうに考えているわけでございます。
厚生労働省としては、日本年金機構の監督官庁として、今般の同機構から情報漏えいがあったことについて、国民の皆様方におわびを申し上げると同時に、今後、同機構に対する監督責任を全力で全うすべく、同機構のサイバーセキュリティー対策に責任を持って万全を期して対処してまいりたいというふうに考えております。
○高橋(千)委員 やはり、この間の大臣の答弁がどうしてもちょっと他人事に聞こえるという指摘もありました。監督官庁だからみたいな、結果として責任はあるみたいな言い方をするんですが、明らかに法のたてつけは国が主語になっている。当然ここの場面では大臣に責任があるということを重ねて確認をしたいと思います。
具体の話を進めていきたいと思うんですが、やはり、何度も皆さんも指摘をされているわけですけれども、五月八日のこのときの初動というのが決定的なわけですよね。NISCからの通報以来、感染PCを特定してLANケーブルを抜くまでに所要時間はどのくらいかかっていますか。
○樽見政府参考人 このときの時間でいいますと、NISCからの通報から日本年金機構でのLANケーブルの引き抜きまでは、おおむね三時間程度を要してございます。
○高橋(千)委員 実は、きのうの夜、この質問に対してもらった答弁は一時間でした。そんなに早いのと正直思いました。でも、もしそうだったら、一時間で本当は危険を拡大しなくて済んだのになと思いました。
ところが、けさの新聞を見ると四時間半と書いてありました。どっちなのと思ったら、今の答弁は、まさか中をとって、三時間であります。どういうことでしょうか。何時から何時までですか。
○樽見政府参考人 具体的に何時から何時までというところにつきましては、恐縮でございます、全体の調査の一環の要素がございますので、御勘弁願いたいと思います。
NISCの方から不審な通信が行われているという旨の連絡が私どもの情報担当参事官室の方に来てから、その後、日本年金機構のLANシステムがかかわりがあるんだということを特定されて、それから年金局へ連絡が来て、それから年金機構へ連絡が行って、該当する端末を特定し、特定がされたところで直ちに引き抜きを行ったということで、今のところの差をとりますと三時間というところでございます。
○高橋(千)委員 三時間ということが確定をいたしました。
一時間ではなかった。さすがに一時間は無理だろうと正直思ったんですが、しかし、三時間でもしそれが本当にケーブルを抜くところまで行ったとするんであれば、本当にその日の対応によって、こんなことにはならなかったと重ねて指摘をしたいと思います。
やはり、PC一台を隔離したのみで、あとは機構と機構の全職員に対して注意喚起のメールをやっただけだった。これはさっきから質問があって、メールそのものは出せない、内容も言えないということを何度も何度もおっしゃっているわけですよね。
私は、この内容は大したものじゃないと思うんですよ、はっきり言って。全然大したものじゃない。大したものだったら、何度も何度もメールを開くなんてことは起こりませんよ。せいぜい、我々一般社会でよく聞く、不審メールは開かないように、この程度なんじゃないですか。
○水島参考人 たびたび、まことに恐縮でございますが、回答を差し控えさせていただきます。
○高橋(千)委員 全く納得できませんよね。よほどの機密情報が入っているのかと指摘をしなければならないわけですよ。これは重ねてやっていきたいと思うんですけれども。
これは、さっき十四件、四件とあったわけですけれども、厚労省としてはそのくらい。ただ、全体としては三桁のNISCからの国、機関に対する通報があるわけですよ。そういう中で、年金機構は初めてのことだったわけでしょう。そうしたら、最も緊張しなければならない。初めてこういうことが起きた。極めて危機意識が低いんじゃないですか。
○水島参考人 御指摘のとおり、日本年金機構にとりまして、ウイルスに感染をしたのは初めての案件でございました。この間の対処した過程にどのような問題があったのかということについては、機構としても、再発防止の観点から十分検討したいと考えております。
加えまして、厚生労働省に設置されます検証委員会におきましても、この点について検証していただけると思っております。そのような検証を踏まえて、再発防止に努力をしてまいりたいというふうに考えております。
○高橋(千)委員 ちょっとさっきのに戻るんですが、サイバーセキュリティ基本法によれば、NISCからの通知を受けて厚労省は必ず報告をする義務があります。いつ、どのような報告を行いましたか。
○安藤政府参考人 お答え申し上げます。
五月八日以来、私どもはNISCとは頻繁に情報交換を行ってございます。したがいまして、その中で重立ったものということでお答え申し上げます。
五月八日にNISCから不審な通信の検知の報告を受け、私どもが年金機構に伝えて、年金機構の方で端末の特定やらLANの抜線等の対応を行ったというような一連の対応につきまして、私どもの方で、同日のうちに、途中経過も含めましてNISCの方に報告をしてございます。
また、五月二十二日につきましても、同様の対応をしてございます。
それから、五月二十九日、警察からの情報提供があったということで、日本年金機構からの個人情報の流出が判明した旨をNISCに対して報告し、その時点での確認状況について説明してございます。
○高橋(千)委員 今、頻繁にとおっしゃったので、正直びっくりしました。
八日の事態が起こったときにLANケーブルを抜いたよと報告をした、それはもう何度も言われているわけですよね。この経過ペーパーを見たって、十一日に初めて年金局が出てきて、その後、出てくるのは十九日ですよね。ですから、本当にちゃんとした報告をしていたのか、正しい対応ができるかどうかという報告をしていたのかというのは、大変疑わざるを得ないと言わなければならないと思います。
同時に、もう一度NISCに伺いたいと思うんですが、できる規定ではあるんですけれども、三十一条に、本部は、つまりサイバーセキュリティ戦略本部は、資料の提出その他の協力を求めることができるとありますよね。この規定に基づく関係機関への報告徴収とか資料の提出などを行ってきたんでしょうか。
○谷脇政府参考人 お答え申し上げます。
委員御指摘のサイバーセキュリティ基本法の規定がございます。特殊法人等に対して資料の提出を求めることができるという規定があるわけでございますけれども、結論から申し上げますと、現時点まで、直接、資料提出の協力を機構に対して行ってきているということではございませんで、基本的には、厚生労働省を経由して資料提出等をお願いしているという状況でございます。
○高橋(千)委員 できる規定があるんだけれども、やっていないという答弁でありました。
ですから、本当に初動が間違っていたとはっきりしています。だけれども、未然に防ぐ仕組みをいろいろつくったはずなのに、厚労省にもきちんと責任があるし、NISCにもやることがある、なのに、どうしてこうなったんだろう。非常に納得がいきません。
それで、もう一回理事長に伺いますけれども、ウイルス除去社、実際の名前は何というのか教えていただけないので、ウイルス除去の担当の会社が、新種ウイルスは外部に情報を漏えいするタイプではないとの結果を十五日にしているわけですけれども、結果としてその判断が誤りだったことになる。
だから、これは、外に漏れないというのを聞いて何か安心しちゃったと。それでいいのかということ、本当に正しいのかということと、そして漏れなきゃいいのかということ、本当に納得がいきません。この点の責任をどう考えられますか。
○水島参考人 どの時点で機構LANシステムから個人情報が流出したかということに関しては、現時点では明らかでございません。
その意味で、情報、意見に対する対応についての評価は今後の検証にまつということになると思いますが、いずれにいたしましても、私どもといたしましては、結果の責任は負わなければならないというふうに考えております。
したがいまして、機構LANの中に個人情報をパスワードなしに保有しておったこと、あるいはここから情報が流出をしたということに関しましては、極めて重く受けとめております。
これらの経過に関しましては、私ども内部でも今後検証してまいりますが、先ほどの繰り返しになりますが、検証委員会での検証にもまちたいというふうに考えております。
○高橋(千)委員 今、理事長が結果責任という言葉に触れられました。
では、厚労省はどうなんでしょうか。
外部に情報を漏えいするタイプではないとのことは、年金局も報告を受けております。これは、やはりまたNISCに相談するなど、違う対応をするべきではなかったのか。いかがですか。
○樽見政府参考人 先ほどの理事長の御答弁と相通ずるところがございますが、ウイルス除去を行っている会社からの報告を受けてからの対応につきましては、日本年金機構における対応、私どもの年金局の対応を含めまして、昨日立ち上げました検証委員会において妥当性等を検証していただきたいと考えております。
○高橋(千)委員 だんだん、さっきから聞いていて、検証委員会に全部まつという結果になって、何か国会審議が、検証委員会があるんだから、あとは言うなよみたいに聞こえますね。これもちょっと、幾ら何でもひどいんじゃないか。きちんと説明責任を国会に対して果たしていくべきじゃないですか。大臣、この点、いかがですか。
これは通告していませんが、今の答弁がずっと続いていて、検証委員会をきちんとやってください、それはそうです。だけれども、国会に対する責任はちゃんと果たすと言ってください。
○塩崎国務大臣 御議論を頂戴いたしまして、要所要所で、先生方からの御指摘について、私も同じ問題意識を共有するという反省を込めたことも申し上げてきたわけで、結果として、これは明らかに、個人情報が流出したということでありますから、その結果責任は機構並びに私の監督責任として厚生労働省にもあるわけでありますので、係長段階でとどまっていた問題を含めて、いろいろ反省をすべきところがあるのではないかということをもう既に私も申し上げてきたわけであります。
そういうことを含めて、厳しく検証委員会には見てもらおうということを申し上げているわけで、国会での審議をしないとか、そういうことから避けて逃げようとかいうような話を言っているわけでは全くございません。
ただ、一点申し上げなきゃいけないのは、今回のことは、先生も先ほど来ずっと申し上げているように、外からの不正アクセスを防ぎ切れなかったということで、なぜ防ぎ切れなかったのかというセキュリティーの問題でもございまして、それも警察に今捜査をお願いしている、そういう案件だという制約はある中で、国会での御審議をお願い申し上げたいというふうに思います。
○高橋(千)委員 用意した問いに比べて時間がだんだん押してきましたので、ここは指摘にとどめますけれども、そう言いながら、残念ながら、資料の一枚目にあるように、平成二十六年三月三十一日、年金業務監視委員会は廃止をするべきではないと意見書が出ておるのにもかかわらず、期限が来たからということで廃止をされました。検証委員会、改めてつくらなきゃいけないと今言っているわけですが、今度は厚労省の中につくるわけですね。このことも非常に後退していると言わなければなりません。
消えた年金問題のときには、官房長官である塩崎大臣が、厚労省には任せておけないと言って、厚労省から外に出したわけです。今度、自分が大臣になったら、厚労省の中で、検証委員会でと。これで本当に大丈夫ですかと言わなければなりません。
これは答弁は要りません。指摘にしておきたいと思います。さっきから言っている言いわけを聞いていますので、これは指摘にとどめたいと思います。
そこで、次に、資料の二枚目と三枚目。
先ほどから議論になっている年金機構の評価委員会のところなんですが、五年連続Cと言われているのは、ここに書いているんですね。真ん中のC、C、Cと並んでいるものがそうであります。これが個人情報保護について。それから、コンプライアンスとかガバナンスについては全部Cなんですね。こういうふうになっているのが五年続けて同じだ。
ただ、先日、井坂委員も指摘をされたように、個人情報保護といっても、これはネットとかではなくて、誤送付のような非常にアナログ的な部分であるということで、逆にセキュリティーに関する評価項目がないということが問題なわけであります。
一方で、めくっていただきますと、Bランクと上がっているのは、これは効率化。効率化の方は高い評価を得ているわけです。これは、人員体制は二十五年度だけで、ごめんなさい、数字は今もう言う時間がないですから、特定業務契約職員とか准職員とかアシスタント契約職員といった有期の職員に振り向けて、また外部委託を大きく進めてきた。そうした中で、先日この委員会で堀内委員に大臣が答弁したように、機構の半分が非正規雇用になっているわけです。
行き過ぎた正社員減らし、外部委託など、非正規化を進めてきた中で、同じことが繰り返されたと言えないでしょうか。
○塩崎国務大臣 今のBランクのお話で、効率化でありますけれども、先ほど来申し上げているように、社会保険庁を廃止して、国民の年金に対する、特に業務に対する信頼を回復するということでありましたが、民間企業へのアウトソーシングの推進なども含めて、サービスの質の向上を図るとともに、効率的かつ効果的な業務遂行の実現に努めていくものというふうに、日本年金機構はそれを目指しているというふうに思います。
また、有期雇用職員の正規職員への積極的な登用や無期雇用への転換など、雇用の安定にも一定程度配慮した人事管理を行っているものと承知をしており、非正規職員の存在が個人情報保護についてのC評価につながったものとは考えておりません。
○高橋(千)委員 あとは指摘にとどめますが、最後のページを見てください。
業務委託の一覧表です。一つの会社が全国幾つもの年金事務所の請負をしているから、数は本当に多くないんです。大概が派遣社員を雇っているという状態であります。
これは、二〇〇七年の年金機構を発足させる法案質疑の中でも私はこの外部委託の問題を言いました。そして、社員が執務室に携帯電話を持って入っている、こういうことを指摘しました。情報の流出もいたしました。だけれども、結局、後で見ていただければわかるんですが、今になっても同じことが指摘をされているんです。来訪者が個人情報を扱う執務室に入室する際はどうするんですか、そのルールを決めましたというのが二年前なんですよ。やっと今決めたと。そういう中だから、当然、パスワードができていないというのも当たり前だなと思わなければならないんです。
次から次へとかわる職員に、守秘義務をちゃんとやりなさい、研修をやりなさい、そんなことが徹底できていないのは当たり前なんです。
やはりこのことをきちんと認めて、今何か、社保庁と体質が同じだという指摘がありましたけれども、本当にそうだろうか。本当に大事な、それを支えてきた大事な信頼できる職員を切り離して非正規雇用に委ねてきた、その中で起こってきたのではないかということもきちんと検証していきたいということを指摘して、きょうは時間なので終わりたいと思います。
――資料――
【資料1】年金業務監視委員会 総務大臣に対する「意見」(平成26年3月31日提出)