平成27年8月25日 厚生労働委員会
○行田邦子君 行田邦子です。
検証委員会が出されたこの報告書を読みまして、私は背筋が寒くなる思いでおります。年金事務を行っている組織がこのようにひどいずさんな状況にあったということ、そしてまた、それだけではなくて、年金行政を行っている組織、厚労省ですけれども、が非常に、これほどまでに責任が曖昧なまま事が進んでいたということ、本当にぞっとしました。
今日は午前中からずっと日本年金機構の意識改革などについての質問が続きましたので、一番目の質問は省略させていただきますけれども、今日は甲斐中委員長にお越しいただいていますので、二番目の質問からさせていただきたいと思います。
今日は、私は主に厚生労働省の責任について中心に伺いたいというふうに思っております。
この検証委員会の報告書では、厚生労働省における情報セキュリティー体制の脆弱性に触れています、十六ページのところで触れているわけですけれども。そして、本事案だけではなくて、過去の事案においても、事案収束後に情参室に報告が行くなど、情報の遅延があったということを指摘をしています。
組織の風通しの悪さとか、そしてまた当事者意識の欠如といったことは、これ、日本年金機構だけではなくて厚生労働省にも大きな問題があるというふうに私は印象を受けています。
そこで、甲斐中委員長に伺いたいと思いますけれども、今回の検証作業を通じて、厚生労働省のこの意識、当事者意識の欠如、また組織の風通しの悪さについてどのようにお感じになったのか、そしてまた、情報連絡の遅延がなぜ起こるのか、どのようにしたら改まるのか、お聞かせいただけたらと思います。
○参考人(甲斐中辰夫君) 情報連絡が遅れているということ、これは今回の事案の経緯を見るとよく分かるところです。なぜそういうことが起きるのかと。原因はいろいろあると思います。
一つは、情報というものに対する認識の問題なんですが、例えば何か大きな出来事があったとします。第一報は不完全なものなんですが、例えば、事例は悪いんですが、ケネディ大統領が亡くなったと、これは第一報なんですね。だけど、誰が殺したのか、どういうふうな経過で、どこで死んだのかと、そういうことは少し調べてみなければ分からない。だけど、情報としては第一報が非常に重要なんです。サイバーセキュリティーに対しては、まさにその第一報が大事なんです。それを、紙文化の世界で、とにかく報告書に作ってこいと、うまくまとまって報告しろというようなことをやっていると、情報連絡はどんどん遅れていくと。したがって、今の報告体制というのが、とにかく紙で報告するという形式にこだわっているというようなところが一つあると思います。
それから、そもそもその体制が充実しておりませんので、本来、情報を情参室にまとめるのであれば、それを全部総括的に見てまとめて、そして次の手をどう打つかということを見られる人間が、何人かスタッフがいなきゃいけないんですけれども、現実に担当者が、若い担当者が一人だけというところでは総合的な分析ができないと。したがって、その人がいなくなれば次のポストへの情報連絡が遅れるというようなことがあります。
認識と体制の問題があろうかと思います。
○行田邦子君 今、甲斐中委員長のお話を伺っていましても、この問題が起きた根本にあるのは、組織の様々な問題、そして、特に今回のことについて言いますと、標的型攻撃等のサイバー攻撃に対する、その危険性に対する認識、意識が厚生労働省においても不足していたのではないかというふうに思っております。
そこで、今日は内閣官房に来ていただいていますので、伺いたいと思います。
NISCは、各府省庁に対してこれまで標的型攻撃への注意喚起や対策などの明示について行ってきたと思っていますけれども、いつからどのような形で行ってきましたでしょうか。
○政府参考人(谷脇康彦君) お答え申し上げます。
いわゆる標的型攻撃が我が国において広く社会的に問題化いたしましたのが、平成二十三年の衆議院事務局に対する攻撃、あるいは三菱重工業に対する攻撃、この辺りに端を発しているところでございます。
NISCにおきましては、平成二十三年の十二月に、標的型攻撃による被害が拡大している事例を踏まえたセキュリティー対策の徹底に係る注意喚起をまず発出しております。また、翌平成二十四年の四月に、政府機関の情報セキュリティ対策のための統一基準の改定によりまして標的型攻撃に備えた体制の整備を規定しております。加えて、翌平成二十五年の九月以来、高度サイバー攻撃対処のためのリスク評価ガイドラインに基づきまして具体的なシステム対策を計画的に実施するなど、適時注意喚起や対策の強化に取り組んできているところでございます。
○行田邦子君 四年前に事案が具体的に起きてから、NISCにおいては注意喚起を行ってきたということでありますけれども、そうした中で、今御答弁にもありましたけれども、昨年の五月に政府機関の情報セキュリティ対策のための統一基準が改定されました。この改定の中には、標的型攻撃の高度化への対策、こうしたことも意識したものとなっています。厚生労働省ではこれに準拠して情報セキュリティーポリシーを改定しているはずでありますけれども、一方で、特殊法人である日本年金機構は統一基準の対象になっていませんので、政府統一基準に準拠した改定ができないままになっていました。
私は、これは、これだけ大量の個人情報を預かっている組織ですので、やはり政府機関と同等レベルの対策を講じるべきであるというふうに思っておりますけれども、なぜ厚労省の責任において機構に対して同等の対応を求めなかったのでしょうか。
○政府参考人(樽見英樹君) 御指摘のとおり、日本年金機構の情報セキュリティーポリシーにつきましては、最新の政府統一基準に準拠した改定に追い付いておりませんでした。これ、国、厚生労働省を言わば追いかけて、年金機構の方でも追いかけた改定をしなければいけないという意識はあったわけでございますけれども、率直に申し上げまして、私を含めて、その点についての言わば切迫をしたリスクの意識というものが薄かったというふうに言わざるを得ないというふうに考えております。
おっしゃるとおり、公的年金制度の最も重要な執行という部分を請け負っているということでございますので、可能な限り政府統一基準と同等レベルの情報セキュリティー対策が講じられるべく、機構を私どもとして適切に監督すべきであったというふうに考えているところでございます。
その中で、検証委員会の報告書でも指摘されておりますとおり、厚労省全体のセキュリティー体制が脆弱、あるいは機構LANについて監督すべき部署が不明確であったということの御指摘もいただいております。したがいまして、まず年金局におきまして、機構のLANについての監督というところにつきましては、局の中でITシステムに関する一定の専門性を有する職員が配置されております年金局事業管理課のシステム室という部署がございます。ここで機構LANを含めて機構システムの監督を行うというふうなことをまずしたところでございます。
今後とも、今回の事案を機に、しっかりと指導するということを心掛けてまいりたいというふうに考えております。
○行田邦子君 このことだけではなくて、厚労省の情報セキュリティーに対する意識の甘さ、欠如というのは随所に見られるわけでありますけれども、そしてまた、今になって機構LANシステムの責任がどこの部署にあるのかということがようやく決められたということ、非常に私は問題があるというふうに思っております。
そこで質問を続けたいと思うんですが、内閣官房に伺いたいと思います。
実は、八月二十日、検証委員会が報告書を出す前日、そしてまた日本年金機構が報告書を出した同じ日に、サイバーセキュリティ戦略本部におきましては、当事案に関する原因究明調査結果というものを出しています。そこの二十一ページにも書いてあるわけでありますけれども、五月二十一日に不審メールの解析結果をNISCは厚労省を通じて提供したわけであります。けれども、こうしたNISCがふだんから行っている通知や注意喚起や、また不審メールなどの解析結果というのをせっかくNISCが提供していても、生かされていないといった場合があると。
これ、間接的に厚生労働省を批判しているわけであると私は読んでいるんですけれども、せっかくNISCがこのようなことをやっていても、当該の府省庁でその情報が欠如、意識のレベルが低いために何にも生かされていないというケースがあるというようなことであろうかと思います。
そしてさらに、私の手元にありますが、サイバーセキュリティ政策に係る年次報告二〇一四年度版というのが七月二十三日に出たんですけれども、ここに二〇一四年度の政府機関等に係る情報セキュリティインシデント一覧というものがあるんですが、全部で二十六件あります。これを見させていただいたところ、二十六件中、何と九件が厚生労働省に関係するものです。厚生労働省本省、そして労働局や労災病院といった二十六件中九件が一年間での政府機関等における情報セキュリティーのインシデントに挙げられていると。
これを見て私は、一体厚生労働省のこの情報セキュリティーのレベルってどの程度なんだろうかと思っております。かなり低いのではないかと思っていますし、そう思いたいんですけれども、内閣官房、いかがでしょうか。
○政府参考人(谷脇康彦君) お答え申し上げます。
お尋ねのセキュリティー体制の評価でございますけれども、物理的な情報システムはもとより、この物理的なシステムの運用方法ですとか業務手順といった種々の要素が絡むため、一概にそのレベルということをお答えするのはなかなか難しい面がございます。
しかしながら、今回の私どもの事案調査におきましても、厚生労働省のセキュリティー体制のうち、インシデント対処につきましては、その報告・対処手順を整備しているものの、今回のインシデントにおいて、連絡を受けた担当窓口から責任者である幹部に報告が上がっていなかったこと。また、インシデント対応組織であるCSIRTの構成員が課室長等以上でありまして、課長補佐以下の実働要員が選任、指名されていなかったこと。さらには、委員からも御指摘がございましたように、厚労省統合ネットワークにおける標的型攻撃に対する多重防御の取組はございましたけれども、機構の情報系ネットワークについては取組が十分でなかったといったような問題点を指摘しているところでございます。
こうした問題点を踏まえて、NISCとしましても、今回得られた教訓を基に、厚生労働省はもとより、各府省庁がより適切な体制整備、必要な取組が行われるよう措置をしてまいりたいと考えているところでございます。
○行田邦子君 いっそのこと、厚生労働省の情報セキュリティーレベルは政府機関でかなり低いと、相当低いレベルにあると答弁していただいた方が私も逆に安心したわけでありますけれども、それでも、今審議官からは幾つか重要な指摘がありました。
そして、質問を続けますけれども、各府省庁におきましては、やはり自らが情報を保有して、そしてまた管理をするという責任と自覚を持って、自らの職員の教育とか、あるいは情報セキュリティーの体制整備といったことを自ら行うということが私は原則だというふうに考えていますけれども、結局、その結果、厚生労働省、それから年金機構の情報セキュリティーを厚労省、年金機構に任せてしまったがゆえに、情報セキュリティーへの認識が足りない政府機関においてこのような事態が生じてしまったということです。
私は、これ、政府全体としては情報セキュリティーの水準を底上げしていかなければいけないというふうに思っているんですけれども、政府全体の情報セキュリティー水準の底上げとして、NISCがまたは政府がとるべき措置についてお答えいただけますでしょうか。
○政府参考人(谷脇康彦君) お答え申し上げます。
委員御指摘のとおり、各政府機関におきます情報セキュリティー対策につきましては、各府省庁の業務ですとか保有する情報、あるいは利用する情報システムといった個別事情を踏まえて取り組むべき性質のものでございまして、一義的には当該府省庁が責任を持って行うものであるというふうに考えております。
しかしながら、NISCといたしましては、こうした府省庁の取組を更に積極的に後押しをしていくという立場から、今回の私どもの原因究明報告書を踏まえて、新たなサイバーセキュリティ戦略案におきまして、私どもNISCが運用しておりますGSOCシステムの一層の強化、あるいは監視、監査等の業務について、政府機関のみならず、重要業務を行う独立行政法人、あるいは政府機関と一体となって公的業務を行う特殊法人なども対象とすること、さらには、大量の個人情報等の重要情報を取り扱う情報システムのインターネットからの分離を含む攻撃リスク低減のための対策強化などを盛り込んでいるところでございます。
政府といたしましては、この戦略を踏まえて、政府全体として適切な予算あるいは人員の確保に向けて対策の強化を図ってまいりたいと考えております。
○行田邦子君 GSOCの強化についてはまた後ほど伺いたいと思うんですけれども。
そして、私は、やはり日頃からの教育訓練、情報セキュリティーに関する教育訓練、演習、研修といったことの強化がやはり政府全体として求められているというふうに思っております。
ただ、これまでも政府全体として各府省参加しての教育訓練といったことが行われています。
そこで、二年前に行われました、二〇一三年八月から十二月に行われました標的型メールに対する教育訓練について伺いたいと思います。
お手元に資料一をお配りさせていただいておりますけれども、標的型メールに対する教育訓練を行いまして、その訓練の結果、二回行って、メールを送っているわけですけれども、一回目のメールの開封率が全体で一〇・一%、二回目の開封率が一六・三%と、これは政府十八府省庁約十八万人全体の平均ということですけれども、厚生労働省の実施結果、メールの開封率はいかがでしたか。
○政府参考人(安藤英作君) お答えいたします。
公表することによりまして厚生労働省のセキュリティー能力を明らかにするということから、余り正確な数字というのは差し控えさせていただきたいと存じますけれども、開封率一〇・一%、一六・三%というのがお示しになられておりますけれども、この平均値の辺りにあるとお考えいただきたいと存じます。
○行田邦子君 明らかにすると情報セキュリティーのレベルを明らかにしてしまうので、脆弱性を明らかにしてしまうので言いたくないというのは分かりました。
続けて質問させて……(発言する者あり)
○委員長(丸川珠代君) 速記を止めてください。
〔速記中止〕
○委員長(丸川珠代君) 速記を起こしてください。
○政府参考人(安藤英作君) この一三年度でございますけれども、一回目の訓練の開封率が五・四%、二回目が一五・七%でございます。
○行田邦子君 事前には、この数字を言ってしまうと厚労省の情報セキュリティー体制の脆弱性をあらわにするから言いたくないという、文書でも答弁いただいていたんですけれども、一回目は平均よりか、約半分なので悪いけれども、二回目はまあさほど悪くはないという……(発言する者あり)あっ、逆ですか、済みません、逆でしたね、ということです。
そして、もう一つ結果を伺いたいことがあります。
資料二なんですけれども、これも政府全体としてのサイバー攻撃対処訓練についてなんですけれども、今年三月十八日、三月十八日はサイバーの日と言われているようですけれども、ナショナルサイバー駅伝という競技形式のサイバー攻撃対処訓練を政府として初めて実施して、十二省庁が参加しました。そこには厚生労働省も参加をしていまして、資料二をお配りしているとおりでございます。これで結果が、総合優勝、最速タイムが警察庁、そして、総務大臣表彰が金融庁という結果になっています。
そこで伺いたいんですけれども、厚生労働省のナショナルサイバー駅伝における結果はいかがでしたでしょうか。
○政府参考人(安藤英作君) 済みません、これも、政府全体の中で、お答えすることができませんので、どうか御容赦いただきたいと存じます。
○行田邦子君 なぜ答えることができないんでしょうか。
○政府参考人(安藤英作君) これは、済みません、政府全体でうちのだけを出すわけにはいかないということで、そういうルールになってございます。どうか御理解をいただきたいと存じます。(発言する者あり)
○委員長(丸川珠代君) 速記を止めてください。
〔速記中止〕
○委員長(丸川珠代君) 速記を起こしてください。
○行田邦子君 ナショナルサイバー駅伝の結果、答弁できないということでしたけれども、是非これ公表していただきたいと思うんですが、委員長、後刻理事会で協議していただけますでしょうか。
○委員長(丸川珠代君) ただいまの件につきましては、後刻理事会で協議をさせていただきます。
○行田邦子君 メール訓練については数字をお答えいただけました。そして、ナショナルサイバー駅伝の結果はお答えいただけませんでしたが、ただ、大臣は両方のこの結果について、成績について報告を受けていると思います。その数字を聞いて、また結果を聞いた上での大臣の御所見を伺いたいと思います。
○国務大臣(塩崎恭久君) 先ほど審議官が答弁いたしましたが、政府全体でやっているものでありますために細かな数字は控えたいと、こういうことでございますけれども、厚労省としては、いずれにしても、もう今回の事案で明確になったように、また検証委員会でも厳しく御指摘をいただいたように、サイバーセキュリティーに関する、幹部を含めて、省の意識レベルは問題が大きいということは私もそのとおりだと思いますので、こういった政府の中でのこういう訓練の中で問題が指摘をされていると思いますので、それを踏まえて、金輪際こういう低い評価からは決別をするという決意を持っていかなければいけないというふうに思いますが、そのためには、かなりやらなきゃいけないことがたくさんあると思っています。
先ほどちょっと申し上げましたけれども、組織的にも、また人員配置的にも様々な問題がこれまではあったわけでありますので、有効なセキュリティー体制が組めるように、まず組織、また人の体制を組むとともに、職員を、やっぱり教育訓練を自らやっていかないといけないと、それにはやっぱり意識レベルを我々変えていかなきゃいけないので、まずは幹部からしっかりと意識を変えて、これから出直すという気持ちでやっていかないといけないこの駅伝の評価でもあったということでございます。
○行田邦子君 具体的な結果は控えたいということでしたが、大臣からは、低い結果ということの認識での御答弁をいただきました。
続いて、再び大臣に伺いたいと思うんですけれども、こういった政府全体での教育訓練というのはこれからも行われるかと思いますけれども、この中に是非私は日本年金機構も交ぜるべきだというふうに、参加させるべきだと思っていまして、これからの教育訓練の在り方について伺いたいと思います。
○国務大臣(塩崎恭久君) これは先生御指摘のとおりで、今回のことでよく分かりましたし、そもそも私は、厚労省と年金機構の間の関係の再定義をすべきだというふうに言っています、今回の事案を受けて。したがって、この訓練、講習を日本年金機構も厚労省と一緒にやるということは大変大事だと私も思っておりますので、可能な限り政府機関と同等のレベルを機構も得るように、もちろん厚労省も自らレベルアップしていくように、徹底的にこれから全てのことをやり変えていかなきゃいけないというふうに思います。
○行田邦子君 最後の質問、内閣官房に伺いたいと思いますけれども、このサイバー攻撃というのは、私は、厚労省、日本年金機構だけの問題ではなくて、今政府全体がサイバー攻撃に遭っているさなかだという認識を持った方がいいと思っております。その割にはNISCの人員というのは非常に少ない、百名強でやっているということですので、私は、人員の質量ともに増強というのが必要ですし、またいろいろな体制整備が急がれなければいけないというふうに思っております。ちょうど来年度の概算要求の時期でありますので、私は、来年度の予算、しっかりとNISCとしても確保すべきと思いますが、いかがでしょうか。
○政府参考人(谷脇康彦君) お答え申し上げます。
サイバー攻撃がますます複雑化、巧妙化している中で、内閣サイバーセキュリティセンター、NISCの機能強化ということも非常に重要なテーマだというふうに考えております。先ほども御答弁申し上げましたGSOCの大幅な機能強化、あるいは監視、監査、原因究明調査業務の対象の拡大、それから、まさに今委員から御指摘がございましたNISCの要員の強化、こうしたことを柱といたします機能強化を行う必要がございます。
先週、八月二十日に決定をいたしました新たなサイバーセキュリティ戦略案におきましてこうした項目を盛り込んでいるところでございますけれども、政府としては、この戦略案を速やかに閣議決定をし、この戦略を踏まえて、政府全体として適切な予算あるいは人員の確保などサイバーセキュリティー対策の強化を遅滞なく図ってまいりたいと考えているところでございます。
○行田邦子君 終わります。