【議事録】厚生労働委員会質問

平成27年6月16日 厚生労働委員会

○行田邦子君 行田邦子です。
先週のこの委員会での私の質問に対する日本年金機構水島理事長の答弁で新たな事実が分かりました。五月二十九日にインターネットを遮断をしていたという説明だったんですが、実はインターネットメールは六月四日の十九時まで使い続けていたということでした。
そして、この新たな事実が発覚したことを受けて、厚生労働省年金局は、我々は知りませんでした、六月九日の委員会での答弁を聞くまで全く知りません、びっくりしましたということをしきりにおっしゃっています。ここの部分だけは非常に皆さん意思統一されているんですけれども、どうやら、自分たちはとにかく知らないという組織防衛に走り過ぎてしまっているのではないかなというふうに感じておりますし、また、私がこれまで年金局、厚生労働省の現場の皆様と接していますと、六月九日の水島理事長の答弁を聞くまで全く誰も知らなかったということではないだろうなと、このように勝手に推察をしております。
この件につきましては今日はもう質問いたしませんけれども、いずれにしても、一方で、日本年金機構なんですけれども、六月四日まで実はインターネットメールを使い続けていて、まずいなと思ったのでそれは遮断しましたという報告を、なぜ大臣に直接伝わるような形で、正式、公式なルートで報告をしなかったのかと、ここも私は大きな疑問が残ります。
そこで、今日は、年金情報流出、この問題についての厚生労働省内外での報告、連絡、相談の経路について確認をしていきたいと思っております。
今日の石橋委員の質疑の中で明らかになりましたけれども、年金局の係長がずっと一人で対応していたということでありますけれども、この係長というのはどういう職務にあったかというと、事業企画課、課室の情報セキュリティ管理者だったということであります。そして、この方は四月に異動になってきたばかりと。恐らく組織の中のことも余り分からないまま、そしてまた情報セキュリティーの教育といったこともしっかりと受けないまま、こういった非常に責任のある職務に任命されてしまったのではないかと思っております。
一連の答弁の中でも、係長が係長がということをさんざん皆さんはおっしゃるんですけれども、私は、これはこの情報セキュリティ管理者であった係長一人の責任ではないと。むしろ、私は、これは任命責任であったり、また組織の管理責任だということを非常に感じております。
そこで、大臣に伺いたいと思うんですけれども、私、今回のこういう情報セキュリティーインシデントと捉えるべき状況が起きているにもかかわらず、情報セキュリティ責任者、これは事業企画課長ですけれども、にも伝わらなかったということ、これは年金局組織の体制だけではなくて体質に大きな問題があると思いますが、いかがでしょうか。
○国務大臣(塩崎恭久君) 結論から申し上げれば、体制面、体質面いずれも問題があったと私も感じているところでございまして、この年金局の担当職員には専ら、先ほど言ったように、連絡役という意識ということでありますけれども、それをちゃんと訓練をし、そしてきちっと上げるように教育をしていなかった方も問題であるわけでありまして、年金局としてこれまで不正アクセス事案は発生していなかったということで、他の業務においても連絡役をやってきたこの係長に任せっきりになったということを考えてみれば、また、情報セキュリティ管理者として指名をしていたということについても、この事案が発生した際の取扱いについて、私たちは、十分な対応をしていたというふうに、年金局がですね、対応していたというふうには思えないわけであって、体制面での問題、そしてそのままに放置をしていたということについても体質的にも問題があるということで、これは自らやっぱり検証をしていくということと、他の、外の目で、第三者委員会であるこの検証委員会でも当然厳しく見てもらわなきゃいけないというふうに思っております。
○行田邦子君 大臣の御答弁でも再三にわたって、我々は組織として対応しているというふうにおっしゃっていますけれども、組織もいろいろもちろんありますが、私が認識をしているいわゆる組織というのは、何か現場で起こったらば、まずい情報、悪い情報ほど先にきちんと上長に上げると、そしてしかるべき組織としてきちんと事に当たっていくということだと思っております。そういう意味では、私は、厚生労働省、年金局、組織の体を成していないのではないかというふうに感じております。
今、年金局の組織の問題を指摘させていただきましたけれども、今日、私、皆様のお手元にお配りをしております年金情報流出、報告・連絡・相談経路というものを作らせていただきましたので、これを見ながら質問させていただきたいと思っております。
これまで、厚生労働省、日本年金機構からのヒアリングを元に作ったものでありますけれども、今、年金局の話をしましたけれども、その左横にある情報セキュリティーラインなんですけれども、厚労省の中のラインなんですけれども、ここについて伺いたいと思いますが、先ほどの質疑の中、またこれまでの答弁の中でも明らかになっておりますが、この赤いラインですけれども、情報政策担当参事官室の担当者、NISCから五月八日に連絡を受けて対応した方、この方から参事官に、参事官は統括情報セキュリティ責任者ですけれども、この事件の報告が上がったのは五月二十五日ということで確認ができました。余りにも遅過ぎるということ、二回もこれまでNISCから通報が来ているのに、五月二十五日に報告が上がったということでした。そして、そこからその上の、今度は最高情報セキュリティ責任者、官房長にはいつ上がったかというと、五月二十九日ということでありました。これは私、厚労省の年金局だけではなくて、情報セキュリティーラインにも非常に大きな問題があるというふうに思っております。
今、私の手元に、政府機関の情報セキュリティ対策のための統一基準というものがあるんですけれども、これを見てみますと、例えばなんですけれども、最高情報セキュリティ責任者は、情報セキュリティーインシデントが発生した際、直ちに自らへの報告が行われる体制を整備することとなっていますけれども、全くできていません。また、統括情報セキュリティ責任者は、情報セキュリティーインシデントを認知した際の報告窓口を含む府省庁関係者への報告手順を整備し、行政事務従事者に周知すること等と書かれているんですけれども、ここに書かれている政府が出している統一基準、全くできていないと言わざるを得ません。大臣、いかがでしょうか。問題認識を伺いたいと思います。
○国務大臣(塩崎恭久君) 今御指摘いただきましたように、言ってみれば、今日お作りをいただいて配付していただいた資料の、担当者レベルでの連絡に終始していたと、つまり上に上がっていかなかったというところを今御指摘をいただいたというふうに思います。
今回の事案では、NISCとの連絡調整や被害拡大防止のための応急措置の指示とか、あるいは不正プログラムの登録など、手順書に定められた措置がとられてはきておるわけでありますけれども、責任者への、今言った上に行くという、この報告が全く遅れたということで、先ほど官房長は二十九日と今先生おっしゃいましたが、二十八日と聞いておりますが。
いずれにしても、反省すべき点として、きちっとした手順どおり、上に、上司に報告が上がっていない、横で連絡が行ったということで、ここのところは大いに反省をしなきゃいけませんし、今後は、先ほど来申し上げているように、このNISCからの注意喚起及びその後の対応については、私は全て私に報告をするように指示をしておりまして、セキュリティーポリシーと手順書にのっとった運用の徹底を図るということを今から強化をしていきたいと思っております。
さらに、インシデント事案が発生した際の報告体制の確保も含めて、日本年金機構不正アクセス事案検証委員会、ここでも、そして内部の検証のメカニズムでも原因究明と再発防止策を検討してまいりたいというふうに思います。
○行田邦子君 情報セキュリティーの対策の中で、私は最も重要な一つというのは、しかるべき者がしっかりと情報共有をしかるべきタイミングですることだというふうに思っておりまして、それは手順書に書いてあるはずです。
ですから、そういう意味では、手順書どおりにやったということじゃなくて、手順書に書いてある最も大事な一つが抜けていた、やっていなかったということだというふうに指摘をしておきたいと思います。
それで、先ほどの答弁にも少しありましたけれども、これまで厚生労働省はNISCからGSOC、センサー監視等による同様の通報というのを受けていまして、二〇一四年は十四件です。今年になってからは、この日本年金機構の二件を除くと三件受けています。
そこでお聞きしたいんですけれども、これまでもNISCからのこのような通報を受けた場合、これまでも統括情報セキュリティ責任者には報告をしていなかったということでしょうか。
○政府参考人(安藤英作君) これは口頭での報告という形になりますので、双方の記憶にやや曖昧なところがございますので、確実なところは分かりかねるのですけれども、少なくとも直ちに報告を受けていない案件もあったと承知しております。
○行田邦子君 大臣、この答弁を聞いて、いかがでしょうか。
○国務大臣(塩崎恭久君) 今、参事官に、つまり情報政策担当参事官、これが統括情報セキュリティ責任者になるわけですけれども、ここに報告がかなり遅れたということは、これは大いに反省をしなければいけない点だというふうに思っております。
まさに先ほど申し上げたとおり、NISCからの注意喚起というのは、あるいはその注意喚起が来てその後どうするか、それでてん末はどうなったかというところまで、ちゃんと私に全て上げるように今後はしなければいけないということを下に指示を既にしているところでございまして、先生今御指摘のとおり、手順書どおりにそれにのっとった対応をしていかなければならないということを改めて感じているところでございます。
○行田邦子君 NISCは、大体一年間に政府機関への脅威と認知するものは約五百万件あって、そのうちのごくごく一部がこんな不審な通信を検知というような形で、年間百三十九件、関係する府省庁に連絡をしているわけです。
ですから、NISCからの今回の通報というのは、非常に極めて非常事態、また緊急事態だという認識をするべきだというふうに思いますけれども、今の審議官の御答弁を伺いまして、本当に厚労省の情報セキュリティー、この程度なのかというふうな思いをしております。
それで、次に、日本年金機構について伺いたいと思うんですけれども、今日は副理事長にお越しいただいていますので、お答えいただけたらと思うんですけれども、これはまず確認なんですけれども、日本年金機構におきましては、本件、この五月八日に年金局から連絡を受けて、事の対処に当たったその部署名をまずお聞かせいただけますでしょうか。
○参考人(薄井康紀君) お答え申し上げます。
五月八日、NISCの方からの情報を受けまして、厚生労働省年金局を通じまして、機構からの異常な通信を検知しているとの連絡が、機構の窓口でございます経営企画部の方へございました。経営企画部の方から情報セキュリティーの担当部署でございますシステム統括部にこの情報を伝えました。システム統括部から、同じ部門の中ではございますけれども、関係部署、基幹システム開発部へ連絡をいたしまして、その部におきまして不審メールを受信した端末を特定し、LANケーブルを引き抜いて、運用委託会社の方へ解析依頼を行っております。
○行田邦子君 それでは伺いたいんですけれども、薄井副理事長は本件について、いつ、誰から最初に報告を受けたんでしょうか。
○参考人(薄井康紀君) お答え申し上げます。
先ほど申し上げたような情報が経営企画部の方にございまして、私としては経営企画部の方から最初の報告を受けております。その後、担当部署であるシステム統括部からも話を聞いております。
○行田邦子君 ということは、五月八日に、薄井副理事長は、NISCから通報を受けて、このようなことが起きているということを報告を受けたということですよね。
○参考人(薄井康紀君) 五月の八日の時点で、このような情報があるということを報告を受けております。
先般来御説明しておりますように、その日に不審メールを受信したパソコンを特定してケーブルを引き抜いた、それから運用委託会社を通じてウイルス対策ソフト会社に解析を依頼する、それから全職員に対して注意喚起のメールを送ると、こういったことがございまして、これらの内容につきましてはシステム統括部より報告を受けております。
○行田邦子君 それでは、副理事長に伺いたいんですけれども、副理事長は、なぜ本件について年金局に連絡、報告、相談をしなかったんでしょうか。
○参考人(薄井康紀君) 年金局に対しましては、この五月八日の最初の報告を受けた後は、組織として逐次報告を行っていると認識しておりまして、私からも年金局とよく相談して対応するように指示をしておりました。
○行田邦子君 副理事長は、では直接一切年金局とは連絡を取らなかったということでしょうか。
○参考人(薄井康紀君) 五月の八日の時点ではそうでございます。
○行田邦子君 本当でしょうか。
薄井副理事長は、昭和五十一年に厚生省に入省されて、平成十八年には厚生労働省政策統括官、社会保障担当をされて、そして平成二十年には社会保険庁総務部長になられて、日本年金機構設立準備事務局長、現在に至っているわけでありますけれども、厚生労働省、特に年金局とは深い深いパイプがあるんじゃないでしょうか。いわゆる天下りであります。
一般的に言いますと、私は天下り原則反対ですけれども、なぜ天下りをそのポストに置くのかというと、それは所管省庁と深い、太い太いパイプがあって、何かがあったときにすぐに連絡ができて事の対処に当たれるから、だから天下りがいるんじゃないでしょうか。そのいわゆる天下りの薄井副理事長が、なぜすぐにこんな大変なことが起きているということを自分のパイプを生かして年金局に報告、連絡、相談をしなかったんでしょうか。
○参考人(薄井康紀君) 今となって、その時点で、年金局の方とのパイプといいましょうか、そういうことという御指摘はよく分かります。
その時点では、第一報が入って、それに対する対応をして、そのことをルートでお伝えをするということで、私から年金局の方にこの事態ということでお伝えをすることはなかったと、こういうことでございます。
○行田邦子君 それでは、樽見審議官に伺いたいんですけれども、樽見審議官は、一切副理事長からこの件について連絡を、五月二十五日以前、受けていなかったんでしょうか。
○政府参考人(樽見英樹君) 連絡をいただいたことはなかったと記憶をしてございます。
○行田邦子君 ここは国会ですので議事録残りますけど、本当によろしいんでしょうか。
○政府参考人(樽見英樹君) 私の記憶のとおり、記憶はそういうことでございます。
○行田邦子君 お二人ともそういうふうにおっしゃっているので、議事録にこれは残るということを分かった上で、御承知の上でそういう答弁をなさっているんだと思いますけれども、私はこれ、厚生労働省と日本年金機構のこの報告・連絡・相談ルート、これおかしいと思いますよ。だったら天下り要らないですよね。ほかにも日本年金機構の役員にはたくさんいわゆる天下りが厚労省からいるわけでしょう。何のためにいるのかと。もちろん私は天下りは反対なんですけれども、今まで副理事長、何をやっていらしたのかということを本当に疑問に思わざるを得ません。
副理事長というのは、これ日本年金機構法なんですけれども、「副理事長は、機構を代表し、理事長の定めるところにより、理事長を補佐して機構の業務を掌理し、理事長に事故があるときはその職務を代理し、理事長が欠員のときはその職務を行う。」というような役割なんですけれども、私は、一連の答弁を伺っていて、今、日本年金機構のトップとして水島理事長は矢面に立っています、それはトップとして責任を負うことはもう当然ではありますけれども、何か皆さん、民間出身の理事長にさえ責任を負わせれば事が済むというふうに思っているんではないかなというふうに思わざるを得ません。そうだとしたらばとんでもないことだ、大間違いだということを指摘をしておきたいというふうに思っております。
それで、今日は参考人のお二方、ありがとうございます。限られた時間ですけれども、質問していきたいと思います。
まず、郷原参考人に伺いたいと思います。
郷原参考人は、ブログでこのようなことを書かれています。今回の年金情報流出問題は、日本年金機構組織の重大な欠陥によるリスクが顕在化したものであり、また、組織の無謬性にこだわり、責任回避に終始する厚労省にも重大な責任がある、このように書かれているんですけれども、今回のような問題が発生したそれぞれの組織の問題点を具体的に御指摘いただけますでしょうか。
○参考人(郷原信郎君) 確かに、私、個人ブログにそのように書きました。
そのように私が思いました一つの大きな案件は、先ほどお話しした時効特例給付の問題以降にまだ大きな問題が発生して、我々、年金業務監視委員会で取り上げました。それが失踪宣告者に対する死亡一時金の時効をどこから起算するかという問題で、これは時効の起算点の考え方を厚労省が途中で変更をしたんですね。我々はその変更の考え方は全く間違っているということを厳しく指摘しました。
そうしたら、結局、その過程で分かったことは、誰が決めたかよく分からないんです。その通知は課長補佐から出たということになっているんですけれども、何か問いただしますと、いや、室長もちゃんと了解していると言うんですけれども、全然その記録がないんです。しかも、結局、我々の指摘に対してそれでもいいということは言い切れなかったためだと思いますが、最終的には取扱いを変えたんですね。
ただ、変えるときに、その説明なんですが、時効の起算点の考え方は、変えたときの考え方は間違っていない、でも時効を援用しないことによってこれからは払ってやると、こういう考え方だったんです。私は、こういう厚労省の対応、考え方が、あたかも年金の資金というのは何か厚労省のものであるような考え方じゃないかと。それはもう大切な国民の財産ですよね。それに対してしっかり自分たちが責任を持って対応していくというようなところがどうも感じられなかった。
結局、いろんな問題をもうぎりぎりまで、年金業務監視委員会廃止直前まで指摘し続けたんですが、そういう私の考えは変わりませんでした。それを率直に個人ブログの中に書いたということです。
○行田邦子君 ありがとうございます。
それでは、最後、西本参考人に伺いたいと思います。
これまでの委員会の質疑の中でもいろいろ御答弁されていますけれども、今回のような大量の情報流出が政府、公的機関で再び起きないための再発防止、また万一起きてしまったときの被害を最小限に抑えるための対策を早急に講じるべきと考えていますけれども、西本参考人から、厚労省がすぐに取り組むべきということ、何があるか、お答えいただけますでしょうか。
○参考人(西本逸郎君) 近々でやるべきことというのは皆さんお分かりだと思いますが、現状、運用が形骸化している部分での個人情報の取扱いについては全部洗い出して、一旦ストップをする。当然、その中でも業務継続でどうしても必要なものについては、厳格な管理をやる。次にやるべきことは、個人情報を取り扱うことを前提とした情報システムのネットワークをしっかり構築をする。
特にこの個人情報に関して言うと、取扱いの記録をきっちり付けておくというのが鉄則でございますので、その辺りは今後やっていただきたいと思うんですが、再発防止に関して非常に重要な点としては、本当はお手元に資料を配れるというのを知らなくてこういうものをちょっと作ってきて申し訳ないんですが、やっぱり再発防止への意識の共有が一つ目に必要だと。何を再発させないのかと。正直なところ、一件たりとも情報、今後流出をしないということはあり得ない、正直なところ。なので、ミニマムにしていくんだ。
今後の対応について言うと、今日も私、この席に出させていただいてすごく感じることは、今回の事件というのは、非常に不幸な事件ではございますが、ある面でいうとうまくいかなかったことが確認できてよかったねという、これをやっぱり徹底的に活用していかないと次の一歩にはつながらないと思います。なので、何を再発させないのかというのを、これをまずは共有するということ。
二つ目としては、事故前提の訓練をしっかり行うということ。事故があってはならない、うまくいく訓練は幾ら重ねてもこれは無意味です。うまくいかないんだということを前提とした、それを組織の中でもしっかり共有できる風通しの良さだとか透明感とか、こういったものをしっかりやるための訓練が必要だと思います。
あとは、被害情報を出しやすい環境をやっぱり構築しないといけないです。これは、基本的には、一番悪いのはやった犯人です。これを仕掛けている方が一番悪いに決まっているわけです。我々はやっぱり、個人情報保護法が制定されて十年たつんですが、管理責任ばかりを問う部分でかなりセンシティブになってきています。ここはやっぱりバランスを失わずに、やった方に対する囲い込みのことをやりつつ、適切に管理責任を問うていくようなことの両輪をやっぱりしっかりやらないと、この情報を出してくるということはなかなか難しいんじゃないかというふうに私は思っております。
ちょっと細かい話から、少し遠めの話までさせていただきました。
○行田邦子君 ありがとうございます。
塩崎大臣、是非、今日の委員会の質疑を年金行政の立て直しに生かしていただきたいと思います。よろしくお願いいたします。

タイトルとURLをコピーしました