【議事録】厚生労働委員会質問

平成27年6月9日 厚生労働委員会

○行田邦子君 連日、年金情報流出問題でテレビ、新聞などで報道がなされて、新しい情報が次々と報道されているわけでありますけれども、こうした報道の中で、関係者への取材で分かったとか、あるいは内部文書などから分かったといって情報が流れています。
そこで、私も、またほかの委員もそうかと思いますけれども、これは事実ですかという確認を厚生労働省また日本年金機構にすると、これは捜査に関することであり、回答は差し控えたいという答えが余りにも多いわけであります。国会に報告できないような、捜査に支障を来すような重要な情報が、なぜいとも簡単にメディアに連日流されてしまうのか、私は不思議でなりません。
これは厚生労働省また日本年金機構のサイバー空間の情報セキュリティーが緩いというだけではなくて、リアル空間の情報管理も非常に問題があるのではないかというふうに思いますが、大臣、いかがでしょうか。
○国務大臣(塩崎恭久君) 先ほど申し上げたように、年金事業運営に対する国民の信頼が本当に地に落ちた旧社会保険庁、それを廃止をして日本年金機構をつくったわけであって、その上でこうした事態が起きたということは、今回の事案が今警察の捜査が続いているような悪意のある不正アクセスが原因だといっても、やはりこれは極めて遺憾な問題であるわけであって、それだけではなく、今お話しのように、セキュリティー上の重要な情報が、私もテレビを見てびっくりするような、どうも職員が話をしているというようなことを見て本当に驚くわけでありまして、これはやはり重大な守秘義務違反をしているということは恐らく疑いもないことではないかというふうに思うわけで、機構の職員として絶対にあってはならないことをしているわけでありますから、そのモラルの欠如あるいは内規の緩さ、そういうものを改めて感じるわけであって、職員が関与をして報道されているということであるとすれば、これはもう本当に言語道断で、厳正な処分が下されなければならないというふうに思っていますので、まさに、先ほど来出ておりますけれども、ガバナンスをもう一回やり変えるということを私たちは考えざるを得ないというふうに思います。
○行田邦子君 今、大臣、機構からこういった情報が漏れているのであれば許されないということでしたけれども、機構だけではないんじゃないかと私は思うんですけれども、厚生労働省からも情報が漏れているのではないかというふうに私は思っております。是非しっかりと、大臣、こういった漏れてはいけない情報が漏れないようにという危機管理をやっていただきたいというふうに思います。
今回の件なんですけれども、私は初動に大きなミスがあったというふうに思っておりますので、まず五月八日に何が起きて、そしてどういう対応をしたのか、この確認から入りたいと思います。
まず、内閣官房に伺いたいと思います。
五月八日に内閣サイバーセキュリティセンター、NISCが厚生労働省に発した通報内容と通報先について教えていただけますでしょうか。
○政府参考人(谷脇康彦君) お答え申し上げます。
今回の事案におきまして、NISCは五月の八日に不審な通信を検知いたしまして、まず宛先でございますが、速やかに厚生労働省政策統括官付情報政策担当参事官室に対しましてその旨を通知したところでございます。通報内容でございますけれども、外部に対する不審な通信を検知したという点について通報をさせていただきました。
○行田邦子君 外部に対する不審な通信を検知ということの通報だったということですけれども、これは確認ですけれども、機構から外部に対しての発せられた不審な通信ということでいいんでしょうか。
○政府参考人(谷脇康彦君) 私どもにおきましては、厚生労働省のシステムの出口のところにセンサーを設置しております。そういった意味では、私ども、厚生労働省に対して通知をいたしましたけれども、これは厚生労働省本省のシステムなのか、あるいは年金機構のシステムであるのか、この識別というのはできません。
したがいまして、そこの識別、これは年金機構であるという特定については厚生労働省の方で行っていただいたということでございます。
○行田邦子君 厚生労働省、日本年金機構も含む厚生労働省側から外部に発せられた不審な通信ということの通報であったということであります。
そうすると、これ必ずしも情報が流出したとは言い切れませんけれども、外部に対して日本年金機構側から何かが漏れているということを通報したわけであります。非常にこれ大変な事態だと普通は思わなければおかしいんですけれども。
こうしたGSOCセンサー監視等による同様の通報件数というのは、これ、二〇一三年で百三十九件あると聞いていますけれども、通常、このような通報がなされた場合は、通報を受けた府省庁はどのような対応を取るのが一般的なんでしょうか。
○政府参考人(谷脇康彦君) 今委員御指摘のとおり、政府機関への実際のサイバー攻撃への対応といたしまして、私どもNISCにおきましては、各府省等にセンサーを設置して不正アクセス等を検知するという業務を行っております。この監視活動によりまして不正アクセスを検知した場合、その政府機関への通報を今回の事案のように行っておりまして、委員御指摘のとおり、平成二十五年度におきましては、総数百三十九件の通報を行っております。
一般的に、通報を受けた府省庁等におきましては、自らの組織の情報セキュリティーポリシーにのっとりまして、当然のことながら初動の対処を行うとともに、原因を確認し具体的な措置を講じた上で、NISCに対して連絡を入れ、助言等を受けると。また、その後も速やかに被害拡大防止の対応措置を実施し、復旧に努めていただくということでございます。
○行田邦子君 こうした事態が起きたときにはそれぞれのセキュリティーポリシーにのっとって対応をするということですが、一般的には、感染されたパソコンをLANケーブルを引き抜くなど遮断をするということ、それからまた、ウイルスの解析をしてその対策を新しく講じること、それだけではなくて、インターネット環境を遮断するということ、またそれから、過去のアクセスログを解析するということ、そしてまたさらには、必要に応じて必要な機関に通報する、警察などに通報する、こういった対応がなされるんだと思うんですけれども。
そこで、日本年金機構に聞きたいと思います。
五月八日、午前中の質疑の確認なんですけれども、これまで衆議院の委員会では、五月八日の不審な通信を検知したというNISCからの通報を受けて、過去のアクセスログは解析しなかったというふうに答弁していましたけれども、今日の午前中の答弁では解析をしたと理事長答えられました。どちらなんでしょうか。
○参考人(水島藤一郎君) 午前中申し上げましたとおり、その当該パソコンのアクセスログに関して解析をしたということ、これは私どもではございませんで、私どもの運用会社が行ったということでございます。
○行田邦子君 委託している運用会社が行ったのであれば、それは日本年金機構が行ったと同じことだというふうに私は思いますので。
そうすると、衆議院での再三の御答弁、これは偽りだったということでしょうか。
○参考人(水島藤一郎君) 解析を行っていないというふうに申し上げたかどうかあれでございますが、運用会社が解析を行ったということでございます。
○行田邦子君 衆議院での答弁は訂正された方がいいと思うんですけれども。
それで、過去のアクセスログを解析をして、午前中の御答弁ですと、NISCが不審な通信だとしてきた外部へのこの発信の発信先ですね、通信先が特定できたという御答弁でしたけれども、それで正しいんでしょうか。
○参考人(水島藤一郎君) またお叱りを受けるかも分かりませんが、午前中も申し上げましたが、その内容につきましては、やはりどういうような例えば能力を持っているかというような面でセキュリティー上の問題もございますし、また、これから捜査も進んでいくというふうに思いますので、この点については、開示に関しては御勘弁をいただきたいというふうに申し上げております。
○行田邦子君 済みません、私は確認で今、午前中御答弁されたことのもう一度確認で聞いているんですけれども、過去のアクセスログを解析をしたと、これは確かですよね。それで、その結果、その不審な通信とNISCから言われたものの通信先は特定できたという御答弁を理事長されたと思いますが、それは正しいんでしょうか。
○参考人(水島藤一郎君) 通信先のサーバーを確認したというふうに申し上げたというふうに思います。
○行田邦子君 通信先のサーバーが確認できたということで、そうしたら、自らの組織からNISCが不審な通信というものを、年間百三十九件ですけど、あらゆる通信の中でこれは問題だというものだけNISCはこうやって通報するわけであります。それは緊急事態です、ある意味。こういったものがどこに対して、どのサーバーに対して発信したかと、そのサーバーを特定できたわけですので、その時点でなぜ警察に通報しなかったんでしょうか。まず、警察に通報されたんでしょうか。
○参考人(水島藤一郎君) 警察に通報はいたしておりません。
○行田邦子君 私、おかしいと思うんですけど、なぜ警察に通報しなかったんでしょうか。そして、それは理事長の判断なんでしょうか。
○参考人(水島藤一郎君) 基本的には情報が漏れたという確認は取れておりませんので、その時点でですね、そういう意味で、かつ翌日にウイルスを検知してウイルス除去ソフトも対応したということでございましたので、特に警察には通報しなかったということでございます。
○行田邦子君 いえ、五月八日の時点では情報が漏れたということ、あるいは情報が漏れていないということは断定できていなかったはずですけれども、いかがでしょうか。
○参考人(水島藤一郎君) このお示ししております資料にございますが、まず抜線をいたしましたので、不審な通信はそこで収まったということでございます。
したがいまして、そこで情報の流出については確認は、そういうことはないというふうに考えたということでございます。
○行田邦子君 その御判断自体が非常に私、何が起きているのか御認識なされていないんじゃないかというふうに思いますけれども、非常に初動の対応が、ここで本当にまずかった、失敗だったというふうに思っております。
それで、質問を続けますけれども、五月八日、ウイルス感染した端末というのは九州ブロック本部の一台だったということですけれども、それが分かった時点で、この端末がアクセスをしているLANサーバーがウイルスに感染していないかどうか、確認をしたんでしょうか。
○参考人(水島藤一郎君) その感染したパソコンがLANとつながっているということでございますか。
五月八日、内閣サイバーセキュリティセンターから年金局を通じて、不審な通知を検知しているという連絡があったということは申し上げたとおりでございます。端末を特定してLANケーブルを引き抜くなどの対応を行いましたが、不審な通信を行っていたのは端末でございまして、情報系ネットワーク、LANサーバーについては不審な通信が行われていないために、解析する必要はないと判断したということでございます。
○行田邦子君 その判断も私はおかしいと思うんですけれども、こういったサイバー攻撃というのは、外部からの標的型メールなどのようなメールを経由してのものもありますけれども、元々、システムそのもの、サーバーそのものに直接入り込んでのこういったサイバー攻撃というのもこれは従来からあるわけですので、もしサーバーに接続をしている端末、それがウイルス感染したとなったら、まず何が狙われているかというと、そのパソコンのハードだけではなくて、その先のサーバーが狙われていると思って当然だと思うんですけれども、そこでなぜサーバーが今どういう状況にあるのかということを確認しなかったのかという、私、これ極めて問題だと思います。
それで、今回、パスワードが掛かっているファイルが一%に満たないだろうというふうに言われていますけれども、そこでパスワードについて伺いたいんですけれども、パスワードの設定についてのガイドラインはどのようになっているんでしょうか。これは個人情報の場合は、パスワードを掛ける、あるいは暗号化するという規約になっているというふうに聞いていますけれども、それだけではなくて、容易に推測されないようなパスワードにするといった、桁数とかあるいは定期的に変えるといった、こういうガイドラインはどのようになっているんでしょうか。
○参考人(水島藤一郎君) パスワードに関しますガイドラインはもちろん持っております。
しかし、このガイドラインは機構内部のガイドラインでございまして、これは外部に開示をいたしておりません。
○行田邦子君 例えば、定期的に変更するとか容易に推測できないようなものにするといったことをしっかりとやっている組織であれば、むしろそれは公開しているんですけれども、機構の場合は、それは公開していないけれども存在しているということでありました。
それで、更に伺いたいんですけれども、パスワードの設定なんですが、これは一ファイルごとに設定をしているんでしょうか。別のパスワードを掛けているんでしょうか。
○参考人(水島藤一郎君) LANサーバーの中の個人情報に関しましては、基本的には一ファイルごとでございます。
○行田邦子君 一ファイルごと別のパスワードということでいいんですよね。
○参考人(水島藤一郎君) パスワードの、先ほども申し上げましたとおり、どういうような掛け方をするかということに関しましては、機構内のガイドラインでございますので、開示をしていないということでございます。
○行田邦子君 しっかりとパスワードのルールを設けて、またパスワードの管理を自信を持ってやっているところは、むしろ、我々はこういうパスワードの管理をしていますということを公開をしています。機構はあえてそれを公開しないというのは、自信がないんじゃないか、しっかりやっていないんじゃないかというふうに疑わざるを得ないわけです。
皆さんも、パスワードというと、もしかしたら経験あると思うんですけれども、例えばですけれども、例えば今回の国民年金だったらばコクミンというパスワードにしたりとか、あるいは記録を突合するためのものはトツゴウとか、三号だったらサンゴウとか、営業部だったらエイギョウというパスワードを掛けたりと、何となく皆さんもそういった経験あるかもしれませんけれども、こんな誰でも容易に推測できるようなパスワードをもしかして機構は掛けていたのではないかと、こういうふうにも今の御答弁を聞いて疑わざるを得ないなというふうに思っております。
それで、続いて質問なんですが、五月八日から少したちまして、五月二十九日の時点でのことを確認したいんですけれども、日本年金機構不正アクセス事案の経緯というこの書面、三枚のもの、私もいただいておりますけれども、ここの五月二十九日金曜日のところに書いてあるのが、機構本部及び全拠点のインターネット接続を遮断となっているんですが、インターネットメール接続は遮断されたんでしょうか。
○参考人(水島藤一郎君) インターネット環境との接続に関しましては、外部の情報に対してアクセスする方法と、それからインターネットメールと二つの出口を、方法を持っております。そのうち、当日は外部の情報に対するアクセスを遮断をいたしまして、インターネットメールは遮断をいたしておりません。
○行田邦子君 そうなんですよ。私が六月二日に日本年金機構と厚生労働省さんに御説明をいただいたときに、インターネットの環境を遮断していますというので、それじゃメールもできないから大変ですねと言ったらば、いやいや、インターネットメールはやっていますということだったんです。年金局とも今でもやっていますと、六月二日時点で言っていました。
ということは、外部からの、年金局は外部ですからイントラネットではないというふうにお答えになっていましたので、外部からのメールも五月二十九日以降も接続されていたということです。つまり、ウイルスメールの感染の危険もあったということでよろしいんでしょうか。
○参考人(水島藤一郎君) 五月二十九日以降はいわゆる外部の情報に対するアクセスは遮断をいたしましたが、これに関しましては、その後、いわゆる不正なアクセスということは確認をされておりません。
最終的に、新たないわゆる不正アクセスは確認されていないということでございます。
○行田邦子君 済みません、ここ大切なのでもう一度お答えいただきたいんですけれども、インターネットは遮断したというふうに機構はおっしゃっています。けれども、インターネットメールは遮断していないと私は聞いていますけれども、いかがですか。
○参考人(水島藤一郎君) インターネットメールは、その時点では遮断いたしておりません。
○行田邦子君 そうすると、この経緯の説明書には、五月二十九日、機構本部及び全拠点のインターネット接続を遮断となっていますし、また過去の衆議院での御答弁でも水島理事長は、申し上げるまでもございませんが、現在はネット環境と遮断をいたしておりますので流出はございませんと、六月三日にも、再三にわたって御答弁されているんですけれども、インターネットメールという外部との通信手段、これは遮断をしていないということですよね。
○参考人(水島藤一郎君) その時点では遮断をいたしておりません。
○行田邦子君 じゃ、いつインターネットメールの環境を遮断したんですか。
○参考人(水島藤一郎君) 六月四日の十九時でございます。
○行田邦子君 そうすると、全てのインターネット接続を遮断しましたと言っておきながら、五月二十九日から六月四日の十九時まで、この期間は外部とのインターネットメールによる交信というのは、これは従来どおりできていた、つまりウイルスメールに感染する危険というのもあったということですよね。
○参考人(水島藤一郎君) インターネットとの接続のうち、先ほども申し上げておりますが、外部のファイルに対するアクセスは禁止をいたしました。インターネットメールに関しましては、六月四日の十九時まで維持したということでございます。
○行田邦子君 やはりインターネットメールは遮断していなかったわけですよね。ですから、この期間中もウイルスメールに感染している端末が出てきたかもしれないと思うんですけれども、なぜインターネットメールは遮断しなかったんですか。
○参考人(水島藤一郎君) インターネットメールに関しましては、私どもの業務に与える影響が極めて大きいということもございまして、ぎりぎりまで環境は維持したということでございます。
○行田邦子君 理事長、申し訳ないですけれども、ことごとく判断が誤っていると思います、今回の対応につきまして。
まず、衆議院の議事録もこれ訂正された方がいいと思いますし、また、私たち議員に配られているこの資料も、これ訂正をされた方がいいと思いますけれども、いかがでしょうか。厚生労働省ですか、これは。
○参考人(水島藤一郎君) 申し訳ありません、もう一度質問よろしいですか。
○行田邦子君 議事録を訂正した方がいいと思います、衆議院での議事録。インターネット、ネット環境等遮断していますというふうに断言されているわけですから。
それから、こちらのペーパー、これもインターネット接続を遮断というふうになっていますけれども、これ、うそじゃないですか。
○参考人(水島藤一郎君) インターネットメールの場合に、添付ファイルを開かなければ感染をすることはないわけでございますので……(発言する者あり)そういう意味で……(発言する者あり)
○委員長(丸川珠代君) 速記を止めてください。
〔速記中止〕
○委員長(丸川珠代君) 速記を起こしてください。
暫時休憩いたします。
午後三時八分休憩
─────・─────
午後三時四十二分開会
○委員長(丸川珠代君) ただいまから厚生労働委員会を再開いたします。
本日の調査はこの程度にとどめ、これにて散会いたします。
午後三時四十二分散会

タイトルとURLをコピーしました