記事

2015.9.3内閣委「年金情報流出問題、厚労省もNISCもお粗末。これでマイナンバー???/生活保護は大学進学も認めない?!」

1/2

○山本太郎君 ありがとうございます。生活の党と山本太郎となかまたち共同代表、山本太郎です。
内閣の重要政策に関する総合調整等に関する機能の強化のための国家行政組織法等の一部を改正する法律案について質問いたします。

まずは、有村大臣に。最近、年金情報流出で大きな問題となりました情報セキュリティー対策は、内閣の重要政策ということでよろしいでしょうか。

○国務大臣(有村治子君) 山本委員にお答えいたします。
個々の政策が内閣の重要政策に該当するかどうかを私自身が判断する立場にはございませんが、当然のことながら、サイバーセキュリティーは内閣の重要政策に該当し、国を挙げて取り組むべき重要政策であるという認識は持っております。

○山本太郎君 ありがとうございます。安全保障問題でもありますもんね。ありがとうございます。
この法案の提出理由にも「内閣の重要政策に関する総合調整等に関する機能を強化するため、」と書いてあるんですけれども、この法案の内容で本当に機能が強化されるのかよく分からないんです。私は、内閣の重要政策である情報セキュリティー対策こそ強化されなければならないと思っています。

今回の年金情報流出問題、もうその問題終わったじゃないかと思われる方もいらっしゃると思うんです、いつまでやるんだよと思われる方もいらっしゃるかもしれないんですけれども、とにかく大きな問題ですから。日本年金機構の対応、これ大問題でしたよね。厚生労働省と内閣官房の内閣情報セキュリティセンター、NISCの対応も、言い方を気にせずにはっきり言ってしまうと、大変お粗末、全く機能していない、検証も非常に不十分と言えると思います。

厚生労働省、先週8月27日、本委員会の私の質疑で事実関係確認されたと思うんですけれども、5月19日に年金機構が警視庁高井戸署に通報、捜査依頼した事実を5月19日当日に年金機構から厚労省の情報参事官室にメールで連絡、そのことを情報参事官室長が知ったのは六日後、5月25日だった。直属の上司に伝わるのに6日も掛かったというんですよね。

私、昔、パプアニューギニアというところに行ったことがありまして、それはもうすごい奥地だったんですよ。そこで裸族の方々に会いに行くという企画だったんですけれども。それ、奥地ですよ、パプアニューギニアの奥地。片道3日だったんです。片道3日だった。

警視庁高井戸署に通報、捜査依頼した事実を六日後に知った、情報参事官室長、6日後に知ったって、これ、当時地球にいたんですか、地球上にいたんですか。これ、イエス・オア・ノーで答えていただけますか。ごめんなさい、これ通告していないんですけれども、厚生労働大臣官房長、お答えいただければと思います。

○政府参考人(蒲原基道君) その当時は厚生労働省に勤務をしておりましたので、東京におりました。

○山本太郎君 そうですよね。宇宙飛行士じゃないですもんね。とにかく、直属の上司に伝わるのに6日も掛かったという事実、これ、検証委員会の報告書にも書かれていないですよね。

厚生労働省の情報セキュリティーの最高責任者である蒲原官房長、こんなことでは厚生労働省のセキュリティーポリシー全くないのと同じじゃないかなと、CSIRTなんて言葉だけで実態というのはほとんどないんじゃないのと思うんですけれども、いかがでしょうか。

○政府参考人(蒲原基道君) お答え申し上げます。
ただいま話がございました情報政策担当の参事官に連絡が行ったのが遅れたということ、さらには、私がこの話を聞きましたのも5月の28日ということで、大変遅れておったということでございます。この点につきましては、私も含め関係者、責任ある者への対応が遅れたということで、大変反省しているということをこの間の、先日の7月7日の本委員会でも申し述べたところでございます。

この点につきましては、先ほど先生触れられました、いわゆるこの問題に関する第三者委員会の検証報告書というところにおきまして触れられたところございまして、一つは、セキュリティーポリシーに定められている責任者への報告に遅延があったということが入っております。また、厚労省にはCSIRT体制が定められていたものの、技術力を持った実働要員が充てられていないなど、実効性が乏しかったと、あるいは厚労省と関係の組織との連携が非常に良くなかったという話が書いてあります。

さらには、そこの背景として、やはりこれは常日頃からの言わば省内のこの問題に対する危機感がきちっと持たれていなかったということ、あるいは、いざ問題が発生したときに、情報だとか危機感が言わば組織の上下関係あるいは横の組織間で共有されていなくて、言ってみれば一体的な対応ができなかったということが指摘されておりまして、この点も含めて厚労省として反省をしなきゃいけないというふうに考えております。

今後は、この第三者委員会の報告書にもいろいろ触れられておりますけれども、セキュリティー関係の対応をしております情報政策担当参事官室の質、量共に充実することだとか、あるいはCSIRTについても技術力を持った実効性あるものにしていくということがこの報告書にも書いておりますので、私どもといたしましては、こうした報告を真摯に受け止めて、言わばセキュリティー問題に対する意識改革ということを取り組むとともに、あわせて、組織が一体となって危機管理に対応できるように体制の強化というものをきちっとやっていかなきゃいけないというふうに認識をいたしております。

○山本太郎君 その情報がなかなか伝わらなかったという部分には遅延があったというふうに報告書に書いてありましたよと今おっしゃっていましたけど、JRでも、電車三分遅れただけで遅延というような表示出ますからね。その遅延という幅がすごく広いんだなと思っちゃうんですよね。
先日の厚労省と年金機構の説明のときに、資料請求したんですよね。標的型メールの攻撃の対象となる可能性のあるパソコン等の端末、厚労省と年金機構でそれぞれ何台あるのか教えていただけますか

○政府参考人(姉崎猛君) お答えをいたします。
厚生労働省の方ですけれども、厚生労働省ネットワークシステムで設置をしインターネットに接続している端末は約7500台というふうになっております。

○参考人(薄井康紀君) 日本年金機構の方でございますけれども、年金機構の各拠点に設置してありますパソコンのうちでインターネットに接続可能であったパソコン、LANパソコンでございますけれども、5月の末の時点で7858台でございます。

なお、機構LANシステムにつきましては、今回の事案を受けまして現在はインターネット接続を遮断いたしておりますので、現在は標的型攻撃を受ける可能性はないと考えております

○山本太郎君 ありがとうございます。
厚労省が併せて答えてくれと言ったんですけれども、いや、これ年金機構は年金機構だからということで来ていただいたんです。パソコンの台数を教えてもらうだけのためにありがとうございます。

谷脇副センター長、6月11日の本委員会での私の質問について、サイバーセキュリティ基本法30条の国の行政機関、そして31条で指定される48の特殊法人、認可法人、それぞれサイバー攻撃を受ける可能性があるPC端末は何台ありますかと質問したところ、谷脇さんは、パソコンの台数は判断の重要な要素の一つで、必要に応じて調査をすると答弁されたんですけれども、その後、調査はなさいましたか

○政府参考人(谷脇康彦君) お答え申し上げます。
委員御指摘のパソコンの台数でございますけれども、情報システムの規模を判断する一つの要素でございますけれども、これのみで具体的なセキュリティー対策が大きく左右される性質のものではないと考えております。すなわち、各機関におけるサイバーセキュリティー対策については、業務の特性ですとか、あるいは当該システムの運用方法、業務手順といった様々な要素が絡むため、これらの要素を総合的に勘案して検討していく必要があるというふうに考えております。

NISCといたしましては、今後、サイバーセキュリティ基本法に基づきまして、各府省庁等のセキュリティーポリシーの運用状況につきまして、いわゆるPDCAサイクルが機能しているか等のマネジメント監査を行うことにより確認をしていくこととしておりまして、その実施を通じて、各府省の情報システムの実態をより詳細に把握するとともに、これを踏まえたセキュリティー対策の強化に取り組んでまいりたいと考えております。

○山本太郎君 平たく言うと、余り調査する気がなさそうだな、時間が掛かりそうだな、ということは、こちらで今後も調べていかなきゃいけないのかなという答えだと思います。

お粗末なのは厚労省だけではないと。肝腎の内閣情報セキュリティセンター、NISCも機能していませんでした。

5月19日の年金機構の警視庁への通報、5月29日に初めて知った、5月21日の首相官邸でのサイバーセキュリティ対策推進会議、5月25日の同じく首相官邸でのサイバーセキュリティ戦略本部の会合で報告できなかったことについて、谷脇NISC副センター長は、6月11日の本委員会で、真摯に反省をし、今後の改善策を考える必要があると答弁してくださいました。それで、私は8月27日の本委員会で、NISCこそ第三者委員会での検証が必要ではないかと質問したんですけれども、谷脇さんは、NISCの機能の在り方等については国会の場での議論や行政評価等を活用していくと答弁されて、検証委員会をつくるとはおっしゃらなかった。

谷脇副センター長、改めて提案したいんですけれども、年金情報流出問題におけるNISCの対応について、第三者による検証委員会、必要だと思うんですけれども、いかがでしょうか

○政府参考人(谷脇康彦君) お答え申し上げます。
ただいま委員から御指摘がございましたように、今回の年金機構のような事案が起きた場合に、事態の進展に応じて各省等からNISCに状況を迅速に報告するということは極めて重要だというふうに思っております。そういった意味で、今回の事案については私どもとしても反省すべき点がございます

ただ、これまでも、各府省庁の情報システムに対するサイバー攻撃があった場合には可能な限り速やかに各省庁から必要な情報をNISCに報告することとしており、厚生労働省のセキュリティーポリシーにもその旨が記載があったわけでございますけれども、今般、委員御指摘のとおり、年金機構から警視庁への通報があったことにつきまして厚労省からNISCへの報告が遅れたという点については、これは改善が必要な課題だというふうに認識をしております

もとより、今回の事案を踏まえまして、NISCの活動の見直しを含め改善すべき様々な課題がある中で、国会審議においても様々な御指摘をいただいております。また、既に有識者本部員を含むサイバーセキュリティ戦略本部におきまして8月20日に取りまとめていただきました今回の事案の原因究明調査報告書におきまして、各府省庁への情報提供が有効に機能するための対策、インシデントに備えた体制の強化、標的型攻撃のリスクを踏まえたシステムの構築、維持、運用の強化対策など、NISCが取るべき各種再発防止策が指摘されております。

政府としては、こうした御指摘を真摯に受け止めて、政府全体のサイバーセキュリティー対策の抜本的な強化を図ってまいりたいと考えております。

あわせて読みたい

「日本年金機構」の記事一覧へ

トピックス

ランキング

  1. 1

    小池知事にアラビア語答弁を要求

    BLOGOS しらべる部

  2. 2

    ウォン売り継続 地獄の韓国経済

    PRESIDENT Online

  3. 3

    自民重鎮 テレ朝・玉川氏に苦言

    深谷隆司

  4. 4

    「モニタリング小泉」議員が皮肉

    音喜多 駿(参議院議員 / 東京都選挙区)

  5. 5

    コロナ自粛で見えた隣人の本性

    松崎りえこ

  6. 6

    いきステ コスパ重視で復活可能?

    内藤忍

  7. 7

    電通委託 安倍一強が政治を劣化

    早川忠孝

  8. 8

    AVからスカウト 嬉しい女性心理

    幻冬舎plus

  9. 9

    「民度違う」麻生氏の発言が物議

    SmartFLASH

  10. 10

    給付金事業 経産省が定款準備か

    木走正水(きばしりまさみず)

ランキング一覧

ログイン

ログインするアカウントをお選びください。
以下のいずれかのアカウントでBLOGOSにログインすることができます。

コメントを書き込むには FacebookID、TwitterID のいずれかで認証を行う必要があります。

※livedoorIDでログインした場合、ご利用できるのはフォロー機能、マイページ機能、支持するボタンのみとなります。