第20号 平成27年6月3日(水曜日)
平成二十七年六月三日(水曜日)午前十時三十分開議
出席委員
委員長 渡辺 博道君
理事 赤枝 恒雄君 理事 後藤 茂之君
理事 高鳥 修一君 理事 とかしきなおみ君
理事 松野 博一君 理事 西村智奈美君
理事 浦野 靖人君 理事 古屋 範子君
大岡 敏孝君 大串 正樹君
加藤 鮎子君 木村 弥生君
小林 鷹之君 小松 裕君
白須賀貴樹君 新谷 正義君
田中 英之君 田畑 裕明君
谷川 とむ君 豊田真由子君
中川 俊直君 長尾 敬君
丹羽 雄哉君 橋本 岳君
比嘉奈津美君 堀内 詔子君
牧原 秀樹君 松本 純君
松本 文明君 三ッ林裕巳君
宮路 拓馬君 村井 英樹君
阿部 知子君 小川 淳也君
大西 健介君 岡本 充功君
玉木雄一郎君 中島 克仁君
山井 和則君 足立 康史君
井坂 信彦君 牧 義夫君
輿水 恵一君 角田 秀穂君
中野 洋昌君 高橋千鶴子君
堀内 照文君
…………………………………
厚生労働大臣 塩崎 恭久君
総務副大臣 二之湯 智君
厚生労働副大臣 山本 香苗君
厚生労働大臣政務官 橋本 岳君
厚生労働大臣政務官 高階恵美子君
政府参考人
(内閣官房内閣審議官) 向井 治紀君
政府参考人
(内閣官房内閣審議官) 谷脇 康彦君
政府参考人
(内閣官房内閣参事官) 阿部 知明君
政府参考人
(内閣官房内閣参事官) 三角 育生君
政府参考人
(厚生労働省大臣官房年金管理審議官) 樽見 英樹君
参考人
(日本年金機構理事長) 水島藤一郎君
参考人
(日本年金機構システム部門担当理事) 徳武 康雄君
厚生労働委員会専門員 中尾 淳子君
―――――――――――――
委員の異動
六月三日
辞任 補欠選任
谷川 とむ君 宮路 拓馬君
豊田真由子君 小林 鷹之君
山井 和則君 玉木雄一郎君
同日
辞任 補欠選任
小林 鷹之君 豊田真由子君
宮路 拓馬君 谷川 とむ君
玉木雄一郎君 山井 和則君
―――――――――――――
本日の会議に付した案件
政府参考人出頭要求に関する件
参考人出頭要求に関する件
厚生労働関係の基本施策に関する件(年金情報流出問題)
――――◇―――――
○渡辺委員長 これより会議を開きます。
厚生労働関係の基本施策に関する件、特に年金情報流出問題について調査を進めます。
この際、お諮りいたします。
本件調査のため、本日、参考人として日本年金機構理事長水島藤一郎君、システム部門担当理事徳武康雄君の出席を求め、意見を聴取し、また、政府参考人として内閣官房内閣審議官向井治紀君、内閣審議官谷脇康彦君、内閣参事官三角育生君、厚生労働省大臣官房年金管理審議官樽見英樹君の出席を求め、説明を聴取いたしたいと存じますが、御異議ありませんか。
〔「異議なし」と呼ぶ者あり〕
○渡辺委員長 御異議なしと認めます。よって、そのように決しました。
―――――――――――――
○渡辺委員長 質疑の申し出がありますので、順次これを許します。中野洋昌君。
○中野委員 公明党の中野洋昌でございます。
一昨日発表された日本年金機構の個人情報の流出問題について、質問をさせていただきます。
約百二十五万件もの個人情報が流出をした今回の件につきましては、日本の年金行政の信頼を揺るがす大変に大きな問題と言わざるを得ない、このように感じております。本日の質疑を通じて、原因の究明、また、今大変に不安に思われている多くの国民の皆様がいらっしゃいます、こうした皆様への一刻も早い信頼の回復が図られるように、早急かつ厳正な対応が必要である、これをまず冒頭申し上げまして、質問に入らせていただきます。
まず、既に報道等にも詳しく出ておりますけれども、五月の八日に、日本年金機構の職員がウイルス入りのいわゆる添付ファイルを開いたのではないか、こういうことが出ております。しかし、その後、実際に東京や九州で通信が遮断をするまでには、五月の二十二日、二十三日、このくらいまで時間がかかっている、そして、警察の方から、これはウイルスがあるんじゃないか、情報の漏えいがあるんじゃないか、こういうことで、五月の二十八日、そういう連絡があった、そのような報道も拝見をしております。
五月八日以降、そして現在まで、今回の事件の経緯がまずどうなっているのか、日本年金機構に御説明をいただきたいと思います。
○水島参考人 日本年金機構の理事長、水島でございます。どうかよろしくお願いを申し上げます。
まず初めに、ただいまございましたとおり、このたび不正ウイルスの侵入によりまして、年金個人情報が百二十五万件流出をしていることが確認をされました。まず、このような事態を招きましたことに関しまして、心から深くおわびを申し上げる次第でございます。
現在、私ども日本年金機構といたしましては、お客様の年金を守るために、組織を挙げて全力で対応をいたしているところでございます。
それでは、御質問にお答えをいたします。
平成二十七年五月八日金曜日でございますが、ウイルスに感染をいたしましたパソコンが確認をされまして、直ちにケーブルの引き抜きを行いまして、そのパソコンの隔離を行いました。これとともに、ウイルスに感染をいたしましたパソコンの解析をウイルス対策ソフト会社に依頼したものでございます。
その後、発生しておりました外部からの不正アクセスにつきまして、平成二十七年五月十九日に警視庁へ捜査を依頼いたしました。
平成二十七年五月二十八日になりまして警視庁から情報提供を受けまして、内容を調査いたしましたところ、一部のパソコンがウイルスに感染し、管理していた内部情報がインターネットを通じて外部に持ち出されたことが判明をいたしました。
五月二十八日に情報流出が判明をしたことを受けまして、五月二十九日の未明には全てのパソコンをインターネットの接続から遮断する対応を行いました。
また、平成二十七年五月二十八日以降、流出いたしました情報の内容の精査を行いつつ、成り済まし防止対策の検討、準備、お客様へのおわびとお知らせの文書の準備、コールセンターの体制確保等を行いまして、六月一日に公表をさせていただいた次第でございます。
○中野委員 私がさまざま伺ったところでは、最も重要な情報が入っている基幹的なシステムにはネット接続がされていないという話も伺いましたけれども、セキュリティーに対する受けとめが余りにもずさんだったのではないか、このような印象を持っております。
例えば、機構内部のLANに個人情報が入っていた作業用のファイルがあって、これがネット接続できる環境にそもそも置かれていること自体がやはりセキュリティーポリシーが甘過ぎるのではないか、こういう御指摘もありました。また、五月の八日、不正な通信を察知した後、内部に周知が行われたけれども、この周知の仕方も不完全だったのではないか、徹底が甘かったのではないか、こういう新聞報道もございました。そして、機構の内部規則上も個人情報を含む作業用のファイルは本来パスワードをかけないといけない、しかし、パスワードをかけていないものが五十五万件近くあった、そもそもルールが守られていない。いろいろな指摘があったと思います。
私は、年金機構の、どのレベルでという、いろいろなレベルでの問題はあるとは思いますけれども、セキュリティーに関する現場の受けとめが余りにもずさんなのではないか、このように正直感じたところでございます。これについてどうお考えか、お聞かせ願いたいと思います。
○水島参考人 五月八日に不正アクセスが確認されまして、その後、注意喚起を行っております。しかしながら、注意喚起を行った後に不審メールが開封をされたこと、また、御指摘のとおり、共有フォルダ内にパスワードをかけないで個人情報を含むデータを保存していたことなど、現場における情報セキュリティー対策の徹底が十分ではなかった。これには本部も責任があるというふうに考えているところでございます。
今回の事案を踏まえまして、共有フォルダにおける情報管理のあり方、個人情報を扱う端末でのインターネット接続禁止等のセキュリティー対策の見直しを検討いたしていく方針でございますが、あわせまして、それらの対策が確実に実行されるよう、情報セキュリティー監査の実施、管理監督方法の改善に努めてまいりたいというふうに考えております。
○中野委員 現在、百二十五万件の個人情報が流出をしております。こうした方々にどのような対応をするのか、これを早急に対応していただきたいと思っております。
例えば、報道では、流出情報のうち、基礎年金番号、氏名、生年月日がそろえば住所変更の手続が第三者によってできてしまうんじゃないか、こういう報道もございます。あるいは、年金機構の名前をかたる不審な電話というものが既に始まっている、こういうふうな報道もございました。
この百二十五万件流出をされた方々に対して、迅速かつ丁寧な周知が必要だと思います。どういう形で周知をしていくかということも含めて、悪質な詐欺の電話もあるという情報もございますので、これもしっかりとこの場ではっきりしていただきたい、このように思いますが、いかがでございますか。
○水島参考人 まず、個人情報が流出をいたしました被保険者、年金受給者の皆様方には、このような事態が発生をいたしましたことに心から深くおわびを申し上げる次第でございます。
対象となりました方に対しましては、まず、個人情報が流出した旨のおわびとお知らせを早急にお送りしたいというふうに考えておりまして、本日より発送を開始できる見込みでございまして、現在、最終の準備を進めているところでございます。
さらに、加えまして、抜本的な対策といたしましては、基礎年金番号の変更を行わせていただくことだというふうに考えております。これに関しましても、早急な対応をとってまいりたいというふうに考えております。
また、今回の事案に対します相談窓口といたしまして、専用電話を六月一日月曜日に設置いたしました。さらに、情報が流出した方を、年金事務所等の窓口におきまして、流出した方であるということが識別できるように、事務システムに印をつける、アラート機能をつけるという対応を六月二日から開始いたしております。
いずれにいたしましても、個人情報が流出した方に対して万が一にも御迷惑をおかけしないように、機構を挙げて万全の対応を行ってまいりたいというふうに考えております。
○中野委員 理事長、一つ追加で確認なんですけれども、年金機構からのおわびあるいは流出の通知というのは文書でなされるということで、年金機構から直接電話がかかってくるようなことはない、こういう認識でよろしいですか。
○水島参考人 おっしゃるとおりでございます。
おっしゃるとおりでございまして、全て文書によって通知をいたします。私どもから電話等によってお知らせすることはございません。
○中野委員 先ほどお話のあった相談窓口の件ですけれども、私どもにもこういういろいろな心配の声が来ております。
例えば、銀行の口座番号が流出したんじゃないか、あした銀行をチェックしないといけない、こういう御相談もありました。あるいは、銀行口座から勝手にお金をおろされるんじゃないかとか、あるいは、年金の入金口座を勝手にかえられてしまって次の年金が入ってこないんじゃないかですとか、いろいろな御心配の声がこちらにも伝わってまいります。相談窓口も、電話しても全然つながらない、こういう御指摘もございます。
何が漏えいしているのか、具体的にどういう不利益があるのか、しっかり説明すべきだと思います。このつながらないという相談窓口も、しっかりと対応できるようにやっていくべきだと思います。
理事長、いかがお考えですか。
○水島参考人 六月二日に専用のコールセンターを立ち上げました。当初、百席で対応を開始いたしました。百席では全く不足、不十分でございまして、本日から千席に拡大をいたしております。昨日までの応答率は一〇%を切っておりましたが、現在、速報ベースでございますが、四六%程度の応答率になっておる。
現在、八百六十席程度でございますので、さらに千席に向けて体制を強化いたしておりますので、この二日間、お客様には大変御迷惑をおかけしたと思っておりますが、本日よりそのような体制をとらせていただいております。
○中野委員 まずは、やはり、今非常に多くの方がいろいろなニュースを見られて不安になっている、こういう現状を一刻も早く払拭することが大事だ、このように思います。日本年金機構には、早急な、そして丁寧な御対応をしっかりやるべきだ、このように再度要請をいたします。
それに加えて、私、今回の事件、事案、ずっと話を聞いておりますと、やはり機構のセキュリティーポリシーそのものが甘いのではないか、甘かったのではないか、このような感覚を持っております。
私が伺ったところによると、今、年金機構が持っているセキュリティーポリシーのレベル、水準というのは、大体厚生労働省の本省と同程度の情報管理をしている、こういうふうなこともお伺いをしたんですけれども、しかし、日本年金機構というのは本当に大量の個人情報をまさに保管している、使っている、そういう機構であります。やはり、このセキュリティーポリシーの水準、これを抜本的に強化するということも含めてこれは考えていかないといけないのではないか、このように思います。
また、このセキュリティーポリシーがたとえ厳しくなったとしても、いろいろな考え方がございます。例えばルールを厳しくして、では現場でそれが本当に運用できるのか、現場の感覚がついてくるのか、こういう話もあると思います。
私は、ある報道で見ましたけれども、日本年金機構の個人情報保護の取り組みを厚生労働省の審議会によって評価をしたところ、五段階で下から二番目のC評価だ、五年連続C評価だ、こういう報道もありました。そうすると、現場の受けとめというのが甘過ぎるんじゃないか、このように思います。
それを、実際、どうやってこれをやっていくのか。訓練をふやすという方法もある、恐らく、場合によっては罰則を強化する、いろいろなやり方があると思います。私は、このセキュリティーポリシーの抜本的な見直し、早急に着手していただきたいと思いますけれども、理事長、いかがでございますか。
○水島参考人 今回の事案に対しまして、今後、機構LANシステム内の共有フォルダにどのような内容の個人情報をどの程度保有し、どのように業務に使用されているか、また、共有フォルダに個人情報を保存しない扱いに変更した場合に業務にどのような影響が出るか、また、個人情報保護の観点から、業務系のネットワークであります基幹システム、いわゆる社会保険オンラインシステムでございますが、それと情報系ネットワークの情報のかかわり方についてどうあるべきか、これらの点について早急に調査検討をする必要があるというふうに考えております。
これを踏まえまして、個人情報が含まれておりますデータを共有フォルダに置くことについて、例えば完全に禁止をする、あるいは、個人情報を扱うパソコンは将来にわたってインターネットに接続をしない等の対応を検討する必要があるというふうに考えております。
御指摘のとおり、今回の事件を踏まえまして、情報セキュリティーポリシーの見直しにつきまして、厚生労働省とも相談しながら検討してまいりたいと考えております。
○中野委員 大臣にもお伺いをしたいと思います。
今回の件、私は、日本年金機構任せにしていてはいけない。厚生労働省、もちろん、指導監督する立場にあるわけでございます。厚生労働省にもしっかりと対応をやっていただかないといけない、このように思います。
それは、監督官庁として、私は、まずは徹底した原因の究明、なぜこういうことが起こったのか、再発防止策、こういうことをしっかり指導監督をしていく。厳正な対応、処分も含めて、本件についてしっかりと対応していって、二度とこのようなことが起きないように、国民の皆様への信頼回復が図れるようにしっかりとやっていただきたい、このように思いますけれども、大臣、いかがでございますか。
○塩崎国務大臣 社会保険庁を廃止いたしまして日本年金機構をつくったのは、まさに、年金事業に対する国民の信頼回復をするということが目的でつくったわけでございます。
にもかかわりませず、今回、日本年金機構が悪意を持った攻撃を防げなかったということは本当に遺憾なことであるわけでありまして、まずは私どもの方から、私から、今回の事態に対して、これを深刻に受けとめて、事案を早期に解明するとともに、国民の年金を守ることを最優先にするということ、つまり、不正が行われないようにして、今回の情報が利用されない、今後の年金支払いへの影響が絶対に出ないということに、万が一にもそういうことが起きないように指示をまずいたしました。
今御指摘のように、日本年金機構を監督する立場が厚生労働省でありますから、これについて、今回のことについておわびを申し上げますとともに、今御指摘のように、今後の情報管理のあり方についてはやはり数段強化をしてもらわなきゃいけないし、そのためにも、第三者から成る検証委員会を厚生労働省に早急に立ち上げて、原因究明そしてまた再発防止、これについて可及的速やかに結論を出していきたいと思っておりますので、また先生方にもさまざまな御指導を賜れればというふうに思います。
○中野委員 もう一問ございましたが、ちょっと時間も参りましたので割愛をさせていただきます。お呼びして大変申しわけなかったんですけれども。
今回、本当に多くの方がいまだ大変不安な気持ちを持たれている、これが私は正直なところであると思います。またこんなことが起きたのか、こういう失望のような、非常に多くの方がこういう感想をお持ちなのではないか。
ですので、本件に対しては、信頼の回復、また、この疑惑の払拭を徹底してやはりやっていっていただきたい、これを切に要望申し上げまして、私からの質問とさせていただきます。
ありがとうございました。
○渡辺委員長 次に、村井英樹君。
○村井委員 自由民主党の村井英樹です。
本日は、質問の機会をいただきまして、ありがとうございます。
もう既に中野先生からも質疑がございましたが、今般の日本年金機構の個人情報流出の件について私も伺いたいと思います。
私も、この厚生労働委員会に所属をして、塩崎大臣がおっしゃっているとおり、経済再生を通じて社会保障制度の充実強化に取り組んでまいりました。ただ、そのためには、やはり国民の皆様の社会保障制度そしてまた制度の運用に対する信頼、これが大前提となっていることは言うまでもないと思います。
そういう意味で、今般の年金機構の個人情報の流出は、国民の皆様の社会保障制度に対する信頼を揺るがす非常に重大な事態だと思いますし、私も強い危機感を感じております。特にこの年金については、これまでも国民の皆様の信頼を失うといったようなことがあったわけでありますし、そういう意味で、関係者の皆さんには強い猛省をまず冒頭促したいと思います。
そして、同時に、国民の皆さんは、今回の件について、この重大な危機に際して政府、行政がどのような対応をするのか、的確に対応ができるかといったようなことも注視をしておられます。丁寧かつスピーディーな対応を通じて、今回の危機を乗り越えて、是が非でも国民の皆様の社会保障制度に対する信頼を取り戻していかなければならないということをまず最初に申し上げたいと思います。
時間も限られておりますので、早速質問に入らせていただきたいと思います。
まず、丁寧な対応の前提として、幾つか事実関係の質問をさせていただきたいと思います。既に中野先生とのやりとりの中で明らかになったこともございますので、通告と少しずれるかもしれませんが、お話を伺いたいと思います。
まず、五月の八日から断続的に不正アクセスが発生をしていたということでありますが、それから情報流出が判明をする五月二十八日までの間、この間、まずどういう対応をされていったのかということを伺いたいと思いますし、その後、五月二十八日から六月一日の情報流出の事実の公表までの間、どのような対応をされていたのか、改めて日本年金機構理事長に伺いたいと思います。
○水島参考人 五月八日に不正アクセスが確認されまして、そのパソコンにつきましては、直ちにケーブルを引き抜きまして隔離をいたしました。
同時に、ウイルス対策ソフト会社にその内容の解析を依頼いたしますとともに、当該新種のウイルスでございました、これに対応したウイルス対策ソフトの更新版を作成していただきまして、機構内の、これに関しましては全PCにその対策ソフトをインストールいたしました。
その後、五月十八日でございますが、また別のウイルスが検出されました。これに関しまして、攻撃が何度も繰り返されてきたという状況でございますので、五月十九日に警視庁に捜査を依頼したところでございます。
先ほども申し上げましたが、この結果、五月二十八日の午後でございますが、警視庁から、内部情報がインターネットを通じて外部に持ち出されているということ、その情報が寄せられました。その後、直ちに、この翌日でございますが、全拠点のインターネット等の接続を遮断いたしました。
加えまして、情報が流出しております内容の精査、あるいは先ほど申し上げましたその対応策等につきまして、土日も含めまして対応を検討いたしまして、最終的に、五月三十一日におおむね件数が確定してまいりましたので、六月一日に公表させていただいたという段取りでございます。
以上でございます。
○村井委員 ありがとうございます。
今お答えのとおり、日本年金機構においてもそれなりの対応をされていたということだと思いますが、やはり年金の話は、国民一人一人にとってみると虎の子の資産であります。
それに関連する情報が流出するということであると事は重大でありまして、やはり一国民として、五月八日にそういったようなことがどうも起きているらしいということがわかって、二十八日にその事実が判明をしたということであれば、どうしてもう少し早く公表といったようなことができなかったのかという気もするわけでありますが、改めて、この情報流出の事実が判明をしてから公表まで時間がかかったんじゃないかという国民の声に対して、ぜひもう一回御答弁をいただきたいと思います。
○水島参考人 五月二十八日の午後でございますが、警察から日本年金機構にございました連絡は、日本年金機構から流出したと思われるデータを発見したというものでございました。ファイルの名前の通知があったということでございます。
それを踏まえまして、土日にその内容の精査をいたしまして、どのような情報が流出したのか、何件ぐらいであるかということの確認を行いました。
その上で、五月二十八日から土日を挟みましたが、六月一日に公表をさせていただいたという経緯でございます。
○村井委員 理事長おっしゃるとおり、関係者の皆様は、五月二十八日、情報の流出の事実が判明をしてから、土日も返上されて情報収集に取り組まれたということだと思いますし、そうした努力には一定の評価がなされるべきだと思います。不確実な情報をもとにした拙速な対応を避けるため、可能な限り丁寧に情報収集に努めるという姿勢も理解できないわけではありません。ただ、国民の皆さんの中には、初動対応が遅かったのではないかといったような声もあることも事実であります。
こうした危機対応に際しては、丁寧な対応に加えてスピーディーな対応ということが強く求められることは謙虚に受けとめていただきたいと思います。
そして、次に、今般の事案についての情報管理体制について伺います。
機構では、政府機関の情報セキュリティ対策のための統一規範、厚労省セキュリティーポリシーに基づき、独自のセキュリティーのポリシーを定めておられると先ほどの中野先生との議論でも出ておられましたが、定めておられると伺っておりますが、その中身についてもう一度理事長に簡潔に伺いたいと思います。
○水島参考人 セキュリティーポリシーというのは非常に多岐にわたっておりますが、そのうち、いわゆる個人情報のファイルにおける保有、保存に関しますセキュリティーポリシー規則でございますが、これに関しましては、原則として、共有ファイル内に個人情報を保有することは禁止をいたしております。しかしながら、業務上必要な情報につきまして、パスワードを付した上で、かつアクセス制限を付した上で保存するということを許容いたしてまいりました。
そのような意味で、今回、このような事態が発生したということを踏まえまして、過去のこのような対応方針、対応方法がよかったかということに関しましてはきっちりと見直さなければならないというふうに考えているところでございます。
○村井委員 このセキュリティーポリシー上、私が伺ったところでは、情報の保存については、必要に応じてパスワードを設定する、暗号化することが定められているということですが、今回流出したこの百二十五万件の情報について、パスワードを設定していたのか、していたのであればどの程度していたのか、日本年金機構理事長に伺います。
○水島参考人 極めて遺憾ながら、今回流出をいたしました百二十五万件のうち、約七十万件に関しましてはパスワードは設定されておりましたが、残る五十五万件についてパスワードが設定されていない状態のものであったことを確認しております。先ほど申し上げましたとおり、この百二十五万件につきましては、機構の内規では、このような場合、パスワードを設定することになっております。ルール違反でございます。大変遺憾だと思っております。
今後このようなことが起きないよう、再発防止に向けて、体制面、管理面、システム面、いずれの面でも検討を加え、情報管理の徹底に努めてまいりたいというふうに考えております。
○村井委員 今お答えをいただいたとおり、このセキュリティーポリシーで定めていたこと、つまり、個人情報にしっかりパスワードをつけなければならないといったようなことに関して、五十五万件分はそれを付していなかったということでありますので、これはやはり重大な問題と言わざるを得ないんだろうと思います。
そしてまた、中野先生との議論でもありましたが、もう一度確認ですが、今般持ち出された情報は年金機構内のLANシステム内の共有サーバーに保存されていたということだろうと思いますが、個人情報など情報漏えい対策を必要とする情報がこの共有サーバー内に保存をされていたということ、これはセキュリティーポリシー上問題がなかったのか、伺いたいと思います。
○水島参考人 日本年金機構におきましては、政府機関の情報セキュリティ対策のための統一規範及び厚労省情報セキュリティーポリシーに基づきまして、日本年金機構セキュリティーポリシーを定めております。この中で、情報の取り扱いにつきまして、情報の作成と入手、利用、移送、提供、消去に関しまして、セキュリティー対策を規定いたしております。
そのような意味で、年金機構内の現状のポリシー、ルールでまいりますと、年金機構内のLANシステム内の共有フォルダに基礎年金番号等の情報を保存すること自体は、現在は違反ではございません。
しかしながら、今回流出をいたしました情報の中に、パスワードを設定されていないというものがあったということに関しましては、これは明らかにルール違反でございます。
今回、お客様の大事な情報が流出をいたしたということを踏まえまして、先ほど申し上げましたように、規程、システム、体制、監視、監査、そういった面の見直しを進めてまいる方針でございます。
○村井委員 今お答えをいただいたとおり、年金機構内のLANシステム内の共有サーバーに個人情報を置いていたこと自体はルール違反ではなかったけれども、そこにパスワードを付していなかったということが問題だということであります。しっかりと、ここの部分は、今後も含めて対応していただかなければならないと思います。
次に、こうした個人情報の流出によって、国民の皆さんに具体的にどのような影響、被害が考えられるかという点について伺ってまいります。
例えば、住所や氏名が流出している以上、そうした方にダイレクトメールなどが送付されてしまうといったようなことは免れないんだろうと思いますが、年金の振り込み先を変更して、本人以外が年金受給をできてしまうといったようなことにはならないという理解でよろしいか。ここの部分は、被保険者、国民の皆さんも一番心配な部分でありますので、その点についてお答えをいただきたいと思います。
○水島参考人 御質問は、振り込み銀行の変更が可能であるかどうかという点がまず第一点だったと思います。
これに関しましては、振り込み銀行の変更に際しましては、いわゆる四情報と言っておりますが、基礎年金番号、それからお名前、御住所、生年月日、これが、お届けいただいたときに、私どもが保有をいたしております情報と一致をしておりますことがまず前提になります。
その上で、それに加えましてでございますが、振り込み依頼書、振り込み金融機関指定届でございますが、そこに指定された金融機関の確認印を徴取いたしております、銀行のですね。そういう意味で、さらに第三者の確認が必要でございますので、基本的にはそのようなことは起きないと思いますし、私どもとしては起こさないように最大限の努力をしてまいります。
ただし、万一、やはり御本人に確認すべきだということがあり得るというふうに考えておりまして、疑念がある場合には、必ず処理をストップして御本人に確認をするという対処をとる。本日その通知をいたしたところでございます。
それから、振り込め詐欺等の、あるいはダイレクトメール等の対象になるのではないかということに関しましては、大変申しわけございませんが、そのような懸念が払拭できないと思います。
ただし、流出をいたしましたお客様に関しましては、その旨をお知らせいたしまして、ぜひ御注意をいただきますようお願いを申し上げますとともに、御不安な点がございましたらば、何なりと御連絡、御相談をいただきますようにお願いをしてまいりたいというふうに考えております。
○村井委員 今、ダイレクトメール等については、どうしても被害が発生してしまうということが明らかになりました。これも重大な問題だと思います。
続いてもう一つ、突っ込んで伺いたいのは、今回情報流出した中で、四情報、基礎年金番号、氏名、生年月日、住所、この四情報について全て流出をしてしまった部分というのが約五万件程度あると伺っておりますが、こうした情報を本人以外の方が持ってきて、振り込み先を変更してくれといったような申請をしてきた場合、それは、しっかりと本人確認をして、当該者、本当の受給者以外の方に振り込み先が変更されるということは絶対にないという理解でよろしいか、再度伺いたいと思います。
○水島参考人 結論から申し上げますと、基本的にないというふうに考えております。
ただし、お届けをいただく方法と申しますのは、年金事務所の窓口においでいただいてお届けいただく方法と、御郵送による方法と、代理人による方法とございます。
今申し上げました代理人による方法及び郵送による方法に関しましては、より一層注意を払わなければならないというふうに考えておりまして、いろいろな方法によって、御本人であること、あるいは御本人との関係を確認してまいりますが、先ほど申し上げましたように、疑念がいささかでも生じた場合には直接お伺いをして確認する体制と本日からいたしております。
○村井委員 ありがとうございます。
ここの部分は極めて大切なポイントでありますので、万が一にも今回の個人情報の流出を契機とした年金の不正受給といったようなことがないように、万全の体制を整えていただきたいと思います。
そして次に、個人情報が流出してしまった方、約百二十五万件流出をしたわけでありますが、この方々一人一人に対して、今非常に皆さん不安を感じていらっしゃると思います、この不安を感じていらっしゃる方に対してどのような対応を行っていくのか。先ほども少し議論に出ておりましたが、もう一度伺いたいと思います。
○水島参考人 先ほども申し上げましたが、まず、流出が確認をされておりますお客様に関しましては、本日からその旨の御通知とおわびを発送いたします。
加えまして、六月の二日、発表させていただきました翌日でございますが、オンライン上、システム上、これらの方々の情報を特別に保有するという体制をとりました。したがいまして、事務所の窓口にお客様がいらっしゃった場合には、流出をした対象のお客様であるということが確認できる体制にいたしております。さらに加えまして、事務センターでもその確認をできる必要がありますので、その点も加えてやっているところでございます。
その他、年金事務所あるいは事務センターの体制に関しまして、いささかも御不安を与えないように、万が一にもお客様の大切な年金に影響が出ないように、全力を尽くして現在対応しているところでございます。
○村井委員 この個人情報が流出をされた方にもいろいろ情報の流出形態があって、いわゆる二情報と言われる基礎年金番号と氏名が流出した方、三情報、基礎年金番号、氏名、生年月日が流出された方、そしてまた、全部の四情報が流出をされた方というのがいらっしゃると思います。この四情報が流出された方がある意味で一番事態は深刻なわけでありますが、この方々に対して、まず、電話等をして、しっかりと、成り済ましによる不正受給等がないような対応をしていく必要もあるのではないかなと思いますが、そのあたり、情報流出の度合いに応じて対応を、緊急度を決めていくといったようなことはされるおつもりがあるか、伺いたいと思います。
○水島参考人 繰り返しになりますが、まずここで申し上げておかなければならないことは、私どもから流出したお客様に個別にお電話を申し上げることはございません。私どもから御通知申し上げるものは、全て文書によって御通知申し上げます。
それで、今、御質問でございますけれども、四情報は五万二千件流出をいたしております。五万二千件と申しますのは情報の件数でございまして、人数とは必ずしも一致いたしません。
まず、この四情報が流出されているお客様に関しましては、本日から文書による御通知を開始いたします。今週中には全て終了するというふうに思っております。
○村井委員 ありがとうございました。
それでは、最後に塩崎厚生労働大臣に、これまでのやりとりを聞いていただいて、今回の個人情報の流出が年金受給者の方に不利益を与えないようにするためにどうすべきなのか、そしてまた、今後こういったような事態が発生しないために、年金機構のガバナンス体制の改革等、さまざま行っていくべきこともあろうかと思いますが、今後の対応について大臣の決意を伺いたいと存じます。
○塩崎国務大臣 先ほども御答弁申し上げましたけれども、もともと年金機構は社保庁にかえて年金事業をしっかりと担ってもらうためにつくったわけで、それは国民からの信頼を回復するということが最大の目的でございました。にもかかわらず、今回、機構が悪意を持った攻撃を防げなかったということに大変遺憾な思いを持つわけであります。
何しろ今大事なことは、年金を守るということが最優先、このための手をまず打てということを申し上げ、それから、我々としては、やはり厚生労働省がこれを監督する立場でございましたから、大変これは申しわけない限りでありまして、おわびを申し上げるとともに、大事なことは、二度とこういうことが起きないということが大事であります。
今御指摘いただいたように、セキュリティーのレベルという意味においては、実は、それ以前の問題として、パスワードをかけなきゃいけないのにかけていないというような問題も浮き彫りになってまいりました。しかし一方で、パスワードをかけても流出をしているということを考えれば、やはりセキュリティーのレベルを格段に上げなきゃいけないというようなことを含めて、私どもは、厚生労働省の中に第三者性の高い検証委員会をつくりまして、そこで原因究明とそれから再発防止に向けて全力を挙げて、そしてまた、可及的速やかに、何が対処として必要なのかということを、しっかりと手を打つための結論を出していただくようにお願いをしようと思っています。
○村井委員 ありがとうございます。
ただいま塩崎大臣から、年金を守るということ、そしてまた再発防止に向けた取り組みへの決意を伺いました。
国民の皆さんからの信頼を失うことになってしまった今回の年金に絡む個人情報の流出でありますけれども、しっかりと、可及的速やかに、そしてまた丁寧に対応することで、国民の皆様の年金また社会保障制度全体に対する信頼回復に全力を挙げていただきたいということを最後に申し上げて、質問といたします。
本日はありがとうございました。
―――――――――――――
○渡辺委員長 この際、お諮りいたします。
本件調査のため、政府参考人として内閣官房内閣参事官阿部知明君の出席を求め、説明を聴取いたしたいと存じますが、御異議ありませんか。
〔「異議なし」と呼ぶ者あり〕
○渡辺委員長 御異議なしと認めます。よって、そのように決しました。
―――――――――――――
○渡辺委員長 次に、玉木雄一郎君。
○玉木委員 民主党の玉木雄一郎です。
質問させていただきます。
安倍政権は今、安保法制の議論を進めております。国民の生命財産、権利義務を守っていく上で、安全保障も極めて大切です。しかし、あわせて社会保障の分野も極めて大事でありまして、この分野における国民の権利をしっかり守っていくこと、このことについても安倍政権として力を入れていただきたいと思いますが、今回の件は、そのことに疑義を抱かざるを得ない問題が発生したと考えております。年金制度に対する根本的な信頼が揺らぐ、いわば年金制度のまさに存立危機事態と言ってもいいような事態だと私は考えています。
そこで、本件の事案に関して、再発防止、そしてこれからの改善に向けた、そういったことにつながる質問をしたいと思いますけれども、厚生労働省また年金機構、それぞれの責任をしっかりときょう質問をさせていただきたいと思います。
まず、厚生労働省にお伺いしますけれども、本件の事案について、厚生労働省として初めてこの一件を把握したのは、いつですか。
○塩崎国務大臣 一番最初に厚生労働省が知ったのは、五月八日、サイバーセキュリティセンターから日本年金機構に対して、厚生労働省年金局経由で、機構からの異常な発信を検知しているということを連絡を受け、この担当係長が年金機構に伝えたというのが最初でございます。
○玉木委員 五月八日、厚生労働省が初めて把握したのがこの日であります。
次にお伺いします。
厚生労働省として、本件に対して対策を明示的に発したのは、いつですか。
○塩崎国務大臣 先生が対策というのを何を指すかということにもよりますが、当然のことながら、八日にこういうことが起きて、起きたときから対応を指示しているわけでございまして、機構の方も、そのときに、全職員に対して注意喚起を掲載したメールを発信したというふうに聞いております。
○玉木委員 いや、五月八日は、内閣のサイバーセキュリティセンターから通報を受けて厚生労働省が把握をし、それを年金機構に伝えたときですね。それを受けて内部に指示をしたのは機構の仕事でありまして、厚生労働省としての対策ではないと私は思います。
もう少し、同じ質問を違う角度から聞かせていただきます。
年金を所管する担当大臣としての厚生労働大臣が、本件を把握した上で具体的な対策を発したのは、いつですか。
○塩崎国務大臣 先ほどの五月八日も、これは、年金局レベルでこの情報をまずNISCの方から受け、さらにそれを機構の方に伝えて、LANケーブルを引き抜くなどの手を打つことについて担当が連絡をとり合ったということでありますが、私が第一報を聞いたのは五月の二十八日の夕刻でございました。そして、それは、情報漏えいがあったという事実について一報を受けたのが五月二十八日の木曜日の夕方ということでございまして、私が今回のような内容であるという概要を聞いたのは、五月二十九日金曜日の昼でございました。
○玉木委員 少し確認をさせていただきたいと思います。
今大臣がまず前段おっしゃった、八日の時点で内閣サイバーセキュリティセンターから情報を厚生労働省が得て、そしてLANケーブルを引き抜けという指示は、厚生労働省が出したんですか。
○塩崎国務大臣 この時点では、ウイルスメールが来て、それに応じて異常な通信を検知しているという連絡がNISCから来て、年金局から、LANケーブルを引き抜いて回収するということを指示しております。
○玉木委員 年金局から、LANケーブルを引き抜けということを指示したんですか。
では、これは機構に聞きましょう。
そういう指示を八日の時点で受けましたか。LANケーブルを引き抜けという指示を厚生労働省から受けましたか。
○水島参考人 お答えをいたします。
五月八日の時点で、ウイルスに感染をしたということを確認いたしまして、その際に、LANケーブルを抜くということに関しましては、年金局からそのような指示があったと同時に、私どもも同じ措置をとるべきだと考えまして、そのような措置をとっております。
○玉木委員 指示を受けたんですか。
もう一度お答えください。そういう説明を今まで我々は受けていませんけれども、年金局から、LANケーブルを引き抜けという指示を明確に受けたんですか。
○水島参考人 私どもが指示をした内容は、LANケーブルを抜くこと、端末を特定すること、感染の有無でございますが、これと同様の指示を年金局から受けているということでございます。
○玉木委員 よくわかりません。
もう一度、理事長、お答えください。皆さんが御判断になってLANケーブルを抜くということをしたわけですよね。たまたま同じ指示を前に受けていたんですか。どういうことですか。もう一回お答えください。
○水島参考人 電話により指示を受けております。
○玉木委員 それは、いつ受けたんですか。
○水島参考人 現在、時間を今持っておりませんので、もしあれでございましたら後ほどお答えを申し上げます。
○玉木委員 年金局は、いつ電話でLANケーブルを抜くことを指示したんですか。
○塩崎国務大臣 時間まではわかりませんが、そういう議論をして、年金局としてはそうすべきだということを言っているというふうに私は理解をしておるところでございます。
○玉木委員 大臣、私はこれは違うと思うので、後できちんと調べて理事会に報告をいただきたいんです。
我々の理解は、確かに、まず内閣サイバーセキュリティセンターから、厚生労働省を経由して、そういった不正な情報が出ている、不正なアクセスがあるということの、そういった情報は年金機構に行きました。その上で、年金機構として、通信システムから不正アクセスの記録を独自に確認されて、その判断によって引き抜かれたと理解しています。
つまり、内閣サイバーセキュリティセンターから機構に連絡を伝えるときに、抜いてくださいねということをあわせて伝えていることはないと思うんですよ。なぜかというと、そういったことの解析を受けた上で、まずは機構で調べてみて、こういうことだから抜こうということは機構で判断したはずですよ。当然ですよ、これは。
では、聞きます。
内閣サイバーセキュリティセンターがまず五月八日に厚生労働省に伝えた情報の内容は、どういうものですか。
○谷脇政府参考人 お答え申し上げます。
私どもNISCにおきまして、常時監視を政府機関については行っているところでございますけれども、厚生労働省に対しましては、外部への不審な通信が行われているということを検知いたしまして、その旨、厚生労働省に対して連絡をさせていただいたというところでございます。
○玉木委員 では、NISCさんは、だからLANケーブルも抜いた方がいいよということも何か推奨、提言した上で、あわせてそういった情報と一緒に年金局に伝えたんですか。
○谷脇政府参考人 お答え申し上げます。
私どもNISCにおきましては、不正な通信をまず検知する、そしてそれを連絡するということがまず職務でございます。
したがいまして、パソコンのLANケーブルを引き抜く等々の判断につきましては、基本的に、当該省庁の判断、あるいは年金機構において判断をいただくものというふうに考えております。
○玉木委員 厚生労働省にもう一回お伺いします。
LANケーブルを抜けという判断をして指示をしたのは、厚生労働省のどの局の誰なんですか。
○塩崎国務大臣 NISCからは情報担当参事官室というところに、厚労省には参っておりました、今の情報が。それを年金局経由で伝えるわけでありますが、その際に、今こういうウイルスメールに侵されている可能性が高いということで、年金局とも、そして機構との間でいろいろな議論をしている中で、根治をするためにもまずは抜けということを言ったというふうに私は聞いております。
○玉木委員 大臣、調べてみてください。
抜けと言ったのは一本だけですか。それとも、そのシステム全体のものを抜けと指示したんですか。もし一本だけ抜けということであれば、なぜ一本だけ抜けばいいと判断したんですか。
○塩崎国務大臣 できたら具体的に御説明できる人を呼んでいただけると細かいことは言えると思うので、そういう意味では、今その説明を聞かないと細かいことはわからないものですから、そのための時間が必要なので、それで時間をとめるということを、なかなか、ちょっとかかって申しわけない限りでございました。
先ほど申し上げたように、情報担当参事官室から年金局にNISCの情報を伝え、そして情報の専門の立場として年金局に考えを伝え、その中で、一台とは限りませんが、何しろ原因を探るとともに、それを踏まえた対処をちゃんとして、何台かはわかりませんけれども、LANケーブルを抜くような対策を直ちにとるようにということを言ったというふうに私は聞いておるところでございます。
○玉木委員 大臣が聞いていることが正しいと信じたいと思いますけれども、今回の厚生労働省の責任は、私は大きく三つあると思うんですね。そのうちの一つは、五月八日の時点で速やかな抜本的な対策が打てなかったことです。後に二十九日に全部ケーブルを外しますけれども、もし年金局の方が正確にこの事案を判断していたのであれば、この時点で全部抜いておけば、多分、今回の百二十五万件という空前絶後の情報流出はなかったはずですよ。
私は、そんなことはないと思うんです。やはりそれは一度機構に投げて、機構がみずからのシステムをもう一回チェックしてみて、それでまずは感染したPCを特定して一本だけ抜いたと考えるのが自然だと思いますよ。
私は、今のは虚偽答弁のおそれがありますから、この間の経緯については、正確に、紙で整理をして理事会に提出することを求めたいと思います。委員長、よろしくお願いします。
○渡辺委員長 理事会で協議いたします。
○玉木委員 それでは、質問を続けます。
お手元に資料をお配りしていますが、この間の一連の経緯をまとめました。
五月八日に、一番最初のウイルスメールが開封、感染され、そして、内閣サイバーセキュリティセンター、NISCがそれを感知して、これはよくやったと思います、それを厚生労働省に伝え、厚生労働省が当該機構に伝えたということですね。感染PCを隔離したと書いていますが、これは一台のみ。それで、全職員には注意喚起をしているということなんです。
この後、もう一度大臣にお伺いしますが、それでは、大臣として事案を把握して対策を、例えばネットを遮断しろとか、あるいは被害の可能性のある皆様に通知をしろとか、一連の今日まで至るその対策を大臣として最初に指示されたのは、いつですか。
○塩崎国務大臣 先ほど御答弁申し上げたように、五月の二十八日の夕刻に私は情報流出の事実の一報を聞きました。その上で、内容の概要について聞いたのが二十九日金曜日の昼間でありまして、かなり限られた時間でありましたが、その際に、まず原因究明の徹底と、そして、これを公表するに際しては、そうすることになったら必ず、事後対策としてどのような対策を打つのかということは明確にしなければならない、したがって、よく考えた上で決めるようにということを下に指示を出したわけでございます。
しかし、その時点では、今申し上げたような百二十五万件とか、どういう情報が漏れたかというのはまだ精査中でございましたので、その精査に時間がかかって、一日に発表するという段になったということでございます。
○玉木委員 では、二十八日の時点ではまずは情報漏えいの事実、翌二十九日には概要の把握を、それぞれ事務方から受けたけれども、それこそケーブルを抜きなさいとか、あるいはそれを含んだセキュリティー対策を講じなさいという大臣としての指示は、そこの時点ではやっていないんですね。
○塩崎国務大臣 それは既にネットとの間の遮断も行われた後でございますので、それ以上申し上げることはなかったというふうに思います。
むしろ、緊急対策としては既にとっていたというふうに理解をしておりまして、二十九日に全拠点のインターネット接続は遮断をしているというふうに私は理解をしておりましたから、これはもっと原因究明をしながら、どうするのかということを考えるべきだなということで、先ほどのようなことを申し上げたということでございます。
○玉木委員 ちょっともう一度お答えください。
二十八日に最初に聞いたときにネットの遮断が既に行われていたから対策を必ずしも打つ必要がない、逆だと思いますよ。その後全てのパソコンからネット遮断が行われたので、時系列が違うんじゃないですか。
○塩崎国務大臣 先ほど申し上げたように、二十八日は情報流出の事実だけの一報でありましたから、私はそのときは細かなことは何も、指示をするほどの情報は持ち得ていなかったということでございますが、二十九日は、概要についての説明があったので、その中で、ネットとの遮断は既に行われているというふうに聞きましたので、緊急対策は少なくとも、これ以上の被害が広がるということはないと判断をしましたので、具体的な、すぐの緊急対策として何をしろというようなことは言わなかったという意味でございます。
○玉木委員 その二十九日のネットの遮断は、機構でやったんですよね。それも年金局が指示してやったんですか。どちらですか。理事長、お答えください。
○水島参考人 私が報告を受けておりますのは、年金局と協議の上、ネットを遮断したというふうに聞いております。
○玉木委員 もう一度先ほどの時系列を見ていただきたいんですけれども、五月の八日に初めて厚生労働省がこの事案について把握をしますね。いろいろな説明が今ありましたが、根本的な対策を打つのは二十八あるいは二十九ですよ。ネットの遮断は二十九日でよろしいですね。
厚生労働省も八日に事案を把握して、実際に対策を、これは年金局と協議して、二十八日、二十九日は打ったんでしょう。ここで初めて本格的な対策だと思いますけれども、八日に知って二十九日に対策を打つ、この三週間、厚労省は何をされていたんですか。
○塩崎国務大臣 先ほど申し上げたように、最初は、これは多分誰しもが御経験されていると思いますけれども、ウイルスメールが来た。そして、それをあけてしまったということで、一件、八日にこれが発見されて、先ほどのような対応をして、同時に、直ちに、そのPCのデータを解析するために、ウイルス対策ソフト開発会社にそのPCのデータを、汚染されたデータを渡しました。渡しています、機構が。
それで、そのウイルス対策ソフト会社が解析をした結果、新種ウイルスがあったということなので、それに合うワクチンソフトをつくって、機構内の全PCに順次これをインストールしていった、これは十二日ぐらいからやっているんですね。そういうことで、なおかつ、十五日ぐらいには、新種ウイルスは外部に情報を漏えいするタイプではないということもわかったわけでございます。結果として、最終的には外部に出ることになったわけでありますが。
それから、もう一回さらに不審メールが十八日に来た後、またこれについてもデータを渡した上で、ウイルス対策ソフトを更新して、さらにこれが二十二日からPCへ順次インストールされていったということがございました。
したがって、ウイルスメールに攻撃をされている、攻撃というか受けているということで、この対策を順次やっていたということで私に上がってきていなかったんだろうというふうに思うわけで、何もしていなかったということでは全くなく、その間、機構と年金局は、当然のことながら、緊密な連絡をとりながらやっていたというふうに私は理解をしておるところでございます。
○玉木委員 今大臣がお話しになったことは、ほとんど機構がやっていることを大臣がお話しになったんですよ。この間、厚生労働省は何をしていたんですか。
具体的に一つ聞きます。
先ほどの資料を見ていただきたいんですが、警察に十九日に相談していますね。この相談は、厚生労働省とよく相談してからやったものなのか、機構として単独でやったのか、どちらか、お答えください。
○水島参考人 厚生労働省と御相談をして、届け出をいたしております。
○玉木委員 事務方に聞いたら、そうは言っていませんでしたよ。本当ですか。
厚生労働省、警察に相談する、あるいは捜査依頼をするのは、厚生労働省としてやられたんですか。本当ですか。そういう説明を受けていませんよ。説明が違いますよ。
○渡辺委員長 では、とめてください。
〔速記中止〕
○渡辺委員長 速記を起こしてください。
塩崎厚生労働大臣。
○塩崎国務大臣 先ほど来申し上げているように、ウイルス対策ソフトを開発するとか、そういうようにずっと、言ってみれば協議をしながら、意見交換をしながらやってきて、警察に、警視庁に捜査依頼をしたということは、当然、そうすべきかどうかということを議論しながら最終的にはもちろん機構が決めたというふうに聞いておりまして、年金局側は、捜査を依頼したということを、行った後に聞いたというふうに最終的には聞いております。
○玉木委員 よくわからないですね。もっと正直に正確に答えていただきたいんです。
別に、再発防止のためにどういうことを初期の段階でしなければいけないのか、中間段階でしなければいけないのか、本省と機構がどういう関係、あるいは相談をすべきなのかということをきちんと整理したいので聞いているので、事務方から御説明をいただいたときと違うようなことをこの場で言われても私は困るんです。
質問をちょっと、もう時間があっという間になくなっているのでお伺いをしたいんですが、では塩崎大臣にお伺いをしますけれども、二十八日に、情報漏えいの事実はその時点で大臣に入りましたよね、なぜこの時点で公表しなかったんですか。
○塩崎国務大臣 先ほど申し上げたように、情報流出があったという事実を聞いたので、個人情報があるのかどうか、あったとしたらどのくらいなのか、件数はどうなのか、どの範囲なのか、こういうことが全くまだわからない、事実の一報があったということでありましたので、二十八日には報告を受けただけでございました。
○玉木委員 私は問題だと思いますよ。
件数は精査がかかったかもしれませんが、実際に公表するのは、二十八に最初に把握して、二十九、三十、三十一、一日になってからですよね。この間にも、場合によっては一件かもしれない、百万件かもしれない、数は精査する必要はあるかもしれないけれども、情報が漏れたことによって被害を受ける可能性のある方がその時点で発生することは、担当大臣として理解できたはずです。
それであれば、件数はまだわからない、詳細はわからないけれども、漏えいした事実はあるので、年金受給者の皆さん、被保険者の皆さん、注意をしてください、オレオレ詐欺のような特殊詐欺が、電話がかかってきたり訪問があったりする、特段気をつけてくださいという警告を、少なくともその時点ですべきではなかったんですか、大臣。
○塩崎国務大臣 先ほど申し上げたように、個人情報がどの程度入っているのかということを含めて、よくまだそのときには解明ができておりませんでした。流出されたという事実が一報として入ってきたところでございましたので、その時点で、当然、公表した場合にどういうふうに皆さん方がお受けになるかということを考えると、やはり、内容が大体わかって発表して御説明申し上げるということができる方が、私は御安心をいただけるのではないかというふうに思ったところでございました。
○玉木委員 個人情報がどの程度入っているかわからないから公表すべきなんですよ。まさにここに、個人情報あるいは情報に対する取り扱いについての甘さが出ているんじゃないですか。最悪に備えて、年金を受給されている方、関係の国民の皆さんに、しっかりと情報を真摯に速やかにお伝えする、このことが厚生労働省はできていないと言わざるを得ないと思います。
もう時間がないので最後に機構にお伺いしますけれども、この間、インターネットの上に、二十八日の夕刻ぐらいから二十九、三十と、まだ塩崎大臣が世の中には公表しない段階で……
○渡辺委員長 玉木君に申し上げます。
申し合わせの時間が過ぎておりますので、質疑は終了していただきたいと思います。
○玉木委員 とめた時間も含めてですか。
○渡辺委員長 はい、含めてです。
○玉木委員 では、最後に一問だけお伺いします。
○渡辺委員長 では、簡潔にお願いします。
○玉木委員 はい。
インターネットの掲示板に、内部の職員だと思われる人の書き込みがございます。
この点について、理事長として事実関係をどう把握しているのか。まさに、こういうことが行われることが情報に関するずさんさをあらわしているんじゃないですか。いかがですか。
○渡辺委員長 水島日本年金機構理事長、簡潔にお願いします。
○水島参考人 一点、訂正をさせていただきたいと思います。
警察への通報でございますが、厚生労働省への報告は十九日でございます。もちろん、常々相談をいたしておりますので、十八日の時点まで相談をしてまいりましたが、通報することを判断したのは機構でございます。この点、訂正をさせていただきたいと思います。
それから、今の御質問でございますが、インターネットの掲示板に日本年金機構の職員によると見られる書き込みがされているということについては、承知をいたしております。極めて遺憾であり、職員の意識向上に努めてまいりたいと考えております。
○玉木委員 終わりますが、きょうのやりとりにしても二転三転して、こういうことでは年金に対する信頼は戻りませんよ。誠実な答弁を求めて、質問を終わりたいと思います。
○渡辺委員長 次に、大西健介君。
○大西(健)委員 民主党の大西健介でございます。
私からも、冒頭、今回の年金情報の大量流出というのは、かつて消えた年金問題で傷ついた年金制度への国民の信頼を再び大きく損なうものであって、これは本当に重大なことだというふうに思います。
私たちは、これは、消えた年金ではなくて、漏れた年金問題というふうに呼ばせていただいていますけれども、この問題について一定の区切りがつかない以上、本委員会においての法案審議はできないということを冒頭申し上げておきたいというふうに思います。
私からは、今の玉木委員の質問の続きをさせていただきたいと思いますが、再度確認ですけれども、先ほどのやりとりの中で、大臣は一報を二十八日の夕刻に聞いた、それから、二十九日の昼間には概要について説明を受けたと。にもかかわらず、機構が厚労省で記者会見をして、この情報流出について公表をしたのは一日でありました。
私は少なくとも、二十八日の一報はともかく、二十九日の日にこれは大臣からやはり公表すべきだったんじゃないか。二十九日というと、閣議後の記者会見もありました。ここでも大臣は何も触れられていないんですよね。何も触れられていないんです。
それから、先ほども申し上げましたけれども、玉木委員からも話がありましたけれども、別に詳細がわかっていなくても、大量の年金情報が流出した疑いがある、現在詳細については調査中である、これでいいじゃないですか、二十九日は。調査中であるけれども、このことに関連して詐欺的な電話等々がある可能性もあるので注意をしてください、こう呼びかけるだけでも私は二十九日の日にやるべきだったんじゃないかというふうに思うんです。
というのは、実は、きのうも既にニュース等で流れていますけれども、NHKのニュース等で、警察が既に注意喚起をしているんですけれども、例えば、福岡県の六十五歳の男性の自宅に、消費生活センターを名乗る男から、あなたの年金情報が漏れている、個人情報を消したり回収したりするためにはボランティア団体の協力が必要だという不審な電話があった。あるいは、東京都の港区では、八十代の女性の自宅に、日本年金機構をかたって、年代別の調査をしています、ひとり暮らしですかなどと家族構成を探るような不審な電話があった。もうやはり電話がどんどんかかっているわけですよ。
ですから、今申し上げましたように、詳細がわからなくても、情報が流出したという可能性が高い、だから注意を呼びかけるということはやはり早くやるべきだったんじゃないか。それは、早くやらないと、その間にそういうことが起こってしまうというリスクが私はあるんだというふうに思います。
さらに加えて言うならば、大臣、二十九日というのは、ここで私たちは法案審議をやっていたんですよ。その場で一言も我々に説明がなかった。大臣は知っておられたのに、何事もなかったようにこの審議に臨んでおられた。これは、私たちは不信感を感じざるを得ません。
再度、なぜ二十九日に、情報流出があった可能性が高い、現在調査中である、これに付随していろいろな詐欺的な電話がかかってくるかもしれないのでそれに注意してください、これだけでもなぜ言えなかったんですか。大臣、お願いします。
○塩崎国務大臣 順を追って申し上げたいと思いますが、二十八日に私に上がってきた報告は、その二十八日の午後、警視庁から機構に対して、外部の民間サーバーに機構から情報を持ち出していると思われる事跡があるとの報告があった、早急に警視庁に情報漏えいした情報の内容を確認し、個人情報が漏えいしていた場合には公表する予定という年金局からの報告が、私に一報として二十八日の夕刻にあったわけでございます。
ということで、その二十八日に、とるべきアクションは、個人情報が入っているかどうかということもまだこの時点ではわからなかったので、そういうことで申し上げなかったということでございます。
二十九日の昼に概要は確かに聞きましたが、これとてどのような範囲なのかとかいうことはまだわからず、実は、二十八日の夕刻に、警視庁から機構に対して、情報流出が疑われる痕跡、いわゆる電文ログというものの提供を年金機構が受けています。それを分析を始めて、最終的に分析し終わったのが五月三十一日ということでございましたので、この二十九日の金曜日の昼、ごく短時間ではありましたけれども概要について説明を受けた際の段階で、内容がわからないままに発表するということは、これはむしろ国民の皆様方に御不安を与える可能性もあるということもございまして、何しろ全容解明をした上で公表ということを私どもとしては考えたということでございます。
○大西(健)委員 では再度、済みません、二十八日はその一報だったですけれども、二十九日の昼の概要をもう少し、何を報告を受けたんですか、二十九日の昼には。
○塩崎国務大臣 件数も、百二十五万件というようなかっちりした数字にはなっていませんでした。個人情報が入っているという情報はございましたが、どの程度かということについては、まだ全くわからないという状況でございました。
○大西(健)委員 ですから、やはり個人情報が入っている可能性が高いということは、二十九日時点でわかっていたわけですよ。ですから、個人情報が流出した可能性が高い、現在は調査中であるけれども注意を呼びかける、ここまでできたじゃないですか、二十九日に。
しかも、二十九日、閣議後の記者会見というオケージョンもありました。また、この委員会の理事会も昼に開かれていたんじゃないですか。では、理事会の場でそのことだけでも、個人情報が流出した可能性が高い、現在調査中だということだけでも、なぜ厚生労働委員のメンバーにも報告ができないんですか。
一方で、私は本当に問題だと思うのは、先ほど玉木委員の質問の最後にありましたけれども、我々、本委員会には何ら報告もされていないのに、二十八日の夜以降、インターネットの掲示板の2ちゃんねるに、年金機構関係者と見られる者がこの年金情報流出について書き込みしているんですよ。
先ほどそれは機構の水島理事長もお認めになっていますけれども、例えば、五月二十八日の夜には、ウイルス感染という書き込みがあるんです。三十日の土曜日には、月曜日にはウイルス感染を公表するのかなと書き込みがあります。ですから、我々は説明も受けていないのに、インターネットの掲示板には書いてあるわけですよ。
私は改めて、これは厚労省として、インターネット上にこうした書き込みが行われていたことを、いつ、どのような形で知ったのか、また、これは守秘義務違反だというふうに思いますけれども、厚労委員の我々でさえ知らされていないことが、こうやってネット上で漏えいされていたことの責任を、大臣、どうとられるおつもりか、これについてお聞きをいたしたいと思います。
○塩崎国務大臣 今のいわゆる2ちゃんねるの書き込みについては、厚生労働省として把握をしていたというふうには認識をしておりません。
それで、先ほどの論点は、個人情報の範囲も何もわからないままにその事実を言うことが、むしろ全容解明した後に公表した方がいいかという、いろいろ考え方があろうかと思います。私たちは、やはり全容をきちっと解明した上で公表すべしという判断をしたところでございます。
○大西(健)委員 大臣、今フリーダイヤルというのがありますけれども、一日の夕方から二日午前十時までで三万九千件かかっているんですよ。これだけ多くの人が不安を感じているわけですね。しかも今、後で山井委員からお話があると思いますけれども、電話をかけてもつながらない状態。これだけ多くの皆さんが不安を感じるような重大な出来事なんです。ですから、可能性があるならば、早くそのことを国民にもお伝えして、そして注意を呼びかけるべきじゃないかと私は思います。
ですから、この大臣の判断というのはやはり私は間違っていたというふうに思いますし、あわせて……(発言する者あり)本当ですよ、隠蔽と言われても仕方がないんだというふうに私は思います。
かつ、先ほども言いましたけれども、大臣、厚労省は知らなかったと言いますけれども、ネット上に機構の職員と思われる者が書き込みをしているんですよ。感染したとか、あるいは記者会見あるのかなとか、我々も知らされていない、そして多くの、もしかしたら自分の情報が流出してしまったかもしれない、そういう人たちも知らされていないのに、先に書かれている。やはり私は、二十九日に、その可能性があるということ自体だけでも公表すべきだったというふうに思います。
与党の皆さんも、これは我々立法府がこけにされている話ですから、ぜひ深刻に受けとめていただきたいというふうに思います。
そして、国民からすれば、年金の情報が流出したこと自体、これも許されないことですけれども、危機感ゼロの状態でそのことをネット上に書いている人たちがいる、そういう職員に我々の大事な年金記録や年金の事務を任せているというのは、本当に大丈夫なんだろうかというふうに国民が受けとめても仕方がないことだというふうに私は思います。
今回の事案というのは、先ほど来大臣はサイバー攻撃という言葉を使っておられますけれども、サイバー攻撃というのはおこがましい、私は初歩的なミスが積み重なった事案ではないかというふうに思っています。
三点申し上げたいというふうに思っています。
まず第一は、ウイルス感染の引き金になったのは、不審なメールの添付ファイルを開いた、こんなことは普通の人でもやらないですよね。やはり怪しいメールがあったら、その添付ファイルを開くというのはウイルスの感染があるからやってはいけないということは、これはイロハのイの話であって、こんなことが引き金になってしまっているということがまず第一。
それから第二は、これも先ほど来指摘をされていますけれども、個人情報が保存されたファイルにはパスワードを設定するように内規が定められていたけれども、五十五万件についてはパスワードが未設定だった。そしてそのことは、今回だけの事案、特異なものではなくて、そういうパスワード未設定というような事務が常態化していたということですから、これも非常に初歩的な問題だというふうに思います。
そして第三は、これは先ほど玉木委員の質疑の中での一番大きな論点でしたけれども、不正な通信を確認した時点で、感染したパソコン一台だけをネットワークから切り離した、ほかは接続状態にしたという初動段階での判断ミス、これが私は一番重大だと思うんです。
この三つ、いずれも初歩的な話なんです。サイバー攻撃なんという不可抗力の事故ではなくて、これは初動のミス、判断ミス、あるいは常日ごろから内規が守られていないということが常態化していること、あるいは添付ファイルを開いてしまうみたいな初歩的なミスが重なった結果であって、極めて責任は重大だというふうに私は思いますけれども、大臣はそのようにお思いになりませんか。
○塩崎国務大臣 だんだん全容解明をこれまでのプロセスの中でされる中で、大変、この機構のセキュリティーの備えというものが不十分だということは私も残念に思うところでありまして、だからこそ、今回、徹底的に原因究明を今のようなことを含めてした上で、どういうふうに今後二度と同じようなことが起きないようにしていくのかということを検証委員会で検証してもらおうということで、私どもとしては、今その準備をしているところでございます。
○大西(健)委員 大臣の答弁の中で今ちょっと気になったのは、機構がずさんだったんだということをおっしゃっていますけれども、ぜひ忘れないでいただきたいのは、やはり、先ほども玉木委員とのやりとりの中で、機構は節目節目で年金局とも相談しながら今回の事案に対処しているわけですから、よもや、機構が悪いんだ、厚労省は責任がないんだ、そういうことは絶対に言わないでいただきたいと思います。厚労省としての責任というのもしっかりと感じていただきたいというふうに思っております。
それから、もう一つ私がすごく重大だと思うのは、今、百二十五万件、百二十五万件と言っていますけれども、果たして被害がこれだけにとどまるんだろうか、今後拡大する可能性がないのかということについてお聞きをしたいというふうに思います。
今回、ウイルスの標的となったのは、職員が作業している業務用のPC、これがウイルスに感染した。機構では、年金加入者らに通知を送る場合など業務に必要な場合に限り、業務用のパソコン端末を使ってファイル共有サーバーに接続することができる、そして、そのファイル共有サーバーには、必要に応じて、基幹システムからCD―ROM等を通じて抽出した個人情報が保存されていたということであります。
しかし、その同じ業務用PCでメールの送受信等も行っていたのでウイルスに感染をしたということなんですけれども、その後、先ほどの玉木委員の資料の中では、四十台のパソコンがネットワークにつながれたままになっていたので、やはり感染をしたということが書かれています。
そうしますと、現時点で流出していると考えられているのは、約百二十五万件の基礎年金番号であったり氏名であったり生年月日であったりという情報ですけれども、被害はこの百二十五万件にとどまらない可能性があるんじゃないか。また、それ以外にも、業務用PCが何十台も感染しているわけですから、もしかするとそのハードディスクには、そういった年金記録の情報以外にも、いろいろな秘密の文書とかあるいは機密情報もハードディスクに入っていて、そういうものも場合によっては流出している可能性もあるのではないか、これは否定し得ないんじゃないかというふうに私は考えるんです。
まず、この点、日本年金機構の水島理事長に、この百二十五万件という数字で本当に打ちどめなのか、それとも、まだ広がる可能性があるのか。あるいは、業務用のPCが感染しているわけですから、そのハードディスクに入っている他の情報、その中にはもしかすると機密の情報もある可能性があるというふうに思いますけれども、そういうものがもしかしたら、現時点では確認されていないけれども、漏れている可能性があるんじゃないか。この可能性は否定できないと私は思いますが、いかがでしょうか。
○水島参考人 残念ながら、御指摘のとおり、さらに流出が拡大する懸念はございます。ただし、それは、現在警察にお届けをいたしておりますログを解析していただいた結果を踏まえて、結果がわかるということでございます。
申し上げるまでもございませんが、現在は、ネット環境等、遮断をいたしておりますので、流出はございません。
○大西(健)委員 現在流出がないのは当然なんですけれども、今、水島理事長がお認めになったように、これは重大な答弁だと私は思いますよ。百二十五万件にまだとどまらない、これ以上の被害が拡大する可能性がある、あるいはその他、業務用のPCがもう何十台も感染して、二十九日になってネットから遮断されているわけですから、その間、ハードディスク等に入っている機密文書等ももしかしたら出ている可能性が否定できないという、私はこれは重大な答弁だというふうに思います。
私は、今後、その被害が拡大するという可能性も踏まえて、徹底究明をしていかなければならないというふうに思っております。
それから、年金機構では、お客様への対応として、成り済まし等が行われないように、年金手続の際の本人確認の厳格化、あるいは、おわびやお知らせの郵送、基礎年金番号の変更等を行うということを言われていますけれども、百二十五万件の基礎年金番号を変更するというのは非常に膨大な作業だというふうに思いますが、どれぐらいの期間を要するのか。
また、基礎年金番号を変更すると、例えば厚生年金基金等を取り扱う事務は大手の生命保険会社等に委託されていると思いますけれども、基礎年金番号等が変更になると新たな事務が発生する可能性があるというふうに思います。
基礎年金番号の変更に要する期間とそれに伴う影響、これについて機構の方から御説明いただきたいと思います。
○水島参考人 基礎年金番号の変更に関しましては、現在の基礎年金番号で管理をいたしております情報を新の基礎年金番号に引き継いでいく必要がございます。この引き継ぐことが、正確に、間違いなく、確実に行われるということを担保する必要がございます。そのために、もちろん業務面もでございますが、システム面も含めて対応をきちんと行わなければならないというふうに考えております。
そのために、この期間でございますが、現状、まだ見込みでございますが、しかしながら、極力早くお知らせをする必要があると認識をいたしておりますので、三カ月余りの間では何とか完了させたいというふうに現在考えているところでございます。
○大西(健)委員 ちょっと時間がなくなってまいりましたので、最後の質問にしたいと思います。
先ほどもお話があった、今回の件による二次被害の懸念とその対策なんですけれども、ダイレクトメール等が送りつけられる、そういう可能性は払拭できないという御答弁が先ほどありました。
例えば、振り込め詐欺犯が、情報流出の被害者が集まって集団訴訟を起こすので訴訟費用の手付金を振り込んでほしいというような電話をかけることが、私は可能性としてはあるのではないかというふうに思いますし、先ほど紹介しましたけれども、既に、あなたの年金情報が漏れている、個人情報を消したり回収するためにはボランティア団体の協力が必要だ、こんな電話がかかっているということが確認されています。
私の秘書の友人のところにも、既にきのうの朝、日本年金機構を名乗る不審な電話があったということでありますから、うちの秘書の友人に電話があるぐらいですから、これは氷山の一角で、もう相当そういう電話がいろいろなところにかかっているんじゃないかなというふうに思います。
昨日の夜の時点で日本年金機構のホームページの画面を見せていただきましたけれども、そこも、最新情報のところにちっちゃく「日本年金機構の個人情報流出について」という、クリックをしても出てくるのはこのプレスリリースだけなんですけれども、それがあるんですね。ただ、大きく今回の年金情報流出に関する二次被害の注意を呼びかけるような記載はありません。
さらに言えば、これは年金受給者がそうじゃないかというのが今回漏れた情報でありますけれども、やはり不安を感じられる方の中には年金受給者の高齢者の方が多いと思うんです。高齢者の方はインターネットも余りごらんにならない。
そういうことを考えると、二次被害の防止のための注意喚起というのを、これは幅広く、例えばテレビとか新聞等を通じて行うべきではないかというふうに思いますけれども、この点、大臣の御答弁をいただけますでしょうか。
○塩崎国務大臣 これは、先生御指摘のとおり、残念なことでありますけれども、個人情報が流出をしたわけでありますから、ダイレクトメールが行くとかいうようなことがあり得るわけでございますので、日本年金機構をかたった詐欺のおそれなどについては、ホームページやチラシや、さまざまなルートを使って、特に、年金を受給されている方々は高齢の方も多いので、そういった方々にどういうふうに情報が伝達されて届くかということをよく考えながらこれを周知していかなければならないというふうに思っておりまして、全く先生の御指摘のとおりだと思います。
○大西(健)委員 時間になりましたので終わりますけれども、本日の質疑で、やはり厚労省として責任の所在というのが、玉木委員とのやりとりでも明確になっていない、それから、今回のことというのは本当に初歩的なミスによるもので、その責任というのは私は本当に重大だというふうに思っております。
さらに言えば、先ほどありましたように、この被害というのはまだ拡大するおそれがある、まだ被害の全容さえ明らかでないわけでありますので、これはやはり徹底解明が必要だというふうに思っております。
この徹底解明なくして法案審議には戻れない、このことを最後に申し上げまして、私の質問を終わります。
○渡辺委員長 午後一時から委員会を再開することとし、この際、休憩いたします。
午後零時十六分休憩
――――◇―――――
午後一時開議
○渡辺委員長 休憩前に引き続き会議を開きます。
質疑を続行いたします。井坂信彦君。
○井坂委員 維新の党の井坂信彦です。
今回の年金情報流出は、サイバー攻撃と言えるようなものではありません。余りにも鈍い年金機構の体質、またそれを監督する厚労省、政府の甘い体質の問題だというふうに捉えております。
本日は初日ですので、まず、いつ、何が起こったのか、こういうそもそも事実認識がまだわからない部分がございますので、事実確認から順を追ってさせていただきたいというふうに思っております。
まず、八日の件でありますけれども、内閣サイバーセキュリティセンターから、パソコンが外部と不正な通信をしている、こういう連絡が厚労省情報担当参事官室に伝えられたということでありますが、もう少し具体的に、実際どのような内容が連絡をされたのか、お伺いをいたします。
○樽見政府参考人 お答え申し上げます。
五月八日に内閣サイバーセキュリティセンター、NISCから受けた連絡ということでございますけれども、日本年金機構からの異常な通信を検知しているという旨の一報ということでございました。
○井坂委員 先ほどの答弁では外部への不審な通信という言い方でありましたが、正確には異常な通信ということで、その短い一文が通知をされたということでしょうか。
○樽見政府参考人 お答えいたします。
機構からの異常な通信を検知しているということをNISCから連絡を受け、そういう内容を年金局経由で年金機構にその日に伝えたというふうに承知をしております。
○井坂委員 異常な通信の、例えば、私もウイルスソフトとかいつも入れていますので、そういう通信先なども示されるのではないかなと思うんですけれども、そういった情報も来ておりましたでしょうか。
○樽見政府参考人 そのときについては、そういう、それ以上の詳しい通信先等の情報については承知をしておらなかったというふうに認識をしております。
○井坂委員 サイバーセキュリティセンターの仕事なんですけれども、実はいろいろな通信はもう本当に年間何百万件もキャッチをしておられまして、その中で、ちょっとここの先とこんな通信をするのは解せないなというようなときに、相当にセキュリティセンターで絞った上でそれが当該部局に伝えられるんだというふうに承知をしているんですけれども、単に異常な通信があるとだけ連絡があって、あとはそっちでどうにか判断しろ、こういうことだったんでしょうか。
○樽見政府参考人 お答えします。
機構からの異常な通信をNISCにおいて検知しているので、何かおかしなことが起きているという意味だというふうに思いますけれども、そういう異常な通信を検知しているということの連絡があったというふうに承知をしております。
○井坂委員 その時点で、普通の部署であれば、そういう連絡があったときに、私が通常理解をしているパターンは、この連絡先はうちが正規で使っているソフトのアップデートの連絡先だから、ここで通信が勝手に起こっても全然問題ないんですよというふうに判断をしてそのまま続行するのか、あるいは、この連絡先はちょっと身に覚えがないな、怪しいなということで遮断をするのか、こういう判断でケーブルを抜くか抜かないかを判断するものだというふうに思うんですけれども、通信先は一切わからないまま、ただし、このパソコンがおかしいという、当該パソコンだけは指定をされて連絡があったということでしょうか。(塩崎国務大臣「参事官室を呼んでないんだもん。そんなことを聞いてもわかるわけがない」と呼ぶ)
○樽見政府参考人 申しわけありません。
通信先の連絡があったということでございます。先ほど申し上げたのに加える形になります。申しわけありません。
ただ、ではどのPCかということについての特定は年金機構の方でやったというふうに承知をしております。
○井坂委員 まず、今大臣が、呼んでないもんというふうにおっしゃいましたけれども、私は通告のときは参考人とだけ書いて通告をしておりますので、どなたが来るかはそちらの方で選ばれたということだというふうに認識をしております。私が、あの方は来ないでくれとか、この方だけ来てくれというような通告をすることは通常一度もございませんので、今の御発言は認識が全く違いますので、よろしくお願いをいたします。
さて、今、通信先はわかっていたということですよね。そこで、お伺いをしたいんですけれども、であれば、その通信先と既にもう通信が行われた、外部への通信が行われたという通報が八日の第一報であったわけですから、既にその通信先に情報が流れていたわけであります。その際に、通常の組織であれば、当然そのログを確認して、どのような情報がその不審な通信先に流れたのかというのを機構内でチェックするのが普通だというふうに思いますが、そういったアクセスログを八日の段階で調べられましたでしょうか。
○水島参考人 八日の段階では、当該パソコンを抜線したという状態でございます。
○井坂委員 気づいてからそのLANケーブル、インターネットの接続のケーブルを抜いた、それが正しい対処法だというふうにこの間答弁をされておられますけれども、既に内閣のサイバーセキュリティセンターから、不審な通信先とあなたのところの職員さんのパソコンが勝手に通信をしていますよ、情報が行き来していますよ、こういう通報があったわけであります。
もちろん、事後的な対策として、それ以上の通信を防ぐためにケーブルを抜く、これは当然だと思いますが、既に流れている情報があるのは事実で、そういう通報があるわけでありますが、どんな情報がその不審な通信先に流れたのか、ログの確認はしなかったのでしょうか。
○水島参考人 契約しておりますシステム運用会社がいわゆるウイルスソフトの対策会社と契約をいたしておりますので、そこに対して内容を通知して、そのウイルスの内容について解析をさせたということでございます。
○井坂委員 違うことをお答えになっておられますが、ウイルスの種類を特定する、これはこれで別途やっていただきたいことでありますが、既に八日の第一報の時点で不審な通信先と通信が行われている、もっとはっきり言えば、情報がそこに流れているということでありますから、何が流れたのかというアクセスログの解析はしなかったんでしょうか。
○水島参考人 それはいたしておりません。
○井坂委員 そういう流出を疑わなかった理由というか、疑わなかったも何も、既に何らかの情報が流れたという一報があった後ですから、その中身を精査しなかった理由は何でしょうか。
○水島参考人 その時点でログを解析して中身を、それがどのようなものであるか調べるということについては、運用会社に対して情報提供していると思います。
ただ、その後、いわゆるこのウイルスが情報を外に持ち出すような性質のウイルスではないという報告を受けておりましたので、そういう意味では、その後、それに対して駆除のワクチンを用意いたしましたので、それによって対応していたということでございます。
○井坂委員 ウイルスを解析した結果、事後的に、このウイルスは情報を外に持ち出すタイプではないということが後から判明をしたということでありますが、しかし一方で、今回、百二十五万件の情報が流出をしていて、そのウイルスが本当にそうだったのかどうかわかりませんが、普通は八日の段階で、不審な先に機構の職員のパソコンから情報が出ているということがわかった時点で、何が出たのかということは解析をするものではないかなというふうに思うわけであります。
今回、二十八日にいよいよ警察から、今回情報流出がありましたよという報告を受けた後で、そのときに、二十八日あるいは二十九日の委員会でそのことをずっと隠したままにしておられた。その理由として、どこに情報が流れたのかを確認した、情報の中身と件数を確認したのに時間がかかったんだ、三十一日までかかったんだ、こういう答弁が午前中にありました。
二十八日以降にそうした流れた情報の精査ができたわけでありますが、同じ作業が八日の直後にできなかった技術的な理由は何かあるんでしょうか。同じことが八日の段階でできたのではないでしょうか。
○水島参考人 私の認識を申し上げますと、ウイルスによる攻撃というのは、私どもにはもちろん常にあるわけでございます。これに関して、検知をして、ワクチンをつくってそれを駆除してということで、さらにそのウイルスがどのような性格であるかということを把握した上で対処していくということが、通常の対応として行われてきているということでございます。
これに沿って、五月八日の時点のものについては対応を行ったということでございます。
○井坂委員 よくある、ありきたりな事件だという御答弁で、八日の段階ではそんな自社のアクセスログを調べるようなことではなかったんだという御答弁であります。
お伺いをいたしますが、こういう個人情報に不正アクセスをされるというような事件は、機構においてこれまで何件起こっておりますでしょうか。
○塩崎国務大臣 年金機構において、個人情報の流出につながるような不正アクセスというのはこれまでにはなかったというふうに承知をしております。
○井坂委員 流出につながるようなアクセスというのはもちろんこれまでにはなかったんだというふうに思いますが、いわゆる不正アクセス、結果的に個人情報は大量に抜かれなかったけれども、しかし、不審な連絡先に勝手に職員のパソコンがつながってしまって情報が行き来した、こういうようなことが、先ほど理事長がおっしゃったような取るに足らない日常茶飯事なのかというふうに思うわけであります。
実は、この内閣のサイバーセキュリティセンター、もちろん、いろいろなメールやら不正アクセスやらを年間何百万件もチェックしておりますが、その中で、実際、こういう注意を当該省庁に促すような件数というのは本当にごくごく一部だ、不正アクセスに関しては年間せいぜい百数十件だというような話も伺っております。
要は、めったにないことなのではないかな、内閣のサイバーセキュリティセンターから、不正アクセスされていますよという連絡が入ることは、そんな取るに足らない、何もしなくていいような、ただ線を抜けばいいような、日常茶飯事だったのかというふうに思うわけであります。
産経新聞にこんなことが書いてありました。内閣府が機構への不審アクセスをかなり前に検知して厚労省に注意したのに、厚労省の動きが鈍かった、大きな見出しつきでこういう記事が書かれていたわけでありますが、これは事実でしょうか。大臣に伺います。通告どおりです。完全に通告どおりです。
○塩崎国務大臣 今、産経新聞の報道についてのお尋ねでございますけれども、五月八日に、内閣サイバーセキュリティセンターから年金局に機構からの異常な通信を検知している旨の連絡があったことは、先ほど来繰り返し申し上げているとおりでございます。
このため、その日に日本年金機構に対してその旨連絡を行っておりまして、その際、直ちに、日本年金機構では、不審なアクセスのあったパソコンを特定し、先ほど来繰り返し申し上げているように、インターネットからの切断というものを行って、同時に、ウイルス対策ソフト会社にウイルスの解析を依頼する等の実施をしたというふうに承知をしておりますし、先ほど午前中の答弁でも申し上げたように、この一報をNISCからいただいたときに、年金局と機構との間で協議があって、今回のような対処をするということを機構がお決めになったというふうに理解をしております。
○井坂委員 お尋ねしたことにもう一度正確にお答えをいただきたいと思いますが、五月八日以前の段階で、サイバーセキュリティセンターから厚労省に、機構の情報が抜かれているかもしれませんよ、こういう注意喚起があったと産経新聞は書いておりますが、五月八日以前の段階でそういうことがあったのかなかったのか、お伺いをしたいと思います。
○塩崎国務大臣 私どもにNISCからそういう連絡が来たことは、八日以前にはないというふうに理解をしております。
○井坂委員 それであれば、産経新聞の記事は少し事実と違うのかなというふうに思います。
しかし、これは一方で、理事長の先ほどの答弁は私は大問題だというふうに思います。なぜなら、サイバーセキュリティセンターから厚労省経由でこうした注意喚起があったのは五月八日が生まれて初めてだったということだからであります。初めてそういう注意喚起が来て、それに対して、何か、先ほど、そんなものは毎日来ているんだみたいな答弁がありましたけれども、そんな御認識で五月八日に対処されたのかどうか、もう一度お伺いをいたします。
○水島参考人 もちろん、NISCからの御連絡があったことについては極めて重く受けとめておりまして、そのために、即座に、不審メールを、異常な通信を発信しているパソコンについて、運用先及びソフトの開発会社に対して提供したということでございます。
○井坂委員 繰り返しになりますが、重大なこととおっしゃりながら、単に線を抜いて、そしてウイルスの中身の調査だけして、一体、線を抜くまでの間にどんな情報が流れたのかについては一切注意を払われなかったということが事実の経過だというふうに思います。
続いてお伺いをいたしますが、この八日に起こった一連の出来事を、機構の中では、あるいは厚労省の中では、それぞれ、いつ、どこまで報告を上げたでしょうか。機構と厚労省、それぞれの報告範囲をお答えください。
○水島参考人 五月八日にNISCからそのような御連絡を頂戴した、厚生労働省経由でございますが。これに関しましては、その日のうちに私宛てに報告がございました。
○塩崎国務大臣 私が今回の情報流出の一報を聞いたのは、先ほど申し上げたとおり、二十八日でありますが、五月八日については、内閣のNISCから日本年金機構に対して、厚生労働省年金局経由で、先ほど申し上げたとおり、機構からの異常な通信を検知しているという連絡があった際に、機構は、今お話しのとおりでありまして、この連絡を受けて対応をとりましたが、報告の範囲ということであれば、厚生労働省の中では、担当の係長が対処をした、連絡を機構の方にしたというふうに承知をしております。
○井坂委員 同じく、八日の時点で警察、警視庁に相談をしなかったということでありますけれども、この理由については何か特段ありますでしょうか。
○水島参考人 先ほども申し上げましたが、五月八日以降、ウイルス対策会社に、メール及びその対象PCの中のデータについては提供し、解析を依頼いたしております。
その結果として、五月九日以降、ウイルス対策会社から、ウイルスが検出されたという旨の報告を受けております。加えまして、このウイルスに対する駆除のワクチンを開発する、そして、それを機構の全PCに対処するということを行ったということでございます。
○井坂委員 ちょっとお尋ねしたことと微妙にずらしてお答えをされているんですけれども、それは、ウイルスの中身のチェックとそれへの対策は、おっしゃるように、されたんだというふうに思いますが、しかし、情報が抜かれているかもしれないという出来事に対して、八日の段階では警察に相談をされなかった。十八日の段階では、翌十九日にされたということでありますが、八日の段階ではそれをされなかったのは何か特段の理由があったんでしょうか。
○水島参考人 私が報告を受けておりますのは、先ほど申し上げましたとおり、対象のウイルスが検知されて、それに対する駆除ワクチンができ上がった、そして駆除されたという報告を受けているということでございます。
○井坂委員 何か、本当に理解ができないのですが。
パソコンがウイルスにかかりました、だから、どんなウイルスにかかったのかを調べて、そしてそのウイルスを駆除する、あるいは今後その同種のウイルスを防ぐワクチンを開発しました。これはこれで、こちらの流れの仕事としてはいいと思うんです。
ただ、一方で、普通、どんなウイルスでも、もうかかったときに既に悪さを始めて、まさに今回のように情報を抜かれてということが起こるわけです。
セキュリティセンターから連絡があったのは、あなたのところのこのパソコンがウイルスにかかっていますよ、こういう連絡ではなかったはずです。そうではなくて、機構の中から不審な連絡先に勝手な通信が起こっていますよ、要は、情報が流れていますよ、こういう通知、連絡があったんだというふうに思うんですが、その情報が流れているということに関しては一切何もしておられないのはなぜなんでしょうか。
○水島参考人 担当の部門といたしましては、異常な通信が出ているということで、抜線をして、それをとめた、それから、ウイルスを検知して、ワクチンをつくって駆除をしたということでございますが、私が報告を受けて、警察に届けないという、判断に至らなかったのは、その後、そのウイルスは、機構内部の情報を外に持ち出すような性質のウイルスではないという報告をウイルス対策会社から受けたということを聞いた結果でございます。
○井坂委員 しかし、その後、不正アクセスされたパソコンは東京と福岡で四十台、こういうことが報道をされているわけであります。
この四十台のパソコンに不正アクセスがされていた、あるいは、ウイルスに感染していたということなのかもしれませんが、この事実については、いつ気づきましたでしょうか、あるいは認識をされましたでしょうか。
○水島参考人 十八日であったと思います。十七日以前について私宛て報告はございませんでしたので。
台数に関しましては、確認はここではいたしかねますが、捜査中でございますのでいたしかねますが、十八日に複数のパソコンに感染をしているということを把握いたしました。
○井坂委員 ちょっと、これは通告にない質問なので恐縮ですが、その四十台のパソコン、どういうOSが入っていたのか、あるいはどういうメールソフトだったのか。要は、最新だったのかということですね。これが少し気になるところでもあるんですが、もしそういう情報を今お持ちであれば、その感染したパソコンはOSもメールソフトも最新だったということなのか、全然そうではない、非常に古いものを使い回していたということなのか、もし御存じであればお願いをいたします。
○水島参考人 申しわけございません。ちょっと、今お答えするだけの材料を私、持っておりません。
○井坂委員 最初一台だけしかウイルス感染に気づいていなかったものが、十日後には四十台になっていたということで、ちょっとこの辺も、その四十台のパソコンのOSとかメールソフトが実際、最新だったのかどうかということは、また後刻、文書でお答えをいただければというふうに思うんですけれども、委員長、いかがでしょうか。
○渡辺委員長 理事会で協議いたします。
○井坂委員 済みません。よろしくお願いいたします。
最初一台で、そして、それに対して単なるウイルス対策のことだけを行い、そして十日後には四十台がそういった大変なことになっていたということであります。
十八日に起こったこの一連の出来事、あるいは十八日に気づいたこうした一連の出来事を、機構内あるいは厚労省内では、それぞれ、いつ、どこまで報告を上げましたでしょうか。それぞれお答えをいただければと思います。
○水島参考人 一つだけ申し上げておきますと、八日に検知されておりますウイルスと十八日に検知されておりますウイルスは、別のものでございます。
先ほど申し上げましたように、十八日に複数のパソコンが感染をしたということについては、同日、私宛て報告がございました。
○塩崎国務大臣 この十八日の件は、機構職員複数名から本部に不審メールのお話が来たということでありますが、私どもは、厚労省の中の、先ほど申し上げたように、担当係長が対処したというふうに承知をしております。
○井坂委員 この間、機構の場合は、八日も十八日も即日理事長のところまで報告が上がった。一方で、厚労省の場合は、八日も十八日も担当係長どまりだったということかと思います。
このあたりは、厚労省の方がむしろ危機感の欠如と言われても仕方がない状況だったのではないかというふうに思いますが、ちょっと大臣、その状況に関していかがお考えですか。
○塩崎国務大臣 今先生御指摘のように、反省すべき点があるというふうに私も思います。
○井坂委員 もう一点、先ほどの理事長の答弁で少し解せないことがございます。
八日の段階では、ウイルスにかかった、でも、それを、情報を即座に抜かれているとは判断せずに、まずウイルスの解析に入って、そして後日、このウイルスは別に情報を抜くタイプではなかったということなので、事後的に、八日の段階でそういう手を打たなかったのも別に問題なかったんだというふうに正当化をされました。
しかし、十八日の段階、私はてっきり同じウイルスかというふうに思っておりましたが、全く違うウイルスに感染をしていたということであります。八日のときには、新種のウイルスにかかって情報が抜かれたおそれは一切ケアしなかったわけでありますが、十八日の段階では、新種のウイルスにかかって、そして情報が抜かれている可能性に思いが至って警察にも通報したということであります。
十八日はなぜそうやってきちんと動かれて、八日の段階はなぜ、このウイルスはちょっとよくわからないから、まずウイルスを調べるだけにしようということになってしまったのか、お伺いをいたします。
○水島参考人 そこは、そう判断するに足る材料があったということでございまして、その材料をもとに、警察当局の協力を仰ぐべきだという判断を行ったということでございます。
どうしてだということに関しましては、これは捜査情報に属しますので、恐縮でございますが、ここでは御勘弁をいただきたいというふうに思います。
○井坂委員 私は別に、十九日にそういう判断をされたのをおかしいと責めているわけではなくて、十八日も八日も、同じ、新種のウイルスに自社のパソコンが感染をした、そして、セキュリティセンターから、情報が外部に、知らない通信先と通信が勝手に起こっていますよ、こういう通報があった。全く同じ事象が八日と十八日に起こっているというふうに思うわけでありますが、十八日にはそうやって適切な対処をされた、一方で、八日の場合には、本来やるべきことをされなかったというふうに私は思っているんです。
十八日にそう判断された理由は、捜査上の問題があって、ここで明らかにできないということでありますが、十八日にできたことがなぜ八日に、しかも、これは多分、大規模な個人情報を扱っている企業であれば、まず、そういう不正な通信があればログを調べるというのは極めて当たり前のことではないかなというふうに思うんです。
そのあたり、そもそもどういう仕組みになっているのか。そういう外部との不正通信があったといっても、今後もただワクチンをつくるだけで終わりにしてしまうのか。ちょっと、その八日の対応が私は本当に問題だと思っておりますから、その点についてだけ一言お願いいたします。
○水島参考人 八日に感染をいたしましたパソコンに関しましても、そのログは警視庁に提供いたしております。
○井坂委員 八日のパソコンを警視庁に提供したのは十八日より前ですか、八日の直後にそうしておられたんでしょうか。
○水島参考人 十九日以降でございます。
○井坂委員 今ちょっと苦笑いが漏れましたけれども、そんなのは当たり前だと思うんですよ。十八日の段階で新たに感染した四十台だけ警察に出して、もともと八日に感染していた一台を出さない方がおかしいのであって、十九日に、それは四十一台なのか何なのか、全部出す、これは当たり前だと思います。
きょうずっと議論しているのは、八日の段階でアクセスログを調べるのが普通ではないですか、また、八日の段階で警察にも相談をされるのが、アクセスログを調べた上でですけれども、どうも情報が幾ばくか出ているということであれば、もう八日の段階で機構が十九日にされたことをしておくのがむしろ普通の対応なのではないですかということをお尋ねしております。
その点に関して、八日はこれこれこういう理由でできなかったんだ、あるいは、八日はこれこれこういう理由でする必要はないと合理的に判断をしたつもりだったんだ、その御答弁をいただきたいと思います。
○水島参考人 その点は、先ほど申し上げたことの繰り返しにならざるを得ませんが、いわゆる抜線を行って、もちろんでありますが、抜線を行った後、異常な通信はなくなった、その時点でですね。でございまして、その結果、パソコン及びログについて、ウイルスソフトの開発会社に渡して、ワクチンをつくっていただいて、全パソコンにそれを組み入れた、駆除した。そして、ほぼ同時に、このウイルスは情報を外に持ち出すようなものではないという報告を受けた。したがって、そこで駆除されたという判断を行ったということでございます。
○井坂委員 この点に関しては、私は全く理解ができません。今の御答弁でも、何か非常に力を込めて、ケーブルを抜いたからもうこれで異常な通信はなくなったと力を込めておっしゃいましたけれども、その抜く寸前まで何かが通信されていたわけですよ、不審な通信先と。しかも、個人情報を抜かれることに一番気をつけなければいけない年金機構が、抜いたからこれでとまったんだではなくて、とまる前に何かが流れていて、それは何が流れていたのか、どういう先に流れていたのか、そういうことに一ミリも八日の段階でお考えが至っていないということに私は驚きを禁じ得ないということであります。
十九日のことについて伺いますが、厚生労働省と相談の上、警視庁にどのような依頼をして、そして、その日には警視庁からどのような返答があったのか、事実関係をお伺いしたいと思います。
○水島参考人 警視庁への依頼でございますが、先ほども申し上げましたが、依頼を行うというその時期については、私どもの判断で行っております。もちろん、一般論も含めまして、このような場合に警察に届け出るべきかどうかということについては、監督官庁でございます厚生労働省とは常に議論を続けてきているということが前提でございます。
それから、加えまして、警察に対して依頼を行った後、その事実は、厚生労働省に同日、報告をいたしております。
その内容でございますが、機構の担当者が、私どもを所管いたしております高井戸警察署に赴きまして、それまでの外部からのウイルスメールによる不正アクセスについて説明をし、捜査を依頼いたしました。
その時点では、高井戸警察署からは、しかるべき担当部署へ連絡し対応する旨の回答をいただいたということでございます。
○井坂委員 ありがとうございます。
厚労省にお伺いをいたしますけれども、警察に実際に捜査依頼を出したということも含めて、この十九日の一連の出来事を、厚労省内では、いつ、どこまで報告を上げておられましたでしょうか。
○塩崎国務大臣 ただいまの高井戸警察署に捜査依頼をしたという機構の判断と行動につきましては、担当の係長が報告を聞いていたということでございます。
○井坂委員 報告を聞いた担当係長から、厚労省内で、どこか、その上に報告を上げましたでしょうか。
○塩崎国務大臣 係長でとどまっていたというふうに理解をしております。
○井坂委員 八日、十八日、十九日と事態がどんどんはたから見ても深刻になっていながら、全ての情報は担当係長どまりだった、これが厚労省のこの間の実態だというふうに思います。
加えてお伺いをいたしますが、八日から二十日たって二十八日、ようやく警視庁から捜査依頼をしたことの結果の連絡があって、そして、そこで情報流出が判明したということであります。
具体的に、警視庁からはどのような内容の連絡があったのか、連絡の中身についてお伺いをいたします。
○水島参考人 五月二十八日木曜日でございますが、警視庁から、日本年金機構から流出したと考えられるデータが外部で確認された旨の情報提供を受けましたと。そして、その内容について調査をいたしましたところ、確かに当機構の情報であるということが確認をされたということでございます。
その内容に関しましては、大変申しわけございませんが、捜査関係の情報ということになりますので、御勘弁をいただきたいというふうに思います。
○井坂委員 そうしますと、情報が流れ出ていましたよという捜査の報告ではなくて、機構のものと思われるデータが外にありましたよ、おたくのものと思われるデータがここにあったので多分流れ出たんじゃないですか、こういう報告があったということであります。そして、またその後、そのデータが機構のものかどうかの確認に入ったんだというふうに思います。
午前中も議論がありましたが、二十八日の晩の段階で大臣には一報が入り、また、二十九日昼の段階ではある程度の具体性のある報告が上がったというふうに聞いております。
大臣に通告どおりお伺いをいたしますが、二十九日、まさに我々は、この部屋で厚生労働委員会を開いて議論をさせていただいておりました。この厚生労働委員会あるいはその理事会に報告をしないという判断は、いつ、どなたがされたんでしょうか。
○塩崎国務大臣 先ほど申し上げたように、二十八日に情報が流出したという事実の一報があったわけでありますが、二十九日に、昼間、概要が私の方に報告がありました。
その際になぜ公表しなかったのかということでありますが、これについては、先ほど申し上げたように、個人情報が入っているということが、前日はわからなかったわけでありますけれども、当日わかったにもかかわらず公表をしなかった理由は、先ほど申し上げたとおりで、どこまでの個人情報がどのような範囲で出ているのかということはまだその時点ではわかりませんでした。
したがって、もしそれを、先ほどはそれを公表すべきだったんではないかということを大西議員からも御指摘がありましたけれども、このことをよく考えてみると、仮に、どこまでの範囲で誰の情報かということがわからないままに、漏れましたということを世の中に発信いたしますと、当然皆さん御心配をされるわけです。先ほど来お話が出ているように、電話が機構の方に行くというときに、電話がかかってきている方がその該当者かどうかもわからないままに御不安になった方々にお返事をして、その方がその対象の方かどうかも答えられない段階でオープンにするというのはいかがなものだろうかと。
現在は、お電話をいただいた場合には、その方の情報については必ず、デスクトップ上でわかりますので、その方だということを前提に、もちろん本人確認をして、その上でお話ができるわけでありますけれども、そうじゃない段階で、多くの方々に、情報が漏れていない方についても御心配をかけるというのもいかがなものかということで、全体として情報をしっかりと把握した上で発表すべきだということで、三十一日まで鋭意情報の分析をして、これで、こういうことだなということで発表をさせていただいているということでございますので、御理解を賜れればというふうに思います。
○井坂委員 発表を二十九日にしなかった理由はお答えになられましたけれども、私も本当に端的に、明快に質問通告を出しておりますとおり、その判断をいつ、誰がしたんですかというふうにお尋ねをしておりますので、二十九日に報告をしないという判断をいつ、どなたがされたのか、お答えをいただきたいと思います。
○塩崎国務大臣 申しわけありません。
今申し上げたように、そういう方が賢明だろう、しっかりと不安に応えられる体制をつくってからやるべきだ、それはすなわち、情報をきちっとつかんで、どういう流出が行われてしまったのかということがわかった上で、お一人お一人にお答えができるようにした方がいいということで、私が判断をしたということでございます。
○井坂委員 以上、事実経過を確認させていただきました。
残りの時間で、多少、仕組みの問題などについても本日は伺ってまいりたいというふうに思います。
まず、現状のルールについて伺います。
今回は、ネットに接続された端末で、そこに個人情報も入っていた、あるいは個人情報のLANにつながっていた、あるいは、報道によれば、それがダウンロードされて、職員個人の端末のハードディスクにも情報がそのまま入っていた、いろいろなことが報じられているわけであります。
こうした個人情報が入る、あるいは個人情報のLANに直接つながっている業務用の端末と、それから、メールのやりとりも含めたネットにつながる端末とを分ける、こういうルールは現状あるんでしょうか、ないんでしょうか、お伺いをいたします。
○水島参考人 当機構におきましては、いわゆるウィンドウマシンと言っておりますが、各事務所の人間みんなが使っている機器でございますけれども、この中で一部、情報系にアクセスすることができるような仕組みというのがあります。もちろん、論理的にこれは厳格に区別されている。
そういう意味で、論理的には区分をするという厳格なルールでございますが、パソコンを二台置くというルールにはなっておりません。
○井坂委員 ありがとうございます。
続きまして、今回、個人情報ファイル、これはセキュリティーポリシーで、共有フォルダ上に置くにしてもパスワードを設定するようにということで明確にルールづけをされていたにもかかわらず、五十五万件分の個人情報ファイルにはパスワードがそもそも設定をされていなかったということであります。
これは明らかなセキュリティーポリシー違反だというふうに思うわけでありますが、このセキュリティーポリシー違反については、どなたが、どのように今後処分をされていくことになるのか、通告どおり大臣にお伺いをいたします。
○塩崎国務大臣 共有ファイルに業務上の必要性から一時的に保存をする個人情報、これはCD―ROMなどに入れ込んで移しかえるということでいくわけでございますが、これは、日本年金機構共有フォルダ運用要領というのがございまして、これによってパスワードの設定を行うこととなっております。
本件の違反に係る個別の処分については、現在、事実関係を調査中でございますが、今後、年金機構において精査をされるというふうに考えておりまして、厚労省としては、本件情報の重要性に鑑みて、その処分は、当然のことながら、厳正に行われなければならないというふうに考えているところでございます。
○井坂委員 ありがとうございます。
続きまして、午前中にも少し問題が指摘されましたが、年金機構が、情報管理という部分で、五年連続下から二番目のC評価だったという問題であります。
社会保障審議会の年金事業管理部会における年金機構の中期目標期間の評価でこのようになっているわけでありますが、五年連続Cというのは、ほかの項目を見てもなかなかない、問題な事態が五年続いているということだと思いますが、これはなぜ改善しなかったのか、改善されなかったのか、放置をされたのか、大臣にお伺いをいたします。
○塩崎国務大臣 日本年金機構の業務実績に係る評価というのが、今御指摘のとおり、毎年度、機構が策定する年度計画の達成状況、これについて、その実績報告とそれから自己評価をもとに厚生労働省が評価を行っております。
その中で、今お話がございました社会保障審議会年金事業管理部会に諮問がされておりまして、決定をしておりますけれども、御指摘のとおり、個人情報保護に関する事項については、五年連続C評価となっております。
その理由は、通知書の誤送付などによる個人情報の漏えい件数が、機構発足後の平成二十一年度以降、個人情報漏えい防止の取り組みを行っているにもかかわらず減っていないことによるものだというふうに我々は認識をしているところでございます。
○井坂委員 今大臣が答弁されたとおり、ここに書いてあることは、実は郵便の送り間違いのことばかりが書かれているわけであります。実際、この評価シート、私も拝見しましたが、そもそも今回問題になったようなインターネット上のウイルス対策に関しては、これは評価の視点としても一言も書かれておりません。また、実際やったことの実績の中にも、ウイルス対策ということは書かれておりません。
これは、厚労省として、こういうウイルス対策というのはそもそも評価対象になっていないのかどうか、お伺いをしたいというふうに思います。
○樽見政府参考人 まさに、評価の視点という中で、「セキュリティー対策の順次実施等、個人情報の保護、管理に万全を尽くしたか。」ということがありますので、ウイルス対策という言葉は評価の視点という中にはございませんけれども、そういう要素についても、こういう中に入っているというふうに考えております。
○井坂委員 文章で、セキュリティー対策の中にウイルス対策も含まれるんだと、口でおっしゃるのは簡単だと思いますが、では、ウイルス対策が、年金機構、ちゃんとできていたか、いなかったのか、それは毎年調べているんですか。
○樽見政府参考人 そういうことでいいますと、システム監査等についてもやっておりますので、ちょっと、そこの中でどこまでやっていたかということについては、きょうはお答えする材料を、申しわけありません、持ち合わせておりませんが、そういう観点については持っていたということでございまして、ちょっと詳細については、きょうのところはお答えすることができません。お許しください。
○井坂委員 今後、第三者から成る検証委員会を立ち上げるということであります。
しかし、実は、今後立ち上げるよりも前に、かつて年金業務監視委員会という、厚労省の外部にあった、まさに年金機構の業務内容をチェックする第三者機関があったわけであります。その組織は、昨年の三月に廃止をされました。
今、このチェックシートは、機構がみずからC評価、厚労省も外部からC評価ということで、内外からCが続いておりますが、しかし、今から大臣がつくられるという外部の第三者機関を云々する前に、実は、もともとあった厚労省の外部の機関をわざわざ去年の三月に廃止しているわけであります。
私は、この身内による甘いチェックが今回の事件の背景にあるのではないかというふうに考えるわけでありますが、大臣はいかがお考えでしょうか。
○塩崎国務大臣 御指摘のように、今回の事案を顧みて、反省すべき点が多々あることはそのとおりでございまして、その責任は、監督者としても重く感じているところでございます。
したがって、原因究明、そしてまた、今後再発しないようにするためにどうするかという中で、厚労省の中に第三者委員会をつくるということで今鋭意進めているところでございます。
今の、総務省にありました監視委員会のことについては、私自身官房長官をしていた時代につくらせていただいたものだと記憶しておりますが、これを廃止したことについては、これは期限が来たというふうに理解をしております。
その後に、どういう評価を、誰が、どうして、問題が起きないようにするかということは議論の残るところでございますので、そういった問題を含めて、今回、今申し上げた検証委員会の中でも議論をしていただければというふうに考えているところでございます。
○井坂委員 去年の三月に廃止された外部委員会、期限が来たと事もなげにおっしゃいましたけれども、実は、当の、その委員会の中心メンバーの方が、やってきた仕事から鑑みて当然延長すべきであったし、延長も簡単だったはずなのにしなかったということで、今回の事件を経て、ネット上で意見表明をされているわけであります。
監督者としての責任ということで大臣から言及がありましたので、最後にその一点を伺いますが、本件全体の責任は、どなたが、今後どのようにとっていかれるのかということについてお伺いをしたいというふうに思います。
直近でいえば、民間企業でいえば、ソニー・ピクチャーズさん、四万七千件の流出に対して、会長が引責辞任、また、ベネッセさんは、七百六十万件の流出に対して、当時のホールディングス社長とコーポレーション社長が引責辞任、こういうことであります。
本件全体の責任について、どなたがどのようにとっていかれるのか、最後に、理事長と、それから大臣にお伺いをいたします。
○塩崎国務大臣 今お話しのとおり、どこに責任の所在があるのかということは、今申し上げた検証委員会を含めて、そしてまた、厚労省独自としても、その所在は探っていかなければならないというふうに思っております。
当然、機構においても同様にやっていただかなければいけないガバナンスの問題でもあるというふうに思っておりまして、もともと、今申し上げたように、きょう先生から御指摘をいただいたように、いろいろ、ウイルスが襲ってきたといっても、やるべきことをやっていなかったということが幾つかあったということをやはり認めなければいけない状態でございますから、年金機構も同様、その監督をしている厚労省も同様に責任を感じなければいけないというふうに思っております。
誰がどういうふうな責任をということは、具体的なルール違反とか、そういうのはいろいろまた出てくると思いますが、やはりこれは、どこに問題の所在があってこういうことが起きたのかということを、原因究明を徹底的にやっていくということ、その上で、これからの仕組みとしてどういうふうにあるべきかということ、そして、その際に担うべき役割が今あったとして、それを果たしていないのはどこで、誰なのかということも考えながら、この責任のあり方については今後しっかりと考えていかなければならないというふうに思っております。
○水島参考人 ただいま大臣がおっしゃったとおりでございまして、私どもといたしましても、責任の所在、そして再発防止、これに関してきちんとした整理を行ってまいりたいというふうに考えております。
○井坂委員 冒頭申し上げましたように、本件は、サイバー攻撃ではなく、組織体質の問題だというふうに申し上げざるを得ません。
依然、消えた年金問題以降、名前は変わりましたが、この変わらない年金機構の体質、私は、我が党がかねて申し上げておりますように、年金機構は解体をして、そして、税と統合して歳入庁にするべきだ、このことを申し上げて、本日の質疑を終えたいと思います。
ありがとうございました。
○渡辺委員長 次に、堀内照文君。
○堀内(照)委員 日本共産党の堀内照文です。
質問の中で通告していた内容に既に答弁があったものもありますので、若干違うものもあることを御容赦ください。
きのうの新聞各社の一面に、この百二十五万件にも及ぶ年金情報が流出したという見出しが躍りました。五月八日及び十八日に電子メールで届いたウイルス感染をした添付ファイルを開いたことで二台の端末が感染したことを契機に数十台感染をし、情報が流出したということであります。年金機構は年金支給に支障はないとしていますが、流出した個人情報がどのように悪用されるかはわからず、不安の声が広がっています。
最初に、ちょっと基本的なことなんですが、この流出した情報というのは、受給者のものなのか、受給者以外の加入者のものなのか、それとも両方含まれるのか、可能であれば教えていただきたいと思います。
○水島参考人 それは両方含まれております。
○堀内(照)委員 ですから、まさに本当に全国民的な不安が広がっているんだというふうに思います。
そういう不安の声に応えるためにも、これはちょっと通告していないんですけれども、厚労省に伺いたいと思っています。
早急に対象者へ連絡をとって番号変更などの措置を行う、これは年金機構が努力されることだと思うんですが、それは当然なんですが、同時に、今回の問題による被害が生じた場合、補償をという声もあるわけですが、これにはどう応えていただけるでしょうか。
○樽見政府参考人 補償というのは、結局、まさにその被害というのがどういう形でどういうふうに起こるのかということとあわせて、慎重によく考えていかなければいけないことだというふうに考えております。
○堀内(照)委員 検討するということだと受けとめたいと思います。
過去にない規模での個人情報の流出であります。まず、こうした問題が起きたことについての厚生労働省としての責任をどう考えているのか、大臣の認識を伺いたいと思います。
ちょっとこれは、済みません、通告では、問題解決に向けての大臣の責任はどうかということで通告したんですが、そうじゃなくて、問題が起きたことについての厚労省としての責任ですね、この認識をちょっと伺いたいと思います。
○塩崎国務大臣 今回、年金機構から、悪意を持ったウイルスの攻撃というものがあったということを、これを防げなかったということは大変遺憾なことであって、我々としては、監督する立場で、厚生労働省としてこれはおわびを申し上げなければいけません。そして、私も、厚生労働大臣でございますので、その責任を大きく感じるわけであります。
したがって、今やるべきことは、何を最優先するかといえば、それは年金を、今回の個人情報の流出によっても、悪用されて支払われたり、間違ってされたりしないようにする、つまり年金を守るということを最優先にするということがまず第一で、今指示を出しているところでございまして、さらに、原因をきちっと解明して、二度と同じことが起きないようにするということが私の最大の責任の果たし方ではないかというふうに思うところでございます。
○堀内(照)委員 それでは、具体的に幾つかお聞きしたいと思います。
既にもうこれも質疑の中で明らかになりました。きっかけは、五月八日、内閣サイバーセキュリティセンターが異常な情報の流れに気がついて厚労省に通報をしたということであります。つまり、五月八日時点では、内閣サイバーセキュリティセンターや厚労省は、問題があるということは認識をされていたわけです。しかし、情報流出が判明するのが二十八日と、なぜ二十日もかかったのかということであります。その二十日間のNISCと厚労省のそれぞれ対応はどうだったのかということをお聞きしたいと思っています。
ただ、厚労省については、先ほど大臣からも答弁がございました。問題の端末を接続から外して解析に回して、ワクチンソフトを、開発ができたらそれをインストールするという対応だったということで、それは年金機構の仕事じゃないかという批判もありましたけれども、つまり、それは一緒にそういう作業をしてきたのかなというふうに受けとめましたが、厚労省としては、年金機構のそういう作業を見守っていたのか、電話でいろいろ相談していただけなのか、出向いて一緒になって汗を流したのか、その辺をちょっと厚労省には聞きたいと思っています。
NISCと厚労省と、それぞれ、この二十日間ですね。
○塩崎国務大臣 これは、先ほど御答弁申し上げたように、NISCから連絡が来て、そのことを伝えたのが年金局でございます。担当係長が機構とも協議をして、インターネットからパソコンを外すというようなことを協議の上で指示もし、そして、最終的にはもちろん機構の判断でやっているわけでありますし、十八日のことについてもその間ずっと意見を交わしながら指示もしてきたということでございまして、年金局も機構とともにそこは考えていたということでございます。
○水島参考人 若干繰り返しになりますが、五月八日に発生して以来、機構といたしましては厚生労働省と常に協議をしながら進めてきたところでございます。
節目節目で御指導もいただきながら、かつ、それをもとに自主的な判断も行いながら進めてきたということでございます。
○三角政府参考人 お答えいたします。
NISCにおきましては、政府機関に対するサイバー攻撃等の不審な通信を監視、分析し、これを感知した場合には関係府省に通知し、所要の対策を講じるように求める、そういう対応をしているところでございます。
一方、各府省庁におきましては、自組織におけるサイバー攻撃に対する障害が発生した場合、これをNISCに報告するとともに、緊急対処方針の決定、被害拡大の防止、早期復旧のための措置を講じていただいています。
今回、五月八日の事案におきましては、NISCにおきましては、五月八日に不審な通信が行われていることを感知いたしましたことから、厚生労働省に対しましてその旨通知いたしますとともに、厚生労働省における対応について必要な助言を行ったものでございます。
その助言の内容につきましては、例えば標的型メール及び不正なプログラムの分析、サイバー攻撃などに関します最新の情報が含まれているところでございますが、より具体的内容につきましては、当方の対処能力を明らかにするなど攻撃者を利することとなるものでございますから、お答えを控えさせていただきたいと存じます。よろしくお願いします。
○堀内(照)委員 つまり、NISCの場合は助言ということで、やはり厚労省が果たす責任というのは大きいものがあると思うんですね。
今いろいろ言われましたけれども、これまでの質疑の中でも、なぜ情報流出をそもそも疑わなかったのかとか、本当に、問題点というのはまだまだあるというふうに思っております。
作業のあり方についても少し伺いたいと思っています。
年金受給額などを管理する基幹システムである社会保険オンラインシステムとは切り離されているとはいえ、そこの情報を、職員が作業する端末機を結ぶLANシステムに移して作業していた、その共有サーバーから情報が流出したということなんですが、大切な個人情報が、電子メールのやりとりができるような、外部とLANでつながっているということ自体がセキュリティーとしてはあり得ないと思うんですが、こういう作業のあり方というのが、通常の業務規程といいますか、マニュアルどおりなんでしょうか。
○水島参考人 機構LANシステムにつきましては、さまざまなセキュリティー対策を施しまして、基本的には、外部環境とのつながりという点に関して厳重な対応を行ってきているところではあります。
インターネット環境に接続をしております機構LANシステムに個人情報を保存していたこと、そして、その情報が外部に流出したことにつきましては、大変申しわけなく、事態を重く受けとめているところでございます。
今後でございますが、この機構LANシステム内の共有フォルダに個人情報をどのように保有していくのか、あるいは保有しないのか、あるいはこのような情報系のシステムを個人情報とどのように切り離していくのかという点について、検討を進めてまいりたいというふうに考えております。
○堀内(照)委員 つまりは、それが通常の業務のあり方だったということなんですね。
流出した百二十五万件のうち、パスワードがかかっていないのが五十五万件だと。複数の人がLANでつながれている端末で作業をしているわけですから、不要な人が情報にアクセスできないようにパスワードを当然かけるものだというふうに思うんですが、なぜ一方でかかっていないものがあったのか、理由についてお聞かせください。
○水島参考人 機構の規程では、LANシステム内のデータ共有サーバーには個人情報は原則として保有をしないということがまず基本的なルールでございますが、業務上必要なデータについて、社会保険オンラインシステムから抽出をして共有ファイルに保存する場合に限り、アクセス制限あるいはパスワードの設定などセキュリティー対策を講じた上で保存することになっております。
御指摘のとおり、一部の情報についてパスワードの設定がないということが今回判明をいたしました。そういう意味では、セキュリティー対策が極めて不足をしていたということについては極めて遺憾であるというふうに申し上げざるを得ないというふうに思っております。
先ほど申し上げましたが、このリスクを遮断するために、職員の教育や意識にまつのか、あるいはシステムによるのか、あるいは業務のやり方によるのか、これらについて検討を進めてまいりたいというふうに考えております。
○堀内(照)委員 今の答弁ですと、アクセス制限をかける、もしくはパスワードをかけるということで、これまで、内部規程ではパスワードをかけるものだという答弁が続いていたんですが、必ずしもそうじゃないということですか。アクセス制限をかけるかパスワード、つまり、アクセス制限をかけているものについてはパスワードがなくてもいいということですか。
○水島参考人 個人情報を保有する場合には、両方ということでございます。
○堀内(照)委員 にもかかわらず、パスワードがかかっていなかったということがあるということなんですね。
いずれにしても、LANで外部とつながっている、しかも複数の人が作業をする環境で個人情報が扱われていたということは、やはり非常に重大だというふうに思います。
それから、年金機構の職場は非正規雇用も広がっています。今回問題になったような共有サーバーは、そういった非正規の職員も扱うような例があるんでしょうか。
○水島参考人 非正規雇用の職員につきましても、業務の必要に応じまして、正規職員と同様に共有サーバーを扱えるアクセス権限を与えておる場合がございます。これに関しましては、規程に沿って適切に管理を実施しているという状況にございます。なお、業務に関して知り得た秘密については、職員同様、守秘義務を課しているということでございます。
○堀内(照)委員 非正規だから一概にだめだということを言うつもりはないんですが、重要な個人情報を扱う人が有期、非正規で、いわば入れかわり立ちかわりということもあり得るわけなんですね。これでは幾ら研修しても、そのそばから新しい人にかわるということで本当にいいんだろうかというふうに思うわけであります。ちょっとこの非正規の問題、後でまたやりたいと思っています。
ほかにもいろいろ問題があると思うんですが、素人目に見ても、余りにもずさんな対応ではなかったか。大臣は、報道によりますと、職員の基本動作ができていないと語ったそうでありますが、それに対しては他人事だという批判もあるわけですが、これは、個々の職員の問題というよりもシステムの問題ではないか、個人情報を扱う機関として本当にこれでいいのかということが問われていると思います。
厚労省として、こういう実態があったということは把握をされていたんでしょうか。
○樽見政府参考人 私どもとしては、日本年金機構において、日本年金機構セキュリティポリシーというものをつくっておられる、これに基づきまして、情報の作成、入手、利用、保存、移送、提供、消去といったことについてセキュリティー対策を行うこととなっておりますので、これに基づいた運用がなされているものというふうに考えていたところでございます。
したがいまして、今回の事態はまことに遺憾でございまして、LANシステムのあり方という点も含めまして、厚生労働省に設置する第三者による検証委員会において、原因について究明し、再発防止策を検討するという中で検討していただくべき問題というふうに考えております。
○堀内(照)委員 今の答弁でいいんだろうかと思うんですね。
先ほどもありましたけれども、厚労省自身の審議会部会による評価で、年金機構の個人情報保護の取り組みについては、五段階で下から二番目、C評価、五年連続だと。厚労省自身が、年金機構の個人情報保護のあり方が必ずしも万全ではないという認識がやはりあるはずなんですよね。だとすれば、今の答弁というのはおかしくなるわけであります。
年金は国民の大切な老後の財産であります。年金機構のものではもちろんありません。本来、国が責任を持って管理すべきで、そういう立場にしっかりと立つべきだということを厳しく指摘したいというふうに思います。
それで、先ほど非正規の雇用ということを言いましたけれども、年金業務を扱う職場で、今、本当に非正規が広がっております。その中で、私、本当に大変だなと思いましたのは、業務委託の実態なんです。四月二十六日付読売新聞が報道しました、「年金入力で「違法派遣」 無届けの下請けが作業」という見出しであります。
年金機構が外部委託をしていた福島県、和歌山県、大分県、三県の年金データ入力業務をめぐり、業務を請け負った会社が昨年十月以降、つまり十月からの一年契約ですから今期、業務を請け負った会社が、労働者派遣法に基づく許可、届け出のない別会社から社員派遣を受け、働かせていた。業務を請け負ったのに、また派遣に丸投げするというようなことになっているわけなんですね。
入力データには、氏名、住所、生年月日などの情報が含まれます。これは当然、業務を請け負う会社との関係では、漏えい防止の誓約書の提出が求められます。ですから、業務を請け負った会社、業務委託した会社は当然そういう誓約書を提出しているわけですが、実際に作業した会社からはそういうようなものは一切出ていないわけであります。なぜこうしたことが判明したかというと、この会社が、三月、四月の給与未払いが生じて、結果的にバンザイしちゃったということなんです。
新聞報道の前に、私、和歌山の方から相談も受けておりましたが、見ましたら、従業員の方の給与明細は派遣会社のものなんですが、当然です、派遣会社で雇われているわけですから。ところが、その給与を計算する勤怠の管理表というのは業務を委託された会社のものなんですよね。一体これはどないなっているのかという事態であります。
その和歌山の方が富山県の、社員を派遣した会社は福井県にあるんですが、連携しまして、富山にある会社を訪ねてみると、ポストには名札がなく、その一階下には、業務委託を受けた、これは本社は福井にあるんですが、その会社の名札があったんだと。実に不可解なことになっているわけであります。
こういった実態というのは把握をされているんでしょうか。
○水島参考人 日本年金機構におきましては、平成二十六年十月一日から平成二十七年九月三十日まで、福島、和歌山、大分の各事務センターにおける届け書の入力業務あるいは書類の封入、封緘業務などにつきまして外部委託をいたしておりましたが、受託事業者から三月下旬に、四月以降の業務ができない旨申し出がございまして、平成二十七年三月三十一日付で委託契約を解除いたしました。
当該受託事業者の業務委託員につきましては、受託事業者の名刺を持ちまして名札をつけておりましたこと、また、その会社との契約は請負契約でございまして、職員に関しましては機構の職員の指揮命令下にはなかったということでございまして、機構としては、同社の職員が業務に当たっていたと認識をしており、派遣労働による派遣であったということは把握をしていなかったということでございます。
○堀内(照)委員 把握していなかったということなんですけれども、年金機構の内部統制システム構築の取組方針には、「適切な外部委託管理」という項目がありまして、「外部委託管理体制を整備し、委託業者の業務内容を適正に管理・監視して、機構の業務全体の適正性を確保する。」とあるんですね。本部にそういう責任者を置くと同時に、外部委託したその部署ごとに、それぞれの所管部署において、外部委託ごとに外部委託業務責任者、ですから、そこで働いている労働者の足元にそういう管理者がいるはずなんですよね。それでもわからなかったということで本当にいいんだろうかというふうに思うんですね。
年金事務センターというのは全国に四十四カ所ありますが、四十四カ所全てで十一事業者に委託をしているわけであります。
厚労省に伺いたいんですけれども、こういう実態、年金機構の業務委託の実態、これは調査すべきではないですか、適正に行われているかどうか。
○樽見政府参考人 年金機構に対する私どもの指導監督あるいは監査ということをいろいろやってございます。そういう中で、こういう契約の実態といったものについてもある程度見ていると思いますけれども、こうした事態が起きたということを受けとめて検討していきたいというふうに思います。
○堀内(照)委員 これは全国、ぜひ調査をしていただきたいと思います。
大臣に伺いたいんですけれども、業務委託が全国で当たり前に今広がっております。
和歌山は、不正常な実態から、この件を受けて、次の契約の十月までは労働者を直雇用として雇って、業務と雇用を継続させています。やはり個人情報を扱う重要な部署については直雇用、正規雇用を基本とすべきだと思うんですが、いかがでしょうか。
○塩崎国務大臣 今先生御指摘の年金機構の人員配置を見てみますと、これは二十七年度でありますが、定員ベースでいきますと、全体で二万一千九百七十四人、その中で正規が一万八百八十人という定員になっていて、正規は半分弱、こういうことになっているわけであります。
そんな中で、今先生御指摘のような業務委託の話が出ておりまして、この点については、やはり勤務実態ということで調べていくべきだというふうに思っております。
さっきお話があったように、今回の情報の流出に関しては、個人情報の取り扱いについては、正規であろうと非正規であろうとそれは関係なく、国民に対する責任ということで、関係法律と内部規程によって守秘義務が課せられているということは変わりませんので、そこのところははっきりしておきたいと思いますけれども、職場環境という観点からも、今先生御指摘のような調査については、年金機構の職場環境がどうなっているのかという一環で調べていきたいというふうに思います。
○堀内(照)委員 守秘義務が課せられているというのは当然なんですが、しかし、短期で、有期で入れかわる可能性が高い労働者を、大事な個人情報を扱う業務で本当にいいのかということを指摘しておきたいというふうに思います。
今回の問題で、マイナンバー制度の危険性も改めて浮き彫りになりました。
きのうの東京新聞では、白鴎大学の石村耕治教授が、「パスワードを定期的に変える時代に、同じ番号を生涯にわたって使うような制度は無謀だ。今回のような漏えいが起きるのだから、マイナンバーではあらゆる情報が漏れる」と述べていることが紹介されています。私、そのとおりだというふうに思います。
そして、この年金情報流出が公表される間に、問題がありながら公表される間に、この問題、衆議院ではマイナンバーの法案はもう通過をしているわけであります。
参議院での審議の動向もありますが、政府の方で、ここはきちんと立ちどまって、この法案は廃案にすべきだと思うんですが、いかがでしょうか。
○向井政府参考人 お答えいたします。
マイナンバー制度は、より公平公正な社会保障制度や税制の基盤として、また情報社会のインフラとして、五年前に、民主党政権時代に検討が始まり、その後、翌年度、民主党政権で一度法案が出て、その間、三党協議が行われ、一旦廃案になった法案が政権交代した後再度提出され、二年前に国会で可決、成立しているところでございます。
その間の議論におきまして、マイナンバー制度を導入することによりふえるリスクを最小限にとどめるような制度上あるいはシステム上の措置が講じられておるところでございます。
今回の事件を受けまして、そういうふうなリスクにつきましては再度総点検をしたいとは思っておりますが、現時点におきまして、今年十月の番号通知、来年一月からの番号利用という全体スケジュールの影響は現時点では考えておりません。
しかしながら、年金分野のマイナンバーの利用開始時期の影響につきましては、本件の原因究明、再発防止策の検討結果を見きわめて判断する必要があるものと考えております。
○堀内(照)委員 ちょっと今の答弁は、きのうの参議院の我が党の大門実紀史議員の質問への答弁と大分食い違っているように思うわけでありますが、サイバー攻撃を絶対に防げると言い切れるのか。防ぐ努力を最大限に行うのは当然ですけれども、一たび破られたら、これは致命的な被害になるわけであります。それを回避するには、やはりリスク分散するしかないわけです。
少なくとも、この問題については、検証委員会をそれぞれ立ち上げるということですので、責任ある検証結果、事実の究明ですとか原因の究明、確かな再発防止策ができるまでは、これは十月の通知や一月からの利用開始、それから年金につなげるようなことなんかはやはり見送るべきだと思うんですが、改めていかがですか。きのうの答弁との関係で、ちょっと。
○向井政府参考人 おっしゃるとおり、リスク分散が必要でございます。
したがいまして、リスクがゼロではございませんが、先ほど申しましたように、マイナンバーが導入されることによるリスクを最小限にとどめるような工夫、例えば、データベースにつきましては、一元管理とせずに分散管理としている、また、情報連携につきましては、マイナンバーを使わず、機関別に別の情報連携符号を使っている、また、マイナンバーのみでは本人確認せず、マイナンバーのみがわかったとしても何もできないように、厳格な本人確認をしてマイナンバーを問うような仕組みにしてございます。
したがいまして、そういうリスク分散化は制度上十分に図られているものと考えております。
○堀内(照)委員 きのうの山口IT担当大臣の答弁は、もう少ししっかり調査をして、原因究明を図った上で判断することになると言っているんですよ。これは間違いないですね。確認できますか。
○向井政府参考人 お答えいたします。
現時点におきましては影響は考えておりませんが、当然、検討の結果において、別の判断をそこからすることも可能性はあるとは考えております。
○堀内(照)委員 きのうの大臣答弁もしっかり踏まえてということだと受けとめたいと思います。
こんな事態の中でマイナンバー制度の導入なんてあり得ないですし、この年金情報流出問題も引き続くこの委員会での究明が必要だということを最後に述べて、終わりたいと思います。
ありがとうございました。
○渡辺委員長 この際、休憩いたします。
午後二時三十一分休憩
――――◇―――――
午後三時四十七分開議
○渡辺委員長 休憩前に引き続き会議を開きます。
質疑を続行いたします。山井和則君。
○山井委員 二十五分間質問をさせていただきます。質問したいことは山ほどありますが、初日ですので、さわりだけ質問をさせていただきたいと思います。
まず、午前中から質疑をお聞きしていまして、私、極めて問題だと思うんです。なぜならば、これだけの大きな、百二十五万件の年金情報流出をしておきながら、日本年金機構から出てきている経過説明は、このフリーダイヤルの説明一枚じゃないですか。どういうことですか、これ。普通、こういう不祥事を起こしたら、これこれこういう状況で、こういう経過でしたと、説明ペーパーが出てくるのが当たり前じゃないですか。
言ってはなんですけれども、なぜ一々、何月何日どうしたんですか、どうしたんですかと国会で聞かないとだめなんですか。そういうことは、国会で聞かれなくても、マスコミから取材されなくても、自主的に公開するのが当たり前じゃないですか、これだけの大問題を引き起こして。私、もう十六年間国会議員をやっていますが、これだけの問題を起こして、一切経過の報告がなし、こんな事件は私は初めてです。
このこと一つとっても、国民にどれだけ迷惑をかけているかという責任感、自覚、全くないんじゃないんですか。
別に私、国会議員にペーパーを出せと言っているんじゃないんですよ。マスコミや国会議員に説明のペーパーを一枚も出さないということは、国民に対する説明責任を全く果たしていないということなんですよ。
そういう意味では、ぜひ日本年金機構と厚生労働省から、この間、五月八日以降、どういう動きを日本年金機構と厚生労働省がしたのか、そのことを、きょうなり、あすの理事懇なり理事会までに出していただきたいと思いますが、水島理事長、いかがでしょうか。
○水島参考人 委員長の御指示に従って対応をしたいというふうに思います。
○山井委員 いや、委員長の指示ではなくて、これは国民が知りたがっているんです。一体なぜ百二十五万件もの大切な大切な国民の年金情報が公開されたのか。そのことに関して、一行も一枚も、ペーパーすら出していないんですよ、日本年金機構は。余りにもそれは不誠実じゃないですか。そんなことは前代未聞ですよ、これだけの問題を起こしておいて。
経過ぐらい教えてください。出してください、その経過を。理事長。
○水島参考人 厚生労働省ともよく協議をして、検討させていただきます。
○山井委員 いや、それは理事長、協議をして検討じゃないんです。言っちゃ悪いけれども、何か隠していることがあるんですか。ないんでしょう。
ありのまま出していただいたらいいんです。もちろん、今の段階で書けること書けないこと、あるのかもしれません。それは別に構いませんよ。一枚でも二枚でも、今出せる範囲の経過を出してください、理事長。
○水島参考人 検討させていただきます。
○山井委員 いや、ちょっと納得できません。
検討、検討じゃないんです。百二十五万件も年金情報を流出させて、経過のペーパーも出すと言えないということはあり得ないですよ。
経過のペーパー、出しますと約束してください。
○水島参考人 先ほど来、五月八日以降の経緯につきましては御説明をさせていただいておりまして、それを踏まえまして、厚生労働省ともよく協議をさせていただきたいというふうに思います。
○山井委員 こう言ったらなんですけれども、ちょっと発想がおかしいですよ。説明していますと言うけれども、本来は、これだけの問題を起こしたら、聞かれる前に報告して出すのが当たり前ですよ、それは。国民に対する誠意というものじゃないですか。
とにかく、それが出てこない限りこの集中審議は先に進みませんから、お待ちしております。
塩崎大臣、これは理事長だけの問題じゃなくて、厚生労働省、一枚も一行も、ペーパーも出していないじゃないですか。国民の年金のことに関してこれだけ不安を与えながら、どういうことですか。一行も一枚も、今日に至るまで説明のペーパーすら出していない。
塩崎大臣、厚生労働省は、五月八日以降、何月何日にどういうやりとりをして、どういう経過でここに至ったのか、ペーパーを出していただきたいと思います。大臣、いかがですか。
○塩崎国務大臣 私は、月曜日に、年金機構の記者会見の後に記者会見をいたしまして、国民向けに発信をしたつもりでございます。
しかし、きょう、こうして議論を深めているわけでもございますし、国民の皆様方にやはり少しでも不安を抱いていただかないようにするためにも、きょうの議論も踏まえて、出せる限りの経緯をお出ししたいというふうに思いますし、年金機構に対しても、同様に対応するようにしっかり指示をしたいというふうに思います。
機構の方は、おわびの文書はホームページに載せているようでございますし、私のホームページの方にも厚労省としても近々載せる予定でございますが、なお、国会に、理事会にお出しをせいということでございますので、そのようにさせていただきたいというふうに思います。
○山井委員 もちろん、おわびも大切ですけれども、私たちが知りたいのは、なぜこんなことが起こったのか、そして、このままだったら再発する、そういうことなんですね。
ですから、私は、ペーパー一枚、経過を出しておられないということ自体が、五月八日に厚生労働省が今回の事件の第一報を受けてから、結局一カ月何もしてこなかったんじゃないか、また、五月二十八日以降も全然放置してきたんじゃないかという疑いを厚生労働省に対して持たざるを得ません。やるべきことをしっかり的確にそのときやってきたならば、それを正々堂々と出せばいいんですから。
それで、一つ、国民の皆さんが一番今心配に思っておられますのは、きょうの配付資料の九ページ、誰が年金情報が漏れたのか、この九ページであります。
それについて、水島理事長、きょうから発送をしておられるということですが、確認ですが、この配付資料の九ページ、「個人情報流出のお詫びとお願い」、これは、きょう発送、今四時ですけれども、これからされるんですか、既に発送はされているんですか。
○水島参考人 本日の夕刻に発送するというふうに報告を受けております。
○山井委員 それは何万件、どういう方々にこの手紙をお送りされますか。
○水島参考人 まず、四情報が流出してしまったお客様のうち、受給者の方九千名について、本日、発送の手配をいたしております。
○山井委員 今、四情報が流出したのは九千名だということが初めて明らかになりました、受給者。
それでは、被保険者は何名ですか、四情報が流出したのは。
○水島参考人 現在精査中でございますが、明日に予定をいたしておりますのは七千人弱のお客様になると思います。この方々は被保険者の方々が中心になるというふうに思っております。
○山井委員 この配付資料の二ページに出ておりますが、四情報が流出した方は約五万二千件ということですね。受給者、要は高齢者ですね、受給者が九千名。
そうしたら、被保険者は何名ですか。要は現役世代ということですね。
○水島参考人 現在報告を受けておりますのは、七千名弱という報告を受けております。
○山井委員 ということは、五万二千件ですけれども、人数は、受給者が約九千人、被保険者、現役が約七千人ということですか。
○水島参考人 それで四情報が流出した方々について全て終わるかということについては、今現在、私自身、確認をいたしておりませんので、まだ少しふえるかもわかりません。
○山井委員 それでは、同様に、基礎年金番号、氏名が流出した方約三万件、基礎年金番号、氏名、生年月日が流出した方約百十六万件、この中の受給者と被保険者の割合、数字、お教えください。
○水島参考人 現在作業中でございまして、まだその数字は固まっておりません。
○山井委員 いつわかりますか。あしたぐらいにわかりますか。
というのは、国民の皆さんにとったら、百二十五万件というけれども、何人なのか、そして、その何人というのが受給者、高齢者なのか、現役世代なのかというのは、これは一つ重要なポイントなんです。例えば二十代の若い女性の情報も流出しているわけで、そういう方々も非常に不安に思っておられるというようなことも、若い世代にもあるわけですから。
理事長、いかがですか。
○水島参考人 おわびとお願いの手紙は、できれば極力早くお出しをしたいと思っておりまして、現在の四情報、受給者につきましては、今、職員がほぼ徹夜をしてやっております。
したがいまして、二情報、三情報の方々について、いつまでに固まるかというのは今ここで申し上げるのは非常に難しいのでございますが、できるだけ早くまとめたい、御通知申し上げたい。何とか、二週間とか三週間の間には全てのお客様に御通知申し上げたいというふうに思いまして、最大限の努力を続けているところでございます。
○山井委員 この百二十五万件に対して二週間から三週間ということですが、私はちょっと遅過ぎると思います。要は、それが送り終わるまでは、この情報が流出していない方もわからないわけですから、塩崎大臣、二、三週間というのは遅過ぎると思います。もっとスピードアップすべきじゃないですか。
○塩崎国務大臣 一日も早い方がいいと思いますので、でき得る限りのスピードでやってもらうようにまた再度お願いをしたいというふうに思います。
ただ、今お話があったように、徹夜に近い状態で働いている皆さんもおられるので、いつも言っているように、長時間労働でありますから、そこは注意をしながら、しかし、今のお話のとおり、まだどれだけの人数がいるかというのがわからないままに今必死で頑張っているので、なお急ぐようにお願いをしたいというふうに思います。
○山井委員 それと、この中身ですね。私、極めて問題があると思うんです。
この配付資料を見てください。ここにどういう文章になっているかといいますと、配付資料の九ページですが、おわびが書いてあるんですね。「その中にお客様の個人情報が含まれていることが確認されました。」と。今回流出した情報の中に、「お客様の個人情報が含まれていることが確認されました。誠に申し訳なく、心からお詫びを申し上げます。」これは、おわびはわかります。しかし、下に何と書いてあるか。こう書いてあるんですね。「基礎年金番号を変更させていただきます。」「改めてご連絡申し上げますので、お待ち下さい。」と書いてあるんですね。
これを受け取った方、どう思われますか。普通は、あっ、日本年金機構から電話でも来るのかなと思われるのが普通じゃないですか、皆さん、こういう手紙が来たら。あるいは郵送か、電話か。
でも、私、これは一歩間違うと、犯罪集団を喜ばせることにもなりかねないと思うんです。
この手紙を見て犯罪集団が、日本年金機構です、あなたのところにこの手紙が行きましたよね、そこでお電話しました、年金窓口をかえますので、セキュリティーのためにいろいろ教えてくださいとかいう話になっていったときに、こういう手紙を送ってしまったら、送られた人は、「改めてご連絡申し上げますので、お待ち下さい。」という手紙を送っちゃっていたら、日本年金機構と名乗る犯罪集団から電話が行ったら、まさにまんまとオレオレ詐欺とかにひっかかっちゃうんじゃないんですか。
水島理事長、そういうリスクはありませんか。
○水島参考人 このようにお書きをいたしております趣旨は、基礎年金番号を文書でお送り申し上げますという意味でございますが、その点に関しまして、例えばホームページで、どのようにお送りするのか、あるいは、本日も何遍か申し上げておりますが、日本年金機構からお電話を申し上げることはないということを、いろいろな手段、この場も同じでございますが、そのようなことで、お客様に御承知をいただくように最大限の努力をしていきたいというふうに思っております。
○山井委員 民主党政権で日本年金機構を設立するとき、長妻大臣、そして担当の政務官は私だったんです。そのときから本当に私は問題だと思っているんですが、全く、国民目線、お客様目線がゼロなんです。
今の答弁を聞かれましたか。「改めてご連絡申し上げます」というのは、郵便で資料を送りますという意味ですと。そんなふうに読めますか。さらに、日本年金機構からは電話をしませんということはホームページに書いておきますと。ホームページを見ません、高齢者の方は一々。
私が言いたいのは、理事長、そこまで答弁されるんだったら、ここに一言、はっきり言って、改めて連絡しますじゃなくて、改めて郵送いたします、しかし、電話は絶対に日本年金機構からはしません、もし日本年金機構と名乗る電話があってもそれはだめですということを書いたものを送るのが、本当の被害者の立場に立った手紙だと思うんですが、理事長、いかがですか。理事長。
○水島参考人 本日及び明日お送りいたします文書は既に準備に入っておりますので、この文案、文書の内容でお送り申し上げる準備を進めているところでございますが、今後に関しまして、御指摘の内容も踏まえまして検討をさせていただきたいというふうに思います。
○塩崎国務大臣 山井議員の御指摘は大変大事なことだと思っております。
きょうの議論でも大分出ていましたが、機構の最初の記者会見のときにも、繰り返し、電話を機構からすることはないということは明確に言っています。言っていますし、きょうまたそういうことを繰り返し言ってもらって、国民の皆さん方にも見ていただいたと思いますが、なお、御指摘のように、これを、確かに、電話をされるのかなと思う方がおられるかもわからない。
確かに、年金番号を電話で言うということはないだろうとは普通は思いますけれども、しかし、それはわかりませんから、そうなれば、間に合うところから、電話は年金機構からまずかけない、そして、これは郵送で年金番号を追ってお届けしますということを書くように、私の方から機構の方に指示をしたいというふうに思います。
○山井委員 理事長、きょう送る九千とあした送る七千、一万六千人は間に合わないとおっしゃっていますが、はっきり言って、この情報をとった人たちはその一万六千人の情報を持っちゃっているわけですからね。それはまずいと思うんですよ。
それで、私、ちょっと話を聞いていておかしいと思うのは、こういう文書を送るということは、当然、日本年金機構と厚生労働省と事前にすり合わせて、厚生労働省もこの文書でオーケーをしているから発送しているんでしょう。今までからずっとすり合わせてこられたんでしょう。だから、塩崎大臣も何か人ごとのようなことを言ってもらっては困るんですよ。これは、厚生労働省のオーケーのもとに郵送されているわけでしょう。
○塩崎国務大臣 配慮を欠いたことをおわび申し上げたいと思います。
今申し上げたように、電話をしないということは、繰り返し言ってきてもやはりここにもう一回書くべきだったと思いますし、また、年金番号が郵送で来るので電話で来ることはないということも明確にしておくように指示をしたいと思います。
したがって、もちろん私も事前にこれを見ましたから、それを見落としたことは私の落ち度だというふうに認めたいと思います。
○山井委員 大臣、事前にこれを見て、これをオーケーするその感覚が私はわかりません。
だから、本当に一事が万事で、この期に及んでも一枚も説明ペーパー、経過のペーパーは出さない、おわびの手紙を出したら、おわびどころか、逆にオレオレ詐欺の犯罪集団を応援する、あるいはお手伝いするかのような内容になってしまっている。これでは、国民の年金に対する不信なんか払拭できません。
お聞きしたいと思います。例えばベネッセなんかは、個人情報が流出したときに補償をされました、五百円だったか幾らか覚えていませんが。今後、そういう補償をされる御予定はあるのか、全員に、百二十五万件。
さらに、あるいはこれでオレオレ詐欺でもし実際に被害が発生したときには、今回の情報流出が原因で、オレオレ詐欺で何百万なり取られた方が万が一起こった場合には、その補償を日本年金機構なり厚生労働省はされるおつもりはあるのか、お答えください。
○塩崎国務大臣 今お話がありましたように、二次被害があり得るということで、他の情報流出に関連して生じた二次被害の例について今情報収集をやっております。
今後、必要に応じて、例えば日本年金機構をかたった詐欺のおそれなどについて、ホームページとかチラシとかさまざまな方法、それから、先ほどの数字にあったように、年金を受け取っておられる方がおられるということで、高齢者が集まる場所などにおいてお知らせすることを通じて対象者に周知をしていきたいと考えておるわけでございます。
それから、対象となる方については年金事務所の窓口のシステム上でも確認をできるようにして、年金事務所の窓口等における本人確認の徹底を図るなど、成り済ましによる被害の防止に努めることとしたいというふうに思います。
何よりも、国民の年金を守ることを最優先にするということを先ほど来申し上げておりますが、被害が出ないように年金機構にも指示をしながら全力で取り組むというのが、私たちがまずとるべきことだというふうに思います。
ということで、今お話がありましたように……(山井委員「補償と賠償を聞いているんですが」と呼ぶ)その補償の話をする前に、やはり我々はこういうことをやるべきだということを明確にして、ここに今全精力を傾けるということが大事だというふうに思っております。
○山井委員 もう終わりますが、今答弁されていないので。
百二十五万件の方々に対する一律の補償、賠償、あるいは、このことの流出が原因でオレオレ詐欺の被害に遭われたときに、補償、賠償を検討されるのか検討されないのか、そのことだけ答弁してください。
○渡辺委員長 既に持ち時間が経過しておりますので、簡潔に答弁をお願いします。
○塩崎国務大臣 補償ということは、考えておることはありません。
○山井委員 時間になりましたが、とにかく、先ほど言った、今までの経過を一旦ちゃんと書面で国民に対して出していただいて、その上でしっかり引き続き集中審議をやりたいと思います。
ありがとうございました。
○渡辺委員長 次に、西村智奈美君。
○西村(智)委員 民主党の西村智奈美です。
年金情報の流出問題、六月一日の夕方に速報が流れまして、聞いたときには本当に私も驚きました。
二十八日の夕方の時点では大臣の耳に入っていて、二十九日の昼にはその概要について報告があった。まさにその二十九日に、私たちはこの場で、労働者派遣法の改正案、改悪案の審議をしていたんです。そのことについて大臣は全くお触れにならなかった。
そして、六月一日に、報道によって私たちは年金情報の流出があったということを知らされ、そして、六月二日の日に、六月三日の委員会立てについて開催された理事懇で、野党からの要求によって、では、昼に厚生労働省からこの件についてのペーパーを出しますということだったんです。
どんなものが出てくるのかと期待をして待っていました。待っていたら、出てきたのは、既に皆さんがそのときに持っていた日本年金機構のプレスリリースわずか二枚。これが、厚生労働省から理事懇に、六月二日の昼の時点で出されたペーパーなんです。本当に、さっきありましたけれども、なめてるのかと言いたいです。
厚生労働省として、この間、この年金情報の流出問題にどういう対応をとってきたのか、それについて議論をしたいと思っても、これでは全く議論のもとにならないし、まして、年金機構がどういう対応をとってきたのかということも、これだけなんですよ。この二枚だけなんです。
私たちがヒアリングをしたこと、そして、この委員会の中で午前中からずっと議論があったこと、それによって、ようやく時系列の穴が少しずつ埋まってきた。
だけれども、まだわからないことがいっぱいあります。年金機構と厚生労働省が相談をしながら遮断をしたというのがどのタイミングなのか。また、ログの解析を始めたのはいつなのか。そして、警察からいろいろな情報が来ているということについての、その関係はどうなっているのか。これについて全くわからない中では、やはりこの議論は中身が深まっていかない、そして、問題の解明もできないし、本当の意味での再発の防止にもならない、二次被害を防ぐこともできない、私はこのように思います。
ですから、先ほど山井委員からの質問にもありましたけれども、この時系列については、年金機構と厚生労働省がしっかりとそこはすり合わせた上で、きちんとしたペーパーを出していただくということが議論の前提になると私は思いますので、そこのところは重ねて確認をさせていただきたいと思います。
さてそれで、塩崎大臣にお伺いをしたいんですけれども、塩崎大臣、この年金情報の流出のことが明らかになったときに、記者会見で、仮に厚生労働委員会で質問があればお答えをしますというふうにお答えになっていました。
本当は違うんじゃないですか。これはやはり、大変重大な問題だということで、まさに私たちの、国民の皆さんの年金がかかわっていることだから、仮に厚生労働委員会で質問があろうがなかろうが、みずからきちんと説明責任を果たすべきだったんじゃないか。緊急の記者会見をしてでも、私は、土日に緊急の記者会見をしてでも、この問題について国民に注意を促すべきだったのではないかと思います。なぜそれをやらなかったんですか。
○塩崎国務大臣 これは、先ほど来お答えをしておりますように、今回、一番最初に、私が流出したという事実の一報を得たのが二十八日の夜、夕方でございまして、二十九日の昼に、個人情報を含めて流出があったということは聞いたわけでありますが、百二十五万件というような固まった数字にはまだ至っておりませんでした。
それで、先ほど申し上げたように、五月二十九日の事実プラス若干の個人情報が入っているという段階でもしその事実を公表いたしますと、国民の皆様方は全員、自分たちの情報が出たのではないかと思われて、当然、年金機構にお尋ねをされると思います。
その際に、二日から、きのうから、お電話をいただいた方について、本人確認をした上で、画面上でこの方は流出をされた方かどうかということがわかるように今はなっています。なっていますけれども、二十九日の段階では全くまだ解明ができていませんので、できていないということになれば、お電話をいただいても十分なことはお答えすることができないということで、かえって混乱を招くのではないかということで、あの時点で、言ってみれば、公表するということは必ずしも賢明ではないというふうに判断をして、私どもは、土曜日、日曜日をかけて中身を精査した上で、一日に発表をさせていただいたということでございます。
○西村(智)委員 年金機構の水島理事長にもう一度伺います。
今回流出した情報の件数は、百二十五万件ということで確定をしているんでしょうか。先ほど、我が党の委員あるいは井坂委員との質疑の中で、百二十五万件にとどまらないおそれがあるというふうに答弁をされていましたが、そのとおりでよろしいですか。
○水島参考人 百二十五万件と申しますのは、警察からの情報により現時点までに確認できた件数でございます。
さらなる流出が生じることのないよう、安全性が確認されるまでの間、機構のパソコンのインターネットからの遮断を継続するとともに、個人情報を扱うパソコンは将来にわたってインターネットに接続しない等の対応を検討してまいりたいというふうに考えております。
今後、新たに個人情報の流出の事実が確認された場合には、速やかに公表したいと考えております。
○西村(智)委員 先ほど、大西委員との質疑の中で、百二十五万件にとどまらず、またこれがふえていく可能性があるというふうに理事長は答弁されたんです。
今でも国民は不安に思っています。本当に百二十五万件にとどまっているのか、それとも、もっとこれから先ふえていくのではないか。
つまり、国民全体が今不安に思っている中で、大臣は百二十五万件というふうにはっきりしたから公表するというふうに言っておられるんだけれども、今だって確定していないじゃないですか、被害の状況は。どこまで広がっているのか、それがわからないという状況は、先週の二十九日の段階でも、そして、土日を経た今、六月三日の段階でも、確定していないということでは同じなんですね。だから、そういう意味でいえば、確定してから公表した方がいいんだというような大臣の答弁は、私は、これは当たらないと思います。
○塩崎国務大臣 先ほど申し上げたように、金曜の段階では百二十五万件がどなたかということもまだ確定をしておりませんでした。その百二十五万件がどなたかということがわかって初めて、お電話をいただいたときに、あなたの年金情報は漏れていません、あるいは漏れています、いずれかのお答えができるようになるということで、結果としての百二十五万件を、誰かということがわかるようにした上で発表をさせていただいたということでございます。
それは、警察がここに流出した情報がありますということを知らせてきてくれたのが二十八日ですから、それを受けてこういう判断をしたということで、やはり国民の皆様方の混乱を最小限にするということが私どもとしても心しなければいけないことではないかということで、こういう判断をさせていただいたということでございます。
○西村(智)委員 先ほど大臣は、二十八日に警察からここにこういう情報がありますということで連絡を受けたというふうに言ったんですけれども、それも含めて、本当なのかどうか。
先ほど大臣は、二十八日にここにこういう情報がありますということで警察から連絡を受けてわかりましたと答弁されたんですけれども、そういった時系列も含めて、やはり一回きちんとペーパーを出してください。そうじゃないと検証できないですから。改めてそこはお願いします。
この厚生労働委員会は、この間ずっと労働者派遣法の審議をしていましたので、私は今、そういった訴訟を扱っている弁護士の方といろいろ意見交換をしたりしていました。月曜日にも来ていただいてその話をしていて、その弁護士の先生が、夜、あるおすし屋さんで御飯を食べていたら、そこの職人さんがこういう話をされていたんだそうです。日曜日に、年金基礎番号と住所と名前を確認された上で、年金の保険料が未払いになっています、だから支払ってくださいという電話が日曜日にかかってきたということなんです。
私、これは直接聞いた話ではないし、それは電話での話ですから、本当にそうなのかどうかということは、なかなかこれは確認はとれません。だけれども、これが本当だとしたら大変大きなことだと思うんですね。その方は、そのときにちょっとおかしいなと思ったからうやむやな返事をしていたら、その間に切ったということなんですけれども、こういったことがほかにもっとあるんじゃないか。そして、土日明けて、月曜日に発表された以降も、さまざまな、紛らわしい電話、二次被害をしかけてくるような、そういった電話がかかってきているということなんです。
私は、年金機構にちょっと確認のために伺いたいんですけれども、コールセンターで受け取った電話、これの分析はしていらっしゃいますか。
つまり、ウオーニングがすぐ出るようになっているから、被害に遭っていないところ、つまり、現状でいうところの百二十五万件に入っていないところはすぐわかるということなんですけれども、そういう相談の電話の蓄積の上に、もしかしたらここの、ディレクトリーのところも被害に遭っているんじゃないだろうか、あるいは、ここのところも、もしかしたらそういう抜き取りをされているんじゃないだろうか、そういう推察もできていくんだというふうに思うんです。
それは、とっておられますね。
○水島参考人 私ども、コールセンターにおきましても、事務所におきましても、御相談の事跡に関しましては全て記録にとどめるということにいたしております。したがいまして、今回の流出に関しますコールセンターに関しましても、同様に事跡をとるようにしております。
その事跡の分析を既に現在始めておりますが、まだ、御存じのとおり、極めて混乱をきわめているというのが実態でございまして、できるだけ早く、それを分析しながら、結果につなげていくということはしていきたいというふうに思っておりますので、今指示をいたしておりますのは、明日までには、今お問い合わせいただいている内容及び御相談をいただいた内容で、私どもからより情報提供すべきだと考えられる御相談等に関しまして、きちんと対応する体制を順次整えていくというふうに思っております。
順次と申し上げますと大変遅くなるというお叱りを受けるかもわかりませんが、明日から、その開示に関してはきちんと行っていくということを積み重ねていきたいというふうに思っております。
○西村(智)委員 また、その経過についてもぜひ御報告をしていただきたいと思います。
きょう、総務省の副大臣にお越しいただいています。ありがとうございます。
確認ですけれども、年金機構の情報、これは住基ネットとつながっていますね。では、そこは確認しました。
それで、総務省のもとには、いつ年金情報が流出をしているという連絡があったでしょうか。
○二之湯副大臣 日本年金機構における情報漏えいは、マイナンバー制度への影響も考えられることから、厚生労働省から、マイナンバー制度を所管している内閣官房、総務省に二十九日の夜に連絡があったと承知しております。
そして、番号制度を担当しております住民制度課から高市大臣に速やかに報告をいたしました。そして、大臣から、住民制度課に対しまして、住基ネットへの不正アクセスがないかどうかを翌朝までに確認するように指示がございまして、そういうことで、今のところ、そういう不正の事実はないということでございます。
○西村(智)委員 二十九日の夜に、厚生労働省から総務省の方にどういう情報の伝達があったんですか。
○二之湯副大臣 改めて、より具体的な経緯を申し上げますと、まず、厚生労働省からマイナンバー制度を所管している内閣官房、内閣官房から総務省に、警察から年金機構の情報が漏えいしているということが、報告がございました。
○西村(智)委員 では、厚労省から直接ということではなくて、内閣府の方からあったということなんですけれども、厚生労働省、厚生労働大臣は二十八日にこの情報流出の第一報を受けていたということなんです。
そうしますと、二十九日の夜に総務省の方に連絡が行ったということについては、総務副大臣はどのようにお感じになりますか。住基ネットが今現在、年金機構とつながっているわけですよね。
○二之湯副大臣 厚生労働省は、事実を確認した上で重要な、正確な情報を提供しようと考えていたものと思われますので、今後速やかにそういう情報が総務省に来るように、これから厚生労働省にお願いしたい、このように思います。
○西村(智)委員 総務省がこれから厚生労働省からの情報が速やかに来るようにお願いしたいということは、率直に言えば、遅かったということですよね。
二十九日の夜ですよ。二十八日には少なくとも一報は入っていた。その前から、だから、時系列がちょっと今わからないので、五月の八日の時点でどこまでかというのも今なかなかはっきりとは言えないんですけれども、本来であれば、この住基ネットへの影響が、今回はなかったということなんですけれども、あるかもしれないということを考えれば、もっと早く、私は厚生労働省の方から総務省に言って確認をしてもらうべきだったと思いますよ。
何でこんなに遅くなったんですか、厚生労働大臣。
○塩崎国務大臣 これも午前中御答弁申し上げましたけれども、二十八日の段階は、先ほど申し上げたように、流出の事実に関する一報が入ったということで、この際にはどういうふうに私の方に伝わってきたかというと、本日午後、警視庁から機構に対して、外部の民間サーバーに機構から情報を持ち出していると思われる事跡があるとの報告があった、早急に警視庁に情報漏えいした情報の内容を確認し、個人情報が漏えいしていた場合には公表する予定というふうに入ってきていました。
この時点では実は個人情報が入っているかどうかということもわからないで、恐らく、先ほど先生からもお話があった、ログを警察からいただいて分析を始めたということだろうというふうに思いますので、二十九日の夕方か夜に総務省に伝わったというのは、ある程度の目星をつけてお話し申し上げたのではないかなと思いますけれども、なお、現場のことですから、これは事務方に聞いていただきたいというふうに思います。
○西村(智)委員 内閣府経由で総務省への伝達がどのように行われたかも含めて、一覧表を出してくださるように、ぜひお願いをいたします。
総務副大臣、ありがとうございました。
もう時間がちょっとなくなってきまして、聞きたいことはたくさんあるんですけれども、また、通告もたくさんさせていただいているんですけれども、きょうは一回目ということでありますので、事実関係で確認をしたいことだけお伺いしたいと思います。
コールセンターの電話が千台になった、これからまたいろいろな通知を送ったりされる、どのくらいの見込みかわからないし、どのくらい時間がかかるかということも今確定的には言えないと思うんですけれども、理事長、ざっと、これに関する費用、大体どのくらいかかるというふうに見込んでいらっしゃいますか。コールセンター、千台ですから、人間を最低千人ですね。また、通知も郵便で出すということですから、かかるんじゃないかと思います。どのくらいでしょうか。
○水島参考人 費用につきましては、現在いろいろな作業を急いで進めている状態でございまして、もちろん、効率的に、費用を安くという観点も踏まえてやっておりますが、現時点でこれくらいだとお答えすることは、大変申しわけございませんが、困難でございます。
専用コールセンターの運営経費につきましては、現在、オペレーターを、本日から百名から千名にふやしました。ただし、この千名と申しますのは、実は、既存のコールセンターの機能をほとんどストップいたしました、当面ですね。それをこの対応に振り向けているという状況でございます。
その他に与える影響等も踏まえながら、これからまた対応を考えていかなければなりませんので、極力費用はかけないように努力をしてまいりますが、現時点でお答えするのは極めて困難だということでございます。御理解をいただきたいと思います。
○西村(智)委員 かかる費用が大体見えてきたところでまた御報告いただきたいと思います。よろしくお願いいたします。
最後に、厚労大臣、もう一回伺いたいと思うんです。
住基ネットは今回は無事だったということで、これはよかったというふうには思うんですけれども、やはりマイナンバー制度ですね。このままスタートすると、本当に国民全体に、今、まさに年金制度、そしてこのシステムに対する不安というか不信感が本当に高まっている中で、今例えば自衛隊の派遣とか労働者の派遣とかいろいろ議論されていますけれども、それはこれからの、先の話。だけれども、この年金情報の流出の問題というのは、今現実に起きている、最優先の国家的な課題だと私は思うんです。
そういったことを思うときに、やはりここは一度立ちどまってしっかりと議論して、どうやったら再発を防止できるのか、それにはやはり事実の検証が改めて必要だと思いますし、また二次被害を防止するためのさまざまな手だてもとっていかなければいけないという中で、マイナンバーを今急いでやる必要はあるのかというふうに思うんです。
ここはやはり、一度立ちどまって延期をしていく、そういったことを考えるべきではないかと思いますけれども、いかがですか。
○塩崎国務大臣 マイナンバー制度は、これは自公民の一体改革の中でも議論をしていただいて言ってみれば方向性が決まったような感じがいたすわけでございまして、より公平公正な社会保障制度とか、あるいは国民の皆様方の利便性の向上というようなことから、重要なインフラだということで話が進んできたというふうに思います。
社会保障と税の一体改革で出てきたように、それと関係が非常に深いわけでありまして、マイナンバー制度においては、先ほど来お話が出ているように、個人情報を一元的に管理しないで、リスク分散をして、行政機関ごとに分散して管理をするということ、あるいは、マイナンバーを直接用いずに、機関別の暗号化処理された符号というのを用いて情報連携を行うとか、あるいは、アクセス制御によってアクセスできる人の制限、管理を行うなどの措置を、セキュリティー上はいろいろと配慮しているわけであります。
しかし、今お話があったように、先ほどまた向井審議官の方からも話がありましたように、今回、こういった事案が起きました。ということであれば、やはりこれを踏まえた上で、もう一回、このマイナンバー制度についてもどうなんだということを考えるということをたしか向井審議官は言っておられたようであります。
基本的には、地方自治体等の関係機関にマイナンバーを含む個人情報の保護に関する取り扱いルールの周知徹底を図るとかは引き続いて非常に重要だというふうに考えておりまして、引き続き、内閣官房等の関係省庁と連携して、個人情報の保護に万全を尽くしながら、マイナンバーということについても御理解を深め、さらに、その前に、今回の問題については、真相究明をしっかりとやって皆様方に御安心をいただいて前に進めるようにすることが私たちの今最も大事な責任であろうと思いますし、それよりも前に、年金を守るということが最優先の課題だということは変わらないことだというふうに思っております。
○西村(智)委員 時間ですので、終わります。
○渡辺委員長 次回は、公報をもってお知らせすることとし、本日は、これにて散会いたします。
午後四時四十分散会