第35号 平成27年8月26日(水曜日)
平成二十七年八月二十六日(水曜日)午前九時三十分開議
出席委員
委員長 渡辺 博道君
理事 赤枝 恒雄君 理事 後藤 茂之君
理事 高鳥 修一君 理事 とかしきなおみ君
理事 松野 博一君 理事 西村智奈美君
理事 浦野 靖人君 理事 古屋 範子君
小田原 潔君 大岡 敏孝君
大串 正樹君 加藤 鮎子君
木村 弥生君 小松 裕君
白須賀貴樹君 新谷 正義君
田中 英之君 田畑 裕明君
谷川 とむ君 豊田真由子君
中川 俊直君 長尾 敬君
丹羽 雄哉君 橋本 岳君
比嘉奈津美君 藤丸 敏君
前田 一男君 牧原 秀樹君
松本 純君 松本 文明君
三ッ林裕巳君 村井 英樹君
阿部 知子君 小川 淳也君
岡本 充功君 奥野総一郎君
津村 啓介君 中島 克仁君
長妻 昭君 山井 和則君
柚木 道義君 足立 康史君
井坂 信彦君 牧 義夫君
伊佐 進一君 輿水 恵一君
角田 秀穂君 高橋千鶴子君
堀内 照文君
…………………………………
厚生労働大臣 塩崎 恭久君
総務副大臣 二之湯 智君
厚生労働副大臣 山本 香苗君
厚生労働大臣政務官 橋本 岳君
厚生労働大臣政務官 高階恵美子君
政府参考人
(内閣官房内閣審議官) 谷脇 康彦君
政府参考人
(警察庁長官官房審議官) 斉藤 実君
政府参考人
(国税庁長官官房審議官) 柴崎 澄哉君
政府参考人
(厚生労働省大臣官房情報政策・政策評価審議官) 安藤 英作君
政府参考人
(厚生労働省大臣官房年金管理審議官) 樽見 英樹君
政府参考人
(厚生労働省大臣官房統計情報部長) 姉崎 猛君
参考人
(日本年金機構理事長) 水島藤一郎君
参考人
(日本年金機構における不正アクセスによる情報流出事案検証委員会委員長) 甲斐中辰夫君
厚生労働委員会専門員 中尾 淳子君
―――――――――――――
委員の異動
八月二十六日
辞任 補欠選任
堀内 詔子君 小田原 潔君
大西 健介君 津村 啓介君
同日
辞任 補欠選任
小田原 潔君 藤丸 敏君
津村 啓介君 小川 淳也君
同日
辞任 補欠選任
藤丸 敏君 前田 一男君
小川 淳也君 奥野総一郎君
同日
辞任 補欠選任
前田 一男君 堀内 詔子君
奥野総一郎君 柚木 道義君
同日
辞任 補欠選任
柚木 道義君 大西 健介君
―――――――――――――
八月二十六日
医療・介護総合法の廃止に関する請願(島津幸広君紹介)(第三九一六号)
後期高齢者医療廃止と高齢者と子どもの医療費無料化に関する請願(志位和夫君紹介)(第三九一七号)
同(島津幸広君紹介)(第三九一八号)
新たな患者負担増をやめ、窓口負担の大幅軽減を求めることに関する請願(清水忠史君紹介)(第三九一九号)
全てのウイルス性肝硬変・肝がん患者の療養支援とウイルス検診の推進に関する請願(鷲尾英一郎君紹介)(第三九二〇号)
同(斎藤洋明君紹介)(第三九五四号)
同(吉良州司君紹介)(第三九八五号)
同(武田良太君紹介)(第三九八六号)
同(金子めぐみ君紹介)(第三九九七号)
同(白石徹君紹介)(第四〇二八号)
同(大畠章宏君紹介)(第四〇八二号)
同(丹羽雄哉君紹介)(第四〇八三号)
同(平沼赳夫君紹介)(第四〇八四号)
同(馳浩君紹介)(第四〇八六号)
同(牧島かれん君紹介)(第四〇八七号)
同(高木美智代君紹介)(第四一一八号)
同(堀内詔子君紹介)(第四一一九号)
同(三原朝彦君紹介)(第四一二〇号)
同(宮川典子君紹介)(第四一二一号)
同(村上誠一郎君紹介)(第四一三一号)
同(齋藤健君紹介)(第四一三七号)
同(大西英男君紹介)(第四一四〇号)
社会保障の連続削減を中止し、充実を求めることに関する請願(志位和夫君紹介)(第三九二一号)
同(梅村さえこ君紹介)(第四〇三〇号)
同(畠山和也君紹介)(第四一三三号)
七十五歳以上の高齢者と子どもの医療費を無料にすることに関する請願(島津幸広君紹介)(第三九二二号)
介護従事者の処遇改善に関する請願(赤嶺政賢君紹介)(第三九三三号)
同(池内さおり君紹介)(第三九三四号)
同(梅村さえこ君紹介)(第三九三五号)
同(大平喜信君紹介)(第三九三六号)
同(笠井亮君紹介)(第三九三七号)
同(穀田恵二君紹介)(第三九三八号)
同(斉藤和子君紹介)(第三九三九号)
同(志位和夫君紹介)(第三九四〇号)
同(清水忠史君紹介)(第三九四一号)
同(塩川鉄也君紹介)(第三九四二号)
同(島津幸広君紹介)(第三九四三号)
同(田村貴昭君紹介)(第三九四四号)
同(高橋千鶴子君紹介)(第三九四五号)
同(畑野君枝君紹介)(第三九四六号)
同(畠山和也君紹介)(第三九四七号)
同(藤野保史君紹介)(第三九四八号)
同(堀内照文君紹介)(第三九四九号)
同(真島省三君紹介)(第三九五〇号)
同(宮本岳志君紹介)(第三九五一号)
同(宮本徹君紹介)(第三九五二号)
同(本村伸子君紹介)(第三九五三号)
障害者福祉についての法制度の拡充に関する請願(畑野君枝君紹介)(第三九五五号)
同(笠浩史君紹介)(第三九五六号)
同(荒井聰君紹介)(第四〇二九号)
同(笠浩史君紹介)(第四〇五五号)
同(村上誠一郎君紹介)(第四一三二号)
全国一律最低賃金制の実現に関する請願(赤嶺政賢君紹介)(第三九五七号)
同(池内さおり君紹介)(第三九五八号)
同(梅村さえこ君紹介)(第三九五九号)
同(大平喜信君紹介)(第三九六〇号)
同(笠井亮君紹介)(第三九六一号)
同(穀田恵二君紹介)(第三九六二号)
同(斉藤和子君紹介)(第三九六三号)
同(志位和夫君紹介)(第三九六四号)
同(清水忠史君紹介)(第三九六五号)
同(塩川鉄也君紹介)(第三九六六号)
同(島津幸広君紹介)(第三九六七号)
同(田村貴昭君紹介)(第三九六八号)
同(高橋千鶴子君紹介)(第三九六九号)
同(畑野君枝君紹介)(第三九七〇号)
同(畠山和也君紹介)(第三九七一号)
同(藤野保史君紹介)(第三九七二号)
同(堀内照文君紹介)(第三九七三号)
同(真島省三君紹介)(第三九七四号)
同(宮本岳志君紹介)(第三九七五号)
同(宮本徹君紹介)(第三九七六号)
同(本村伸子君紹介)(第三九七七号)
同(赤嶺政賢君紹介)(第四〇八八号)
同(池内さおり君紹介)(第四〇八九号)
同(梅村さえこ君紹介)(第四〇九〇号)
同(大平喜信君紹介)(第四〇九一号)
同(笠井亮君紹介)(第四〇九二号)
同(穀田恵二君紹介)(第四〇九三号)
同(斉藤和子君紹介)(第四〇九四号)
同(志位和夫君紹介)(第四〇九五号)
同(清水忠史君紹介)(第四〇九六号)
同(塩川鉄也君紹介)(第四〇九七号)
同(島津幸広君紹介)(第四〇九八号)
同(田村貴昭君紹介)(第四〇九九号)
同(高橋千鶴子君紹介)(第四一〇〇号)
同(畑野君枝君紹介)(第四一〇一号)
同(畠山和也君紹介)(第四一〇二号)
同(藤野保史君紹介)(第四一〇三号)
同(堀内照文君紹介)(第四一〇四号)
同(真島省三君紹介)(第四一〇五号)
同(宮本岳志君紹介)(第四一〇六号)
同(宮本徹君紹介)(第四一〇七号)
同(本村伸子君紹介)(第四一〇八号)
公正な賃金・労働条件に関する請願(池内さおり君紹介)(第三九九八号)
同(梅村さえこ君紹介)(第三九九九号)
同(斉藤和子君紹介)(第四〇〇〇号)
同(清水忠史君紹介)(第四〇〇一号)
同(高橋千鶴子君紹介)(第四〇〇二号)
同(畑野君枝君紹介)(第四〇〇三号)
同(堀内照文君紹介)(第四〇〇四号)
同(梅村さえこ君紹介)(第四〇五六号)
全国一律最賃・時給千円以上の実現に関する請願(赤嶺政賢君紹介)(第四〇三四号)
同(池内さおり君紹介)(第四〇三五号)
同(梅村さえこ君紹介)(第四〇三六号)
同(大平喜信君紹介)(第四〇三七号)
同(笠井亮君紹介)(第四〇三八号)
同(穀田恵二君紹介)(第四〇三九号)
同(斉藤和子君紹介)(第四〇四〇号)
同(志位和夫君紹介)(第四〇四一号)
同(清水忠史君紹介)(第四〇四二号)
同(塩川鉄也君紹介)(第四〇四三号)
同(島津幸広君紹介)(第四〇四四号)
同(田村貴昭君紹介)(第四〇四五号)
同(高橋千鶴子君紹介)(第四〇四六号)
同(畑野君枝君紹介)(第四〇四七号)
同(畠山和也君紹介)(第四〇四八号)
同(藤野保史君紹介)(第四〇四九号)
同(堀内照文君紹介)(第四〇五〇号)
同(真島省三君紹介)(第四〇五一号)
同(宮本岳志君紹介)(第四〇五二号)
同(宮本徹君紹介)(第四〇五三号)
同(本村伸子君紹介)(第四〇五四号)
実効ある介護人材確保対策のため、介護報酬引き上げを求めることに関する請願(池内さおり君紹介)(第四一一六号)
再び被爆者をつくらない決意を世界に現行法(原子爆弾被爆者に対する援護に関する法律)改正に関する請願(志位和夫君紹介)(第四一一七号)
国の財源で高過ぎる国民健康保険料の引き下げを求めることに関する請願(大平喜信君紹介)(第四一二二号)
同(島津幸広君紹介)(第四一二三号)
障害児・者の介護・福祉・医療制度の抜本改正に関する請願(高橋千鶴子君紹介)(第四一四一号)
は本委員会に付託された。
―――――――――――――
本日の会議に付した案件
政府参考人出頭要求に関する件
参考人出頭要求に関する件
厚生労働関係の基本施策に関する件(年金情報流出問題)
――――◇―――――
○渡辺委員長 これより会議を開きます。
厚生労働関係の基本施策に関する件、特に年金情報流出問題について調査を進めます。
この際、お諮りいたします。
本件調査のため、本日、参考人として日本年金機構理事長水島藤一郎君、日本年金機構における不正アクセスによる情報流出事案検証委員会委員長甲斐中辰夫君の出席を求め、意見を聴取し、また、政府参考人として内閣官房内閣審議官谷脇康彦君、警察庁長官官房審議官斉藤実君、国税庁長官官房審議官柴崎澄哉君、厚生労働省大臣官房情報政策・政策評価審議官安藤英作君、大臣官房年金管理審議官樽見英樹君、大臣官房統計情報部長姉崎猛君の出席を求め、説明を聴取いたしたいと存じますが、御異議ありませんか。
〔「異議なし」と呼ぶ者あり〕
○渡辺委員長 御異議なしと認めます。よって、そのように決しました。
―――――――――――――
○渡辺委員長 質疑の申し出がありますので、順次これを許します。加藤鮎子君。
○加藤(鮎)委員 自由民主党の加藤鮎子でございます。
本日は、日本年金機構の個人情報流出の問題につきまして、情報流出事案検証委員会の甲斐中委員長、そして日本年金機構の水島理事長、また塩崎厚労大臣初め厚生労働省の皆様に御質問をさせていただく機会をいただきまして、本当にありがとうございます。よろしくお願いをいたします。
ことしの五月に発生をいたしました日本年金機構の個人情報流出の問題につきまして、機構内部の調査報告書、また、第三者委員会である情報流出事案検証委員会の検証報告書が、それぞれ今月の二十日、二十一日と相次いで公表をされました。こちらの報告書を受けまして、私の方から幾つか質問させていただきます。
まず初めに、情報流出事案検証委員会の甲斐中委員長にお尋ねをいたします。
報告書では、四月の二十二日に厚生労働省に対しまして、五月の年金機構に向けて行われましたものと類似した攻撃があったとしておりますけれども、この攻撃はどのようなもので、またどのような対応があったのでしょうか。また、厚生労働省は、このときどのように対応すべきだったのでしょうか。よろしくお願いをいたします。
○甲斐中参考人 お尋ねの、四月二十二日の厚生労働省に対する攻撃でございますが、標的型メールによる攻撃でございまして、五月八日の機構に対する第一段階の攻撃と同じ、同一ドメインが用いられていたという点で特徴があります。
そして、そのときに厚労省としてどう対応すべきであったかというと、まず何をおいても、機構に対して、こういう攻撃があったということを情報共有すべきであったと思います。その上で、ドメイン単位のURLブロックをやっておけばよかったのではないか、こう考えております。
○加藤(鮎)委員 ありがとうございます。
ただいまの委員長のお話にもありましたが、四月の二十二日には厚生労働省に対しても類似した攻撃がありました。その明らかになった事実に対して、報告書でも、最初からサブドメインのブロックだけではなくドメインのブロックそのものをしていれば、また、今おっしゃったように、厚生労働省から機構へとその旨の情報を最初に共有していれば、もっと五月の被害の方が最小化できたのではないかという点も指摘されております。
今度は、これについて厚労省としてはどのように受けとめていらっしゃるのかをお聞かせください。
○姉崎政府参考人 お答えをいたします。
四月の二十二日ですけれども、NISCから不審な通信先の探知情報というのを受けまして、このときは、通常の対応として、サブドメイン単位でのURLブロックを実施したところでございます。
五月の八日ですけれども、五月の八日に日本年金機構から不審な通信が送られたドメイン、これは複数ありましたけれども、その中には、四月の二十二日に発生した不審な通信先と同一のドメインが含まれておりました。
したがいまして、今、甲斐中委員長からも御説明がありましたけれども、四月二十二日の時点でサブではなくてドメイン単位でURLをブロックしていれば、五月八日の不審な通信の全部ではないんですけれども、一部については防ぐことができたというふうに考えられるところでございます。
このため、検証委員会の報告を踏まえ、今後、私どもとしては、NISCから不審な通信の探知情報が来た場合などには、業務への影響やドメインの種類等も勘案しながら、原則としてドメイン単位でのURLブロックを実施してまいりたいというふうに考えております。
○加藤(鮎)委員 ありがとうございます。
今お話がありましたように、日ごろの業務の遂行を勘案してということもあると思いますが、最悪の事態を想定しての準備、ブロックなどが必要だったのではないかというふうに思います。
改めて甲斐中委員長にお伺いをいたします。
五月の年金機構で発生した被害への方に話を移しての質問でございますが、本事案が発生した原因として、年金機構の初動やセキュリティー体制など、どこに本質的な問題があったとお考えでしょうか、お聞かせください。
○甲斐中参考人 年金機構の問題というのはいろいろございます。
個別的な問題については、報告書に技術的な問題、人的体制の問題等を記載してございますが、やはり根本的には、こういうサイバー攻撃に対する危機意識が低かったというところに根本的な問題があろうかと思います。それが基本的に、事前の、例えばCSIRTがないであるとか、要するにサイバーセキュリティーに対する実効的な体制ができていなかったとか、技術的な防御体制ができていなかった、いろいろなところであらわれていると思います。
それから、インシデントが起きてからも、やはり、その都度その都度、対応が後手に回っていた。例えば、五月八日の攻撃があった段階でフォレンジック調査を直ちにやるべきであったとか、いろいろ問題がございます。
しかし、それらをさかのぼっていくと、結局は危機意識の欠如というところに行き着くと思います。
○加藤(鮎)委員 ありがとうございます。
サイバーセキュリティー、サイバー攻撃に対するセキュリティーの危機意識がそもそも低かった、準備も、またその後の対応もというお話でございました。
続きまして、日本年金機構の方の調査結果について水島理事長にお伺いをいたします。
今回、ウイルスが感染したとされる端末やサーバーにつきましてログの解析などを行ったということですが、その結果、新たに明らかになった事実について御説明をお願いいたします。
○水島参考人 お答えをいたします。
私どもの調査委員会の調査結果報告書には、いわゆるフォレンジック調査を含みますこれまでの調査等の結果が記載をされておりますが、この中で、フォレンジック調査等の結果でございますが、まず第一は、約百二十五万件のお客様の個人情報が流出したということでございますが、これ以上の流出は現在確認をされていないということでございます。
第二点目は、まことに遺憾ながら、お客様の個人情報は新たに確認をされておりませんが、機構職員の個人情報の一部あるいは組織関係情報、業務マニュアル等、あるいは、共有ファイルサーバー上のファイル名称の一覧等が流出した可能性があるということが確認をされております。
加えまして、攻撃者の挙動に関してでございますが、管理者権限を窃取し、その権限を使用した、あるいは、他の端末へこの管理者権限を利用して感染を拡大していったということが確認をされております。
また、調査結果報告書をまとめるに当たりまして、今回、標的型メール攻撃の各局面において情報流出を防ぐために実施すべきであったと現時点で考えられる対策項目がどこまで実施できていたかを検証、評価いたしております。
その結果、例えば、情報流出の直接的要因になりました五月二十日でございますが、メール受信者への個別確認をいたしておらず、仮にこの時点で感染が確認できていれば必要な対策を講じることができた、これによってお客様の個人情報の流出を防ぐことができたというふうに、可能性があったというふうに考えておりまして、特に標的型メールを受信した際の対策に多くの問題があったという調査結果でございました。
以上でございます。
○加藤(鮎)委員 ありがとうございます。
先ほどの甲斐中委員長からのコメントを受け、また今の水島理事長の御認識を伺わせていただきました上で、改めて質問をさせていただきます。
日本年金機構としては、今回の事案を受けて今後どのように情報セキュリティーの体制を構築していくか、今後の体制についてお伺いをさせていただきたいと思います。特に、必要な実行部隊の準備がなかったというようなところも踏まえましてお伺いができたらと思います。よろしくお願いいたします。
○水島参考人 今回の事案につきまして、検証委員会の報告書におきまして極めて厳しい御指摘をいただいておりますが、特に、ただいま甲斐中委員長の話にもございましたが、標的型メール攻撃等に対する情報セキュリティーポリシーや手順書が不備であった、あるいは情報セキュリティーの専門家の不在という点、あるいは緊急時体制としてのCSIRT体制ができていなかったという点等々について御指摘をいただいております。
加えまして、当機構の調査委員会の報告書におきましても、組織全体としての対応方針の明確なルール化あるいは訓練等の徹底が図られていなかったということについて、みずから指摘しているところでございます。
こうしたことも踏まえまして、当機構といたしましては、情報セキュリティー対策を一元的に管理する司令塔といたしまして、情報管理対策本部を新設する方針でございます。
同本部におきましては、各部に分散をしております情報セキュリティーに関します機能を集約いたしまして、標的型メール攻撃等を初めといたしますセキュリティーに関します規程、手順書の整備、研修あるいは訓練を通じたルールの徹底、あるいは、この中にはCSIRT機能もあわせ持つ方針でございます。
加えまして、こうした体制をしっかり機能させるために、情報セキュリティー資格の保有者を核といたしまして専門職員の育成、あるいは、専門家の招聘あるいは専門機関との契約、これらの施策によりまして体制の整備を図ってまいりたいというふうに考えております。
○加藤(鮎)委員 ありがとうございます。
ぜひ、そのように前向きな準備、体制の構築をお願いしたいところでございます。
また、質問を移しまして、運用面におきまして、このたび、重要な個人情報が暗号化されずに、ルールはあったものの形骸化をしておりまして、暗号化されずに保管されていたことなど、共有フォルダの個人情報の管理に問題があったということでございます。
今後どのようにルールまた運用を見直し、その徹底を図っていくかというところ、ちょっと個別で、具体的に伺わせていただければと思います。よろしくお願いいたします。
○水島参考人 今回の事案の要因といたしまして、まず第一に、個人情報をインターネット接続環境下に置くシステム設計に問題があったというふうに考えております。
加えまして、この運用ルールを定めておりました文書管理担当部署でございますが、共有ファイルサーバーの運用ルールが本当に実行されているかなどの点検、確認が適切に行われていなかったということが明らかになっております。運用ルール自体が有名無実化していたということでございます。
まことに申しわけないというふうに思っておりますが、これらを踏まえまして、今後の対策といたしまして、個人情報等重要情報につきましては、ルールによって守るのではなく、インターネット接続環境から完全に遮断する方針でございます。
また、共有ファイルサーバーの管理業務に関してでございますが、情報セキュリティー担当部署に、システムもわかる部署に移管をいたしまして、システム面からの情報セキュリティー対策の強化などに加えまして、ルールの遵守状況の徹底確認を行ってまいる方針でございます。
○加藤(鮎)委員 ありがとうございます。
前倒しで少しお答えもいただいたところがありましたけれども、やはり、ルール、またそのルールを遵守していくということも大事でありますが、ルールを守らざるを得ないというような、もうシステムからしっかり情報を守っていくということも非常に大事なところであろうと思います。
そこで、システム全体のあり方といったものを今後機構の方でどのように構築されていくのかということを、本事案の件を踏まえまして、全体のあり方について端的にお答えをいただければと思います。よろしくお願いいたします。
○水島参考人 本事案を踏まえました当機構のシステム全体の今後の方向でございますが、まず、標的型メール攻撃を含めまして、想定し得るあらゆるインシデントに耐え得る強力な防御体制を整備する必要があるというふうに考えております。
具体的には、調査報告書にも一部触れておりますが、先ほど申し上げましたとおり、まず、基幹システム及び個人情報等重要な情報を扱うシステムにつきましては、インターネット接続環境から完全に遮断をし、これを守るということを大前提にいたしたいというふうに考えております。
また、将来的なインターネット環境の構築に当たりましては、基幹システムをインターネット接続環境下に設置しないことはもとよりでございますが、個人情報を扱う業務の共有ファイルサーバーは基本的に基幹システムの領域内に設置をするという方針で検討を進めております。また、個人情報はインターネット接続環境下に置かないということを基本といたしまして、インターネットの環境を構築していくという方針で臨みたい。これに関しましては、情報セキュリティーの専門家ともよく相談をしながら検討を進めてまいりたいというふうに考えております。
○加藤(鮎)委員 ありがとうございます。
続きまして、機構のガバナンスや組織風土の問題に関して質問をさせていただきたいと思います。
年金機構が公表された報告書の方では、本事案発生の根底には、ガバナンスの脆弱さ、組織としての一体感の不足、リーダーシップの不足、ルールの不徹底など、旧社会保険庁時代から指摘されてきた諸問題がある、このように記載されております。
機構の報告書で指摘しているガバナンス、組織風土に関する構造的な問題解消に向けて、今後、日本年金機構ではどのように取り組んでいかれるのか、お考えをお聞かせください。よろしくお願いします。
○水島参考人 旧社会保険庁におきましては、いわゆる三層構造のもとでの組織ガバナンスの欠如等が大きな問題として指摘をされました。
私どもは、平成二十二年、日本年金機構として発足をいたしたわけでございますが、それ以降、全国一体的な人事によりまして組織の一体感を醸成している、あるいは職員提案制度、拠点訪問等によりまして各拠点の声を業務運営に反映させる、このような試みを実施し、公的年金業務の的確な運営という目標に向けて取り組んできたところでございます。
しかしながら、今回の事案を踏まえますと、改革の道は半ばである。ガバナンスの脆弱さ、組織としての一体感の不足、リーダーシップの不足、ルールの不徹底など、旧社会保険庁時代から指摘されてきた諸問題がいまだ解決されていないということを認識しなければならないというふうに思っております。
また、加えまして、厚生労働省が責任を担う公的年金制度の最も大切な実際の執行部分を請け負っているという緊張感、責任感、使命感が十分に共有されるに至っていなかった、このことが明らかになったと申し上げざるを得ないというふうに思っております。
今後、ゼロベースから組織全体を総点検いたしまして、ガバナンスや組織風土の抜本的な改革に向けまして、職員の総力を挙げて対応していかなければならないというふうに考えております。そのために、日本年金機構再生本部を新たに設けまして、採用区分や雇用形態の違いを乗り越えまして幅広い層の職員の意見を吸収いたしまして、より現場実態を踏まえたルールの設定、あるいは、地域の各拠点と本部との一体感を高めるために人事異動の促進等々の施策に取り組んでまいりたいと考えております。
○加藤(鮎)委員 ありがとうございます。
組織風土の改革などは本当に時間を要する気の長い話にもなるかと思いますが、ぜひ絶え間なくその改革の歩を進めていただきたく、私からもお願いを申し上げます。
時間も短くなってまいりましたので、最後に塩崎大臣にお伺いをさせていただきます。
今回の検証委員会からの提言を受けまして、日本年金機構において二度とこのような事態が起こらないようにどのように取り組んでいかれますのでしょうか。大臣のお考えをお聞かせください。
○塩崎国務大臣 今回、検証委員会から大変厳しい御指摘をたくさんいただいて、機構のみならず厚生労働省に関してもいろいろ反省をしなきゃいけないところがたくさんあるというふうに思っているわけであります。
具体的なことはもう先生御案内のとおりだと思いますけれども、今回の検証委員会の報告を受けて深く反省をし改善をしなければいけないことは、まず、情報セキュリティーに関しては、検証委員会の報告にも書いてありますけれども、やはり、どこにどういう情報があって、それはどういうリスクを抱えているのか、そのリスクに応じたセキュリティー対策をきちっと一つ一つについてやっていくということをやらなきゃいけませんし、それは必ずしも個人情報だけではなくて、守らなければいけないものはたくさんある。
同じことは実は厚労省についても広く言えることで、もちろん政府全体もそうでありますが、こういったことに関して、やはり組織のあり方、そしてまたセキュリティー体制のあり方、その運用のあり方、そして担い手である職員の意識の問題、これらを全部やり変えなければいけないというふうに思います。
同時に、社会保険庁時代からの問題ということで、ガバナンスの問題、欠如、いろいろ御指摘をいただきましたし、全くこれは同じように、係長レベルで上に上がらなかった厚労省、あるいは危機感が、情報問題について、セキュリティーについてもなかったということを深く反省すれば、いずれも、ガバナンスそしてまた内部統制、そういったものについても深く反省をしながら、強固なガバナンス体制、内部統制体制というものをしっかりと組み立て直していかなきゃいけないのは、機構のみならず厚生労働省についても言えるんだろうというふうに思っております。
○加藤(鮎)委員 ぜひ大臣のリーダーシップのもと、そういった今回の事案を踏まえての前向きな方向に進んでいくことを御期待申し上げます。
きょうは質問の時間をいただきまして、本当にありがとうございます。これで質問を終わります。
○渡辺委員長 次に、伊佐進一君。
○伊佐委員 おはようございます。公明党の伊佐進一です。
年金情報の流出問題、今回、三つの報告書が出そろいました。この報告書に書かれておりますこと、今回の問題について年金機構あるいは厚労省あるいは関係機関がどういうような対応を行ってきたかという事実関係も書かれております。その上で、それぞれの報告書に書かれておりますのは、今後の対応、こうすべきだというような提言も示されているところでございます。
きょうは限られた時間でありますので、今後、この報告書に書かれた、示された提言を受けて、指摘を受けて、厚労省また年金機構がどう変わっていくのかということを中心に質問させていただきたいと思っております。
まず、その前に一点、事実関係の確認なんですが、国民の皆様の大きな心配、不安が一つありましたのは、本当にこれは百二十五万件だけだったのかという御不安もございます。これは、基礎年金番号、氏名、生年月日というもの、こういった情報が出ていったわけですが、しかし、パソコンが三十一台感染した、その中にはもしかするとほかに重要ないろいろな情報があったかもしれない、こういった情報、ほかのデータというものが流出してしまっているんじゃないかという懸念もございました。
これまでの国会答弁を見させていただくと、報告書が出る前の答弁では、こうした懸念も払拭できないというような答弁でありました。今回、この調査と検証を受けた結果、国民の皆様に影響を与えるような、百二十五万件以外の流出はなかったというふうに言ってよろしいでしょうか。
○水島参考人 お客様の個人情報ファイルについて申し上げれば、流出した可能性のあるファイルについて、警察が外部でのサーバーで発見したファイルと重なるものは、今回、フォレンジック調査を行っておりますが、これに関しては確認できました。一方で、警察が外部のサーバーで発見したファイルと重ならないものはフォレンジック調査によっても確認をされなかったということでございます。
フォレンジック調査では、お客様の個人情報やそれ以外の情報を含めまして、流出した可能性のあるファイルが判明をいたしております。今回のフォレンジック調査は攻撃者の操作全てを解明するものではございませんが、本件において感染が判明いたしました三十一台の端末等に関しまして、全て対象といたして行っております。技術的に可能な範囲の解析がなされまして一定の精度は保たれていると考えておりますが、この結果、お客様の個人情報に関しましては、現在判明をいたしております約百二十五万件以外の新たな情報流出は確認されておりません。
このことについて断定的に申し上げることは難しいとは思っておりますが、百二十五万件以外の個人情報が流出した可能性は極めて低いと考えております。
○伊佐委員 つまり、調査を行うまでは懸念が確かに払拭できなかったけれども、今回のこの調査によって懸念は払拭できたんだということを答弁いただきました。
では、その上で、それぞれ報告書の提言について質問させていただきたいと思います。
この報告書を読みますと、百二十五万件が流出していく過程、経緯の中で幾つも防止できるポイントというのがありました。それがそのポイント、ポイントで適切に対応できずに、ことごとく行われずに、最後は大量の情報流出に至ったという指摘がされております。もちろん、今後どういうシステムを設計していくか、あるいはどういう人員を配置していくか、これも重要なんですが、報告書にもありますとおり、根本的なところがまず変わらないといけないんだという指摘がございます。
この根本的な問題として、検証委員会の報告書では二点指摘がされております。
まず一点目は、そのまま読み上げさせていただきますと、機構、厚労省ともに、標的型攻撃の危険性に対する意識が不足しており、事前の人的体制と技術的な対応が不十分であったこと、二つ目は、情報や危機感の共有がなく、組織が一体として危機に当たる体制になっておらず、場当たり的な対応に終始したというふうに言われております。
一体としてというところも、例えば、NISCから第一報があったのは五月の八日。この翌日、五月の九日には委託会社の方から情報漏えいの可能性は極めて低いというふうに言われていたわけですが、ただ、機構の担当者はそのときに、いやいや、ちょっと待て、標的型攻撃というのもあるんじゃないかと疑っていた、事実それを発信していたというふうに指摘されています。ところが、この発信も共有されなかったというふうに指摘されています。
そういう意味では、この二点、意識の問題と、そしてもう一つは組織の一体感の問題、この二つが根本的な問題だという指摘がなされております。
それぞれについて質問させていただきます。
まず意識、機構職員の危機管理に対する意識、これをどう今後向上させていきますでしょうか。
○水島参考人 職員の危機管理の意識に関しましては、発足以来、各種研修等を通じて努力をしてきたところではございますが、今回の事案を踏まえますと、極めて不足をしていたということを認めなければならないというふうに思っております。
具体的には、標的型メールへの対応策があらかじめルール化されていなかった。やはりそこには組織全体としてのリスク認識の甘さがあったというふうに考えております。また、共有ファイルサーバーに保存する個人情報にパスワードが付されていない、あるいは共有ファイルサーバー自体に個人情報が保存されている。この点に関して、ルールがあったにもかかわらず、それが守られ、あるいは守る努力がなされていなかった。加えまして、ルールが不在のときに緊急事態に際して幹部が適切な判断ができなかったということが極めて大きな問題だというふうに認識をしているところでございます。
もちろん体制面の強化もございますが、まずは情報セキュリティーの強化を図ることが必要だというふうに考えておりまして、その司令塔といたしまして、情報管理対策本部を新設する方針でございます。この本部は、いわゆる規程整備面、あるいは研修面、あるいはリスクアセスメント、こういうソフト面に加えまして、CSIRTのような緊急体制機能も加えて設けていく方針でございます。
こういうことによりまして、異常事態に遭遇した際におけるリスクへの認識、事案への対処方法、対応策の検討など、機構組織全体として情報共有を図りまして、職員に対する危機管理意識の浸透を図ってまいりたいと考えております。
○伊佐委員 理事長の方から今、全体的な、総合的な形での御答弁をいただきましたが、具体的に一つ一つしっかりと検討いただきたいのは、例えば、研修だって毎年されていたわけです。毎年されていたんだけれどもこういうことを行っていたというのを考えますと、その研修の中身についても、一体どこに問題があって、今後そういうところが課題だからこういう研修に変えなきゃいけないんだというような、しっかりとこれまでの体制に向き合っていただいて、一つ一つ丁寧に対応していただきたいと思っております。
二つ目の根本原因と申し上げました、組織が一体として危機に当たれなかったという点について質問させていただきたいと思います。
まず、厚労省の体制、これは大臣にお伺いしたいと思います。
現在の厚労省の体制、情参室というのがございまして、情報政策担当参事官室というのがあります。この中にセキュリティーの担当部署があるわけですが、この報告書にも指摘されておられますとおり、充て職だったというところがたくさんあって、要は兼務で体制を構築していた。
報告書の中で、実質は何人だったかといいますと、実質ではわずか一名だったということが書かれております。この一名の仕事も、サイバーセキュリティーのルール整備、研修、こうしたものだけじゃなくて、マイナンバー制度への移行とか、いろいろな制度、さまざまな業務も一緒になってこの一名が全部抱えていたというような状況でした。専門性についても、人事が、通常に回る人事ローテーションの中で異動されていたということですので、専門性も十分とは言えなかった、こういう指摘がなされております。
この情報セキュリティーに係る人員また体制、今後しっかりと強化していただきたいと思いますが、大臣、いかがでしょうか。
○塩崎国務大臣 今回、検証委員会から厳しい指摘がこれについてもありまして、今お話がありましたように、四名情参室に担当がいたといえども、一人が実質的に担当し、なおかつ他の業務を兼務しているということであれば、一人にも足らないような、〇・七とか八とかそういうカウントかもわからないというぐらいのことでありまして、まさにこれは、報告書どおり、不備があったということを認めざるを得ないというふうに思います。
その原因は、先ほどお話があったように、やはり危機意識がなかったがゆえに、体制も、そして人的能力も欠けていた。
この能力に関しても、サイバーセキュリティーの専門家というわけではなかったということを考えてみると、これからは、危機意識に基づいて、さっき申し上げたように、いろいろなところの情報流出リスクというものをきちっと評価できる、そういう人材がここにいなければいけない、能力がある者がいなきゃいけないということ。
体制としても、全体を見られて、なおかつそこに対して物を言えるような、そういう体制にしていかなきゃいけないということで、今、厚労省の中でも、組織をどうやって、一元化をしながら、全組織あるいは独法あるいは特殊法人を含めて、きちっとしたことを、物を言えて実効性があるセキュリティー体制の確保ができるものにしていくか、検討中でございます。
○伊佐委員 私は、厚労省こそがまさしく、全ての省庁の中で一番、個人情報のセキュリティーにしっかりと取り組まなきゃいけない、また、情報の活用、ビッグデータと言われますが、活用に取り組んでいかなきゃいけない省庁だと思っております。
厚労省が一番個人情報をたくさん抱えているというのはもちろんのことなんです。その上でセキュリティーをしっかりしなきゃいけないということはもちろんなんですが、これからの少子高齢化の中で社会保障をどう構築していくかというのを考えますときに、いかに情報を活用していくか、ビッグデータをいかに守って活用していくかということが非常に大事な、今、国家としても大きなイシューになっているわけでございます。
マイナンバー制度も十月から始まる。これは年金情報だけじゃありません、いろいろな情報、個人情報が入っております。また、がん登録というものも始まります。今後、社会保障費をどうやって効率的に抑えていくかというのを考えますと、社会保障の分野でのデータの管理であるとかあるいはデータの活用というのが全ての省庁の中でもこれほど重要な役所はないと私は思っております。
そういう意味では、国民の皆さんが安心して任せられる、データを委託されるような、信託されるような、こういう体制を構築していく必要があると思っております。
その点でもう一点伺いますと、情報共有という点についてですが、今回、年金機構と厚労省との情報共有、機構の調査報告書でもこう書かれています。案件の内容や重要性に応じてどのレベルで連絡し、相談するかに関するルールがあらかじめ定められていなかった、そのために担当者レベルにとどまっていた、こういう指摘があるわけです。
この厚労省との情報の共有の問題、これは年金機構に限ったことじゃないんじゃないかなという心配があります。さっき申し上げたとおりで、今後、年金記録だけじゃなくて、厚労省として、いろいろな個人情報を守って活用していかなきゃいけないという中で、厚労省のいろいろな独法、年金機構だけじゃなくて、さまざまな独法、関係機関との共有のルールをしっかりとつくっておかなきゃいけないんじゃないかというふうに思います。そういうルールを定めるべきだというふうに思いますが、大臣、いかがでしょうか。
〔委員長退席、とかしき委員長代理着席〕
○塩崎国務大臣 御指摘をいただきましたように、常日ごろからルールをしっかりと明確にし、インシデントの発生時にきちっとした情報共有ができて対応もできるという体制を確保しなければいけないということで、先ほど厚労省の中の情報セキュリティー体制を抜本的に見直すという話を申し上げましたが、これはまさに、今お話がありましたように、ひとり厚労省だけではなくて、そこから関係する独法やあるいは特殊法人などについても同じように問題意識も共有し、危機意識も共有し、そして情報もきちっと共有する中で情報を守っていかなきゃいけないということだろうと思います。
厚生労働省のセキュリティーポリシーに基づく手順書ではセキュリティー事案の対応は課室長の判断のもとに対処することになっておりますけれども、今回の事案では、組織内や組織間、今お話があった独法とか特殊法人などの間を含めて的確な情報共有とか危機感の共有がなされていなかった、対応もできなかったということも間々あってきたわけでありますけれども、現在は、セキュリティー責任者であります課室長がみずから把握することを徹底し、特にNISCからのインシデント事案の通報につきましては、大臣まで必ず上げろ、そして対処をどうしたかという報告まできちっと大臣まで上げろということで、そのことによって全体がラインでもって知るところとなるわけでありまして、対応の結果を含めて共有するという、先生が今御指摘になったことだと思います。
独法等との連絡につきましても、現在は課室長まで事案を報告することを徹底しておりますけれども、さらに対処手順書の見直しなどを行ってインシデント発生時の情報共有の徹底を図ってまいりたいと思いますけれども、その際の手順書などは、今先生御指摘のように、やはり一貫した哲学で、厚労省と同じ意識を持って、哲学を持って情報を守るというセキュリティーポリシーを共有していくということがとても大事だということを、今御指摘のとおりだと思ったところでございます。
○伊佐委員 ありがとうございます。
大臣の方から、今回は年金機構の事案なんですが、年金機構だけじゃなくて全体をしっかり見直していくんだという前向きな御答弁をいただきました。また、全てのインシデントについてしっかり大臣まで上げろということで、大臣のリーダーシップのもとで、トップダウンで、これから情報セキュリティーの対応にしっかり当たっていくという御答弁をいただきました。しっかりと我々は見守ってまいりたいと思います。
時間もなくなりましたので、ちょっと順番を入れかえまして、基礎年金番号の変更について一点確認をさせていただきたいと思います。
今回、この基礎年金番号、情報が流出した番号については全て変えるという決断をなされております。
これまで、では、具体的に変えなきゃいけない何かトラブルがあったかといいますと、年金受給においてこれまで具体的なトラブルは発生しておりません。ただ、やはりこれからのことを考えますと、万が一のことを考えて今回全て変えるんだという決断をなされました。
この中で一つ考えなきゃいけないことは、基礎年金番号を変えることによってほかに波及するような影響があるのかないのかという点、一つ懸念があると思っております。この影響をどう考えるか。
基礎年金番号というのは、いろいろな業務にひもづけがされております。市町村の業務であったりとか、あるいは共済であったり企業年金の業務、いろいろなものにひもづけがされておりますので、これを変えるのであれば、全部、全て変えていかなきゃいけないというようなことになります。こうした手続に瑕疵がないようにという点と、また、もし変えるのであれば、しっかりと年金機構あるいは行政の側でこれを担っていただきたい。間違っても、変える側の、利用者の皆さんの負担になるような、手間になるようなことはあってはいけない。そういうことはしませんということを明言していただきたいと思います。
○水島参考人 まず、御指摘がございましたが、六月一日に本事案を公表いたしました後、定時払いは六月十五日、八月十四日と行ってまいりましたが、このお支払いに関しては現状問題が発生していないということでございまして、皆様方の御協力、御指導に心から感謝を申し上げる次第でございます。
また、さらに安全性を確保するために基礎年金番号を変更するということにさせていただいておりまして、具体的には、八月二十四日からお送りするということを開始いたしております。現在、簡易書留でお送りをいたしておりますが、九月中には皆様のお手元にお届けをするべく今努力をいたしておるところでございます。
まず、今後でございますが、今後は変更後の基礎年金番号で手続をいただくことになるわけでございますが、万一変更前の番号でお客様がおいでになっても決して御迷惑をおかけしないように、もちろん御本人であることをきちんと確実に確認させていただいた上でございますが、対応をするというシステム上の対応をとっております。
また、今御指摘がございました、いわゆる他の機関等で基礎年金番号をお使いになっていらっしゃる、具体的には市町村でございますとか共済組合、企業年金等でございますが、これらの各機関には私どもから情報提供を行うということで、基礎年金番号等の変更によりましてお客様御自身が手続を行っていただくというような御負担をおかけしないように努力をしているところでございます。
このような努力を重ねまして、お客様に御負担をかけずに着実かつ安全に基礎年金番号をお送りする手続が進むように、現在全力を尽くしているところでございます。
〔とかしき委員長代理退席、委員長着席〕
○伊佐委員 時間が来たので終わりますが、しっかり多重防護という観点をぜひまた今後、私も事務的にもやりとりさせていただきたいと思います。
以上、終わります。ありがとうございました。
○渡辺委員長 次に、西村智奈美君。
○西村(智)委員 民主党の西村智奈美です。
大臣、冒頭、通告はないんですけれども、このところ株価が非常に大きく変動していますので、その点に関連して一点伺いたいと思います。
先週からですか、六日連続で株価が下落しているということで、私が心配をしているのは、年金積立金の株式で運用されているお金であります。
私たちは、GPIFのポートフォリオの変更はそもそも反対でしたし、またその後も、GPIFの水野理事をこの場にお呼びして、しっかりとした議論をさせていただきたいと思っておりましたけれども、いまだにそれがかなわずという中で、国内株式の比率が今一体どうなっているのかということはやはり国民に明らかにされるべきだと思いますし、またその上で、年金の積立金が本当にこれから先どうなっていくのかということを改めて議論する場をぜひ設けてもらいたいというふうに思います。
お伺いしたいのは、国内株式の比率が六月末の時点でどうなっているのか。これがいつ公表されるかという点について、たびたび八月末であるという答弁はされているんですけれども、もう八月末なんです。これはいつ公表されますか。そしてまた、それを受けてどのように厚労省として対応していかれるのか。
私は、ガバナンスもあわせてやるべきだと大臣がたびたび答弁をされているからこそ、やはりこの問題というのは一度しっかりと議論するべきだというふうに思っていますけれども、この点、二点伺いたいと思います。
○塩崎国務大臣 GPIFには法律でもって運用の基本哲学が課せられているわけであって、それは、専ら被保険者のために安全かつ効率的な運用を行うべし、こういうことになっているわけで、GPIFにおいてそれを経済情勢を踏まえた上でやっていただいているというふうに思っていますし、それで、デフレ状態ではなくなっていく、もう既になくなっているわけでありますが、新たな経済情勢のもとで、新しい基本ポートフォリオをもって今運用していただいているというふうに理解をしているところでございます。
その上で、六月末の運用の実績についての発表はいつなのかということでありますが、これは、GPIFの方で作業をしているので、作業が完了次第公表するということを三谷理事長が言っておられたと思いますが、八月末までにということでありますから、早晩そういう発表が行われるものだというふうに思っております。
一方で、ガバナンスの話も頂戴をいたしました。
これは、私は何度も申し上げているように、また日本再興戦略の中でも運用改革を行うとともにガバナンスの改革も行うということが書かれているわけでありまして、既に、基本ポートフォリオを発表した際に、法律改正がなくてもできることを目いっぱいやるということで、運用委員会を中心に考えていただいて、内部の管理をきちっとするという新たな場もできた上でガバナンスは強化をされつつあると思いますが、なお、年金部会で始まっておりますガバナンスについての考え方についてさらに議論を深めていただくということがこれからお願いしなければいけないことだというふうに思っております。
○西村(智)委員 本当に、やはり他人事のように聞こえるんですね。
あれだけ大きなお金をGPIFが運用して、そして株式市場にそれが投入されて、今まさにその株価がああいう状態になってしまうと、株というのはいいときもあれば悪いときもある、これはもう私たちが当初から言っていたことであって、だからこそ、国民にその点についてはきちんとオープンにした上で、GPIFのあり方、ガバナンスのあり方、これもしっかりとあわせて議論させてもらいたいというふうに言っていたんですけれども、相変わらず、もう八月の末になってもそれができていないという状況は極めて無責任だと思いますし、そして、その数値についてはきちんと出された上で、また私ども改めてGPIFの議論はさせていただくことになりますので、ぜひその点はよろしくお願いをいたしたいと思います。
きょうは、年金情報流出問題の集中質疑ということで、検証委員会の甲斐中委員長にお越しをいただいております。どうもありがとうございます。
委員長、実はこの検証委員会は、大臣がこれまで委員会の中で、中間報告が八月の中ごろに出てくるというふうに答弁をしておられたんです。今回いただいたものは検証報告書というふうにだけ表題が書かれていました。これは中間報告ですか。
○甲斐中参考人 この報告書の性格は、事実上の最終報告ということで考えております。
なぜそうしたのかと申し上げますと、この問題は非常に国民の関心も高くて、できるだけ早期にきちんとした形の報告書を提出したいと思っておりました。いろいろ調査した結果、当面、私どもの調査した結果で本事案の原因究明と再発防止策は十分提言できるというふうに思ってこういう形にいたしました。
ただ、まだ警視庁において捜査中でありますし、機構も共有フォルダの問題などについて調査を継続しているというところでございます。その調査の結果によっては、場合によっては何らかの新しい進展があるかもしれないということも考えられます。その結果、私どもが提言した原因と再発防止策について何らかの考えを変えざるを得ないような場合があれば、再調査するということも考えております。
○西村(智)委員 そうすると、大臣の答弁は間違っていたということですよね。これは中間報告ではなく事実上の最終報告である。
しかも、その後、警察の捜査等々の進展を踏まえて、もし何か必要があればということなんですけれども、この検証委員会は、設置要綱によって任期が今月の八月三十一日までとなっています。ですから、再任とか更新とかいう手続をしないと、この検証委員会は三十一日で消えてしまうということになるわけなんですけれども、大臣、この点についてはどうするんでしょうか。
○塩崎国務大臣 これは、今、甲斐中委員長が御答弁されたように、事情の変更があったりするような場合にはまた継続するということでありますから、これからの任期については甲斐中委員長と御相談を申し上げるということになろうかと思います。
○西村(智)委員 三十一日まであと一週間足らずですので、どうするかということだと思います。
それで、中身について入る前に、まず、検証報告書は本体と要約版というのがあって、要約版とこの検証報告書というのは厚さがほとんど変わらないんですね。大臣、ごらんになりましたよね、要約版と検証報告書。ですので、どこがどう違うのかというのを簡単に探せるぐらいだったので、検証報告書も全部読みました。
それで、一言で言うと、感想は、年金機構に関するいろいろな指摘事項、それから、こういった流出が起きてしまったという要因の分析、その年金機構に関する部分は割と多いなというふうに思ったんです。ところが、厚労省に関する要因の分析ですとか、こういったところがまずかったという指摘の部分は、分量としては余り多くない。
それはどういうことかといいますと、報告書の第二で書かれている認定事実の部分と、第三で原因というふうに書かれている部分とあるんですけれども、認定した事実について、年金機構に関する部分は四ページ弱だったんです、およそ四ページ近く。厚労省に関する部分は三ページ強、三ページを少し超えるくらいだったんです。分量的には似たか寄ったかと思っていましたら、第三の要因分析のところでは、機構に関する部分は三ページ半、結構ボリュームが多かった。ところが、厚労省における要因分析ということでいうとわずか一ページということでして、起きた事象、それから検証委員会が問題として認定した事実のボリュームに比べると、厚労省に向けて要因分析がなされているところがちょっと少ないというふうに私は見たんです。
委員長にお伺いするんですけれども、厚労省の責任追及はやはり引き続きさらにもっと行われていかなければいけない。私は、これは年金機構だけが起こした問題ではなくて、管理監督をする立場である厚労省がやはり責任を負う部分は非常に大きいというふうに思っております。この点について、委員長、いかがお考えでしょうか。
○甲斐中参考人 私どもの提出しました検証報告書につきましては、いろいろな方々からいろいろな御意見をいただいております。ただいま委員からいただいた御意見は、貴重な御意見として承らせていただきます。
ただ、私どもは、あくまでも公正中立な立場から指摘すべきことをきちんと指摘したつもりであります。厚労省の問題点ということにつきましても、報告書の中にきちんと指摘しているつもりでございます。
分量が多いか少ないかということについては、そういう御意見も確かにあろうかと思いますが、一つは、現実に直接問題を惹起した機構と、それを監督する側の厚労省という立場の違いもやはりあろうかと思います。
そういうことで、御意見は承らせていただきます。
○西村(智)委員 これは検証委員会の報告書の中にもありますけれども、セキュリティー部門に専門家がいなかった、こういうことを書かれています。これは厚労省の中でも組織的な問題としてあるというふうに書かれていると私は見受けました。これは大問題だと思うんですね。これは物すごく大きな問題だと思うんですよ。
それについては確かに指摘はされているけれども、では、なぜそういうセキュリティー部門のところに専門家がいなかったのかということ、そして、どうしてこういう大きな流出を防ぐことができるような監督ができなかったのかという分析が検証委員会の報告書の中では全くなされていないというふうに私は率直に言ってお見受けいたしました。そういうふうに読みました。
どちらかというと、確かに、起こしたのは機構の内部の問題であるから、内部の問題はきちんと指摘をしなければいけないけれども、やはり厚生労働省の組織にも大きな問題があったんだということはきちんと検証委員会の中でも本当にしっかりと分析をして、そしてこの検証報告書の中でそれについても対応すべきだということをしなければならなかったんじゃないかと思うんです。
これはこの間私どもの党の委員からも何度も出ている話なんですけれども、やはり厚労省自身も、みずからの問題として、組織的な問題として、どこに欠陥があったのか、どこにその目詰まりを起こすような原因があったのかということを、今回、年金機構は内部の調査委員会をつくってかなり深いところまで分析をした内部調査報告書を出されたと私は思います。そのような内部の調査報告書を、やはり厚労省としてもみずから分析を行うということ、これが抜本的な対策を厚労省自身がとっていくということにつながっていくというふうに私は思うんです。
客観的に指摘されることは大事だと思います。だけれども、みずから分析をするということ、このことで自己改革というのはできていくのではないか、こういうふうに考えるんですけれども、委員長、いかがですか。
○甲斐中参考人 御質問が二つあったと思います。
一つは、報告書の中できちんとした根本原因の分析がされていないのではないかという御指摘でございます。
受け取り方でございますが、その点は、報告書の十五ページのところ、厚労省全体における、特に幹部層におけるサイバー攻撃の脅威や情報漏えいのリスクについての意識が低かったことに起因するという部分や、それから二十七ページの部分にも、機構及びこれを監督する厚労省のいずれにおいても対応が不十分で、標的型攻撃の危険性に対する意識が不足していたという指摘をしております。私どもはこういう分析をしております。
それから、みずから内部調査を行い、きちんとした対応をすべきではないかということでございますが、この点は、私どもは、指摘した事項について厚労省にきちんと対応していただきたい、こういうことを考え、報告書を提出いたしました。したがいまして、それをどう実行するかということについては、厚労省が私どもの報告を受けてお考えいただく、方法はお任せする、こういうふうに考えております。
○西村(智)委員 報告書の中で、せっかく十五ページというふうにも引いていただきましたので、私の方からも申し上げたいのは、三十五ページに、厚労省の監督体制の整備について書かれている項目、「(2)機構LANシステムに対する監督部署の明確化」というところで、「今回標的型攻撃を受けた機構LANシステムについて、厚労省内部で担当部署が不明確であることは、監督省庁としてあり得ないことである。」このように書かれています。あり得ないことだという指摘がなされている。
一方で、三十二ページのところに、これは要因についてなんですけれども、ここの「(2)機構LANシステムに対する監督体制の欠落」のところで、ちょっと途中省きますけれども、厚労省には、機構LANについて、監督権限がどの課にあるのか不明確であって、どの課室もみずからに監督権限があるとの意識がなかったというふうに書かれています。まあそうだと思うんですね。
私、ここから先は本当にどうかなと思う記述なんですけれども、「これでは、機構LANで何らかの危機的事態があったとしても適切な指揮監督ができないのはやむを得ない。」というふうに書かれていて、確かに、監督権限がはっきりしないからそうなんだという結論にはなるんだろうけれども、やむを得ないという表現は、いささか検証報告書の記述としては適さないんじゃないかと私は思っているんです。
水島理事長にもお伺いをしたいと思うんですけれども、機構の方では、今回、内部の問題に厳しく目を向けて、いろいろなことを調査して内部報告書を出しました。そこで旧社保庁時代から指摘されていた諸問題がありというふうにも書かれていて、私はこの文言を読んで、ああ、ここまで書くのかというふうに率直に思いました。
だけれども、一方で思ったのは、この記述はあえてなくてもいいんじゃないか。つまり、社保庁時代から指摘されていた諸問題というのは、その前段のところで具体的に列記されていましたよね。ルールの不徹底とかガバナンスの弱さとか、いろいろなことが具体的に書かれていたので、あえて旧社保庁時代から指摘されていた諸問題という文言は書く必要もなかったのではないかというふうに私は思うんです。
マスコミは、旧社保庁時代からの体質がこの流出問題を招いたというふうにも書いているところはありました。だけれども、旧社保庁時代の体質だけじゃないと思うんですよ。やはり機構と厚労省が、二つの体質、監督責任が曖昧だという体質、また下から上へ物が上がっていかないということもいろいろありましょうけれども、そういった体質が相まって起きたものであって、社保庁時代からの問題だと言った瞬間に何かちょっと思考停止に陥ってしまう危険性があるんじゃないか、私はそういうふうに思いました。
理事長、どういうふうにお考えですか、この点について。
○水島参考人 私どもが調査報告書を取りまとめました見方といいますか、これを若干御説明させていただきますと、みずから原因を究明して、再発防止のためにどうすればいいのかということについて徹底的に見詰めてみようということがまず第一点でございました。
今回の原因は標的型メール攻撃に適切に対処できなかったということでございますが、その構造的な要因としては、我々幹部が業務の実態を十分に知っていたかということになりますと、やはり反省しなければならないというふうに考えておりますし、あるいは、現場が本部との間で情報共有を図るべく努力をしてきたかということに関しては、やはりまだまだ努力が不足していた点というのはあるというふうに考えております。それから、インシデントが発生したときに指揮命令系統ができていなかった。あるいは、やはり一番の問題は、ルールが不在だというときに、緊急時に対応できない、幹部が適切な判断ができなかった。これはもちろん私も含めてでございます。あるいはルールの遵守の問題等々でございます。
検証委員会の御報告でも、「危機に際しての組織としての一体的な対応は、平素の組織の在り方がそのまま表れる。」という厳しき御指摘をいただいております。
これらの問題に関しまして、もちろん日本年金機構の問題でありますが、やはり旧社会保険庁時代に指摘をされてきた問題と言葉も含めて同じ面があるということについては、我々として厳しく受けとめて、将来に向けて再出発をしていかなければならないというふうに思ったわけでございまして、これに関して何らかの意図があったということではございません。
また、厚生労働省の関係に関しましても、やはり御報告が担当者レベルにとどまっていたことについては私どもとしても強く反省すべきだというふうに考えておりまして、ルールづくりについて、もう一度原点に戻って行っていかなければならない。
そういう点も含めまして、日本年金機構再生本部を立ち上げまして、それらの問題を徹底的に見詰めて解決をすべく努力をしようということでございます。
○西村(智)委員 そこで、大臣にお伺いしますけれども、私は、やはり今回の問題は、年金機構の問題であると同時に、厚生労働省の問題だと思っています。
セキュリティー専門家がいないということを放置していたこと、そして、やはりもっと私は踏み込んで、なぜ情報が上がっていっていなかったのか、この分析がこの検証委員会の報告書の中では記載がない。これはやはり厚生労働省自身が自律的に内部の調査をしっかりと行って、その上で対応をとるべきだと思います。
あわせて大臣に、検証委員会の報告を受けてみずからの責任のとり方等々を検討するというふうにおっしゃっていました。その点について、今どのようにお考えですか。
○塩崎国務大臣 今回の検証委員会に書かれているものを私、初めて読んだ際に、これは厚労省の問題点について大変厳しい指摘をいただいたなと。それはもちろん、機構のことをたくさん書いてあるというお話がさっきございましたけれども、機構は、厚生労働大臣の監督のもとで、厚生労働大臣と緊密に連携をするということになっている中での問題でありますから、機構の問題イコール厚生労働省の監督の問題でもあるということでありますし、もちろん、先生御指摘のように、先ほど来私もみずから答弁しているように、厚生労働省自身の危機意識もなかった、あるいはきちっとした体制を組めていなかった、決まっていることも有名無実化していてルールが守られなかった等々いろいろあるということを申し上げてきているので、問題があることは、まさに先生御指摘のとおりだと思います。
厚労省としても、私の指示のもとで、今、次官、厚労審が中心となって今回の事案の原因究明そして再発防止について検討して、既にできるものから鋭意実施に移してきているわけでありますけれども、今般、検証委員会の報告書、そしてまた機構の調査報告書、NISCの調査報告書などがまとめられたことを踏まえて、今、再発防止策を鋭意まとめているところでありまして、公表をしてまいりたいと思っております。
けじめにつきましては、もう何度も申し上げているとおりで、今回、検証委員会の報告等々も踏まえて、私自身ももちろんけじめをつけるということを申し上げてきたわけでありますので、そのつけ方とあわせて、今回の事案の職員の処分に関してもこれから適切に対処してまいりたいというふうに思います。
○西村(智)委員 時間ですので終わります。
○渡辺委員長 次に、長妻昭君。
○長妻委員 今回、厚労省の検証委員会が報告書を出しました。今回の件はいろいろなびっくりすることがあるんですが、この検証報告書を見てもびっくりいたしましたのが、実は四月二十二日も、年金局に対して、今回、五月八日の攻撃に始まるものと同じ、メーンドメイン名が同じ攻撃があった、つまり攻撃の類似性がうかがえるような攻撃があったということが初めて書かれたわけです。
大臣、こんな重要なことを、大騒ぎした集中審議等々、国会が本当に混乱したさなかに何でこのことをおっしゃらなかったのかなと大変不信感を持つんですが、大臣はこれをいつ御存じになったんですか。
○塩崎国務大臣 今回の検証委員会の報告書を読んで初めて知ったところでございます。
○長妻委員 ということは、省内のしかるべき方等々は御存じだったわけですよね、当たり前ですけれども。第三者の検証委員会よりももちろん早く内部の方が情報をつかんでいるわけでありますから、非常にみっともない話じゃないかと思うんです。
では、今回の検証委員会の報告書が出る以前に、四月二十二日の攻撃というのは五月八日の攻撃と類似性がある、メーンのドメイン名が同じものも含まれていた、これを知っていた厚労省の幹部、職員というのは何人ぐらいいらっしゃったんですか。どこの部署にいらっしゃったんですか。
○塩崎国務大臣 四月二十二日の際に、一応官房長まで上がったということは、きのう参議院の方での集中審議でも申し上げたところで、本人も、官房長が報告を受けたということは認めているところでありますが、残念ながら私どもは聞いておりませんで、情参室も係長レベル、統計情報部は補佐レベルまででございまして、それが一応、年金局長それから審議官に上がったということでありますから、この問題をほぼリアルタイムで通知を受けて知っていたのは、幹部としては数人ということであります。
なお、一般的には、こういったメールによる攻撃のようなものが来ているということは、職員全員にはきちっと、ウオーニングをメールで全員に発したところでございます。
○長妻委員 非常に国会がなめられているという意識を与党の議員の皆さんも持つ必要があると思うんですね。
あれだけ審議している中で、四月二十二日、五月八日と同様の攻撃が年金局にあったということを一言も誰もおっしゃらない。聞かない方が悪いと言うかもしれませんが、そんなことは我々はわかりませんからね。普通は、それは常識的におっしゃるはずなのに。時系列的なものも五月八日から始まっているんですが、本来は四月二十二日から時系列的な表が始まっていないといけないわけです。
ということは、今、官房長と年金局長が御存じだったということであれば、これはぜひ処分をする必要があると思うんですが、大臣、いかがですか。
○塩崎国務大臣 これは甲斐中委員長も記者会見でおっしゃっているように、言ってみれば、四月二十二日は今回の一連の事案の予兆のようなものであったというふうにおっしゃっておりました。そういう意味では、意味のある事案が事前にあったということはそのとおりであります。
今お話がありましたが、一部幹部は四月の二十二日の段階で知っていたということでありますが、今回の処分の問題は、西村先生にも御答弁申し上げたように、全体の中でどういう処分をするのかというのは、先ほど、検証委員会の中で厚労省の責任についての記述が少ないというお話がありましたが、分量として少なくても、全体が厚労省に対するいろいろな意味することをおっしゃっているな、強烈な報告書だというふうに私は受けとめていますので、それを踏まえた処分を考えていきたいというふうに思っております。
○長妻委員 あれだけ年金局長も答弁に立ったわけですよね、これまで。にもかかわらず、その四月二十二日の翌日、二十三日に年金局長も官房長も御存じだったということでありますから、大変責任は重い。
恐らく言いわけとしては、いやいや、四月二十三日に報告を受けていたけれども、五月八日の攻撃と類似なものという意識はなかったというようなお話をされるかもしれませんけれども、これはもう明確にそこの点についてはNISCが伝えているわけであります、担当課等々に。
そういうところも踏まえて、私も本当に怒りが込み上げるのは、国会を本当にないがしろにしないでいただきたいんですね。日本はやはり国会がきちっと政府をチェックしていく、こういうことでありますので、こういうことは二度とやめていただきたいということであります。
機構にちょっとお尋ねするんですが、機構は、四月二十二日の攻撃は五月八日の攻撃と手口が同一だ、あるいは類似性があるというふうにお考えになっているんですか。分析されているんですか。
○水島参考人 当機構では、四月二十二日に厚生労働省に送られたメールについては、内容も含めて、承知をいたしておりません。
○長妻委員 またびっくりするんですけれども、厚労省は何にも情報を提供していないんですか、まだ。
○水島参考人 大変申しわけございません。
五月八日の時点では承知をしていなかったということでございますが、もちろん、検証報告書で私どもも拝見をいたしましたので、その時点では承知をいたしまして、事実については厚生労働省より通知をいただいております。
○長妻委員 これは、私が機構の方に聞いたのと今違うんですね。
通知というのは、ちゃんとそのドメイン名も含めたものという情報が提供されているんですか。機構の方からは、一切情報提供がないから我々も確認しようがないんだというふうにおっしゃっているんですよ。
理事長、ちゃんとお答えいただきたいと思います。
○水島参考人 ちょっと記憶が正確でございませんので、もし間違っていましたらば後ほど訂正させていただきたいと思いますが、私がドメイン名も含めてこの内容について伺いましたのは、土曜日か日曜日には正確な情報を聞いていたというふうに記憶をいたしております。
○長妻委員 そうすると、厚労省から通知が来たという通知というのは、メールで来たんですか、手渡しで来たんですか。
○水島参考人 現在、メールは回線を遮断しておりますのでございませんが、具体的に紙で御連絡をいただいているかどうかということについては、確認をいたしておりません。大変申しわけございません。少なくとも私は口頭で年金局からお話を聞いております。
○長妻委員 いや、理事長、さっき通知とおっしゃいましたよ。通知というのは間違いですか、さっきの答弁。
これは非常に何かよくわからないんですが、どういう連絡があったか、ドメイン名も含めて。理事長は、土曜日聞いた、口頭で聞いたと。担当者の方は、一切そういう情報はもらっていないとおっしゃっているので、委員長、理事会で統一見解のペーパーを出すようにお願いします。
○渡辺委員長 理事会で協議をいたします。
○長妻委員 そして、塩崎大臣にもお願いしたいのは、私はもう本当に腹が立ってしようがないのは、さっき申し上げたところで、四月二十二日の件がずっと国会で明らかにならなかったということで、こういう調査をしていただきたいんです。
つまり、四月二十二日の攻撃が五月八日の攻撃と類似している、似ている、つまりメーンのドメイン名が同じである、そういう事実をこの報告書が出る以前に知っていた厚労省の職員、幹部、これが何人いて、どこの部署にいるのか、これを調査していただきたいと思うんですが、いかがですか。
○塩崎国務大臣 誤解のないようにもう一回繰り返して申し上げますと、先ほど、幹部が何人かは知っていたと言っているのは、何を知っていたかというと、四月二十二日にそのような攻撃が来て、二カ所の端末を特定し抜線をすることによって通信を遮断することができたという事実を知っていた者が、幹部として何人かいるということを申し上げたわけであります。
八日の時点で、機構が攻撃を受けたときに、これが四月二十二日のものと類似したものであるという認識を持っていた者は多分いないというふうに思っております、幹部はですよ。
ということでございまして、先ほど来、先生、国会を軽視するなということでありますけれども、正直、私も恥ずかしながら検証報告書を見るまで知らなかったということは、私としても、省を預かる者として、私に上がってこなかったことについても非常に残念な思いであるわけであって、そういう意味で、NISCからの注意喚起は全て私の方に上げるようにということをこの事案が起きてからすぐに命令をし、そして、どこまで対処をきちっとやってどうおさまったのかというところまで報告をさせるということを今やらせているところでございます。
○長妻委員 そうすると、NISCに聞きたいんですけれども、NISCとしては、四月二十二日の攻撃が五月八日の攻撃と類似しているという情報については、いつNISCから厚労省に伝達いたしましたか。
○谷脇政府参考人 お答え申し上げます。
委員が累次御指摘のとおり、四月の二十二日、そして五月八日にNISCが検知した不審な通信は、どちらも同じタイプのマルウエアでございます。また、接続先ドメインにつきましても、委員御指摘のとおり、四月の二十二日に検知したものとサブドメインのみが異なるものが五月八日に検知したものに含まれているところでございます。
したがいまして、今申し上げましたように、マルウエアの、不正なプログラムの種類であったり、あるいは不正な接続先であったり、これは、その感知をした都度、NISCからそれぞれの省庁、この場合ですと厚生労働省に通知をしているということでございます。
○長妻委員 そうすると、五月八日の時点で、四月二十二日と似ている攻撃ですよというのは、そういう情報も含めて五月八日に厚労省に伝達したということですか。
○谷脇政府参考人 お答え申し上げます。
ドメインの類似性があるということ、それからマルウエアが同種のものであるということを改めて追加的に実は注意喚起をしているというわけではございませんで、事実関係のみを伝えたということでございます。
そういった意味では、NISCにおきましても、なお一層の注意喚起であったり、あるいは、我々NISCとして、それぞれの省庁で我々が期待するような行動をとっていただけるような体制づくり、環境づくりということを我々も今後の課題として取り組んでいく必要があるというふうに認識をしております。
○長妻委員 そうすると、塩崎大臣、今のNISCの話でありますと、五月八日の時点で、五月八日の攻撃は四月二十二日の攻撃と類似していますよという情報もつけて厚労省に言ったわけですね。
ですから、私が聞いていますのは、そういう類似した攻撃だと厚労省は御存じだったわけで、五月八日から八月二十一日、この検証報告書が出たまでの間に、類似の攻撃だと知っていた職員というのは幹部も含めてどういう職員がいるのか、調査していただきたい、こういうことを申し上げているんです。
○塩崎国務大臣 今、NISCから答えていただいたときに、類似したものだということを正確に伝えたというふうに言ったというふうには私はお聞きをしませんでした。
幹部で似たものだということを認識していた者がおるかどうかですけれども、先ほど申し上げたように、五月八日の時点でそういうことを認識していた幹部はいなかったということを明快に申し上げたわけであります。(長妻委員「いや、五月八日じゃない。八月二十一日までと言った」と呼ぶ)ちょっと、質問したいならして。
○長妻委員 いいかげんにしてくださいよ、塩崎大臣。きちっとやはり答えていただかないと。
八月二十一日までですよ。五月八日には知っている幹部はいなかったということは先ほどの答弁でも今の答弁でもわかりましたが、五月八日から八月二十一日までの間、類似の攻撃だと御存じだった幹部、職員というのは何人おられたのか調査してください、こういうことを申し上げているんです。
○塩崎国務大臣 私どもの認識は、この検証報告書が出るまで知らなかった、それまでは、担当の者は、先ほど来申し上げているように、情参室そしてまた統計情報部の担当者レベルは知っていた者がいたという認識でありますけれども、特に幹部は知らなかったと思っておりますが、なお、それを調査せい、こういうことでございますので、調べてみたいと思います。
○長妻委員 塩崎大臣の認識、NISCは塩崎大臣の答弁でいいんですか。NISCは類似性のある攻撃だというのは通知していないというふうに厚労省は理解していますよ、今の答弁だと。
○谷脇政府参考人 お答え申し上げます。
四月の二十二日及び五月八日のそれぞれの事案でございますけれども、私どもとしましては、淡々と技術的な情報、この中には接続先が含まれるわけでございますけれども、これをお伝えしております。
先ほど御答弁申し上げましたように、それに追加をして、四月の二十二日と五月八日が極めて類似している等の追加的なコメントというものを、私どもNISCから厚生労働省に対して、これを付記して御連絡をしたという事実はないということでございます。
○長妻委員 ちょっと微妙に修正されましたね。
誰でもわかることですが、メーンのドメイン名は四月二十二日と五月八日は同じだ、こういうことは通知しているわけですよね。それとマルウエアも類似性がある。こういうことを通知していれば、類似性がある攻撃ですというふうに書かなくても、そんなものは類似しているわけでありますから。
であるとすると、では、百歩譲って塩崎大臣の先ほどの答弁をそのとおりだとしましょう。つまり、NISCからは類似性のある攻撃だというのは聞いていない。であれば、この報告書には何で類似性がある攻撃があったというふうに書かれているのか。それは、職員がそういうふうに、類似性のある攻撃だというふうに第三者検証委員会に言ったからじゃないですか。
では、その職員は、類似性のある攻撃だというのは一体どうやって知ったんですか。NISCからでなければ、自分から知ったということなんですか。
○塩崎国務大臣 これは、甲斐中委員長をせっかくですのでお呼びいただいて明快に御答弁いただくのが一番わかりやすいというふうに思いますが、私どもの理解は、今のような、類似性があるということを明確にNISCから丁寧に御説明をいただいたという認識は全くなくて、先ほどお話があったとおり、客観的に、例えばドメインが書いてあって同じものだということであれば、同じものだということを読み取れということかもわかりません。
それについての私どものリテラシーの低さということはもう前々から認めているし、また甲斐中委員会からも厳しく指摘を受けているわけでありますので、そういった点については私たちのリテラシーを上げて、ドメインを見れば、かつてのものと似ているというか、メーンのドメインとしては同じであれば、それをすぐ察知するという能力を養うことはとても大事だというふうに思っていますけれども、今回、いずれにしても、結果として守り切れなかった機構も、そしてそれを監督し切れなかった厚労省も、責任があることはもう間違いないことでございます。
○長妻委員 非常に奇妙な論理なんですよね、今おっしゃっておられるのが。
つまり、大臣は、厚労省としてはNISCから類似性のある攻撃だというのは聞いていない、明示的には聞いていないと。しかし、この検証報告書には書いてある。しかも、甲斐中委員長は記者会見で、予兆的な動きがあった、四月二十二日からということまでおっしゃっておられる。
ということは、甲斐中委員長はNISCから直接聞いて厚労省も知らないことを報告書に出したということは到底考えられないので、厚労省の方からヒアリングして、厚労省の職員が類似性のある攻撃ですよというふうにこの検証委員会に言ったからここの報告書に出ているわけですから、であれば、厚労省はその類似性のある攻撃だという情報を誰から得たのか。自分でそれをわかったのか。それはもっと罪が重いですよ、自分でわかって握っていたということにもなりかねないので。
では、NISCからもらった五月八日の資料をそんたくして、これは類似性のある攻撃だというふうに理解したということであれば、NISCから類似性のある攻撃だという通知を受けていたということにもなるわけで、これはどういうふうに説明されるんですか。
○塩崎国務大臣 繰り返し申し上げますけれども、検証委員会の甲斐中委員長から直接御答弁をいただくことが、一番、この調査報告書の中身を確認する手だてとしてふさわしいのではないかと思うわけであります。
昨日、参議院は呼んでいただいて、きのうの甲斐中委員長の御説明を記憶する限りでは、厚労省からのヒアリングで類似性があるということを聞いたわけではないというふうに私どもは理解をしました。
急な御質問でございますので、記憶を間違っていたらまた後で訂正をさせていただきますが、少なくとも私どもが記憶する限りでは、ヒアリングからではなかったというふうに聞いております。
○長妻委員 何でもかんでも甲斐中委員長のせいにするような答弁というのはよくないですよ。よくないですよ、それは。
これは、私が厚労省の担当者から聞くと、類似性のある攻撃というのはもう五月八日の段階で認識していたと言うんですよね、厚労省の担当者は。ですから、NISCからその情報があれば、常識的に、それは類似性のある攻撃だというのは厚労省は理解していた、こういうことなんですよ。
大臣、これはきちっと調査をして、本当にこの国会で虚偽の答弁をしたのかどうか、知っていながらそれを言わなかったということであればこれは大変な大きな問題でありますから、これについて、非常に不可解なので、ぜひきちっと調査をしていただきたい。
これは、山井委員のところで甲斐中委員長が来られるということでありまして、そこでお伺いを甲斐中委員長にするということであります。
そして、今のような話もどんどんどんどん新たに出てくるわけでありますけれども、結局、厚労省自身の原因究明、この報告書というのは作成をして提出するということでよろしいんですか。
○塩崎国務大臣 先ほど答弁を申し上げたとおり、今回の教訓から厚労省として何をすべきか、それについても検証を重ねて、答えが出るたびにやってまいりました。
しかし、もちろん検証委員会から厳しい指摘があるだろうということも想定をされていましたが、今それがもう既に目の前に出てきたわけでございますので、私どもは、既に事務次官と厚労審の二人に指示をして準備をしております再発防止策について、今、鋭意最後の詰めをやっているところでございまして、これを一日も早くまとめて、お出しして、厚労省としての検証と反省の結果としてこのようにするということが御理解を賜れるようにしていきたいというふうに考えているところでございます。
○長妻委員 再発防止の策を公表する、これはいいんですけれども、そうではなくて、私が聞いているのは原因究明ですね。原因究明、そして厚労省の責任、これをきちっと書式にして報告書にまとめる、こういうことがやはりなければ、これはきちっとした責任ということも論じることができないと思うわけであります。
組織がいろいろ不祥事があったときに、第三者委員会を設置して、そこで報告書が出れば事足りる、あとは再発防止だけをするというのは余りにも虫がよ過ぎるんじゃないかと思うわけでありまして、大臣、責任そして原因究明、これを厚労省としてもきちっと報告書を出す。
当然、その参考にしますよ、検証委員会の報告書は。参考にするけれども、では、厚労省としてはどういうふうに考えるのか、そしてどこに原因があったのか、係長がずっと握っていたのはなぜなのか、四月二十二日の予兆的攻撃があったのに、それを国会で言わなかったのはなぜなのかなどなど、そういうものを、原因究明、責任を検証して報告書を出すということはぜひ明言いただきたいんですが。
○塩崎国務大臣 先ほど再発防止策という言葉を使いましたが、それをお示しするには、やはりなぜかということを言わないといけません。そのためには、今先生御指摘のように原因究明、そして再発防止ということでありますので、当然、今回、私どもの、厚労省としての原因についての考え方、あるいは再発防止を提案するに当たっても、やはりそれはなぜかという認識をお示しをしなければいけない。
先生御指摘のとおりだというふうに思っておりまして、この際に、再発防止策を発表する際に、私どもとしては、今先生の御指摘のような問題意識を踏まえた上で考え方をお示ししていきたいというふうに考えているところでございます。
○長妻委員 そして、もう一つお尋ねしたいのが、システム監査のうち機構の情報セキュリティー体制に対する監査は、平成二十四年度までは年金局事業企画課監査室が行っていたわけですね。年金局が行っていた。ところが、平成二十五年度以降は機構における内部監査に切りかわってしまったということなんですが、これはなぜですか。
○渡辺委員長 速記をとめてください。
〔速記中止〕
○渡辺委員長 速記を起こしてください。
塩崎厚生労働大臣。
○塩崎国務大臣 私、けさほど答弁のための勉強会をやったときにはこの御質問はいただいていなかったものですから、ちょっと今、即座にお答えすることができませんので、調べさせていただきたいと思います。
○水島参考人 お答えをいたします。
機構発足当初でございますが、平成二十二年から二十四年まで、年金局において情報セキュリティー対策に関するシステム監査を行ってきたところでございます。私どもが受ける立場でございました。二十五年度からは、機構における内部監査を実施し、さらに年金局において、機構の実施した監査について経済産業省が作成するシステム監査基準に基づいてその有効性を確認するダブルチェックを実施している。
その意味で、当初、機構にその力がなかったということで年金局でやっていただいていたということでございますが、私どもが主体的に行った上で年金局にチェックをしていただくという体制に変わったということでございます。
○長妻委員 機構に力がついてきたという答弁ですが、本当に力がついてきたのかということなんですね。
大臣、社会保険オンラインシステム、基幹システムですね、社会保険オンラインシステムは厚労省が所有者なんですよね。運営を委託しているにすぎないんですね、日本年金機構に。そういうことであれば、年金局もやはり監査をする必要があるんじゃないのか。二十五年度以降は機構にお任せということは、これはどういうふうに考えられますか。
○塩崎国務大臣 通告がなかったものに今どういうふうに答えるかということをちょっと話していたものですから、最後のところがよく聞こえなかったのであれですけれども。
基幹システムを厚労省のものとしてやってきたけれども、その後がちょっとよくわからなかったんですが、先ほどの監査の問題だとすれば、今先生御指摘のように、平成二十二年度から二十四年度までは年金局において情報セキュリティー対策に関するシステム監査をやって、二十五年度から機構の内部監査を厚労省の方がダブルチェックをするという仕組みに変わっているわけでありますが、今回の事案を考えてみれば、先ほど西村先生にも御答弁を申し上げたように、年金機構というのは基幹システムだけではなくて、これは甲斐中委員会からも厳しく言われておりますけれども、いわゆる機構のLANシステム、ここを誰が監督するのかわからないような、監督当局としてはあるまじきことだということまで言われているわけであって、そういう意味では、監査を内部だけに任す、内部がやることは当たり前ですから、これはこれでやってもらったらいいんです、しかし、監督する者がそれをやはりきちっと見るということ。
今のやり方だと、内部監査を実施して、さらに年金局において、機構の実施した監査についてシステム監査基準に基づいて有効性を確認するダブルチェックをやっているんですね。これはやはり、オンサイトを含めて、監査も、改めて仕組みを考え直すということが私は必要ではないかというふうに感じております。
そしてまた、基幹システムとそれから機構LANシステムと二つに大きく分かれていますけれども、全てが年金機構の業務は厚生労働大臣の監督のもとでやっていることでありますので、何においても全て責任が共有をされなければならないということを私は今、年金局にも厳しく言っているところでございます。
○長妻委員 これは、ダブルチェックというのは聞こえはいい言葉ですけれども、ちょっとダブルチェックという語感とは違うんですね。これまでは年金局の人間が機構に入って、そして一緒に監査していたんです、人間が行って。それをやめるということなんですね、二十五年度からは突然。ですから、私は、以前に比べて厚労省の機構に対する関与、関心というのが相当薄れてきているのではないのかということを非常に痛感するわけでありますので、ぜひ御関心を持っていただいて。
この社会保険オンラインシステム、基幹システムは、ここの報告書にもありますが、国の所有物なんですよ、国の所有物。情報系は機構の所有ですけれども。ですから、国が持っているものを、そこで運営だけをお任せしているわけでありますので、あくまで国が持っている情報の所有権は国にあるということをぜひお忘れいただきたくないということであります。
そして、もう一つ、私もこの報告書を見て深刻だと思いましたのは、報告書の三十六ページに、「検証委員会の調査を受けるに際し、その後改まったとはいえ、一部の者が重要な資料を出し渋り、墨塗りをするなどの態度は論外である。」こういう記述があって、これは目を疑ったわけです。
検証委員会というのは国家公務員なんですよね、非常勤の。そうすると、ちゃんと国家公務員法で守秘義務があるわけでありますから、その検証委員会に、まあ野党に出さないのは多々あることで、これもゆゆしきことなんですが、検証委員会に出さないというのはあり得ない話でありますし、きのうの参議院の委員会を私は拝見しておりましたら、厚労省の担当者が、いや、厚労省も、機構に相談を受けたときに、情報は明らかにしない方がいいと機構と同じ意識を持った、後から考えると配慮が足りなかったみたいなことを言っているんです。大変な、これはぐるみじゃないですか、情報隠蔽。
大臣、これは調査をして、こういうことをした人が、最終的には出たということなんですが、こういう態度を示したマインドを変えないといけないので、こういう職員も実態を調査していただきたいんですが、いかがですか。
○塩崎国務大臣 恐らく、甲斐中委員長は、かなり気持ちを抑えながらこの表現をお選びになったことだろうと思います。
正直、実は検証委員会の側から、このようなことが起きているということを私は途中で聞きました。即座に厚労省の年金局に対して、そのようなことはあるまじきことだということで、すぐにやめるように言いました。
ただ、年金局は、黒塗りをして、それでも現物は見せるということだったんですが、機構においては、出てこないわ、出てきたら黒塗りだわ、こういうことでありましたから、とんでもないということを、私は、正直、水島理事長に直接言って、そういうことがないようにして、ここは徹底的な検証をやって、今後このようなことが絶対に起きないような体制をつくるために調査に協力するようにということを伝えたところであります。
まさにここに、年金局、厚労省サイドの問題も、そして機構の問題も、両方ともの問題が如実にあらわれているとともに、両者の関係がどういうものか。先ほど基幹システムについてのお話がありましたけれども、全てがこれは年金局が企画をする年金制度を執行していただくという大事なことをやっていただいている組織でありますから、ありとあらゆることを厚労省も責任を共同で担いながら、しっかりとした業務をやってもらうために監督を強化していくということをやっていかなきゃいけないし、その両者の関係の再定義をやらなきゃいけないということを私は繰り返し申し上げております。
○長妻委員 そして、配付資料の一ページ目でございますけれども、きょうは総務省の副大臣が来られておりますが、個人情報、本人の数が多い上位十の個人情報ファイルを出していただきました。それぞれ人数もお伺いしました。
この個人情報ファイルは、まさか今の時点でもインターネットと接続、間接、直接を含めて、接続できる環境というのはないでしょうね。インターネット環境と分離をするという措置は全部済んでいますね、この十個は。
○渡辺委員長 申し合わせの時間が過ぎておりますので、答弁は簡潔にお願いをいたします。
○二之湯副大臣 前回委員に提出した、本人の数が多い上位十の個人情報ファイルを取り扱う情報システムにつきましては、セキュリティーポリシーの遵守状況の点検の有無を当該ファイルを保有する府省等に確認した結果、全てにおいて点検を行っている、こういうことでございます。
○長妻委員 最後にですけれども、その意味というのは、では、インターネットの環境とは全部分離することを完了した、こういう意味と捉えていいんですね。
○二之湯副大臣 それぞれのファイルのインターネットとの接続にかかわる事項につきましては、外部からの攻撃のリスクがあるため、お答えできないということでございます。
○長妻委員 先ほどは全部やっているというような趣旨の答弁だったんですが、では、インターネットと接続しているファイルもまだあるわけですか。
これ以上は言いませんけれども、これは本当に大変なことですから、一分一秒を争うものでありますので、ぜひ早急にネット環境と分離をするという措置を、速やかに、きょうじゅうにでもやっていただきたい、指示していただきたいということを申し上げ、そして最後に、やはり厚労省の責任をきちっと報告書で明らかにして、私は、これは塩崎大臣の進退にもかかわるような大きい問題だと思いますので、きちっとした報告書と総括をしていただかないとこれはまた再発してしまいかねないと思っておりますので、よろしくお願いします。
以上です。ありがとうございました。
○渡辺委員長 次に、山井和則君。
○山井委員 甲斐中委員長もお越しをいただいて、ありがとうございます。
今、長妻委員からも話がありましたが、漏れた年金問題、びっくりしましたね。三カ月間国会で審議をしてきて、土壇場になって、実は最初の攻撃は厚生労働省だった、そのことを三カ月間隠してきた。私はもうこれは、厚生労働大臣、大問題だと思いますよ。
今までは機構が悪かったとかそんな議論だったけれども、何のことはない、最初のメールの攻撃は厚生労働省じゃないですか。先ほど黒塗りが問題だとか言っていたけれども、黒塗りどころか隠蔽していたじゃないですか。この三カ月間の集中審議の時間を返してくださいよ。
根本的に、機構問題という以前に厚生労働省問題じゃないですか。塩崎大臣は、何も仕事をしていないどころか、この三カ月間、一番重要な情報の隠蔽までしていた。そういう意味では、これは塩崎大臣の進退にもかかわる問題だと私は思います。
本当にひどい。言い方は悪いけれども、どっちかというと機構の責任にして、厚生労働省は今まで隠して逃げていた。では、もし検証委員会で甲斐中委員長が四月二十二日のことを発見していなかったらこれはどうなっていたんですか。機構のミスだったで終わっていたかもしれませんよ。とんでもないです。そういう意味でも甲斐中委員長には心より御礼申し上げたいと思います。
このことについては私は後ほど追及したいと思いますし、また、百十人の年金業務にかかわっている方々の未払い賃金の問題も追及したいと思いますが、冒頭、株が大幅に下落をしております。
八月十八日に二万六百円、それが、昨日の終わり値では、八月二十五日では一万七千八百円と、大幅に下がっているわけですね。二千八百円下がっているわけです。そして、言うまでもなく、塩崎大臣は、漏れた年金情報問題の隠蔽だけではなく、まさに、株が下がれば年金がどんどん減っていくということに当然なるわけですから、そういう株式の運用比率の拡大をされたのが塩崎大臣であります。
ですから、私は、冒頭議論したいと思うのは、今回、アベノミクス以来最大の下げ幅、六日連続下がっているわけですけれども、これは、株を持っている人だけの問題ではなく、年金生活をしている人にも非常に影響を及ぼすわけです。
そこでお聞きしたいんですが、先ほど質問通告をさせていただきましたが、昨年の三月末の時点、そして昨年の九月末の時点、そしてことしの三月末の時点で、GPIFによる国内株式の運用額はどれだけ変化し、パーセンテージはどれだけふえているか、その数値をまず御報告ください。
○塩崎国務大臣 まず第一にお願いは、質問は事前に通告をしていただきたいと思います。(山井委員「してあります」と呼ぶ)先ほど私どものスタッフがそこいらで聞いたという話ですから。普通は二日前の夕方までというのが言ってみれば議会の礼儀というか常識だというふうに思います。おまけに、きょうは年金情報流出問題ということでございますが、今はGPIFの話ということでございますので、それで今、急遽、担当の者が飛んできて、数字だけもらいまして、正確なところは、今数字を初めて見たところでございます。
二十六年の三月末の国内株式ですか、御関心は。(山井委員「そうです」と呼ぶ)
これは二十・八兆円、比率でいきますと一六・五%というのが昨年の三月末の時点の数字でございます。それから、昨年の九月末では二十三兆九千億円、比率でいきますと一七・八%、そして、二十七年三月末、ことしの三月末でございますが、これは三十一・七兆円、比率でまいりますと二二・〇%、こういう数字になっているところでございます。
○山井委員 小数点以下は四捨五入させていただいて、つまり、昨年三月末は、一六%の国内株式の運用比率で二十一兆円、昨年九月末には、それが一八%になって約二十四兆円、そして、ことしの三月末では三十二兆円で約二二%。ということは、昨年三月からことしの三月までで六%運用比率が拡大して、そして十一兆円国内株式の資産がふえている。さらに、昨年九月と比べると、一八%から二二%ですから四%、そして資産運用額では約八兆円ふえているということになると思います。
今これは官製相場と言われているんですね。つまり、個人投資家が買っているとか海外投資家が買っているということよりも、GPIF等々の、日銀、ほかのところも含めた公的資金が株を買って、経済実態以上に株が上がっているのではないかという指摘もあるわけです。
そこで、塩崎大臣、最新の数値、GPIFの株式運用比率、額、六月末のものがあす発表になると聞いております。となると、ことし三月末が二二%で三十二兆円だったのが、さらに上がってくるのかというのが一つの焦点になるんです。なぜならば、一応上限は二五%になっていますから、もういっぱいいっぱいになってきたら、これ以上買えないのではないかという指摘も出てきかねないわけですね。もちろん、これは変動値九%があるわけですが。
ここにありますように、株価は上がっているわけです。しかし、この株価が下がれば、もちろん長期的な話ですけれども、年金資産も減っていって、年金の給付額が減るということにもつながってくるわけです。
そこでお聞きしたいんですが、八月十八日から八月二十五日、きょうまた少し上がっているみたいですけれども、とにかくきょうのことはまだ結果が出ていませんのでおいておいて、この六日間で二千八百円下がりました。となると、大臣、ちょっと考え方として教えていただきたいんです。
最新の情報は、私たちが持っているのは三月末で約三十二兆円だった。それで、二万六百円から一万七千八百円に六日間で一四%下がっている。かといって、これは国内株式の平均のものをGPFIが買っているかどうかもわかりません、当然。ただ、一つの機械的な計算として塩崎大臣にお伺いしたいんですけれども、三十二兆、最新の情報が三月末しかありません、三十二兆円だった。その一四%を掛けると約五兆円という数字が機械的には出てくるんですけれども、GPIFが何を買っているかは私も知りませんから、正確な答弁は結構ですけれども、可能性としたら、三十二兆円掛ける一四%で、この六日間で年金資産が五兆円ぐらい目減りをしている可能性もあるという理解でよろしいですか。機械的な計算です。
○塩崎国務大臣 まず第一に、この基本ポートフォリオは、もう先生御存じだと思いますけれども、二五%でフィックスをしているわけではなくて、これは資産構成の割合で、それに加えて乖離許容幅というのがございます。プラスマイナス九%ですから、二五%がどうのこうのということで運用しているようなことはないと思います。
何よりも大事なのは、長期的な分散投資をすることによって安全かつ効率的な運用をして、長期的な年金財政的に見て必要な利回りを確保していく。今回は名目賃金上昇率プラス一・七%ということでお願いをしているのが今の運用の基本方針で、それに基づいて基本ポートフォリオが組まれているわけでございます。
今の数字の掛け算は、誰がやっても数字は掛け算すれば答えが出てくるわけですから、それはどうぞ、私が別にオーソライズするような話ではございませんので、学校に行けばどこでも教えてくれます。
○山井委員 今の答弁で、もちろん正確な額ではないですが、三十二兆円、そして一四%六日間で下落した、約五兆円年金資産が下がっている可能性があるということであります。
だから、もうかったときはもうかったとおっしゃっているけれども、株というのは当然下がるときもあるわけです。もちろん、三十年、五十年の長期スパンというのはわかります。でも、やはり、この目先の中で塩崎大臣や安倍総理がアベノミクスといってやられていることが、非常にリスクのある、ギャンブル性のあるものになってはいないかという不安を持っているわけですね。その一つの例が、ここ六日間だけでも五兆円ぐらい、たった六日間ですよ、五兆円ぐらい年金の積立金が下がった可能性があるということであります。
これは、塩崎大臣、アベノミクスの一つの目玉で、昨年十月から二五%に国内の株式運用比率を引き上げられました。今回みたいにもし下がり続けた場合、五兆円にとどまらず、どんどんどんどん国民の年金資産が目減りするリスクが高まったわけです。もちろん、もうかる可能性も高まったけれども、損をするリスクも高まっている。つまり、このぶれが高まっているわけですね、国債じゃなくて株で運用することによって。
もし、塩崎大臣が拡大したことによって、こういう世界同時株安等々で下がった場合に、塩崎大臣はどのように責任をとられますか。
○塩崎国務大臣 年金というのは、どこの国でも長いスパンで、長い視野で投資をしていくことでございまして、我々にとって最も大事なのは、年金財政上必要な積立額というのが一番大事なんですね。これは、長期的に見てちゃんとそれが確保できるためのポートフォリオの組み合わせはどういうものかということを考えて、専門家がそれを決めていくというのが基本ポートフォリオであるわけであります。
仮に、一番安全だという、今先生がおっしゃっている、多分一番イメージされるのは国債だろうと思いますけれども、国債の金利で年金財政上必要な積立金を稼ぐことができるかというと、それはできないのであって、だからこそ、いい組み合わせをどうやってつくっていくかということを専門家に考えてもらった上で現在のポートフォリオの組み合わせを決めているわけでございます。
単年度の収益率のぶれ幅というのが大きくなるのは、いわゆる標準偏差と呼ばれているものが大きくなるのであって、しかし、もっと大事なことは、それを含めて年金財政上必要な積立金を下回るリスクはどうなのかということであって、その下回るリスクが少なくなったということが今回の基本ポートフォリオの変更の最大の変化点であって、これは、日々の相場の上げ下げのことだけで計算をしていくようなことは年金の財政を見ている者は普通はしないで、長い目で見てどうなのかということを安全かつ効率的な運用の基本方針のもとで絶えず考えているというのが世界の常識だと思います。
○山井委員 私は極めて無責任だと思うんですね。長いスパン、長いスパンという言いわけで非常に老後の年金をリスクにさらしているように思えてなりません。
きょうの配付資料の十ページ目にもありますように、例えば、GPIFの株買いはいつまで続くんだと。あした発表になりますけれども、これがもう二五%に近づいていたら、今までは、先ほど言ったように、国内株の運用は八兆円ふやしたわけですね、ここ半年間で。ところが、それがもう天井に来たら逆にブレーキになるんじゃないか。この新聞記事にもありますように、ある専門家は、六月末では二三・七%ぐらいで、あした発表になる六月末の最新の数値は二五%に上がっているのではないか、そういう予測もされておられます。
また、この配付資料においても、次のページ、「株買い目標間近か、」と。つまり、今まではGPIFがどんどんどんどん、株を数兆円買い増していたから、海外投資家も個人も多少買って、実体の経済状況よりも割高に、株高に演出された官製相場になっている。そして、伊藤教授も、あと一、二年は大丈夫とおっしゃっているわけですけれども、これはもちろんわかりません。誰にもわかりませんが、逆に言えば、GPIFで株式運用比率を引き上げる出口戦略が必要なんですね。買い増していくときは株は上がりますよ。ところが、いつか天井に来てしまったときには、逆に株が大幅に下がってしまうのではないか。
私が思うのは、安倍総理は、アベノミクスといいながら、今回の安全保障法案やあるいは憲法改正かもしれません、そういう自分のやりたい政策をするまではとにかく株を上げておいたら支持率も高くなって、そしてやりたいことができるのではないか、そういう指摘も出てきております。私は、年金というものは、そういうPKO、株価引き上げ対策や株価対策に使ってはならない、これは国民の年金保険料なわけですから、そう思うわけです。
そこで、塩崎大臣、先ほど何か二五%は関係ないみたいなことをおっしゃっていましたけれども、関係ないなんということは絶対ありませんよ。二五%が一つの目安ですからね。そういう意味では、あした発表の数値、これが二五%にどれだけ近づいているのか、そういうことは、今後のGPIFの国内株式をどれだけどういうふうに買うかということに少なからず影響を与えるのではないか。全く与えないなんということはあり得ないと思います、二五%が上限になっているんですから、ルールなんですから。
あした発表されるパーセンテージが今後の株式運用に少なからず影響を与える可能性があるんじゃないか、そのことについてお答えください。
○塩崎国務大臣 先ほど申し上げたように、基本ポートフォリオは、乖離許容幅というのがあります。前は、国内株式一二%に対してプラスマイナス六%というのがありました。今は、二五%プラスマイナス九%という数字があります。
したがって、何をもって運用をしているかというのは先ほど申し上げたとおりであって、長期的に見て安全かつ効率的に運用するということが大原則で、その分散投資がどう行われるかというような組み合わせは、それは、そのときの経済情勢や経済の見通し、そして市場の動向などをよく考えた上で日々選んでいるわけで、当然、国債の方が多いわけですから、国債についてどうするのかということについても、運用者は日々、細かく動向を見ながらさまざまなことをされているんだろうというふうに思います。もちろん、その日々のことについては、私どもは全く、指示をするわけでもないわけでありますので、どのようなことが起きているかは数字が公表されたときにわかるということでございます。
そういうことでございますので、あした発表されるとおっしゃる数字がどう出ようとも、大事なことは、中長期的な年金財政のために、年金財政上必要な額を確保できる運用が行われているかどうかということを最も我々としては注視をしながら、監督官庁としてGPIFを見ていくというのが基本でございます。
○山井委員 このテーマはこれぐらいにしますが、改めて申し上げますが、今回、アベノミクスと言われる経済政策で株高が演出されていますけれども、それは、GPIFが国内株を数兆円買い増していったまさにその経過でもあるんですね。
ところが、あした発表される数値が二五%に近づいていたら、普通は、二四%より低かったらもっと買おうということになるに決まっているわけであって、二五%よりふえたら、では売ろうということにもなる可能性は出てくるわけです、二五%が一つのベンチマーク、上限なわけですから。そういう意味では、上がってきた株価が、二五%の上限に近づくことによって、一歩間違うと、市場関係者のいろいろな推測によって下がるリスクがあるということを指摘しておきます。
これも、下手をすれば、一つの漏れた年金問題、消えた年金問題になりかねないリスクがあると私は思います。
そこで、漏れた年金情報の問題です。
先ほど西村委員そして長妻委員の質問も聞いておりましたけれども、やはり余りにもひど過ぎる。今ごろになって、四月二十二日が最初の攻撃でしたと。
この配付資料の一ページ目、与党の議員の方々も含めて、漏れた年金問題の資料はこの資料だったでしょう。五月八日に最初のメール攻撃が日本年金機構にあった、今回の事件はこれから始まっていたじゃないですか。これは六月四日ですよ。それが今になって、実は一番最初の攻撃は四月二十二日でしたと。こんなひどい話はありませんよ。それに対して塩崎大臣はいまだに謝罪一つされていない。私はあり得ないと思いますよ。本当にこれはひど過ぎます。
それで、甲斐中委員長にお伺いしたいと思います。
今回の報告書の一番大きなポイントはここだと思うんですが、甲斐中委員長はいつ、いつごろで結構です、五月八日の機構への攻撃ではなくて、四月二十二日の、第一発目の攻撃は厚労省にあったんだというのをいつごろお知りになって、そのときにどういう感想を持たれたか。お願いいたします。
○甲斐中参考人 ちょっと正確には思い出せませんが、四月二十二日に厚労省に対する類似の攻撃があったということを認識したのは、七月の下旬から八月の上旬ころです。
○山井委員 そのときの感想、印象を。
○甲斐中参考人 驚いたことは驚きましたけれども、さらにそれを、詳しくどういう内容のものであるかということをさらに調べていくうちに、ああ、これは非常によく似た攻撃だということで、それがさらに機構にどういうふうに連絡されているのかということを調べていったところ、機構には連絡がなかったということがわかってきた、こういう経過です。
○山井委員 先ほどの長妻委員の質問の続きを甲斐中委員長にさせていただきたいんですが、今おっしゃったところは一つの核心なんですが、類似の攻撃だと。これは、類似の攻撃であることは検証委員会が判断されたのか、それともヒアリングの中で厚生労働省の方が類似の攻撃であるということをおっしゃったのか、そこをお教えいただけますか。
○甲斐中参考人 もちろん、最終的には報告書をまとめた私たち委員会が判断しました。
類似の攻撃であるということは、厚労省の中の情参室から統計情報部に対するメールの中に一行書いてございました。検知内容が類似である、正確にはそういうことです。
○山井委員 先ほどの塩崎大臣の答弁と違うじゃないですか。類似の内容だというメールが行っているんじゃないですか。
さらに、この配付資料の三ページにありますように、書いてあるじゃないですか、ここに、三ページ一番下。
ただし、厚生労働省統合ネットワークの運用管理者側では、四月二十二日に発生した不審な通信の通信先のドメインと五月八日に発生した不審な通信のドメインが同一であったから、五月八日にブロックしたと。
知っていてブロックまでしているじゃないですか。何を知らなかったとか言っているんですか。
本当に、甲斐中委員長、一般の組織でこんなことがあり得ますか。一番重要な予兆、端緒、スタート、それが三カ月も隠されていた。情参室の一部の人、あるいは年金局かもしれない、一部の人しか知らされていなかった。一般企業でこんなんだったら、私は倒産しているんじゃないかと思うんですよ。
担当の係長が五月八日に厚生労働省で聞いて二十五日まで十八日間上げなかった、あるいは今回のことも、一部の情参室の人が聞いて一番重要な情報を三カ月間も上に上げなかった。私はもう本当に組織の体をなしていないんじゃないかと思いますが、このことについての甲斐中委員長の御評価をお聞きしたいと思います。
○甲斐中参考人 情参室を中心とするセキュリティー体制が弱体であった、情報連絡体制が不十分であったということは、報告書に記載したとおりであります。
○山井委員 それで、今回全容解明は委嘱されていないということを甲斐中委員長は昨日も答弁されておりますし、この配付資料にもありますように、二ページ目、今回検証委員会に委嘱されたのは初動及び事後の対応についてであって、全容解明は委嘱されていないんです。全容解明は、先ほどの西村議員や長妻議員にもあったように、厚生労働省が責任を持って、あるいは検証委員会に委嘱をしてやるべきだと思います。まだ全容解明はされていないんですよ。
塩崎大臣、厚生労働省の責任で全容解明、私はびっくりしましたよ、全容解明を委嘱されているんだとばかり思っていたら、全容解明は委嘱されていないとおっしゃっているんですから。全容解明を今の四月二十二日問題も含めてする必要があります。塩崎大臣、いかがですか。
○塩崎国務大臣 これはきのうも参議院での質疑でお答えを申し上げましたけれども、今回、きちっと書いたもので、甲斐中委員長に私から今回の検証委員会で何をやっていただきたいかということを書きました。その中で、日本年金機構及び厚生労働省の組織並びに初動及び事後の対応について検証し、原因の究明を行うとともに効果的な再発防止策について検討し、報告することを求めますと六月の八日にお願いをしたものでございます。
これの中から原因究明そして再発防止策をやっていただくということであれば、当然のことながら、原因究明として御指摘をいただくこと、あるいは再発防止策として御指摘をいただくことに足るだけの解明はなされているものだというふうに私どもは理解をしておるところでございます。
今先生がおっしゃっている百二十五万件以外の情報流出については、これは関係者へのヒアリングやあるいはフォレンジック調査などで、できる手段は全て使って調査を実施して、その結果として、現時点においては百二十五万件以外の情報流出は確認をされていないというのが、これはNISCの方の報告書でも、そして機構の方の報告書でも、そしてまた甲斐中検証委員会の方でも確認をいただいているというふうに理解をしているところでございます。
○山井委員 塩崎大臣のおっしゃっていることと水島理事長のニュアンスは全然違いますよ。
昨日の参議院の答弁でも、水島理事長は、今後新たな流出が判明する可能性は極めて小さいとは思いますが、ないとは断定できない、さらに、四情報以外の情報についても流出されている可能性としては否定はしておりませんと。四情報以外も流れている可能性はある、百二十五万件以外流出している可能性も否定できないと言っているじゃないですか。
そして、まさに機構の報告書でも、配付資料五ページにありますが、共有ファイルサーバーが実際にどのように運用され、中に何が入っているかは現在まだ調査を行っている。昨日の参議院の答弁では、七割の調査はやったけれども、まだ三割はやっているということなんですよ。ということは、まだこれは調査中じゃないですか、四情報以外のことも、百二十五万件のことも。
塩崎大臣、まだ三割の共有ファイルサーバーの調査も残っている。最終報告はいつまでにされるんですか。まさかこれで終わりじゃないでしょうね。調査はまだ残っていて、まだ調査はされていて、四情報以外、百二十五万件以外流出されている可能性は否定できないと理事長はおっしゃっているわけです。最終報告はいつまでにされますか。
○塩崎国務大臣 機構の方の報告書で何と書いてあるかと申し上げますと、フォレンジック調査等の結果、お客様の個人情報に関しては、現在判明している百二十五万件以外の新たな情報流出は確認されていませんということを申し上げているわけで、フォレンジック調査が一〇〇%確実かと言われれば、それはそうではないかもわからないという程度のことであって、やはりフォレンジック調査は、甲斐中検証委員会からも、五月八日にフォレンジック調査をやるべきだったということも言って、どういう情報流出が行われたかということをしっかりと検証すべきだったという指摘を受けているぐらいでございます。
今申し上げたフォレンジック調査等の結果、百二十五万件以外の新たな情報流出は確認をされていませんということを申し上げているので、これは、今知り得る限りの情報でいけばこういうことだということで申し上げているわけでございます。
今後、もちろん共有ファイルサーバーの中身については、膨大な情報がたまっているわけで、これは基幹システムから移されたものはそのごく一部であって、他にいろいろな業務のファイルがあると私は聞いているわけでございまして、そういうようなものの分析については、この国会での御審議から強い御要望もありますし、何よりも、何が入っているのかということをきちっと整理する意味でもこの調査は続けていくことは間違いないわけでありますけれども、流出という面においては、三十一台の感染したパソコン、そしてサーバーなどを徹底検証した結果は、百二十五万件以外は出ているということは確認されていないというのが現状の正確な表現だというふうに思っております。
○山井委員 答えていないですし、七割しか共有ファイルサーバーもやっていないんですよ。
申し上げておきますが、これで幕引きなんということはやめてくださいよ。四情報以外も、百二十五万件以外も出てくる可能性もあるわけですし、七割しか共有ファイルサーバーも調べていなくて、報告書に、今調査中だ、やっている最中だと出ているんですから、ぜひこの委員会にその最終報告を出して、ぜひ改めて集中審議をこの場でやっていただきたいと思います。
時間の限りもありますので、次の議題。
百十人の日本年金機構の業務をされている方々が二月と三月の賃金未払いになっている件。
これについて、日本年金機構が委託した業者がいいかげんだから金が払ってもらえていないわけで、その責任は日本年金機構にあるわけです。
きょうの配付資料にも入れさせていただきましたが、これについては、九ページ目、平成二十年の閣議決定文書、「日本年金機構の当面の業務運営に関する基本計画」。どう書いてあるか。つまり、委託はしてもいいけれども、「外部委託を行う際には、委託した業務の最終責任を負うのはあくまで機構である」ということが書いてあるんですね。
その意味では、百十人の未払い賃金、早急に全額払うべきだと思いますが、塩崎大臣、どうされますか。
○塩崎国務大臣 未払いの賃金についてのお尋ねかというふうに思いますが、これについては、八月の二十一日付で、KDCが事実上の倒産状態にあって未払い賃金立てかえ払い制度の対象となるということを認定いたしたところでございまして、今後、未払い賃金額が確定した方から速やかに立てかえ払いを行うこととなるわけでございます。
未払い賃金額の確定のための調査に要する期間は、複雑な事案でなければ倒産状態の認定から通常二カ月以内でございまして、本件については、二カ月以内に立てかえ払いを行えるように私どもとしても最大限努力をしてまいりたいというふうに思っているところでございます。
○山井委員 これも変な話で、三月二十五日から賃金未払いが問題になって、そして結局、何ですか、その認定が始まったのが八月二十一日、先週金曜日。連絡があったのが一時半、私の質問が終わったのは十二時十五分。つまり、国会で追及されたら、じゃあそうしましょうと。そんないいかげんな話ですか、それは。
それに、大体、これは八割しか出ないじゃないですか。フルタイムの人だけじゃなくて、七、八割、多くの方は、これは短時間労働の方も多いわけであって、八割では当然だめで、全額払うのが当然でしょう。なぜならば、禁止された再委託、それがされていることに気づきながら再委託を続けて、こういう未払いという失態を起こした根本の責任は、閣議決定にもありますように、年金機構がとるべきなんです。だから八割ではだめですよ。
この問題は、私は、今回の漏れた年金問題とも絡んでいると思うんです。つまり、現場で一番大変な仕事をされている非正規の女性の方々、封入業務や入力業務、その方々に対して全額賃金を払わない、八割しか払わない。普通だったら、三月から八月までもう五カ月もたっているわけですから、遅延加算金をつける話ですよ、割り増しを払う話ですよ。それが八割しか払えないというのは、私はおかしいと思います。全額払うべきだと思います。ぜひ払ってください。塩崎大臣、いかがですか。
○塩崎国務大臣 山井先生、日本は法治国家でありまして、なおかつ、社会主義じゃなくて資本主義であります。基本的に賃金を支払うべきは企業のサイドであって、これが払えないのかどうかということについて、払える限りは払えということをずっと私どもは、機構として、毎週二、三回は必ず電話をし、そして、この会社にも、この間少なくとも三回ぐらいは直接出向いて、この件についての話をしてまいりました。
先ほど先生が、国が責任をとるべきで、機構が責任をとるべきだ、「外部委託を行う際には、委託した業務の最終責任を負うのはあくまで機構であることにかんがみ、」こう書いてあるわけでありますけれども、これは業務の最終責任であって、これを、賃金を不払いだからといって国が払うということはなかなかないことではないかなというふうに思っているわけで、未払い賃金立てかえ払い制度、これは法律に基づいてつくられているものでありますから、これが適用された場合であっても、事業主の賃金支払い義務が免除をされて国がそれをかわって払うなんということはあり得ないわけで、それが法治国家たるゆえんだと思います。
したがって、本件による給与未払いの問題については、これは、引き続き委託業者へ賃金の支払いを求めていくように機構に対して要請をして、機構が委託業者に対して、倒産状態ということではありますけれども、払えということをずっと言い続けるというのが機構としての責務だというふうに理解をしております。
○山井委員 法治国家だから全額払わせるのは当たり前じゃないですか。ブラック企業対策とか言いながら、一番ブラックなのは厚生労働省と日本年金機構じゃないですか。残業代を払えという話じゃないんですよ、これは。全額給料を払うのは当たり前じゃないですか、法治国家で。それを、そんな払わないような企業を選んだのは機構であり、その監督責任は厚生労働大臣にあるんじゃないですか。ブラック企業の最たることをやって賃金を全額払わないのは厚生労働省である。
最後に一問だけお伺いします。
○渡辺委員長 既に持ち時間が経過しておりますので、質疑は終局してください。
○山井委員 はい。
株式が今、アベノミクスが始まって以来どんどんどんどん落ちていますが、そういうことを含めても、やはり、こういう株式の運用比率を上げていくということは年金生活者にとって非常にリスクを伴うと私は思います。そのことを強く申し上げまして、私の質問を終わります。
ありがとうございます。
○渡辺委員長 午後一時から委員会を再開することとし、この際、休憩いたします。
午後零時七分休憩
――――◇―――――
午後一時開議
○渡辺委員長 休憩前に引き続き会議を開きます。
質疑を続行いたします。井坂信彦君。
○井坂委員 維新の党の井坂信彦です。
本日は年金の集中質疑ということで、特に、この間出されました年金機構の内部調査報告書、また検証委員会の調査報告書、この二つの報告書の中身についてお伺いをしたいと思います。
まず、年金機構の内部調査報告書についてお伺いをいたします。
この報告書は、日付順に、その当時できたこと、また、できなかったこと、そして、きちんと対応していれば防げたはずのことなどが詳細に書かれている、このことについては評価できる部分だというふうに思います。
しかし、私から見て一点抜けていることがあるというふうに思いますので、その点について質問をさせていただきます。
まず、この機構の報告書十四ページにありましたが、LANシステムの管理者権限が攻撃者に乗っ取られた、このことが、フォレンジック調査、いわゆる事後的なパソコン内部のログの調査で判明をしたというふうにあります。
セキュリティーの穴を埋めるパッチプログラムの適用をサボっており、その穴を通じて攻撃者に侵入をされた今回の事件は論外だというふうに思いますが、それにしても理解できないのは、多くの端末を統括するシステムの管理者権限が乗っ取られる、これは大問題。こういう大問題がその場で気づいたり確認できないということが非常に解せない。
管理者権限が乗っ取られたということぐらいはすぐに気づく、また確認ができる、こういう体制がとり得るものだというふうに本来思いますが、まずこのことについて機構にお伺いをいたします。
○水島参考人 御指摘は、本来、そのようなことが判明した場合、すぐにフォレンジック調査を行って、どのようなことが行われたかということについて調査をすべきだという御指摘かと思います。
御指摘のとおり、五月二十日に管理者権限、端末の管理者権限ですね、及び五月二十二日に、いわゆるサーバーの管理者権限が窃取されております。これはフォレンジック調査の結果わかったわけでございますが、やはり、フォレンジック調査を行わないとその時点ではなかなかわからないのではないかというふうに思っております。
このフォレンジック調査を行いましたのは、六月十五日から行っているわけでございますが、これに関しまして我々としてきちんと対応できることはないかということを検討した際に、運用委託業者から提案がございましてこれを行ってきたということでございまして、その裏返しで申し上げますと、私どもにフォレンジック調査を行うという専門的な知識を持った者がいなかったということでございまして、これに関しては、体制面の問題も含めて反省をすべきだというふうに思っております。
○井坂委員 今回行われたフォレンジック調査というのは、事件があってからもう相当日数がたって、しかも、ウイルスを駆除するワクチンソフトまで適用して、いわば犯人の痕跡をむしろワクチンソフトが一部消してしまったような後で、実際に当時何が行われたかというのを、昔のことを掘り起こすような調査になってしまったのではないかなというふうに思うわけであります。むしろ、当日であれば、そのときその直前までのログを調べるということは、これはそんなに難しいことではないのかなというふうに思うわけでありますが。
もう一点、似たような話でお伺いをしたいというふうに思います。
同じく機構の報告書の六ページですが、攻撃初日の五月八日、もうその日の段階でメールアドレスを少量ずつ盗まれた可能性があるというふうに報告をされております。
私は、実はこの点は、この情報流出事件が発覚初日のこの場所、この厚生労働委員会でもう延々お尋ねをしてきた内容であります。すなわち、どのような情報が流出をしたのか、やはりその該当端末のログをすぐ調査すべきだったのに、なぜできなかったのか、こういうことを延々質問をさせていただきました。
そのときの答弁では、そのときはログ調査をしなかったけれども、後日、外部の会社にウイルスの中身の検査を頼んだら、このウイルスは外部に情報漏えいをするタイプではなかった、だから別に問題なかったんだ、こういうふうに当時は強弁をしておられたわけでありますが、しかし、結局のところ、やはりこうやってログを調べれば、もう初日から情報流出があったということがわかるわけであります。
ウイルスが情報漏えいタイプではないという当時のこの解析結果と、しかし、この報告書にあるように、情報漏えいが起こっていたという事実との整合性についてお伺いをいたします。
○水島参考人 お答えをいたします。
先生御指摘のとおり、結果としてと申し上げますと大変適切ではないかもわかりませんが、私どもの判断が間違っていたということになります。
少し経緯を御説明させていただきますと、五月八日の不審メールのときには、既に御説明申し上げておりますとおり、GETメソッドでございますのでいわゆる情報を持ち出すタイプではないということを確認して、これは担当者も大丈夫だなということは再度確認をいたして、紙でもらって、ウイルス除去会社からも、直接ではございませんが、きちんとした報告書をもらっているということでございますが、結果として起こったことは、GETタイプのヘッダー部分に情報が少しずつ載っけられて出ていったということでございます。
このような情報流出形態について十分に、運用委託会社も、私どもにその知識はございませんでしたが、運用委託会社も含めてそのような判断ができなかったということにつきましては、やはり、今後の体制を考えていく場合に、このようなウイルスといいますかマルウエアといいますか、その進化が激しいことに対してどう対応していくかということについて、十分それを踏まえながら体制を組んでいかなければならないというふうに考えておりまして、先ほどから申し上げておりますが、情報管理対策本部の中に専門家を迎え、あるいは専門的な会社と申しますか、を迎えて、そのような体制もきちんと組めるような体制を組んでまいりたいというふうに考えております。
○井坂委員 初日の攻撃に対して、情報流出タイプではないということが幾つかの方法でその当時は確認をされたので、そこは全く疑わなかった、しかし、結果的にはその対応はまずかった、間違っていたという答弁だと思います。
当時それに気づかなかったこと、これは今ここで責め立てるつもりはありませんが、一つこの報告書に私が抜けていると思いますのは、まさにその反省、そして、そこから得られる教訓、対策の部分がこの報告書から抜けているというふうに思うわけであります。
この報告書に書かれているのは、七ページ、八ページあたりですけれども、「情報流出を防ぐために実施すべきであったと考えられる対策項目」ということで、具体的に何をすべきだったということを列挙されております。おっしゃるように、通信線をまず抜く、物理的に抜く、それから、不審な通信先のURL、そこにフィルターをかけてそことの情報のやりとりができないようにする、さらには、当該感染したパソコンの中を調べてウイルスを突きとめる、ウイルスを検査してどういう中身のウイルスなのかを調べる、そして、ワクチンをつくってワクチンを全体に適用する、こういうことは書かれているんです。
しかし、今議論をさせていただいた、線を抜くまでの間に必ず通信はされているわけです。その通信が何だったのか、また、線を抜くまでの間にパソコンの中でどういう悪さがされたのか、こういうことをきちんと最初から検証するべきだというのが今回の事故の一つの教訓ではないかというふうに思うわけです。また、今、議論でもお認めをいただいた部分ではないかと思います。
報告書からは完全に抜けておりますが、やはり、単に線を抜いて、そしてウイルスを見つけて、ワクチンをつくって適用する、これでは全く不十分。管理者権限が乗っ取られたことも気がつきませんし、また、今回のようなやり方での小規模な情報流出というものは気づかない。
線を抜くまでに何が起こったのかという調査、その場でパソコン内部のログの調査をしなければ今回と同様の手口で事件は再発するのではないかと思いますが、御見解をお伺いいたします。
○水島参考人 二つの局面があるかというふうに思いますが、一つは、不審通信が確認をされて、もう既にウイルスに感染してしまった、それで不審通信が発生をして、そのために抜線をして端末を隔離するという状態のときでございますが、これは、おっしゃるとおり、即座にフォレンジックを行うということは必要であると思います。
加えまして、URLを、C&Cサーバーでございますね、確定して、そのような通信がその他に行われていないかということを確認して、もし確認をとれるとすれば、そのようなパソコンについて同時に調査をする、それからネットワークを遮断する、こういうことになると思います。
それで、ウイルスに感染した、しかし通信は発生していないという状態があります。これに関しましては、基本的には、もちろん抜線をするわけでございますが、ウイルスの解析をいたしまして、その中のC&Cサーバーを特定して、それに対するフィルタリングを行ってというステップになるのではないかと思っております。
いずれにいたしましても、御指摘のとおり、痕跡をいかに確保しながらフォレンジック調査を速やかに行っていくか、これは検証委員会の報告書にも指摘されているとおりでございまして、今後の極めて大きな教訓であるというふうに思っております。
○井坂委員 今、理事長が分けて御説明されましたけれども、ウイルスに感染して、しかも通信が行われていた場合と、感染したけれども行われていなかった場合というふうに分けて説明をされましたが、しかし、恐らくこの五月八日のパターンは、感染したけれども行われていなかった場合というふうに判定をされてしまったんだと思うんですね。でも実際は行われていたということですから、そこを分けて、通信が行われていないから線を抜くだけで大丈夫だ、あとはワクチンだけやればいいという考え方は、これは今回の二の舞を踏むことになるというふうに私は考えます。
また、ここには全く抜けておりますけれども、フォレンジック調査という大規模なことでなくても、まずは攻撃を受けた当該端末で、実際、中で何が起こり、通信線を通じてどういうような情報のやりとりが起こったのか、抜線までの間のことは、やはりこれはきちんと調べるということは明確な手順として入れていただきたいというふうに思います。
ちょっと大臣に、この一連のやりとりを通じてですけれども、これはもちろん機構だけに求めていることではなくて、厚労省全体で私はこういう手順が明確に必要だというふうに思いますが、いかがでしょうか。
○塩崎国務大臣 先ほど来、当初、五月八日にフォレンジック調査をやるべきであったという検証委員会からの指摘をめぐっての、ルールのあり方について御議論をいただいていたわけでありますけれども、情報セキュリティーのインシデントが発生した場合の厚労省における対応、これにつきましては、端末のLANを抜線した後、フォレンジック調査を行って、流出した情報がないかどうかを確認すべきというふうに考えているわけでありますが、残念ながら五月八日は、機構に対してそれが指示できなかったということでございます。
官公庁を狙った悪質なサイバー攻撃が増加をしている昨今でありますが、その内容が高度化している状況に鑑みれば、抜線直後にフォレンジック調査を行うことは、情報の外部流出がないかどうかだけでなくて、犯人を捜す上でも極めて重要であって、これを徹底していかなければならないというふうに思っているところでございますし、厚労省から見て機構以外に独法や特殊法人などもございますから、こういうところへの徹底をさらに図っていかなければならないというふうに思っております。
○井坂委員 大臣、ありがとうございます。
続きまして、もう一点、検証委員会の報告書についてお伺いをしたいと思います。
午前中の質疑にもありましたように、この検証委員会報告書に関しては、事件の要因分析、それから再発防止策の部分には厚生労働省のことが余り書かれていない、とりわけ年金機構を監督する年金局のことがほとんど書かれていないのが非常に奇妙に感じる部分でございます。
そこで甲斐中委員長にお伺いをいたしますが、本件の原因についてのページで、厚労省側の要因は三点、本当に短く書かれております。情報セキュリティー体制の脆弱性、それから機構LANシステムに対する監督体制が欠けていた、そして情報連絡のおくれ、この三点のみが厚生労働省側の要因としてまとめられているわけでありますが、本当にこれだけでいいんでしょうか、お伺いをいたします。厚生労働省側の要因についてです。
○甲斐中参考人 具体的な原因につきましては委員御指摘のとおりでございますが、その前に総論のところに、機構、厚労省とも標的型攻撃の危険性に対する意識が不足していた、事前の人的体制と技術的な対応が不十分であったということを言っておりますので、危機意識の不足というものがその根底にある、こういう考え方で指摘したところでございます。
○井坂委員 確かに総論のところではざっくりそのように書かれているわけでありますが、私がやはり気になるのは、年金局に対しての言及がないということであります。
報告書の事実認定の部分では随分いろいろ書いてあるんです。五月八日や十八日の各段階で、年金局事業企画課庶務係長は、みずから危機意識を持つことなく、また、上司への報告はなかった、実際に出来事としてはこういう認定をされている。ところが、こういった問題は、この後に続く要因分析、また再発防止策の部分では一切触れられていないというふうに見受けられます。
特に、厚労省側のことで、情報政策担当参事官室、いわゆる情報部門のことはいろいろ書いてあるんですけれども、まさにこの年金局の連絡体制、またガバナンスのことについては一切触れられていない。
重ねてお伺いをいたしますが、年金局、これはやはり相当問題があると私はこれまで認識をしていたわけでありますが、委員長は、厚労省の中でも情参室のことはいろいろ書かれているが、年金局はおおむねこのままで問題がないという御認識でしょうか。
○甲斐中参考人 厚労省の監督体制のことについて、前段部分で、年金局の事業企画課と管理課、そこに機構LANについて特に自分たちの監督分野という意識が希薄であった、したがってスタッフもいない、そういう状態であったということを指摘し、その上で、要するに監督体制を明確化すべきである、こういうふうに言っておりますので、これでいいという考え方で報告をしているわけではありません。
○井坂委員 機構LANのシステムの管理者としてのことは書かれているわけでありますが、年金業務、年金機構全体を統括する立場の年金局に関しては言及がないわけであります。システムの管理者としての、しかも、どっちかわからない、単にお見合いしていましたよというぐらいのことではなくて、年金業務、年金機構全体を管理監督する年金局という文脈での言及がないことについてはどうお考えでしょうか。
○甲斐中参考人 御指摘のことにつきましては、もともと私どもが委嘱を受けた事項というのは、報告書の一ページにも書いてございますが、本事案に関して、機構及び厚労省の対応を検証し、原因究明と再発防止策を検討すべし、こういうことになっております。
したがって、この本事案に関連して、年金局というものあるいは情参室というもの、厚労省全体がどういう監督をしていたかという形で我々はこの事象を見ておりますので、年金局の機構に対する監督行政一般については、私ども、この報告書をまとめるのに必要な範囲でしか調べておりませんので、その点は私どものもともと対象外であったというふうに考えます。
○井坂委員 甲斐中委員長の御認識はそうだということで承りました。
大臣にお伺いをしたいと思いますが、今回の事件でも、機構から厚労省に関してはそれなりに随時報告が入っておりました。ところが、厚労省側が、その都度その都度、数ある報告の一つというような受けとめしかせずに、結果的に厚労省としての対応がほとんどもう時既に遅しという五月末になるまでできなかった、これが事実ではないかというふうに思います。
検証委員会のこの報告書にある情報連絡のおくれ、おくれが問題なのではなくて、情報連絡に対する厚労省の認識、また、情報を受けた後の厚労省のルールとしての処理の仕方が決定的にまずかったのではないかというふうに私は考えるわけであります。
昨年の春のあの職業訓練における不正入札の審議のときにも感じましたが、厚労省には何か、上司に悪い情報を報告しない、こんな組織風土があるように感じられてなりません。
私は、これはもはや現場その場の判断ではなくて、何か一定のガイドラインでもつくって上司への報告というものを明確に義務づける必要がある、こういう組織の現状ではないかというふうに思いますが、大臣のお考えをお伺いいたします。
○塩崎国務大臣 これはどんな組織でも、悪い情報ほど早く上げろ、こういうのが鉄則だというふうに思います。
そういう意味で、厚労省が特別そういうことかどうかというのは、私はまだ一年弱しかいないのでよくわかりませんが、今回はとんでもなく情報が上がってこないというケースに再々出くわしているわけでありますので、今御指摘をいただいたような文化があるのかもわからないなと私も思いますが、これについては、今回これで甲斐中検証委員会の報告書が出たところで、ちょうどNISCの情報セキュリティーの専門的立場から、そしてまた機構みずからの、これは厚労省との関係、連絡の問題、そしてこの甲斐中委員会から出てきている中にも、先ほどの総論のところに、同一組織間の各部署の風通しの悪さが指摘をされています。
まさにこれは情参とそれから年金の中で、そしてまた年金の中での、係長から上に上がらない、あるいはその隣の課にも行かない、そういうようなことが数々指摘をされておりまして、これは、これからどういうふうに年金局を含めて厚労省を改革していくのか、そして、もちろん機構は機構で改革をしていく、そして、私ども厚労省と機構との関係の再定義をし直さないといけない。
それによって監督はどうあるべきかということも決まってくるし、その中の今御指摘いただいたコミュニケーションの悪さというものは、今まで適宜、業務連絡会議を職場でのコミュニケーションの促進ということでやってきてはいますが、今回の事案を受けて、改めて、部下を持つ全ての職員は、部下に業務の趣旨や重要性を繰り返し伝達するとともに、部下が相談しやすい雰囲気とか体制をつくるなどの取り組みを進めるということでありますけれども、どうやるのかということが大事であって、言うのは簡単ですけれども、文化を変えるのはなかなか大変ですから、これをどうやるのかというのをこれからしっかりやっていかないといけない。
風通しというのは、一番悪い情報が早く上に伝わって、組織の中で共有されながらそれを乗り越える、克服するということが大事だと思いますので、速やかに報告される体制と組織風土をつくり直すという気持ちでやっていきたいというふうに思います。
○井坂委員 総論としては今大臣がおっしゃったとおりで、組織風土とかそういう職員の意識改革、これが正攻法だと思うんです。思うんですが、しかし、厚労省に関しては、この間、特に上司への報告というものが余りにもされていない。もう隠蔽じゃないかと疑われても仕方がないぐらい、上がっていて当然と思われるものが長期間上がっていないということが繰り返されているわけであります。
ですから、組織風土改革、職員の意識改革、大事です、ぜひやっていただきたいと思いますが、本日、この点だけ通告をいたしましたのは、事上司への報告に関しては、組織風土とか職員の意識というようなそんなぼやっとしたところに任せずに、明確にそろそろ厚労省はもうルールとして定める必要があるのではないでしょうか、こういう趣旨でお伺いをしておりますので、ちょっとその点に関して再答弁をお願いしたいと思います。
○塩崎国務大臣 それは、会社の経営と同じように、どういうふうにやるのか、つまり、明文化したもので一つ一つをこうせい、ああせいということを言うのがいいのか、あるいは、本人たちが自発的にそういうことをやるように持っていくために何をするのか、それぞれいろいろあろうかと思いますので、ガイドラインというのは一つの貴重な御提案でありますが、そういうことを含めて、どうするのかということをこれから考えていきたいというふうに考えております。
私も、どちらかというと書いたルールで定めていくということを言いがちなタイプでありますけれども、さあ、果たしてそれが人を変えることにつながるかどうかということはまだわからないことなので、それを含めて考えていきたいというふうに思います。
○井坂委員 最後に一点、大臣にお伺いいたします。
情報政策担当参事官室、このセキュリティー対策が、決して専門性の高くない四名で実務を担っている、しかも、サイバーセキュリティーのこういう事故、事件に対応できるのはわずか一名、しかもほかの業務とかけ持ちでやっている、こういうことが検証委員会の報告書に書かれております。
まず、率直にお伺いしますが、なぜこんな人員配置だったのか、お伺いをいたします。
○塩崎国務大臣 これは、今回の甲斐中検証委員会でも明らかなように、組織の上がこういった問題の重要性ということを理解していなかった、この一点に尽きるんだろうと思います。
だからこそ、その考え方が下に悪い意味で伝わってしまっているわけでありまして、当然、この重要性ということが本当に痛いほどわかったわけでありますので、今後、徹底的な意識改革を進めると同時に、体制としても、組織も、全体、サイバーセキュリティーのための組織を厚労省としてどうするかということをしっかりつくり直すということとともに、質、量ともにやはりセキュリティーの部門の強化というものを図っていかなきゃいけない。
専門性がない、おまけに兼務で十分なことができないみたいなことで、そしてまた、他の部局に言ってもなかなか聞いてくれないような若い人がやっているというようなことも検証委員会で指摘をいただいていますから、そういうようなことを踏まえた上での質、量ともの強化というものをセキュリティー部門についてしっかりとやっていかなければならないし、そのためには今度は予算要求というのが要りますので、その辺も含めて必要な措置をとってまいりたいというふうに思います。
○井坂委員 他省庁も全部事前にお伺いをしましたら、こういうセキュリティー事故、インシデント担当者は、人事院三名とか文科省三名、あるいは消費者庁七名、農水省五名、公取委でも四名、環境省二名と、これが脆弱なのか十分なのかは別にして、さすがに一名ということはないわけであります。これは事故が起こったから申し上げているわけではなくて、他省庁は、事故が起こっていなくても、既に少なくとも厚労省よりはしっかりとした人員体制をしいている。
こういうことになってきますと、今後の改善はおっしゃったとおり当然ですが、しかし、事前に必要な体制を全くとれていなかったこと、これは事故が起こったから事後的に言っているわけではなくて、他省庁はやっているところもいっぱいあるのに厚労省はとれていなかったということ、そしてその結果、防げたはずのこうした事故が防げずに国民に被害をもたらしたこと、こういうことに関しては、私は、厚労省本体、また大臣の責任は免れないというふうに考えますが、最後にそのことだけお伺いをして、質問を終わりにいたします。
○渡辺委員長 既に持ち時間が経過しておりますので、答弁は簡潔にお願いいたします。
○塩崎国務大臣 これまでの厚労省の言ってみれば文化のような形で情報に関する感度がこういうレベルで来てしまったということを感じながら、これを脱却するために、先ほど申し上げたようなことをやらなければならないという認識を深めているところでございます。
○井坂委員 終わります。ありがとうございます。
○渡辺委員長 次に、足立康史君。
○足立委員 維新の党の足立康史でございます。
今、我が党の井坂委員からるる御質問を申し上げました。こういう込み入った話を分析して討議するのはやはり井坂先生が一番適任だなということを痛感しながら、ちょっと色合いを変えて私の方は質問させていただきたいと思います。
まず、午前中の民主党の審議から入りたいと思いますが、せっかくきょうは甲斐中委員長がおいでであって、午前中も甲斐中委員長をお呼びいたしておったわけでありますが、とうとうとGPIFのテーマを取り上げて、一体、先般、派遣法のときに審議拒否をした理由は何だったのかというふうに痛感します。
私がこの場でこういうことを申し上げるのは、やはり国会の立法府の一員として、言うべきことは言っておくと。先ほど大臣も若干、軽く苦言を呈されておられましたが、きょうも結局、維新はみんなそろっていますが、民主党の議員は尊敬するお二人の先生以外はおられません。実際にこういう場でやはり全員そろって審議をしていくことが本当に大事である、このように苦言を申し上げておきたいと思います。
それから、今回の年金情報の問題については、組織文化とかあるいは職員の意識の問題とか、こういうのがたくさん取り上げられていますが、私からは、システムの問題にもうちょっと寄せて討議をさせていただきたいと思うんです。
まず、甲斐中委員長にお聞きをしたいんですが、確かに、検証の報告書を見ても、今申し上げたような組織の話、職員の話、こういういろいろな議論がありますが、そもそもシステムの問題について、若干、一、二行、遮断せないかぬということを書いています。後で、きょう実は国税庁にもおいでをいただいていますから、国税庁でなぜ同様の個人情報の流出が起きていないのかということについて国税庁御自身の認識をちょっと聞いてみたいと思うんですが、その前に、甲斐中委員長として、今回検証されて、これはやはり組織だ、文化だ、職員だ、意識だ、こういうことなのか、あるいはシステムの問題についても御念頭にあるのか、ちょっと御紹介をいただければと思います。
○甲斐中参考人 言ってみれば、両面あると思います。
システムの問題、それが現象面としては非常に重要でありまして、そこにいろいろな問題があったということは報告書にも詳しく指摘しました。ただ、いろいろ形や物をそろえても、それを動かす人間の意識がきちんとしていなければ意味がありませんので、そういう面も必要であろうというふうに思っております。
○足立委員 国税庁はおいでいただいていますね。
端的に言うと、国税庁ではこういう問題は起こっていない。たまたまなのか、それとも国税庁の職員が立派なのか、システムが立派なのか。どうですか。
○柴崎政府参考人 お答え申し上げます。
国税庁におきましては、基幹システムで管理しております納税者情報が外部に流出することがないように、納税者情報を管理する基幹システムに接続する職員の業務用パソコンとインターネット用のパソコンを物理的に分離しておりまして、インターネットを通じまして外部から納税者情報に不正アクセスを受けることがないようにしているところでございます。また、納税者情報を取り扱う全ての事務処理は業務用パソコンで行っておりまして、インターネット用のパソコンで納税者情報を取り扱う事務処理はございません。
なお、インターネット用のパソコンに納税者情報を持ち込み、保管することは禁止しているところでございます。
○足立委員 今お聞きいただいてもわかるとおり、業務は基幹システムで閉じるようになっているわけですね。インターネットを使うパソコンはそれはインターネットを使うパソコンであって、そこでは業務は基本的にはしない、そういうことだと思います。今うなずいていただいていますが。
私は、年金の問題もそうすればそれで大方は解決するような気がしますが、大臣、どうでしょうか。
○塩崎国務大臣 以前にも足立先生とこの議論をさせていただいて、いわゆる国税庁方式、こういう物理的にも分離をしている中でやるということは国民にとってもわかりやすいのではないかというふうに私も思っておりまして、その可能性を含めて、今、独立をさせて、インターネットには基幹システム、すなわち、年金の大事な個人情報はインターネットとつながったシステムには載せないというふうにすることを含めて、今検討してもらっているということでございます。
○足立委員 ごめんなさい、大臣、検討してもらっているというのは……(塩崎国務大臣「機構」と呼ぶ)機構にね。
理事長、きょうおいでですが、それはそういう方向でやるということでいいんでしょうか。
○水島参考人 今回の流出の最大の失敗といいますか原因は、やはりインターネット環境に重要な個人情報を置いてしまった、そして、それをブロックするルールをつくりましたが、守られなかったということと、さらに、そのルール自体が標的型攻撃には余り有効ではなかった、こういうことでございます。
したがいまして、私どもといたしましては、今後、このような個人情報等重要情報に関しましてはインターネット環境から完全に分離するという方針で、現在、システムの検討を進めております。
○足立委員 きょうはNISCにもおいでをいただいています。
今、大臣も、そういう方向で検討、要は遮断、当たり前のことだと私は思っているんですが、そういう方向で検討するように指示されていて、水島理事長はそうするつもりだと。
基本的に、業務をネットから遮断しておけば、要は基幹システムで業務が完結するように業務とシステムを設計しておけば、いろいろなインターネットから入ってくる攻撃に対しては、そもそもつながっていないんですから、そういう意味でのリスクはない、こう私は解釈しますが、そういう理解でよろしいでしょうか。
○谷脇政府参考人 お答え申し上げます。
委員御指摘のとおり、サイバー攻撃の大多数はインターネット経由で行われるということを考えますと、特に重要な情報を取り扱う情報システムをインターネットから分離するという対策は極めて効果が高いというふうに考えられます。ただ、このように分けたとしても、分離を確実にするためには適切な運用が行われなければならないところでございます。
いずれにしましても、政府全体といたしまして、「日本再興戦略」改訂二〇一五におきましても、大量の個人情報等の重要情報を取り扱う情報システムのインターネット等からの分離に取り組むということが盛り込まれているところでございます。また、同じ内容がサイバーセキュリティ戦略案にも盛り込まれているところでございまして、このような方向感で、今後とも政府機関のセキュリティー対策の強化に努めてまいりたいというふうに考えております。
○足立委員 四者にそれぞれお聞きをしましたが、今聞いていただいてもおわかりになるように、基本的にはそういう問題だというふうに、私はそういう切り口、それが全てだとは言いませんが、少なくとも今インターネットから日々新しい攻撃、向こうはイノベーションしてくるわけですから、そういうイノベーションされる攻撃に対して究極的に我々国民の個人情報を守るためには、これはもう基幹システムで業務が閉じるようにすればそれが一番いい、こう思っているわけで、大臣からも理事長からもお話があった。
一方で、何か検証委員会の報告書を読んだり、あるいは年金機構の報告書を読んで、これには検証そして対策と書いていますが、対策のところにそういうことがちゃんと書かれていない。書かれているのかもしれませんが、少なくともさっと読むと出てきません。
組織の問題、職員の問題、いろいろ書いていますよ。組織文化の問題、書いています。しかし、私が申し上げた、水島さん、細かいことはいいんです。細かいことはいいんだけれども、要すれば我々は本当に心配しているんです、これはちゃんとした方がいいと。
かつて社保庁から年金機構に看板をかけかえたときと同じように、そのときには結局システムは全く変わっていなかったわけです、恐らく。ほとんど変わっていないわけです。また今回も、いろいろ議論をしても、結局、今私が申し上げたようなことがちゃんとされないと、私はまた同じことが起こるんじゃないかと心配をしています。二度と国民の皆様にそういう不信感を与えたら、日本の年金はもう大変なことになるという危機感は恐らくみんな共有していると思うんですね。
それで、きょう質問させていただくに当たって、事前に事務方に、これはどうしているんだ、どうするんだということを聞くと、いや、まだ検討中でと。要すれば、今、年金機構さんはどうなっているかというと、事件が起こったので、基幹系、情報系、全てネット遮断をされていますね。だから、今は日々の業務をどうしているかといったら、PDFにしてファクスしているわけです。竹とやりで仕事をしているわけです、今。
では、そういう状況がいつまで続いて、いつになったらそういう理想的な仕組み、要は、基幹システム自体を、業務が基幹システムで閉じるような形に一体いつできるのかということをはっきりさせてもらわないと、まあ、民主党さんは何かもう、結果が出ていなくても安心してどこかに行っていますが、私たちは心配で仕方ありません。
大臣、これは理想的なこと、理想的な姿は多分同じだと思うんです。先ほど大臣もおっしゃいました、水島理事長もおっしゃいました。理想的には遮断した方がいい。年金情報について、いつ基幹システムで仕事が完結するようにできますか。タイムスケジュール、工程表はありますか。
○水島参考人 結論から申し上げますと、最終的な工程表はまだございません。現在検討中でございます。
検討のテーマについて何点か申し上げますと、まず、インターネットの環境をどういうふうにつくるかということに関してでございますが、これは全く独自にインターネット環境、メール環境ですね、こういうものをつくるのか、例えばLANのような、無線のような形でつくっていくという暫定的なものでやるのか。あるいは、現在はメールのネットワークは独自で持っております。これがいいのかという問題がございます。やはりセキュリティーを確保するためには、独自でやるよりも統合ネットワークを経由した方がいいのではないかという検討をしなければならないと思います。
そういうことも含めまして、さらに基幹システムのあり方等々も含めまして、きちんとした検討を進めた上で結論を得ていきたいというふうに考えておりまして、情報管理対策本部というのをつくってまいりますが、その中でも、セキュリティーに関しての専門家も交えたきちんとした議論を行ってまいりたいというふうに考えております。
○足立委員 結局、今回この集中審議に至っても、残念ながら、今理事長がおっしゃったように、いろいろ対応に追われる中で、むしろ未来に向けて実際にこれは根本的にどうするんだというところについてはまだ検討中であるということでありまして、これはぜひちゃんとやってほしい。
その際に、大臣、私、実はきのう、これは厚労省というよりは水島理事長の方でお答えいただくテーマかもしれませんが、要すれば、年金制度について関係者は三者いるんですね。厚労省と年金機構と、そしてNTTデータか何か、ほかにもあるのかもしれませんが、要は民間の会社です、委託先です、今何を委託されているかわかりませんが。
例えば、今回システムが攻撃を受けた、これはその三者において誰の、厚労省、年金機構、運用委託先、三者の責任関係を、法令上それから契約上どうなっているのかということをきのう事務的にお問い合わせしたわけです。ここでやると時間がかかるので、きのう下さいと言って一応電話でさらっと伺いましたが、解決に向けて一体誰が責任を持ってやるかというときに、これは大事な問題です。
厚労省、年金機構、そして運用委託先、三者がどういう関係であるのか、ちょっと御紹介ください。
○樽見政府参考人 関係を御説明申し上げます。
基幹系のシステム、まさに年金の業務を行っている基幹系のシステムにつきましては、国民年金法及び厚生年金保険法上、厚生労働大臣が保有するということになっているわけでございます。その管理運用について、年金機構法に基づいて機構が実施をしているということになっております。ですので、ハードウエア及びソフトウエアについては国が契約当事者となって調達をしている、それから、運用業務の委託については機構が契約当事者となって調達をしているという関係にございます。これは基幹系のシステムでございます。
情報系のシステム、今回、情報流出の起きた機構LANのシステムでございますけれども、情報系のシステムについては、機構の業務を実施するに当たってのツールであるということでございまして、この開発、管理、運用は機構が一貫して責任を持って行っているということでございますので、これも、運用業者等につきましても機構が調達をしているというようなことになっているということでございます。
先生御指摘のとおり、こういうものを改善していくということになりますと、今のこの三者の関係ということが問題になってまいりますけれども、よく連携をとって、責任関係を明確にしつつ、改善するということについての検討を進めなければならないというふうに考えております。
○足立委員 まさに今御理解いただけたと思いますが、要は、基幹システムについて、それからインターネットにつながっている情報系のシステムについて、当然全く位置づけが違うということを簡潔に御紹介いただきました。
基幹システムについては、保有は厚労省、それを運用は機構が責任を持ってやるので、運用について外部と契約する場合には機構が当事者となって民間の会社と契約をしている。一方で、インターネットにつながっているシステムについては、これは機構が一義的にやっている、こういう御紹介でありました。
しかし、今回の問題は、その両者をまたがって事件が起きているわけであります。今みたいな、そもそも日本の年金制度は、年金制度を支える仕組みは、今申し上げたように股裂き状態になっていて、きょう私が焦点を当てているシステムということでいうと基幹系と情報系でそもそも責任者が違うわけでありまして、こういう形でこれからもやっていくということでいいですか。
○樽見政府参考人 これは検証委員会の報告書でも御指摘をいただきましたけれども、今のような事情になっているという中で、私ども年金局の中で年金局事業管理課にシステム室というのがございますが、これは、国が保有するシステム、基幹系システムについて担当するという考え方でつくった組織でございますが、今回問題の起きた機構LAN、情報系のシステムということについては、いわば一般的な機構の指導監督ということになるということで、その辺の所管関係が不分明というようなことがございましたので、早速私どもとしては、この事案が起きて、機構のLAN、情報系のシステムの部分も含めまして、こうしたインシデント対応等についての窓口を全て年金局内はシステム室で行うというふうに整理をしたところでございます。
○足立委員 今、いわゆる機構と厚労省の関係について、厚労省でもう少し、情報系について機構に丸投げではなくて、そこの部分についても関係があるから厚労省本省でちゃんと責任を持って見ていきたい、こういう御答弁であったと思います。
もう一つ、運用委託の問題ですね。これは柴崎審議官の方にちょっと教えていただきたいんですが、国税庁も外部委託していると思います。外部委託という契約かどうか、そういう形態かどうかわかりませんが、端的に言うと、どういうものを民間の会社さんに、外に出しているか、ちょっと御紹介いただけますか。
○柴崎政府参考人 お答え申し上げます。
国税庁におきましては、職員が主体的にシステム運用するということを基本としておりまして、その際、技術的な支援を外部の業者に委託するという考え方で行っているところでございます。
○足立委員 今の考え方は、御答弁は端的ですが、極めて明快で、基本は職員がやるんだ、でも技術的な支援は技術的な専門家を外から調達しているんだ、こういう御紹介でした。
ところが、今、年金機構はさまざまな契約を民間の会社とされていると思います。何は年金機構の職員がやり、何は外部の会社に、外に出しているのか。今国税庁がおっしゃったようなレベルでいいんですが、端的に整理をしてお答えいただけますでしょうか。
○水島参考人 基本的には、委託契約がございますので、これに基づいて、お互いの責務といいますか、やるべきことを決めていくわけでございますが、しかしながら、今回の標的型メール攻撃という点に限って申し上げますと、これに関する責任関係がやや不明確な点がございます。
そういう意味で、いわゆる既存のウイルスと申しますか、これと新たなウイルスに関しての、どちらがどういう責任を持つかということについてはやや議論をすべきところがあると思っておりますが、現在、その点も含めまして詰めを行っているところでございます。
○足立委員 我々もこれまで何度かこの場でいろいろな質疑をさせていただいていますが、この集中審議に至って、今、私も改めて御答弁いただいてわかったことは、厚労省、年金機構、そして民間の会社、この三者における、先ほどの、厚労省がもう少しシステムについて責任を持つ必要があるんじゃないか、あるいは外部の会社と年金機構の契約についてもどうかという、課題があるということを何となく御表明いただいているわけですが、この委員会、課題を指摘して終わりではいけません。しっかりと、一体いつまでにどうするのかということを。
実は、きのう、厚労省と年金機構と民間の受託会社、この三者の関係を、法律がどう規定し、どういう契約を結んでいるかということをつぶさに教えてくださいと言ったんですが、正直それは、要は、そういう質問をなかなか受けたことがなかったので整理できていないということで、事前には資料提供いただけていません。
委員長、これはぜひ、この問題を収束させていくためにも、今申し上げた三者の関係について、法令とそして契約、その二点についてぜひ整理をして提示をいただきたいと思いますが、御検討いただけないでしょうか。
○渡辺委員長 理事会で協議をいたします。
○足立委員 ぜひお願いします。
特に、きょう来ていただいて御紹介いただいたように、国税はこうやっているわけです。国税ははっきりしています。
私は、職員の問題、組織の問題もあると思いますよ。しかし、組織の問題、職員の問題を云々してこの問題が解決するような気がもうしません。
もしそうであれば、年金システム、年金制度をもう一度再生させるためには、国税庁の取り組みも、まあ国税庁だけではありません、国税庁、防衛省、さまざまな役所がセキュリティーを、外部からの攻撃からさまざまな業務、情報を守っているわけでありまして、厚労省、年金機構、そして外部委託先の三者についてもしっかりと、国税庁がされているように、法律に基づいて、しかるべき者が責任を持ってやる、外部に出す場合には、それは合理的な、要は技術的な支援に限るとか、そういう形でやるべきではないかなと私は思っています。
その点に関して大臣に、通告の最後ですが、以前もこの場でお聞きをしました、年金以外はどうですかと。きょう、大臣からも水島理事長からも、どちらかというと、はっきりとどこまでおっしゃったかは繰り返しませんが、要すれば、できれば遮断していくのが理想形だ、こういうことについて追認、私がそう指摘申し上げたことについては、そうだなとおっしゃっていただいたと思います。では、前も指摘しました、健康保険を含めて、要は年金以外の社会保険についても同様の考え方でよろしいか、御答弁いただきたいと思います。
○塩崎国務大臣 今回の情報流出の事案を受けて、全ての医療保険者そして介護保険者に対しまして、六月上旬にセキュリティー対策の徹底を厚労省の方から要請しております。
六月十七日に、改めて四点。まず第一に、基幹システムとインターネットとを物理的に切断する。そして二番目に、基幹システムの個人情報を取り扱う作業は、インターネットに接続された端末では行わないこと。三番目に、基幹システムにある個人情報を外部に移送する場合は、必ずパスワードの設定を行った上で、CD―ROMといった記録媒体等を使用する。そして四番目に、一時的に個人の端末に個人情報を保存するような場合、こうしたときには作業終了後のデータ消去を徹底する。
こういったことなどの対策の実施について既に文書で要請をしているところでございまして、今先生から御指摘をいただいた、国税庁方式というような話がありましたけれども、基幹システムとインターネットは物理的に切断をするということを医療並びに介護保険者に徹底をしているところでございます。
○足立委員 ありがとうございます。
先ほど委員長に、三者の関係を整理してくださいと、また御指導いただくようにお願いをしましたが、今大臣からおっしゃった、その指示をしている。これも、きょう私が申し上げたシステムの問題はお金もかかる。国税庁方式と一口に言っても、これは大変な基幹システムでありますので、言うはやすしでありますので、私も簡単にできるとは思いませんが、日本の社会保障、社会保険を守るためには、ある程度の予算、何か、幾らかの予算が今回も出ていったということでいろいろ追及していた党もありましたが、私は、ある程度お金をかけていいと思います。お金をかけてもいいので、持続的に日本の社会保障を守れるような仕組みをぜひつくっていただくようにお願いをいたしたいと思います。
もう質問は以上にしますが、きょう、甲斐中委員長、お越しをいただいてありがとうございました。心からこの取り組みについては敬意を表したい。もちろん、限られたミッションだったと思いますが、有用な情報を提供いただいたと思います。
どの組織でも、今、実は我が政党も若干内紛みたいになっていまして、これは問題は全く同じで、トップが問題の重要性を認識しているかどうかなんです、まず一つは。トップが、一つ一つ起こっている事案について、これはどうでもいいんだ、こんなことで幹事長がやめるかというような議論は、まさに執行部が問題の重要性を認識していないから起こっている問題であって、我が党についてもしっかり身を正していくつもりであります。
加えて、トップの認識に加えて、しっかりと公開をしていく、検証をしっかりしてそれを全部外へ出していくということが当然のことでありまして、最後になりましたが、私は自分のこともしっかりやりますが、甲斐中委員長、きょうお越しいただきましたが、一連の検証、敬意を表しまして、私の質問を終わりたいと思います。
ありがとうございました。
○渡辺委員長 次に、高橋千鶴子君。
○高橋(千)委員 日本共産党の高橋千鶴子です。
先週、年金機構、それから検証委員会、またサイバーセキュリティ戦略本部、いわゆるNISCから、それぞれの調査報告書が出されました。
昨日は参議院の厚労委員会でも集中審議がやられましたが、率直に言って、これで終わりですかという気がします。きょうの短い審議で検証が終わったということは到底言えないと思います。
とはいえ、たくさん聞きたいことがありますので、まず質問に入りたいと思います。
私は、第三者の検証委員会を立ち上げたことは当然だと思いますし、また、独立性にこだわったことは重要だと思っているんです。とはいえ、我々国会ではこの審議をこの間もずっとやってきたんですが、何かと、質問すると、今検証委員会をやっているからということで答えが返ってこない、足どめを食らったような格好になりました。しかも、どんな審議をしているのかということも、聞いても、事務方の権限はないのでということで、何も答えてもらえませんでした。
それで、検証委員会の報告書を大変待っていたわけでありますけれども、改めて伺いますが、きょう甲斐中委員長に伺いたいと思うんですが、そういう国会のやりとりを御存じでしたでしょうか。検証委員会は、国会審議でどんな質疑があって、例えば検証委員会に委ねられた問題にはどんなものがあったのかという報告があったのでしょうか、そして、それについて検討されたのでしょうか。
○甲斐中参考人 国会で検証委員会の課題としてどういうことが取り上げられているかということは、一応事務方の方からメモをいただいております。
ただ、私どもも、非常に多岐にわたる議論がなされているようでございまして、時間的制約、人的制約、それから委嘱事項との関連性等もありまして、精いっぱい調査した結果が報告書の形になったということで御理解いただきたいと思います。
○高橋(千)委員 もう一つ聞いてから、今のことに関連して大臣にもちょっと伺いたいと言っておきます。
それで、もう一回委員長に伺いたいんですが、検証委員会の報告書、既にきのうからも議論されているんですけれども、報告書のページでいうと三十六ページ、「終わりに」の前のところに、「これだけの情報を流出して国民に多大の心配をかけていながら、検証委員会の調査を受けるに際し、その後改まったとはいえ、一部の者が重要な資料を出し渋り、墨塗りをするなどの態度は論外である。」と厳しい指摘をされております。
同時に、これは非常に驚きました。何のための第三者の検証委員会なのか。第三者の検証委員会をつくったのに、しかも検証委員会に委ねますと言っているのに、当の人たちは、黒塗りで、資料もろくに出さない。あり得ないと言わなければなりません。
確かに、資料は後で出されたということを聞いておりますけれども、例えば、関係諸内部規程、決裁文書類、関係諸会議体の議事録及び資料、運用委託会社との間の関係契約書類など、さまざま資料を求めたということが報告書の中に書かれてあります。
添付資料が今回出されていないんですけれども、検証委員会が入手した資料を公開する考えはないのでしょうか。
○甲斐中参考人 私どもが提出を求めた先は、機構と厚労省だけではなくて、民間の企業等もございます。そういうところも含めて、資料要求をするに当たっては、当委員会の調査目的以外には利用しないということを確約して提出を求めております。したがいまして、その資料を他へ公にするということは約束違反になりますので、私どもとしてはできないことであろうと思っております。そこのところはどうか御理解いただきたいと思います。
○高橋(千)委員 予想どおりのお答えだったと思うんですけれども、原発の国会事故調のときも同様の議論があったと思うんです。
ただ、御存じのように、事故調の報告書には膨大な資料がそもそもついております。出せるものはちゃんと出しているんです。そこの仕分けがどうしてないのかというのが一点です。
それから、そうはいっても、同じように、本人にはヒアリング以外には利用しないよという前提で聞いたものだから出せませんという話だったんですけれども、段ボール箱でかなりの量が国会図書館に保管をされております。そして、その上で、本人の了解があれば随時アップしていくというような取り組みもされているようです。
ですから、全部が全部、全く出せないということはないのではないかと思いますが、いかがですか。
○甲斐中参考人 民間の第三者委員会が調査する場合、全てと言っていいと思います、私たち委員会と同じような約束をして資料提出を求めたり、それからヒアリングをやっております。私も、今まで何回かいろいろな委員会の委員長をやってまいりました。その都度、内外の国家機関から資料を提出しろという要求がございましたが、全て事情を御説明して御理解をいただいております。
○高橋(千)委員 ですから、それが全てなのかと聞いて、当然出せないものもあるだろうということを前提に伺っております。それで、改めてこれはよく委員会でも議論をしていった方がいいと思うんです。
大臣にも伺いたいと思うんですが、大臣自身がお答えになっていますし、また機構の水島理事長もお答えになっているわけですよね。いろいろなことを聞く、例えばメールを開封した職員の身分はどうですかとか、さまざまなことを質問するたびに、それは検証しますからということでお答えがなかった。そういうことで結局返ってこなかった問題、つまり、検証委員会としては限られた時間と制約の中で出せなかったと言っている問題などをきちんと整理しなければ、結果として宙に浮いたままになると思いますが、その点についてどう責任を果たしていかれるのか伺います。
○塩崎国務大臣 検証委員会の報告書は、私は報告書が全てだというふうに思っています。
もちろん、機構からも報告書が出ているわけでありまして、これは今までお出しできなかったということでありましたけれども、警察などとも協議をして、そしてこの時点になれば全体像として明らかにすることに問題がないということも判断をした上で、今までセキュリティー上の問題あるいは捜査上の問題などを理由にお出しをしなかった問題について、かなり出しているわけであります。
もちろん、まだ残っているもの、出ていないものがございますが、それについて、今後、こういった質疑などを通してお尋ねをいただいて、出せるものはもちろん出していくわけであります。
なお、何度もお話が出ております共有サーバーの中身については、調べているということを申し上げているわけでありますから、多少時間がかかっても、これは結果が判明した際にお出しをするということになるんだろうというふうに考えているところでございます。
○高橋(千)委員 では、今、時間がかかっても出していただけるということもございました。これは引き続いて議論していくべきだと思って、資料が出ていないもの、本来出せるのではないかと思うけれども今は出ていないもの、そういうものをきちんと整理するべきだと思っておりますので、これは強く指摘をして、次に進みたいと思います。
それで、事実経過について質問していきたいんですけれども、資料の一枚目は年金機構がまとめた経緯の概要でございます。二枚目はNISCがまとめたものです。三枚目を見ていただきたいと思うんですね。
これは、年金機構のプロキシーサーバー、外部との通信が例えばファイアウオールで遮断されたとしてもその履歴が残るということで、NISCがそのログの解析を行ったもので、「感染端末と不審な通信」と書いてありますけれども、これでようやっとわかったことがかなりあるのではないかと思います。
上の横軸が時間なんですよね。五月八日から始まっていて、赤い逆三角形が不審メールが来たことを指しております。それから、縦軸が、端末一から端末三十一まであるけれども、これがパソコンを指すと理解をしています。
それで、幾つか確認をしたいと思うんですけれども、情報流出の瞬間、これまでなかなか明らかになってこなかったわけですけれども、二十二日の前後、これは電源を切っていないので零時をまたいでいるんですけれども、この前後に赤が集中している部分、これがそうである。特に、端末のところを見ていただくとわかるんですが、接続先Xと書いている。これが情報流出だというふうに説明されていると思うんですが、この理解でよろしいかということがまず一点。
○谷脇政府参考人 お答え申し上げます。
今委員から御提示がございました資料でございますが、これは私どもサイバーセキュリティ戦略本部の報告書の九ページに掲載をしているものでございます。機構のプロキシーログから不審な通信を抽出いたしまして、各端末からの通信の履歴を接続先ごとに集計してグラフ化したものでございます。
今委員御指摘のとおり、五月の二十一日から二十三日にかけてのグラフの赤い部分でございますけれども、この部分が国内のサーバー、接続先Xへの通信でございますけれども、警察庁からの情報提供によりまして、接続先Xへの通信が約百二十五万件の個人情報の流出に関する通信であったということが判明しているところでございます。
ただし、不審な通信というものは必ずしも情報の流出を意味するものではございませんので、グラフの赤い部分のどの部分が情報流出が始まった瞬間であるかということを特定するのは困難である点は御理解を賜りたいと思います。
○高橋(千)委員 どの部分かというのまでは答えられない、わからないということでありましたけれども、ただ、百二十五万件の出どころがこの瞬間であったということは、この表の中で見てとれるかなと思っております。
それで、NISCが外との不審な通信があるということを通知したのは八日と二十二日だけなんですよね。ところが、その間にも実は通信があった、その間にもやはりNISCが検知できなかった通信があったということでよろしいか。イエスかノーかで簡単に。
○谷脇政府参考人 お答え申し上げます。
今委員御指摘のとおり、今回の事案におきまして、五月の八日及び二十二日にGSOCで不審な通信を検知し、厚生労働省へ通知をしてございます。
他方、今回の事案における標的型攻撃を含めまして、いわゆるサイバー攻撃というのは、正常な通信に紛れ込ませるなど、非常に巧妙であります。また、新たな手法を次々と用いて実行されるということからいいますと、全ての不正な通信を検知するということは技術的に困難な面があるというところもございます。
したがいまして、私どもとしては、攻撃の手法が時々刻々巧妙化していることを踏まえまして、GSOCの機能についても、不断の見直し、大幅な強化に取り組んでまいりたいと考えてございます。
○高橋(千)委員 もちろん、今、検知できなかったことを責めている質問ではありませんので、事実関係を明らかにしたかったということであります。
ついでに、通告していないんですけれども、もう一つ。
下の説明文がありますよね、三角の意味とか、ひし形の意味とか。一番下のところに、端末二は端末一の代替機である、しかもIPアドレスは同一と。これは要するに、端末二は一を使っていた人と同一人物である、こういうふうに見てよろしいでしょうか。これも明らかにならなかった部分なんですが、どうでしょうか。
○谷脇政府参考人 お答え申し上げます。
委員御指摘のとおり、端末一が感染をいたしまして、これが端末の二に代替をされたという意味で記載をしておるところでございます。
○高橋(千)委員 そうだとおっしゃらないんですが、そういう意味だと思うんですね。
これらのことは、何度質問しても、あるいは報道されているにもかかわらず、なかなか認められてこなかったわけでありますけれども、非常に残念なことだと思うんですよね、同じ人が新しいパソコンにかえて、でも、IPアドレスは一緒なので結局感染しちゃったと。こういうことが積み重なってきたということなんですね。
問題は、こんなにログを見ればわかるのに、先ほど井坂委員の質問にもありましたけれども、これがわかったのが非常におくれたということをまた指摘していかなければならないなと思うんです。
検証委員会が、四月二十二日の厚労省に対する標的型攻撃について強く指摘をしております。しかも、これは類似の手口であったというだけでなく、攻撃を受けた部局が年金局そのものだったわけですから、これを知らないとは到底言ってはいけない問題だと思っております。
報告書によれば、この不正な通信は、NISCからの通知を受けた厚労省においてURLブロックを行ったことにより、通信発生の約二時間後に遮断された。攻撃者は、次なる攻撃を検討し、機構が狙われるに至ったものと思われる。四月二十二日に感染した端末が通信を行ったC&Cサーバーのドメインは、五月八日に機構において感染した端末が通信を行ったC&Cサーバーと同一であり、サブドメインのみが異なるものであった。
結局、四月二十二日の時点ではサブドメイン単位でのブロックにとどまって、ドメイン単位でのURLブロックを実施したのは五月八日だったと思っています。
なぜ、この問題が検証委員会の報告書にしか載っていないのか。
○安藤政府参考人 お答え申し上げます。
情参室とそれから統計情報部の担当者レベルで、五月八日に、四月二十二日の事案とドメインが一部共通しているという事実を認識いたしましたが、このドメインが共通しているという以上に二つの事案に類似性があるという認識を持つには至らなかったということでございます。また、本事案が明らかになりました後も、検証委員会の報告が発表されるまで同様の認識であったということでございます。
検証委員会報告書にありますとおり、危険性に対する意識が不足しておりまして、危機感それから情報の共有が図られなかったということで、大変反省すべき点だと考えてございます。
○高橋(千)委員 担当者レベルでは認識していたとお認めになったと思うんですね。
問題は、ですから、そのことを何でこの委員会で、議論していたのに全然、そのとき認識していなかったけれども、結果としてそうだったということにずっと至らなかったということが理解できないということなんです。それを単なる係長一人の責任にするということなんですか。
○安藤政府参考人 繰り返しになりますが、発覚後も、検証委員会の報告が発表されるまで、この二つ、四月二十二日と五月八日の事案に関しまして、ドメインが一部共通しているということ以上の類似性、検証委員会の報告にございますような前兆というようなところまでは認識は全く至らなかったということでございます。
○高橋(千)委員 済みません、水島理事長にも、これは通告していないんですが、今の関連で一点伺いたいんですけれども、URLブロックを五月八日に行ったということを検証委員会の報告には書いているわけなんですよね。それが機構の報告には全然書いていないわけなんですよ。つまり、これは、さっき山井委員も言ったように、認識しなければできないことなんです。そうでしょう。それを何で、やったと言っているのに一切触れていないのか。
やはりそれは、認識が甘かったとかそういう問題ではなくて、あえて事を見せたくない、大きな問題にしたくないという意識が、この報告を書いているだけでもあらわれてきたのではないかと思わざるを得ませんが、いかがですか。
○水島参考人 お答えを申し上げます。
四月二十二日に厚生労働省にそのような攻撃があったということにつきましては、私も検証委員会の報告書を読んで初めて知りました。その時点での具体的な御連絡はございませんでした。
○高橋(千)委員 その時点を聞いているのではありません。検証委員会はちゃんとブロックしたと書いていることをなぜ年金機構の報告書には書いていないのか、重大なポイントじゃないですかと聞いています。
○水島参考人 報告書をまとめた時点でも、四月二十二日に攻撃があってサブドメインでとめて、あるいは五月八日にドメインでとめたということに関しましては、私どもは承知をいたしておりませんでしたので記入をしなかったということでございます。
○高橋(千)委員 とてもじゃないが時間がないので、委員長、これはきょうで終わってはならないですよ。
サブドメインをとめたのは四月二十二日の話なんです、それは厚労省の話。URLブロック、ドメインそのものをとめているのは五月八日なんです。それだけ重大なことを書いていないと私は言っている。
○水島参考人 五月八日にNISCから、不審通信があったということは御連絡をいただいております。その御連絡をいただいたURLについてはフィルタリングを行ったということを私どもの報告書に書いてございます。ただ、このフィルタリングは、私どものプロキシーでとめたということでございます。
○安藤政府参考人 先ほどのサブドメイン、ドメインの話でございますが、私どもが申し上げておりますのは、統合ネットワークにおけますURLブロックでございます。この件に関しましては、機構が取り扱っているものではございませんで、私ども統計情報部の方でやっているものでございます。
それで、このドメインレベルでとめたということ自身も、検証委員会の報告が発表されまして初めて、正直、私ども情参室の参事官以上、確認をして、初めて知ったというところでございます。
○高橋(千)委員 ちょっと、正直余りに驚いて。とめたことを情参室が報告書を見てわかったと。どうなっているんでしょう、これは。検証委員会だって、機構や情参室やNISCやいろいろなところから聞いてまとめているのに。だって、今資料の話をされましたけれども、聞かなきゃ報告書が出てこないのに、報告書を見て初めてわかったという議論がされている。私は、これは絶対に誰かが知らないふりをしている、あるいは誰かの責任にしているとしか言いようがないと思います。到底これはこのままにはできません。
質問を続けますけれども、このままにしない、また引き続いて集中審議を検討するということを委員長に一言お約束いただきたい。
○渡辺委員長 理事会で協議をいたします。
○高橋(千)委員 一つ飛ばします。
同じように私がとても疑問なのは、年金機構の報告書の中に、二十日に不審メールを開封した人がいたんだけれども、それを確認したのは二十五日なんですね。五日もたっている。だけれども、そのことを全く書いていない。二十五日のことを全く書いていない。これは大変なポイントですよね、さっきこの時系列をやりましたけれども。なぜなんでしょうか。
○水島参考人 私どもの調査報告書で、お客様の個人情報は二十一日から二十三日までの間にB拠点から流出をしているということが書かれてございます。
そして、二十日の時点でございますが、二十日の時点で不審メールが届いたという報告はございましたが、開封を確認しなかった、そのために、そこでURLを特定できずにブロックができなかった、そして、そこで通信を確認していれば端末の感染がわかった、こういうことを申し上げているわけでございます。したがいまして、後でわかった、二十五日にわかったことが極めて遅かったわけでございまして、二十日にそれをやらなければならなかったという反省を私どもの調査報告書では書かせていただいているということ。
それから、五月二十五日に関しましての感染の確認に関しましては、私どもで国会に御提出させていただいております「日本年金機構不正アクセス事案の経緯」というところでは記入をさせていただいております。
○高橋(千)委員 私は、二十五日のことをなぜ書いていないのかと言っているんですよ、二十日の対応を言っているのではなくて。
これは、私が何でこだわっているかというと、六月十五日に、理事会に、厚労省と年金機構で経緯を何度も何度も直したものの中で出てきたものなんです。二十日のものが二十五日にわかったんですと。これは、説明に来られた方が大変強調したことなので、改めて、何でこの四枚の紙に書いていたことさえも最終だと言われているこの報告書に出てこないのかということ、やはりそういうところがおかしいということを指摘したいんですね。
もう一つ、私がどうしても納得いかないのは、五月二十九日にNISCが厚労省から説明を受けている中身は、十九日、十日前ですよ、十日前に警察に相談しましたということで、それを二十九日になってわかっているわけです、NISCだけが。何でこうなっちゃうんですかね。
○安藤政府参考人 お答え申し上げます。
五月八日以来、NISCに関しましては、助言をいただいたり技術的なサポート等を大変いただいておりました。この中で、警察に通報いたしましたという報告はなされなかったということでございまして、確かに、私どもの手順書の中では、警察へ通報したことをNISCに報告する事項として明示的に書いていなかったということはございますが、現在は、警察への相談、通報につきましては必ず報告するということで省内徹底しているところでございます。
○高橋(千)委員 そんな問題じゃないと思うんですよ。手順書に書いている書いていないの問題じゃない。
だって、これは、機構の報告書によりますと、十八日です、「理事長及び副理事長から警察に相談するよう指示があったことから、翌日、情報セキュリティ担当部署等が管轄の警察署に相談しました。」と。理事長が決裁したことですよね。それを、結果としては、年金局と情参室には報告している。何でNISCにだけ報告しないのか。NISCはその間も、新しい不審メールが来ました、検体を出して、解析するとその日のうちに返しているんですよ。そういうやりとりをしていて、警察に相談しましたということを一回も言っていない。どういうことですか。
何で私がこれにこだわるかといいますと、NISCの報告書の中に書いてあるんですけれども、NISCは、二十九日ですけれども、警察に報告したということ、それから情報流出があったということを受けて、即座に本部長が特定重大事象であるとの判断を行って、厚労省と機構の対応に対してCYMATを派遣して応援したと書いているわけなんです。だから、最初に説明したログを出せとかいう指導ができるのは、こういう特定重大事象になったからなんですよね。
だから、ずっとおくれたからこそ、こういう対応が適切にできなかった。それはもちろんNISCにとっても、聞けばよかったのになとは思うけれども、しかし、これだけの権限を持っているのに、しかも、わからない、わからないと言ったことがかなりの部分わかったのになぜおくれてしまったのかということを重ねて指摘せざるを得ないなと思います。これは本当に強く言いたいと思います。
それで、もう本当に残念なんだけれども、最後になって、時間になってしまいましたので、いっぱい問いを残しました。
次をやりたいなと思うんですが、私は、この年金機構の報告書の最後に、「ガバナンス・組織風土のゼロベースからの抜本改革」ということで、何か、新しい組織をつくると理事長はおっしゃっていますけれども、そんな問題じゃないと思うんです。そんな問題じゃない。それは厚労省全体にかけられた大きな攻撃であり、もちろん年金機構が一番問題ありますけれども、それを社保庁の問題にしちゃったらだめでしょう。全然話にならないですよ。郷原さんだって、まだそんなことを言っているのかと東京新聞に書いてありましたけれども、そうやって一番肝心なことから逃れようとしているということは強く指摘をしなければならない。こういうことを、やれることをやらなかったわけですから。
それで、漏れているのに漏れていないと言ったお客様の二千四百四十九件についてほとんど言及がありませんけれども、ないしょで戸別訪問していたわけでしょう。ないしょで戸別訪問したために、お客様から問い合わせがあったら、そんなの知らない、振り込め詐欺じゃないかと言ったという笑えない話が起きているわけですよね。それは末端の職員の責任じゃないですよね。トップの責任です。強く言わなければならないと思います。
これは大臣に対してもあわせて指摘をして、次の機会に譲りたいと思います。終わります。
○渡辺委員長 次回は、来る二十八日金曜日午前八時四十五分理事会、午前九時委員会を開会することとし、本日は、これにて散会いたします。
午後二時三十三分散会