質問本文情報
令和三年十一月十日提出質問第一三号
デジタル庁が十月二十六日に基本契約を行ったAWSに関する質問主意書
提出者 早稲田ゆき
デジタル庁が十月二十六日に基本契約を行ったAWSに関する質問主意書
デジタル庁は、全国の自治体がばらばらに管理してきた国民のデータベースを中央で一括管理する「ガバメントクラウド」システムの構築にあたり、そのデータを保管するサーバーとして、米国アマゾン社のAWS(アマゾンウェブサービス)を導入することとしているが、同盟国の企業とはいえ、国民の個人情報を外国企業のサーバーに保管することについて懸念があるので以下質問する。
一 日本企業と契約しなかったことについて、デジタル庁に問うたところ、AWSは政府情報システムのためのセキュリティ評価制度であるISMAP(イスマップ)に登録されており、不正アクセス防止やデータ暗号化などにおいて、最新かつ最高レベルの情報セキュリティが確保できることに加え、データセンターの物理的所在地が日本国内であることや、「一切の紛争は、日本の裁判所が管轄するとともに、契約の解釈が日本法に基づくものであること」を契約等により担保できることなどから、問題がないものと判断したとのことだが、多少契約金額が高くても、日本企業との契約を優先的に検討するべきではなかったのか。応札した日本企業は何社あったのか、あきらかにされたい。
二 今回の契約は、行政機関の保有する個人情報の保護に関する法律及び個人情報保護法に照らして問題がないのか、総務省及び個人情報保護委員会の見解をあきらかにされたい。
三 報道によれば、英国の諜報機関もAWSとの契約をしたところ、英国議会がこれを知り、自国の極秘情報を別の国のクラウドサーバーで管理してよいのかという問題認識から本件を調査するとのことであり、米国においても、CIA(中央情報局)がAWSと契約を結んだ件で、NSA(国家安全保障局)が再検討の指示を出しているとのことだが、これらの動きについて政府の見解をあきらかにされたい。
四 EUやシンガポールにおいては個人情報を域内から出すことを禁じている措置があることを個人情報保護委員会に問い合わせたところ、日本とEUの間では日EU相互認証の枠組みが発効されていて同等の法制を有しており、日本とシンガポールもともにAPEC(アジア太平洋経済協力)におけるCBPR(越境プライバシールール)という企業認証制度を推進しており、同等の仕組みを有しているとの見解であったが、それらの国々の法制においても、データセンターの物理的所在地が国内(域内)であれば、外国企業のクラウドサーバーでの保管が許されているのか。政府として承知しているところをあきらかにされたい。
五 私たちの個人情報は、年明けからAWSに順次保管されていくことになると承知しているが、万一その個人情報が他国や他者に漏洩した場合、デジタル庁は米国アマゾン社に対して賠償金を請求することになるとのことだが、仮に一人の日本国民の住所と生年月日が漏洩した場合、いくらの賠償額となるのか。またその場合、自治体や個人は、デジタル庁に対しても賠償を求めることができるのか。また行政機関の保有する個人情報の保護に関する法律及び個人情報保護法に基づき、デジタル庁はどのような責任が問われるのか。
右質問する。