情報流出 四つの危険 マイナンバー中止迫る 
【議事録】2015年6月11日 参議院内閣委員会質問

○山下よしき おはようございます。
 今日は、答弁者の御都合で私から質問をさせていただきます。
 まず、日本年金機構の水島理事長に質問をいたします。
 極めて大きな社会問題になっております個人情報の流出問題ですが、5月29日に年金機構全拠点のインターネット接続を遮断したという事実経過についての説明が、実際は6月4日19時までインターネットのメールの接続は続けていたということが最近になって明らかになって、大きな問題になっております。そうなりますと、もう既にこの厚生労働省、日本年金機構が6月4日付けで配付された日本年金機構不正アクセス事案の経緯というものの信憑性が問われることになっていると言わなければなりません。
 そこで一つ聞きたいんですが、この事案の経緯のペーパーの5月15日のところにこうあります。機構、ウイルス除去社から、新種ウイルスは外部に情報を漏えいするタイプではないとの解析結果を受領、機構から厚労省に報告したというふうにあるんですけれども、果たしてこれは本当だったのかと。本当にウイルス除去会社が調査した結果は外部に情報を漏えいするタイプではないという報告が機構の方に来ていたのかどうか。ほかにも何かいろいろと説明があったのではないかということを疑わなければならない事態になっております。
 理事長、このウイルス除去会社からの報告の内容、どういうものだったのか、述べてください。

○水島藤一郎日本年金機構理事長 まず初めに、一昨日、参議院の厚生労働委員会におきまして、私の答弁が原因で審議が混乱をいたしましたことにつきまして、まず深くおわびを申し上げる次第でございます。
 その上で、御質問でございますが、5月15日の解析結果につきましては、御指摘のとおり、外部に情報が漏えいするタイプのウイルスではないという報告を受けてございます。その解析結果に関しましては、その他の解析結果を含めまして現在捜査中でございまして、かつ私どもの解析能力を示すということにもなりますので、現在開示をいたしておりません。

○山下よしき 解析能力について明らかにすることになるので公表できないということですが、もう能力がないということがはっきり明らかになってしまったんですね。これ本当に、だから、そういう意味では、なぜこんなことが起こったのかということをしっかりと分析する上でも、ウイルス除去会社からどういう報告がされていたのかをやはり明らかにして、そこにも問題があったのではないかということをやはり社会全体で検証する必要があると思うんですよ。いかがですか。

○水島理事長 今後、厚生労働省に第3者による検証委員会ができるということになりました。その中でも厳しく検証していただくということになると思いますが、現状では、その内容につきまして、捜査関係の問題もこれあり、開示をしていないということでございます。

○山下よしき ウイルス除去会社からの報告は捜査とは関係ないと思いますよ。
 それと、内容を詳しくということが明らかにできないということだと思うんですけれども、ただ、この報告、つまり、新種のウイルスは外部に情報を漏えいするタイプではないという報告が、最初、5月8日にNISCから不審な通信が検知されているという報告があったにもかかわらず、きちっとした対応を取らなかった一つの大きな要因になっていると思われるわけですよ、外部に情報を漏らすウイルスではなかったという報告があったとすればですね、それをうのみにしちゃったとすれば。これは一つの非常に対応が遅れたポイントなんですね。したがって、この報告自体がどういうものだったのかということを検証するのは、今回対応が後手後手に回って125万件もの個人情報が流出したことの検証にとっては、これは不可欠なんですね。
 そこで、もうちょっと絞って、解析した結果、全容じゃなくてもいいんですが、主なポイント、それから解析したウイルス除去会社の名称、それからその報告をどういうメンバーで分析したのか、検討したのか、そういうことをお答えいただけますか。

○水島理事長 まず、ウイルス除去会社の名称でございますが、これは私どもが直接の契約ではございませんで、私どもが運用を委託しております会社と契約をいたしております。そういう意味で、私どもには開示ができないという状況にございまして、その点は御理解をいただきたいというふうに思います。
 それから、どういうメンバーで解析したかということに関しましては、運用会社のメンバーとそれから私どものシステム部門のメンバーが解析をしたということだと思います。
 これでお答えになっておりますでございましょうか。

○山下よしき いや、どなたが解析したのかと。役職名、部署名、個人名。

○水島理事長 それは、組織で対応いたしておりますので、システム統括部というところでございますが、個人名は、恐縮でございますが、御勘弁をいただきたいと思います。

○山下よしき では、役職名、部署名を言ってください。

○水島理事長 部署名は、システム部門で対応をいたしております。役職名は、これはもちろんチームでございますので、それぞれたくさんおりますし、それぞれ個人が特定されることになりますので、恐縮でございますが、御勘弁をいただきたいと思います。

○山下よしき 納得できないですよ。もう125万件もの個人情報、年金機構から漏れちゃったんですよ、個人情報が。漏らしたのは日本年金機構なんですよ、意図的じゃないにしてもですね。その一方で、なぜ漏れたのかを明らかにするために必要な情報を出さないというのは、いかにもこれは本末転倒だと言わなければなりません。
 いろんな報道機関で報道されておりますけれども、実際に5月8日のウイルスがどういうものだったのかというのはもう明らかじゃありませんか。年金機構の内部資料にはっきりあります。5月8日、機構に届いた不審メール、二つあると。一つは、ジェネリック・トロージャン・ドット・アイ、新種のウイルスで、機能は外部に接続してファイルをダウンロードする、そういう機能です。もう一つは、ジェネリック・バックドア・ドット・ユー、これも新種のウイルスで、攻撃者からの命令を送受信するためのバックドアを仕掛ける、そういう仕組みのメール、ウイルスであったということがはっきり書かれてあります。
 ですから、このウイルス除去会社の5月15日の外部に情報を漏えいするタイプではないというこの報告自体が事実と違う報告だったということがもうはっきり今してきているわけですよね。だから対応が遅くなったと。
 だから、対応が遅くなったことは許されないんですよ。本当にこうだったのかと。もう5月8日の時点で、そういう漏えいを意図した、そういう能力を持っているウイルスが送られてきた、感染したということがはっきりしているわけですから、委員長、私は、にもかかわらず、ちゃんとした対策を取らなかった、インターネットの遮断も遅くなったし、メールはそのままずっと続けていたということですから、これは資料要求したいと思います。
 5月15日にウイルス除去会社から機構に報告された資料について、当委員会への報告を求めたい、提出を求めたいと思います。

○大島九州男委員長 後日理事会で協議をさせていただきます。

○山下よしき 引き続きこれは追及したいと思いますが、そこで、官房長官にお越しいただいております。
 官房長官、サイバーセキュリティ戦略本部長は官房長官であります。この年金情報の流出問題について官房長官が報告を受けたのはいつでしょうか。

○菅義偉官房長官 私が報告を受けたのは、5月29日の夕方であります。

○山下よしき 非常に遅いと言わなければなりません。もう我々がメディアで知ることと変わらないようなタイミングだったと言わなければなりません。
 サイバーセキュリティセンター、NISCが5月8日に厚労省から不審な通信を検知したと、さらに22日に同様の不審な通信を検知して、それぞれ厚労省に通知をしております。年金機構では、23日に19台のパソコンから新種のウイルスが検出され、大量のデータが発信されるということが確認されております。
 その後、25日にサイバーセキュリティ戦略会議が行われているわけですが、この25日のサイバーセキュリティ戦略会議に、この日本年金機構の問題、報告されていないんでしょうか。

○菅官房長官 29日の日の夕方、私受けましたので、25日についてはその事案について承知しませんでしたので、その会合では議題にはしておりませんでした。この25日に開催されたサイバーセキュリティ戦略本部会議というのは、サイバーセキュリティ戦略についての会合であったわけであります。
 ただ、NISCは、5月8日に不審な通信を感知して以降、厚生労働省に対して被害拡大の防止や早期復旧のための措置について必要な助言を行っていたということであります。

○山下よしき セキュリティ戦略会議の話題にはならなかったということなんですが、それが本当によかったのかということも検証されなければならないと思うんですね。だって、これだけの、125万件の情報が今のところ漏れたということが、はっきりすることがもう既に起こっていたということですので。その途中でやられたセキュリティ戦略会議に案件として上がらなかった。NISCとしては、厚労省の方にその旨通知して、対策を依頼したということでしたけれども、その程度で終わっちゃったということも、これは検証する必要があると思うんですが、結局、結果としては125万件もの個人情報の流出を防ぐことができなかった。
 これ、NISCというのは、政府機構に対するサイバー攻撃に対応する中心的な組織がNISCであって、そのNISCを中心にして政府機構全体に対するサイバー攻撃に対応しようじゃないかという全体のシステムが構築されたんだと思いますが、残念ながら、NISCから厚労省に通知はあって、警告はしたんだけれども、その対応がちゃんとされなかった、NISCとしてもそのことをちゃんと対策を取らせ切ることができなかったという点では、これはやはり政府のサイバー戦略全体として、単に日本年金機構あるいは厚労省だけの問題にしないで、NISCを中心とした政府全体のサイバーセキュリティー対策にやはり問題があったという点もしっかり教訓を導き出す必要があると思うんですが、現時点でどういう教訓を導こうとされているでしょうか。

○菅官房長官 各皆さんのおかげで、議員立法でこのサイバーセキュリティーに対しての基本法を作っていただきました。そのことによって、NISCが今、政府全体を監視をする体制ができたわけであります。
 しかし、現実的問題としては、それぞれの省庁、例えば今回は年金機構でやるのがこれが原則であります。やっぱり自らの部分は自ら守ると。同時に、NISCは全体を見て、今回のように異常があったことについて指摘をするのがNISCのまず第一番の役割であります。
 しかし、今回、結果的には125万人という名簿流出につながったわけでありますので、今厚生労働省の第3者委員会で検証を行っています。ですから、NISCとしてどういう対応をすればよかったのか、そういうことも含めてしっかり検証を、これは当然検証の中の対象にはしたいというふうに思いますし、ただ、NISCは厚生労働省にそういう情報漏れがあるということを言って、様々な助言、相談を受けて対応してきたということは、ここは事実であります。

○山下よしき その結果、残念ながら漏えいを防ぐことができなかったので、今官房長官も検証するということでしたので、その上で、私、このサイバー攻撃に対する政府機構を挙げた対策を今後強化する上で、この年金機構の今回の情報流出問題だけではなくて、様々な、これは政府機構だけではないですけれども、民間の企業も含めて情報漏えいが起こっているわけですね。近くはベネッセからたくさんの情報が漏れました。また、お隣韓国でも、クレジットカード会社から2000万件の個人情報が漏れました。これらからしっかり教訓をやっぱり今この時点で引き出す必要があると思うんです。
 私なりにちょっと考える教訓を幾つか紹介して官房長官の認識を問いたいと思うんですが、一つは、情報漏えいを100%防ぐシステムを構築することは、これは不可能だと。この間、当委員会に専門家の参考人の先生3人来ていただいて、ちょうどその日が年金機構の情報漏えいが発覚した日だったんですけれども、そのことも含めていろいろ聞いてみましたけれども、3人の専門家の先生、いずれもシステムで100%防ぐことは不可能だという御認識でした。
 まずこの一点、これまず大事な教訓にする必要があると思いますが、いかがでしょうか。

○菅官房長官 これは、そうしたサイバー攻撃に対して防御が進んでいると言われる米国でも、先般、400万人の、人事局ですか、の流出がありました。ですから、そこは、今委員から指摘がありましたけれども、そういうものであるということを基本にしてその防御体制をつくることは大事だとここは認識しています。

○山下よしき もう一点、たとえ仮に完璧に近いシステムを構築したとしても、それを扱う人間の問題があると思います。
 意図的に情報を盗んだり売ったりする人間が一人でも入れば、そこから大量の個人情報が流出する危険性があるし、また実際にそういう形で流出が起こっているケースが少なくありません。ベネッセもそうでした。韓国のクレジット会社の情報漏えいもそうでした。内部の情報を扱う部署にいた人が、残念ながらそういう不心得者だったということでありました。
 ですから、人間の問題もこれは非常に大きな問題として教訓化する必要があると思いますが、いかがでしょうか。

○菅官房長官 そこについても十分チェック体制を取る必要があるというふうに思いますし、それとまた、こうした流出に対しての犯罪、犯罪者に対しての罰則も含めて、そこは研究する必要があるだろうというふうに私は思っています。

○山下よしき これは答弁を求めませんけれども、年金機構問題でも非正規化が非常に大きな問題になりました。それから、ほかの事件でも、委託会社だとか非正規の人たちが、やはりこれ物すごいお金になっているわけですよ、売買されているんですね。そこが、身分が不安定なそういう人たちが情報を大量に扱う部署にいることのリスクというのもやはり考える必要があると思います。
 三つ目に、これ大事なことですけど、一度漏れた情報は取り返しが付かない、流通され、売買されるという問題であります。
 ベネッセで流出した個人情報は、その後、名簿屋を介して、英会話教室あるいは通信教育事業などなどのこれはもう超有名な大手企業に渡っていたということも明らかになっております。ダイレクトメールでやっぱりそういうところから来ているわけですね。
 一度漏れたらこれ取り返し付かないことになるんだと、これも非常に大きな教訓だと思いますが、いかがですか。

○菅官房長官 全くそのとおりだというふうに思います。

○山下よしき 最後に、私、感じますのは、情報が集まれば集まるほど、集積すればするほど攻撃されるリスクが高くなるというのも大事な教訓ではないかと。
 つまり、巨大企業だとか行政機構だとか、たくさんの情報が集まっているところこそ攻撃されやすい。なぜなら、その方が利用価値が高いからです。ですから、集まれば集まるほどリスクが高くなるというのも一つの教訓だと思いますが、いかがでしょうか。

○菅官房長官 当然、いわゆる犯罪者はそうしたことを考えてこれは犯行に及ぶでしょうから、そうしたことに対しての何重ものチェック体制というのは必要だろうというふうに思います。

○山下よしき 今、四つの私なりに考えた心配点、教訓、大体官房長官とも認識を同じにすることができました。
 そこで考えると、マイナンバーなんですよ。マイナンバー制度は、今言った四つの心配、リスクを全部含めて高くする危険性があると思います。年金機構とマイナンバーの結合は、山口大臣、菅官房長官含めて政府挙げて、この問題の原因究明と対策がはっきりしないうちは見合わせるということをもう政府として方針とされています。それは当然だと思います。
 しかし、それにとどまっていいのかと。それ以外の政府機構が全部一つの一元化される情報網をつくることを今やっちゃっていいのかと。さっき言った四つのリスクが全部一気に高くなっちゃうと。
 これ、私は、そういう点は、今改めてこれだけの大きな問題が出ているときに、マイナンバーの実施そのものを中止する、見直すということも真剣に検討すべきではないかと思うんですが、いかがでしょうか。

○菅官房長官 マイナンバー制度は、やはり国民生活にとって極めて重要な基盤づくりであるというふうに考えています。個人情報の保護にも万全を尽くしながら、この番号の利用開始に向けてそこは準備をしていきたいというふうに思います。

○山下よしき 残念ながら、そこに対する今国民の心配が高まっておりますので、しっかりとこれは懸念を払拭し切ることが恐らくできない状況が今起こっているんだと思いますので、これ、真剣な検討を要請したいと思います。
 済みません、有村さん、今日来ていただいて、マタニティーハラスメントの問題を聞かせていただく予定でしたが、もうあと2分しかございませんので、また次回にしたいと思います。
 ありがとうございました。