2015年6月9日
参議院厚生労働委員会
○小池晃君 日本共産党の小池晃です。
日本年金機構から百二十五万件に上る年金個人情報が流出した問題、大量の相談電話が機構に殺到するなど、深刻な社会問題にもなっております。
マクロ経済スライドの発動などで年金額が削減された上に、個人情報まで流出している。年金受給者を始めとして国民から怒りの声が上がっています。事実経過について、納得いかない問題、多々ありますから、年金機構に聞きたいし、同時に厚生労働省の政治の責任、政府の責任について問いたいというふうに思います。
まず、今回の事件は不審メールが送られたことがきっかけなわけですが、職員のメールアドレスというのはこれ何で外部に漏れたのか、原因は分かったんでしょうか。
○参考人(水島藤一郎君) 分かっておりません。
○小池晃君 分かっておりませんというふうにずっと説明しているんですが、職員のアドレスって、これ極めてシンプルなんですね。例えば水島理事長、あなたのアドレスは、ミズシマ・ハイフン・トウイチロウ・アットマーク・ネンキン・ドット・ジーオー・ドット・ジェーピー、違いますか。
○参考人(水島藤一郎君) そのとおりでございます。
○小池晃君 だから、非公開でも何でもないんですよ、これ。職員の名前が分かったら、メールアドレス全部分かるんですよ。こういう中で不審メールが送られているという、これが実態なわけです。
五月八日には年金機構に最初の不審メールが来て、翌日には新種ウイルスを検出したとされておりますが、どういうウイルスだったのか。年金機構の中で情報として出されているものを見ますと、このウイルスの一つは、ジェネリック・トロージャン・ドット・アイ、新種ウイルスで、機能は外部に接続してファイルをダウンロードするもの、もう一つは、ジェネリック・バックドア・ドット・ユー、これも新種ウイルスで、機能は攻撃者からの命令を送受信するためのバックドアを仕掛ける。この二つのウイルスが解析されたんですね。
間違いありませんね。
○参考人(水島藤一郎君) 先ほども御質問がございましたが、ウイルスの内容に関しましては申し上げることができません。それは、捜査上の観点ももちろんでございますが、先ほども申し上げておりますが、私どものセキュリティー上の観点からも申し上げることができないということでございます。
○小池晃君 どういうウイルスが来たのかって、これ重大なわけですよ。初期対応の妥当性が問われるわけですよ。
この最初のウイルスというのは外部に接続してファイルをダウンロードするウイルス、それからバックドアをつくる、これはもうまさに典型的なサイバー攻撃の手口じゃないですか。そういうウイルスが来たということが分かっているんですよ、翌日には。ところが、この対応をした。このことが問われるわけだから、捜査情報だからなどと言って、ここを曖昧にしちゃいけませんよ。ちゃんと答えなければ。
それから、十八日の朝には百通のメールが送られている。このメールも新種ウイルスで、トロージャン・ハイフン・FGLU、やっぱりバックドアを仕掛けるウイルスですね。バックドアを仕掛けるようなウイルスが来ている、あるいはそのファイルをダウンロードするウイルスが来ている、これはもう捜査情報という問題じゃないでしょう。
ちゃんと国会に対して説明すべき問題じゃないですか。
どういうウイルス攻撃があったのかをちゃんと説明すべきですよ。私が指摘したこと間違っていますか。だって、ちゃんと内部ではそういった文書を配っているじゃないですか、あなたたち。ちゃんと認めていただきたい。
○参考人(水島藤一郎君) どういう文書を指して御指摘になっていらっしゃるかちょっと分かりませんが、私どもは、そのような事実を確認したこともございませんし、今までウイルスの内容について開示したこともございません。それは、捜査上及びセキュリティー上の観点から開示してこなかったということでございます。
○小池晃君 年金機構内部では、職員に対してちゃんとそういう情報提供をしていますよ。私はそれ入手した。
委員長、この資料を委員会として日本年金機構に求めるということでお願いしたいというふうに思います。
○委員長(丸川珠代君) ただいまの件につきましては、後刻理事会において協議をさせていただきます。
○小池晃君 こうしたウイルスが検出されながら、これ深刻な事態だと受け止めていないというところが私は重大だと思うんです。
私は、年金機構は、このウイルスメールを受信した八日の時点ですぐにネット接続を遮断して、情報が流出したかどうか、サーバーなどの過去のログ、これ調査しなければならなかった。まあ、やったと言っていますけれども、先ほどの説明では極めて不十分な調査ではないかと。
対策ですよ、問題は、対応。パソコン一台のLANケーブルを引き抜いただけ、これでよかったんですか。この対応は正しかったというふうに言うんですか。どうですか。
○参考人(水島藤一郎君) 五月八日に関しましては、内閣官房に設置されております内閣サイバーセキュリティーセンター、NISCから、厚生労働省年金局事業企画課を通じまして、機構からの異常な通信を検知しているという連絡があったということでございます。
それ以後、断続的に不審メールの攻撃が続いておりましたので、五月十九日に警視庁に捜査を依頼したということでございまして、この間の過程に関しまして、私どもなりにその時点、時点で判断をしてまいりました。この判断の妥当性については、今後、検証委員会でも、委員会で検証していただくことになると思います。その過程で、私どもの判断の妥当性については明らかになってくるものと思っております。
○小池晃君 検証委員会の中身、非公開なんですよ。我々は全く分からないんですよ。資料を出せと言っても出さないんですよ。こんなところでやっているからといって答えない。駄目ですよ。
今から見て、これ明らかに、八日の時点でLANケーブル一本引き抜いただけ、この対応は間違っていた、このことを認めなければ、私、これ以上質疑できない。きちっと答弁を求めてください。
○参考人(水島藤一郎君) 私どもといたしましては、その時点はその時点の判断としてそれを行ったということでございまして、現在、捜査も進んでいることだと思いますし、検証も行われるということでございますので、その過程で明らかになってくるというふうに思っております。
○小池晃君 駄目ですよ。どう考えたってこのときの対応は間違っていると、今にして思えば間違っていると、そのぐらい認めなければ、私、これ以上質問できない。認めていただきたい。
○参考人(水島藤一郎君) どの時点の判断が的確性を欠いたかということについては、繰り返しになりますが、今後検証されていくことになると思います。
○小池晃君 あなたね、当事者としての責任感ないんですか。まるで他人事じゃないですか、今の答弁だったら、後で歴史家が判断しますみたいな。
そんな話じゃないですよ、これ。あなたがやったことなんですから。ちょっとこれ以上やってももうしようがない。
大臣、涼しい顔していられないと思いますよ。
これ、結局、機構の責任ももちろん重大だけれども、八日の時点で全てのネット接続を遮断していればこんな事態は起こっていないんですよ。LANケーブルを一本引き抜いただけ、こんな対応が正しいと思いますか。厚労省がこういったことに対してきちっと指導すべきだったんじゃないですか。
○国務大臣(塩崎恭久君) 先ほど申し上げたように、結果として個人情報がこれだけ大量流出したわけでありますから、適切であったということで済ますことはとてもできないということはもうそのとおりで、私たちもそれを認めつつおわびを申し上げているわけでありますが、八日の時点でNISCの方から不審な通信を検知しているという連絡をもらって、それを機構の方に伝え、なおかつセキュリティーポリシーどおりLANケーブルを引き抜いて、まず第一に問題のパソコンを特定をした上でそのケーブルを引き抜いた、そして回収した、そしてそのことをNISCの方にも報告をして、その上でNISCの方からは不審な通信は止まったというふうに連絡を受けたわけでございます。
直ちにこのメールについてはウイルス対策ソフト会社に分析に出していったわけでありまして、そのときはそのときの判断としてルールどおりやっていたというふうに理解をしているわけですが、重ねて申し上げますけれども、結果としてこういう事態を招いたということは、どこかに問題があったからこういうふうになったわけでありますので、それはしっかりと受け止めていかなければならないというふうに思います。
○小池晃君 これ、以前から、例えば年金機構の第一期中期計画に対する大臣の評価は、「毎年度、個人情報の漏えい等が発生しており、情報管理が徹底されているとは言い難いため、より厳格な管理を徹底する必要がある。」と、大臣はそういう評価をしているわけですよ、前の大臣かもしれないけど。こういったことが事前にもう分かっている中でこれが起こっているわけですよ。初めて起こったわけじゃないんですよ。毎年毎年こんな事態になっているということを言ってきたわけですよ。
ところが、これだけ重大なことが、内閣官房からの、NISCからの情報というのが、年金機構に行ったんじゃないですよ、厚労省に行ったわけですよ。なぜかといえば、これは、NISCは行政機関しか対象にしていないから、だから、結局、年金機構から出た情報が厚労省から発信されたということで、厚労省に連絡が来ているわけですよ。
だから、そういう点でも厚労省の責任は重大なんですよ。それを全部係長にとどめておいた。
私、この係長にとどめておいたというのは本当は疑わしいと思う。もしそうだとすれば厚労省のガバナンス問われますよ、これ。こんな重大な問題を、私、逆に何か係長一人に全部おっかぶせようとしているんじゃないかと。おかしいですよ、これ、どう考えても。
大臣は、年金機構について基本動作ができていないと言いました。確かにそうです。しかし、基本動作ができていないのは厚生労働省も全く同じじゃないですか。どうですか。
○国務大臣(塩崎恭久君) 先ほどの個人情報の保護の問題につきましては、先ほどももう既に答弁をいたしておりますけれども、C評価の問題ですね、これはセキュリティーポリシー上の問題で個人情報の保護に問題があったという評価というよりは、通知書を郵便で送るときの誤送付などで問題が起きたという評価が書かれているというふうに思います。
したがって、セキュリティーポリシーの問題で言われたということではないわけでありますが、しかし、それはそれとして、今先生がおっしゃったように、基本動作ができていないのは機構だけじゃないじゃないかと、それは私もそのとおりだということはもうとうに認めているわけであって、私たちの監督者としての監督体制も格段にこれ強化しないといけないという反省を込めてそれを認めているわけでありまして、係長でとどまっていたということ自体は私どもとしても大変これ問題であり、セキュリティーポリシー上もこれは許されないことではないかというふうに私は見ております。
○小池晃君 基本動作ができていないと認めたのは、言ったのは初めてじゃないかと思いますが。
私は、係長にとどまっていたなんて、そんなことはないと思いますよ、これ、実際は。だって、すぐそば、隣に座っているんだもの。こんな重要情報をやり取りしていて、相談しないわけがないですよ。だって、さっきからだって、理事長が答弁に窮すると大臣の後ろの秘書官がぱっと的確にメモを渡しているじゃないですか。本当に連携を取ってやっているでしょうが。こんなの絶対内部で既に検討しているに決まっていますよ。やっていなければ、私は、厚生労働省の内部が本当に問題だということになる。ちょっと今日時間ないからここにとどめるけれども、これはもう重大問題だと思いますよ。
それから、流出した情報というのは一体どういうものだったのかということ。結局、オンラインシステムのデータというのは、これは給付管理だけやるんだったらオンラインシステムの中で完結するわけで、それを年金機構のLANシステムの共有サーバーに移す、何のために移すのか。これは結局、例えば未納者に対する督促状を発送するとか、そういうリストを作ったりするために、みんなで作業するために共有サーバーに移しているんですよ、実際は。そういうリストを作るためには、氏名、基礎年金番号、住所だけじゃなくて、やっぱり保険料の納付状況とか、そういったデータがなきゃ、これ仕事できないはずですよ。
機構に聞くけれども、共有サーバーには基礎年金番号、氏名、生年月日、住所以外のデータを移すことは禁止されていますか。それ以外のデータを移すことはできますね。
○参考人(水島藤一郎君) 共有サーバーの中に保有、保存できる情報に関しましては、個人情報に関しまして厳格な管理を行った上で認めているということでございます。その他について必要最低限の範囲で移すことは認められます。
○小池晃君 その厳格な管理の中でこういう事態が起きているわけですよ。認めたように、移せるんですよ。
新聞報道では、先ほどこの中身はこれは認められなかったけれども、例えばこの新聞報道、今資料で配ったものでいうと、三号不適合問題の対応に係る対象者リストというのがありますよね。例えば、三号不適合をリスト化するとしたらば、これは配偶者も含めて加入状況を照合しなければ三号不適合なんてリストを作れるはずがありません。
結局、共有サーバーには四情報以外の情報を移していなければ作業の意味がないわけですよ、これははっきり言って。
先ほどから理事長は四情報以外流出は確認されていないと言いますけど、これ確認しますが、より機微に触れる情報、加入期間、保険料納入状況、場合によっては標準報酬月額、年金受給額、そういったデータが流出はこれから判明する可能性はないと言えますか。一〇〇%ないと言えますか。
○参考人(水島藤一郎君) 現在、個人情報に関しましては、この四情報の流出が確認されているということでございまして、それ以外の情報の流出は確認されておりません。
○小池晃君 確認されているかどうかを聞いているんじゃないです。そういう情報が共有サーバーに残っていて、それが流出する可能性が一〇〇%ないと言えますかと、イエスかノーかで、私明確に聞いていますから、答えてください。
○参考人(水島藤一郎君) 現在確認されていないということでございまして、流出に関して新たな流出は確認されていないということでございます。
○小池晃君 だから、今確認されているかどうかはさっきから何度も聞いているんですよ。結局、私が言っていること、作業の中ではそういった情報を入れることが可能なわけですよ。だから、それが漏れる可能性は今後だってあるじゃないかと、流出する可能性あるじゃないかというふうに聞いているんです。極めて簡単な質問をしているんです。答えてください。
○参考人(水島藤一郎君) 同じお答えで大変恐縮でございますが、現在確認されておりますのは最大四情報ということでございます。
○小池晃君 事実上、これは否定できないということだと思いますよ。やっぱり、だって、これはそこに入ることは否定しなかったんだから、そういう情報が。
これが一体どういう環境の中で仕事がやられているかというと、記録突合センターというのが、東京のお台場の、この新聞報道にある記録突合センター、これは東京のお台場ですけど、これ外部委託ですよね、ここの業務は。それから、年金記録確認のお知らせ文書というの、これもほとんど外部委託ですよ。結局、今、年金機構では多くの事業が外部委託されている。
だから、今度のあの流出した情報の中に外部委託で使われていたファイルがあることをお認めになりますか。その可能性はありますよね。今度流出したデータの中で、資料の中で、外部委託の仕事で使われていた可能性のある資料はありますかと。
○参考人(水島藤一郎君) リストを送ると、送付をするものもございますので、どういうような内容についてが必要かということもございます。
そういう意味で、ファイルの内容については、詳細についてはここでは御勘弁をいただきたいと思います。
○小池晃君 ちょっともう言語不明瞭、意味不明ですよ。ちょっとこれじゃ駄目ですよ。駄目。
○委員長(丸川珠代君) 速記を止めてください。
〔速記中止〕
○委員長(丸川珠代君) 速記を起こしてください。
○参考人(水島藤一郎君) 御質問は、外部委託ができる性格の業務に当たる情報が入っていたかという御質問であったかと思います。
外部委託にしていたかどうかということは別といたしまして、業務として外部委託ができる業務も中に含まれているということでございます。
○小池晃君 何か回りくどい言い方で、ちょっと議事録よく後で見たいと思うんですけど……(発言する者あり)まあ認めたということなんで、津田先生がそう言うんでそうなんだと思いますが。
この百二十五万件って数字も合ってるわけですよ、新聞報道で出ているものは。で、この中身すら示さないって、私、重大だと思いますよ。例えば、これ、記録突合センター、お台場の三号不整合問題の対応に係る対象者リスト、これ三百十三ファイルあるんですよ。三百十三ファイルということは、日本の社会保険事務所三百十二ですからね。これは恐らく全国の社会保険事務所の全てのファイルが流出している可能性はあると思いますよ、私、これは。そうでしょう。
だから、百二十五万件って認めて、ぴったり合っているんだから。このくらいの中身を、これ、出してください。
委員長、この流出した資料について、この中身、件数、この資料の内容、これを資料として当委員会に出すように求めます。
○委員長(丸川珠代君) ただいまの件につきましては、後刻理事会で協議をさせていただきます。
○小池晃君 先ほど、この資料の中には、外部委託の対象となり得るものがあるということを認められました。
私、配付資料の二番目に、先ほども若干議論ありましたけれども、この間の日本年金機構の職員体制の推移を出しておりますが、社会保険庁、解体されて日本年金機構が発足したときに正規職員が二千二百人削減され、そして雇用期間七年間の准社員など現場の六割が有期雇用職員になって、雇い止めが繰り返されて経験者がどんどんどんどん少なくなってる。
その上、昨年度からの第二期中期計画では、人件費など一般管理費は一五%削減、業務経費は五%削減、業務の外部委託が一層推進、これがうたわれています。
しかし、外部委託された事業で何が起こっているか、資料をちょっと飛ばしていただいて最後の一枚に、昨年七月の外部委託の評価結果というのがあるんですが、例えばこの中に、アンダーライン引いたところですが、機構の端末にUSBメモリを使用して金融機関一覧のデータ移行といった事例とか、あるいはその裏にあるのは委託先が倒産してしまって業務が履行できなくなったと、こういう事態が起こっているわけですよ。
機構としては、この外部委託による業務に個人情報の漏えいの危険というのは認識されていませんか。どうですか。これ、大丈夫だとおっしゃいますか。これは余りに無計画なやり方ではないですか。
○参考人(水島藤一郎君) 外部委託、外注化した業務に関しましては、例外なく守秘義務の誓約書を取っております。業務委託契約書で受託事業者に対して、知り得た秘密を漏らしたり、目的外に使用してはならない旨を定めております。また、受託事業者、業務委託員との間で個人情報や機密情報の漏えい及び目的外利用を禁じた契約書を締結することを定めております。
契約書の写しは業務開始前までに機構へ提出させております。ただし、プライバシーマーク取得事業者又はISO・IEC27001認証を取得している場合は提出を免除しているということでございます。
○小池晃君 この辺の問題はちょっとまた改めてやりたいというふうに思うんですが、私は、全体として非常にやっぱり、職場の中で何が起こっているのか。外部委託、非正規化、労働強化、職員削減。ちょっと今日詳しく触れられませんけれども、職員の中ではもうやりがいが感じられないという声がどんどんどんどん増えている実態がある。
大臣、私は、大臣の責任というのは二重にあると思っています。一つは、今の厚生労働大臣としてこの事態を生み出した責任、もう一つは、あなたが第一次安倍政権の官房長官として社会保険庁改革を手掛けた人です。今の年金機構の実態、あの改革は正しかったと今でも言いますか。こんな事態になっているこのことを見て、あなたはあの社会保険庁改革、正しかったと今でも思っていますか。
○国務大臣(塩崎恭久君) 基本的には、旧社会保険庁の下で年金業務を十分なし得ないという評価がされて、この今回の日本年金機構というものをつくるということを私ども第一次安倍内閣のときに法律化して、成立をさせたわけでありまして、そのこと自体に間違いは私はなかったと思いますが、これ、できてから五年余りたっているわけでありまして、この五年の中で十分いい方向に変わっていない部分が多々あるということは今回のことでよく分かったわけでありまして、もう一回、今回の、日本年金機構法というのがございますけれども、この法律を作ったときの原点に立ち返って、もう一回やり変えるというようなつもりで改革をしていかなきゃいけない。そのために今回検証委員会を、第三者の独立した目で見てもらった上で、どのように再発防止をしていくのかということを図っていきたいというふうに思っています。
○小池晃君 終わります。
大臣が、正しかったと。これ、とんでもないと思います。こういう日本年金機構の実態つくり出した、そのやはり発端をつくった方ですよ。今これだけの事態を起こした責任が問われているわけです。二重にやっぱり塩崎大臣の責任は問われているということ、このことは徹底的にこれからも議論したいというふうに思います。
終わります。