○小池晃君 日本共産党の小池晃です。
ちょっと、午前中の質疑を聞いて非常に疑問を持ちましたので、そこから聞きたいと思います。日本年金機構の共有サーバーに一体どういう情報が存在していたのかということであります。
先ほどから、理事長もそれから薄井さんも、基本的に四情報以外は入っていないんだと、理論上は可能だけれども通常は四情報に限られるんだと、そういう答弁を繰り返しましたが、確認しますが、本当にそうなんですか。
○参考人(水島藤一郎君) 共有サーバーの中にはいろいろな情報が入っておりまして、個人情報だけではもちろんございません。例えば、マニュアルでございますとかそういうものというのは入っているわけですね、マニュアルでありますとかですね。いろいろなものが入っております。
その中で、個人情報をどう特定するかということを今進めているということでございまして、そういう意味では、そこの調査を今行っているという、その調査を行っているということでございます。
○小池晃君 ちょっと、違うじゃないですか。さっき四情報だけなんだと、原則として、そういうふうに言ったじゃないですか。間違いなんですね、やっぱり。
大体、共有サーバー、巨大な共有サーバーの中に、住所、基礎年金番号、氏名、生年月日、これしか入っていないなんて、そんなばかなことはないと思うんですよ。そうでしょう。個人情報だって、それ以外の、四項目以外の、四情報以外の個人情報は入っている。これ、認めますね。
○参考人(水島藤一郎君) 先ほど申し上げましたように、理論上そういうことを抽出することは可能でございますので、入っている可能性はございます。それに関して、どういうような情報が入っているかということについて、今調査を行っているということでございます。
○小池晃君 いや、さっきの答弁と違ってきていますよ。
実際に何のために共有サーバー使うのか。これ結局、社会保険オンラインシステムからデータを落とすわけですよ。何のために共有サーバーで仕事するかというと、例えば、国民年金の未納者リストを作る、未納事業所のリストを作る、うなずいていらっしゃいますね、そういうことをやるわけでしょう。保険料の催告状を出すための作業、支給額変更通知書を出す作業、四情報だけでできるわけがないんですよ。年金保険料の納入状況なども照らし合わせながら作業して、それで作るわけでしょう。今、私が言ったことに間違いありますか。
○参考人(水島藤一郎君) そのような作業を行っております。
○小池晃君 そういう作業をしていたら、四情報だけで、住所と基礎年金番号だけで今の作業、できるわけないですよ。だから、いっぱいデータ入るんですよ、この共有サーバーには。
先ほどの答弁、訂正してください。間違いですね、じゃ。通常は四情報に限られる、先ほど薄井さんは所得情報などはこれは入らないとおっしゃった。そんなことないですね。
○参考人(水島藤一郎君) まず、少なくとも所得情報は入りません。この機構LANの中には、所得情報は……
○小池晃君 保険料は入るでしょう、保険料は。
○参考人(水島藤一郎君) ですから、一般的に、普通の場合に、今おっしゃったとおり、例えば通知書を発送するとか、そういうために情報を抽出いたしますので、基本的には四情報の場合が多いだろうというふうに思います。
○小池晃君 さっきの答弁と全然違いますよ、これ結局。四情報だけで作業ができるわけがないわけですよ、はっきり言って。
例えば、ねんきん定期便、私のところについ最近来ましたよ。あれだって、そういう作業の中で出てくるわけでしょう。あれは将来年金どれだけもらえますかということが書いてあるわけですよ。ということは、私の言わば所得情報が入っていなければ、あんなところで出せないじゃないですか。しかも、それ外注でやっているわけですよね。外注でやって、外注先だけにデータがあるわけじゃない。同じデータを多分共有サーバーにだって残しているはずですよ。だから、結局、共有サーバーの中にはありとあらゆる個人情報が入っている可能性があるわけですよ。
そして、理事長は、流出した相手のURLは分かっているけれども、どのようなファイルが流出したか今も分かっていないと言った。ということは、何が流出したか分かっていない。そして、共有サーバーにはどんな情報があるか分からない。四情報以外ではないということもお認めになった。ということは、四情報以外は流出した可能性、このことを否定しませんね。理論的な可能性とかじゃないですよ。これ、現実の可能性として認めていただきたい。
○参考人(水島藤一郎君) 現在流出が確認をされておりますのは四情報まででございまして、それ以外は確認されていないということでございます。
○小池晃君 私は事実を確認しているんじゃありません。流出の可能性を聞いているんです。だって、先ほどはっきり言ったんですよ、どのようなファイルが流出したか今も分かっていないとおっしゃった。ということは、その中に非常に機微に触れる、保険料の納入状況であるとか様々な情報が入っている可能性があるということをはっきり認めてください。
○参考人(水島藤一郎君) 先ほど申し上げましたとおり、今までは、その通信ログを調べることによっていわゆる流出した先のURLを特定をしたわけですね。そのURLの中に何が入っているかということが分かったものが百二十五万件と、こういうことでございます。
今度は、三十一台のパソコンが特定されました、おおむね特定されました。ここから流出しているものがどういうものがあるだろうとかという調査を今行っているということでございまして、両面から今行っているということでございます。
○小池晃君 私はそんなこと聞いたんじゃない。それはさっきから何度も説明しているから分かっていますよ。その調査、今そういうことをやっているけれども、分かっていないわけでしょう。だから、その中に四情報以外が入っている可能性があるということを、イエスかノーかで答えてください。四情報以外が流出しているという可能性が今も否定はできませんというふうにはっきり言ってください。
○参考人(水島藤一郎君) そこについては、先ほども申し上げましたが、確認されていない状態でほかの情報が流出しているかどうかということについて、例えば可能性があるというふうに申し上げることについては、今いろいろな詐欺等の動きもございますので、そういうようなことに対して情報として利するということになりかねないということでございます。(発言する者あり)
○委員長(丸川珠代君) 速記を止めてください。
〔午後一時三十三分速記中止〕
〔午後一時四十四分速記開始〕
○委員長(丸川珠代君) 速記を起こしてください。
○参考人(水島藤一郎君) 四情報以外が含まれている可能性については否定をいたしません。現時点においては流出したかどうかについては判断できません。
○小池晃君 ということは、要するに四情報以外が出ていた可能性は、これは、私はむしろその方が、だって、何のために四情報なんですかと。ハッカーが狙うとしたら、口座番号だとか所得情報、保険料情報だとか、そういう情報でなきゃそんなに大変な苦労をしてやるということにならないわけです。そういう意味でいうと、狙いはやっぱりそっちだと私は思うので、しかも、実際に現場で共有サーバーで作業している中身を見れば、これ、四情報以外がわんさか乗って作業しているわけですよ。これが実態なわけだから、そういったことを余りごまかさない方がいいというふうに思います。
それから、大臣にお聞きをしたいんですが、前回の委員会のちょっと続きみたいになるんですけど、今日、議事録もお配りしておりますけれども、二〇〇七年五月、六月、衆議院、参議院の厚生労働委員会で、衆議院では我が党の高橋議員の質問に対して柳澤大臣が、社保庁の外部委託に当たっては、これは絶対に再委託は認めない、情報漏えいの事案をよく学んで、重大な決意を持ってこの面については臨んでいかなければいけないと答弁をし、六月の参議院の厚生労働委員会で、情報関係につきましては、これは再委託を禁止したいと、こういうふうに思いまして、直接に直委託されたものだけが情報を扱うということをこれからしっかりと確保していきたいと答弁しています。
大臣、確認ですが、少なくとも個人情報については絶対に再委託は行わないというのが原則なんですね。
○国務大臣(塩崎恭久君) 今お配りをいただいた柳澤大臣の御発言でございますけれども、個人情報を用いて行う業務の再委託、これについては個人情報の保護の徹底等の見地から行わないという、こういう御趣旨の発言であったというふうに思いますが、一方で、日本年金機構の当面の業務運営に関する基本計画というのが平成二十年七月に閣議決定をされておりまして、これはたしか福田内閣だと思いますが、扱う個人情報の内容によっては、委託業者が外部監査を受けることや、再委託を禁止する措置を講ずる旨の記載がございまして、再委託自体が禁じられているものではないと。ただし、その場合でも、柳澤元大臣の発言の趣旨をしっかりと踏まえて、機構のルールによって、委託した業務について、その全てを一括して再委託することは禁止しておりまして、また、再委託を行う場合には、秘密保護、秘密保持や個人情報の適切な管理など、委託先事業者が負う義務と同様の義務を再委託の相手方に負わせるとともに、機構の事前承認を得るということとなっております。
ということで、この間質問の際に出ていた例はNTTデータとウイルス除去社の関係についての御指摘であったと思いますが……(発言する者あり)じゃ、それのところはとどめておきたいと思います。
○小池晃君 昨日の説明と違いますよ。昨日、私、確認したんですよ。個人情報によっては再委託はできるとかできないとか、そういうことじゃないですね、再委託は個人情報に関しては絶対に行わないというのが原則ですねと言ったら、そうですと言いましたよ。ちょっと、質問取りに来た人、確認してください。そう言いましたよ。
○委員長(丸川珠代君) 速記を止めてください。
〔午後一時四十九分速記中止〕
〔午後一時五十九分速記開始〕
○委員長(丸川珠代君) 速記を起こしてください。
○政府参考人(樽見英樹君) 私からお答え申し上げます。
まず初めに、今こういう形で、ちょっと、昨日、私どもの方で御説明に伺った者、舌足らずだったんだと思います。混乱が生じたことに関しまして、まずおわびを申し上げたいと思います。
基本計画の文面、どうなっているかというふうに申し上げますと、先ほど大臣から御答弁申し上げたとおりなんですが、「具体的には扱う個人情報の内容によっては、委託業者が外部監査を受けることや、再委託を禁止する措置を講じる。」というふうになっておりまして、個人情報を扱う者について再委託を一切禁止するというふうにはなっておらないわけでございます。
ただ、その中で、先ほど確認しましたが、昨日お伺いした者が申し上げたのはこういう趣旨だったということでございまして、例えば郵便物こん包したものを郵便局に送るというようなものについては再委託ということはあり得るけれども、例えば個人情報を直接見ながら入力するような業務、そういった個人情報というものに言わば密接に触れるといいますか、そういった業務については再委託を禁止するという方針でやってきているというようなことを申し上げたということでございまして、したがいまして、まさに閣議決定に書いてあるとおり、個人情報があるから一律禁止ということではないという趣旨であったということでございますが、恐らく言い方で不行き届きの点があったんだと思います。おわび申し上げます。よろしくお願いします。
○小池晃君 はっきり言ったんですよ、私、聞いたんですよ。閣議決定には個人情報の内容によってはという言い方あるけど、じゃ、物によっては扱えるんですかと言ったら、個人情報を扱う仕事は絶対にできませんと、こう言ったんですよ。例外として、例えば段ボール箱の中に封筒が入っていて、それを詰めてあって、それを郵便局に持っていくと、中は見れませんと、段ボール箱開けられませんと、そういったのを持っていくような仕事はそれはできる場合はあるけれども、実際に個人情報、だから、実際に個人情報が目に触れるような、そういう可能性のある業務はできないということですよね。
○政府参考人(樽見英樹君) 失礼しました。そういう扱いでやってきているということでございます。
○小池晃君 それで、この解析作業なんですが、データ管理の委託先であるNTTデータからウイルス除去社に対して、これ再委託したわけですよね。そう答弁されましたよ、前回。私が理事長に、NTTデータからの再委託ということですかと聞いたらば、理事長は、さようでございますと答弁されましたよ。間違いないですね。
○参考人(水島藤一郎君) NTTデータとウイルス除去社の製品のサポート契約という契約だという説明を昨日受けました。
○小池晃君 再委託ですかと私聞いたら、そうだと言ったのは、じゃ、違うんですか。
○参考人(水島藤一郎君) 間違いでございます。大変申し訳ございません。
○小池晃君 本当にこの審議、何なんですかという感じしますよ、やっぱり。で、これは違ったというわけですよ。後で私のところに説明に来たけれども、事実と異なる答弁だったんですよ、前回。しかも、今の説明、私、納得できないのは、要は、言ってみれば、そのウイルスソフトを作る会社の付随的なサービスで解析を依頼したと。おまけみたいな仕事でやっているわけですね、これね。
結局、だからこのウイルスの解析というのは、何か契約を独自に結んで、ウイルス除去社の間で年金機構が、あるいはNTTデータとそのウイルス除去社の間でこの解析について独自の契約みたいなのを結んでやったんですか。
○参考人(水島藤一郎君) 私どもは、NTTデータとの契約に基づいて、運用委託契約に基づいて行っているということでございます。
○小池晃君 いや、私が聞いたのはそういうことじゃないんですよね。だって、これは個人情報入っているわけですよ。パソコン提供したわけだから、感染した。そこには何が入っているのか分からない、それを提供して仕事をやってもらうのに、何の契約もなくやったんですかということになるわけですよ。しかも、再委託だと言っちゃうと、さっきの内規に触れるから、再委託じゃないと今言い出しているけど、結局、個人情報が漏れる仕組みになっちゃうじゃないですか、これだと。どうなんですか。
○参考人(水島藤一郎君) NTTにはパソコンを提供しておりますが、ウイルス除去社にはパソコンは提供しておりません。
○小池晃君 また始まった。私に年金機構が文書で回答しましたよ。ウイルス除去社に感染したPCのデータを提供とされているが、ここで言うデータとはどのようなメディアか、PCそのものを提供したのか、私のこの質問に、PCそのものを提供したと答えているじゃないですか。(発言する者あり)
○委員長(丸川珠代君) 速記を止めてください。
〔速記中止〕
○委員長(丸川珠代君) 速記を起こしてください。
○参考人(水島藤一郎君) 正確に申し上げますと、PCそのものはNTTデータに渡します。NTTデータ、そこからウイルス除去社には調査ツールを使いまして検体が、ウイルスの検体がウイルス除去社には渡るということでございます。
私どもから当初御説明を申し上げたことが違っておりました。その後、訂正をさせていただいたということでございますが、大変おわびを申し上げます。
○小池晃君 私ちょっと納得できないんですね、やっぱり。ウイルス解析、感染しているPCそのものをやっぱり解析しなければ、それはウイルスがどこにあるか分からないわけですよ。ごみ箱に入っていることだってあるわけだし、コンピューターの中の。
結局、何かつじつま合わせになっているんじゃないですか。最初に再委託は個人情報を扱えないということになったと、だからこれは再委託でないんだと急に答弁変え出した。しかも、パソコンそのものを出していたというふうに私には説明していたものを、いやパソコンそのものではありません。パソコンそのものを出していたと言ったら、結局個人情報が出ちゃうわけだから内規に触れるんじゃないかと。全てつじつま合わせでこれやっているんじゃないですか。この間の経過、この優秀な皆さんがこれだけ間違えるはずがないですよ。これ絶対に、最初にやった説明だと内規に触れてしまうということで、全部訂正、訂正、繰り返している、そういうふうにしか見えないじゃないですか。私は、これでは納得到底できない、今日の審議でこれで終わりだということはとてもできないというふうに思います。
このウイルス対策ソフト会社が五月十五日に新種ウイルスが外部に情報を漏えいしたタイプでないと分析した、このことで安心しちゃったわけでしょう、先ほどもあったけれども。十五日に一定の結論が出たから、それで済んだと思ったと。だからそれ以上の手だてを打たなかったということだとすると、この解析結果が私重大だと思うんですよ、これが本当に正確なものだったのか。ところが、その解析というのは、何だかそのウイルスソフトを作る会社のおまけのサービスみたいなことでやっていたとすれば、じゃ、もしこれが重大な誤りだとすれば誰が責任取るんですかという話になるんじゃないですか。
大臣、一連のこの経過、今やり取り聞いていただいたと思うけれども、こんなずさんな体制でやっていたということについてどう思われますか。私、これ徹底的な解明必要だと思うし、今言われたことも全部洗いざらい徹底的にこれ見直すべきだと思いますよ。どうですか。
○国務大臣(塩崎恭久君) 全くそのとおりだと思っています。
やはり、この十五日で一つの区切りが付いたということを、これは機構も、それから年金局も、それから厚労省の情参室もそういう認識を多分したんだろうと思うんです。その後も引き続いてこういうようなことで、私に上がってきたのは二十八日というような状態でありますので、なぜこんなふうになってしまったのかということを考えてみると、やはり発想そのものが単なるウイルス対策みたいなことで済まされるものだということで、前提で多分来ちゃっていたんだろうと、私はそうずっと思っております。
ということは、今先生おっしゃったように、今回のような大量に情報を持ち出すような攻撃を受けているという認識をまず持った上で、そうじゃなければそれはめっけものみたいなものであって、そういう発想がなかったというところが、機構ももちろん、年金局ももちろん、そして私どもももちろん、厚労省としても監督する立場としてひとしく持たなきゃいけない認識だと。だからこそこれ徹底的にやろうということで、今、もちろん当事者同士は当然のことながら、第三者機関としての検証委員会に今徹底的に見てくださいということをお願いし、そして厚労省はタッチするなということで独自の事務局を持ってやってもらっているということなので、認識はそのとおりだと思いますし、発想の転換をしないと、これはとてもじゃないけれども個人情報をきちっと守って年金をお支払いすることをできないなということを危惧するわけであって、ここは徹底的にやっていきたいというふうに思います。
○小池晃君 そのほかの問題もちょっと聞きたいんですけれども、先ほど四情報以外漏れているかどうかというお話もありましたが、年金機構は、国民年金保険料に関していろんな自治体と所得等情報提供に関する覚書というのを交わしているというふうに思うんです。例えば大阪の枚方市と機構の覚書というのをホームページで公開されておりますが、事故報告義務というのが規定されています。所得情報に漏えい又は盗難が生じたとき(そのおそれがある場合も含む。)は、直ちに報告するとなっています。こうした覚書、全国でどれだけ結ばれているのか、把握されていますか。
○参考人(水島藤一郎君) 現在、七月一日現在の調査でございますが、漏えいの際の報告の義務のある市町村は五十三市町村というふうに報告を受けております。
○小池晃君 五十三市町村あると。昨日は何か把握していないということだったんですけど、一生懸命把握されたんだと思うんですが。
しかし、そうすると、先ほどの議論で四情報以外が漏えいされている可能性はお認めになった。とすると、この提供所得情報に漏えい又は盗難が生じたとき、そのおそれがある場合も含むとなっているわけですから、その五十三自治体には通報されたんですね。
○参考人(水島藤一郎君) 所得情報は基幹システムで管理をいたしております。機構LANには移せない仕組みになっておりまして、移すと文字化けすることになります。したがいまして、流出のおそれはないというふうに考えております。
○小池晃君 もう質問はしません。所得等情報となっているわけですよ。ということは、保険料の額であるとか、そういったことだって所得等情報になるじゃないですか。それを自治体と、こういう事故報告義務というのを五十三自治体で結びながら、そのおそれがある場合も含めて報告しなきゃいけないのにやっていない。これ重大ですよ。これすぐにやるべきだと。このことについてもちょっと徹底してこれから確認したいというふうに思います。
終わります。
閉じる
