○小池晃君 日本共産党の小池晃です。
今回の検証委員会報告で一番驚いたのは、これ四月二十二日に、年金局及び地方厚生局に対して標的型攻撃が行われていた、それが一切説明もされていなかったし、大臣も知らなかったと。
検証委員会、甲斐中委員長にお尋ねしますが、この四月二十二日の標的型攻撃については検証委員会はどういう経緯で事実関係を把握したのか。
これは聞き取りなどの中で分かったのでしょうか。
○参考人(甲斐中辰夫君) 客観資料を細かく分析する過程でこの事案の端緒を得ました。
○小池晃君 客観的資料で分かったわけですか。
要するに、厚労省の中にこういうものが来たという記録があったということなんですね、標的型攻撃があったという。
○参考人(甲斐中辰夫君) ちょっと客観的資料って分かりにくかったと思うんですが、メールのやり取りとかそういうものを見ているうちに、四月二十二日にも類似の事案があったということが分かってきたと、こういうことでございます。
○小池晃君 そういうことで分かることが、三か月間明らかになってこなかったと。
ちょっと関連して甲斐中委員長に聞きますが、「攻撃者は、次なる攻撃を検討し、機構が狙われるに至った」という記載があるように、五月八日以降の攻撃というのはこれは同一の攻撃者によるものだというふうにお考えなんですね。
○参考人(甲斐中辰夫君) 第一段階から第三段階、これらは当然同一の攻撃者であると認めております。それから、前兆の四月二十二日の事案なんですが、ドメインが同じであることとか、使われた標的型メールの態様が類似しているということから、同じ攻撃者である可能性が高いというふうに考えております。
○小池晃君 とすると、これは前兆というよりこれが第一撃だったというふうに考えるべきだと私は思うんですね。
ところが、これは検証委員会報告でも、これが分かっていれば、ドメイン単位でURLをブロックしておれば五月八日の不正な通信は妨げたとしているわけで、これはやっぱり非常に重大な問題だと思うんですね。
情参室ですが、NISCから情参室には、これは四月二十二日と五月八日の通知内容が類似していると通報があったと。すなわち、四月二十二日の通信と五月八日の通信のドメインが共通性を持っていることは認識されていたわけですね。簡潔にお答えください。
○政府参考人(安藤英作君) 担当いたしましたセキュリティー対策係の係員の方ではそういう認識を持っておりました。
○小池晃君 何で、じゃ、この類似性が分かっていながら、そのことを明らかにしなかったんですか。こういう重要な問題が担当者にとどまっていたというふうにおっしゃるんですか。
○政府参考人(安藤英作君) 通信先のドメインが一部一致しているということには気が付いていたということでございますけれども、先ほど委員長の方からございました、前兆であるとかあるいは攻撃者の同一である可能性が高いとか、そういったことについては全く認識をしていなかったということでございます。
○小池晃君 ちょっとお粗末過ぎると思うんですよね。情参室がそうですから、これでいいんだろうかと。
私は、これ、しかも、この間これ国会で大問題になってきたわけで、あなたもここに答弁で立っているわけですから、この重要性よく分かると思うんですよ。情参室はこのお粗末ぶりだと。
統計情報部に聞きますが、統計情報部は五月八日に、四月二十二日の不審通信先と共通するドメインを含む通信先について通信遮断したと。統計情報部としても、五月八日と四月二十二日には共通性があるという認識があったから遮断したわけですよね。
○政府参考人(姉崎猛君) はい、そのとおりでございます。
○小池晃君 遮断したのは誰の権限でやったんですか。
○政府参考人(姉崎猛君) ネットワークの担当者の判断で止めております。
○小池晃君 担当者の判断で遮断ができるんですか、統計情報部というのは。あなたには全くその相談すらなしに、担当者が遮断するんですか。
(発言する者あり)
○委員長(丸川珠代君) 速記を止めてください。
〔速記中止〕
○委員長(丸川珠代君) 速記を起こしてください。
○政府参考人(姉崎猛君) その遮断につきましては、NISCからこういう不正な通信が流れているということが情参室に来て、情参室から統計情報部の方に、不正な通信が流れているので、そこの先を特定するとともに、特定したらすぐに遮断をしろというふうに指示が来まして、それで私どもの方で、その特定をしたら情参室経由でNISCに報告をした上で遮断をするということで、私どもの方のやっているのは、担当者がとにかく迅速にやるということで、担当者レベルでやっているということでございます。ただ、情参室等に相談をしながらやっているということでございます。
○小池晃君 いや、だから、こういうことが担当者のレベルで判断して遮断するということが行われているということ自体がもし事実だとすれば大問題だし、これ私、知らなかったはずがないんではないかというふうに思うんですね。
官房長に聞きます。
ここに並んでいる中では、あなただけが四月二十二日にこの攻撃があったことを知っていたわけですね。統計情報部から報告受けたのは官房長だけじゃないですか。その後、国会で大議論になった。これがどれだけ大変な問題なのか、一番切実に骨身に感じていたのは、官房長、あなたですよね。だとすれば、これだけ議論しているときに、あっ、そういえば四月二十二日に本省にそういう攻撃があったなと、全くそういうことを発想しなかったんですか。どうなんですか。
○政府参考人(蒲原基道君) ただいまお話しございました四月二十二日の件につきましては、私のところに四月の二十三日に報告がございまして、こういう不審メールに対する添付ファイルを開けて不正な通信が起こったと、かつ、即時にそれに対しては遮断をして攻撃が停止していると、こういったことの報告があったわけでございます。
今先生がお話しのとおり、今回の問題が明らかになっていろんな議論がされているわけでございますけれども、大変恐縮でございますけれども、私自身がまずこの年金の流出問題について知りましたのは五月の二十八日だということで、これは前にも申し上げたことでございますけれども、更に申しますと、今話が出ました四月二十二日と五月八日の言ってみれば類似の攻撃、言わばドメインが一緒だったということ、これについても知ったのがまさにこの検証委員会の報告で初めて知ったということでございまして、その意味では、この四月二十二日と今回の事案に言わば関連性があるということに思いが至らなかったと、こういうことでございます。大変申し訳ないと思っております。
○小池晃君 そんなことあり得るんですか。ちょっとやっぱりこれはおかしいですよ、どう考えたって、この一連の経過は。
いや、私は、だから、四月二十二日の時点でそれを見過ごしてしまったということは百歩譲ったとしても、その後でこういう事態になったのであれば、ああ、あれはそういえばあのときにあったではないかというふうに、誰一人としてそういうことを議論しようとしない、これが厚生労働省ですか。
大臣、これは、私は、これが本当に気が付かないで議論をしていたというのであれば、厚生労働省はもう実務能力ゼロだと。私はそんなことはないと思う。これは組織ぐるみで隠蔽したとしか思えないですよ。そういう事態がなければ、こんなことが起こるわけないじゃないですか。隠蔽ですよ、これどう考えたって、経過見れば。
どうですか、それに対して大臣はどうお答えになるんですか。
○国務大臣(塩崎恭久君) 残念ながら能力が相当足りないということは認めざるを得ないわけであって、しかし一方で、隠蔽だというようなことをやっていることは決してございませんので、そこは御理解を賜れればというふうに思います。
○小池晃君 いやいや、これは全く理解できないですよ、こういう経過は。
誰かが、だってこれだけ大問題になっているんですよ、そういえば四月二十二日にそういうことがあったじゃないかということを言い出さない、そんな組織ってありますか。私は、ちょっとこれ異常だと言わざるを得ないと思うし、これはどう考えてもこの問題についてはやはり隠蔽したというふうに言われても仕方がないんじゃないか。
先ほど石橋委員から、この間の詳細な経過について資料要求がありましたが、私の方からも委員会に提出を求めたいと思います。
○委員長(丸川珠代君) ただいまの件につきましては、後刻理事会において協議させていただきます。
○小池晃君 機構の方に話を移します。
先ほど、共有ファイルサーバーの調査についておおむね七割という御答弁がありました。七割調査したのであれば、その中に四情報以外の情報はありましたよね。イエスかノーかでお答えください。
○参考人(水島藤一郎君) 先ほど申し上げましたが、ファイルを調査をしておりまして、これから個人情報がその中にあるだろうということを特定をして、それをファイルを開けて調査をすると、こういう状況でございますので、まだお答えできる状況にないということでございます。
○小池晃君 いや、さっき違うでしょう、答弁は。
だって、要するに、パスワードが掛かっているのが三割だから、それは開けられないけど、七割調査したと言いました。今の答弁、違います。
○委員長(丸川珠代君) 速記を止めてください。
〔速記中止〕
○委員長(丸川珠代君) 速記を起こしてください。
○参考人(水島藤一郎君) 百二十五万件以外の個人情報がこの中に入っていること、それから、四情報以外があることに関しましては否定をいたしません。
○小池晃君 さっき可能性だって言っていたんですよね。これだけで変わるわけですよ。これで議論が成り立ちますかと。私、本当にこれ重大だと思います。
四情報以外の情報が共有ファイルサーバーにあったということを初めて認めました。今までは可能性だというふうにおっしゃっていたが、あったと。だとすれば、これは流出している可能性が私はあると思うんですよ。フォレンジック調査で確認されていなくたって、それは否定できないだろうというふうに思います。この問題はやっぱり極めて重大だというふうに思います。
それから、この間問題になってきたことで、例えば今日資料で配っていますが、流出した資料のリストがマスメディアでは報道されているわけですよ。例えば、和歌山事務センターが使った届出書などの受付管理簿ツールとか、沖縄事務センターが使った国民年金の届出書などの受付管理簿、この事実今まで認めませんでしたが、こういうファイルが流出したことはお認めになりますね。
○参考人(水島藤一郎君) このファイル数の九百四十九については、そのとおりでございます。
それから、このファイル名でございますが、このファイルの名前に関しましては、これを認めることが付加的な情報を攻撃者に与える懸念があるというふうに考えておりまして、従来からこれに関しましては具体的にそうだというお答えはいたしておりません。現在も同じでございます。
○小池晃君 付加的な情報、三か月たって新聞には堂々と出ているんですよ。それをいまだに認めないんですか。私、こういったことはちゃんと認めなければ議論が前に進まないと思う。
じゃ、少なくとも、流出した情報が沖縄と和歌山の両事務センター、東京の記録突合センターの三か所で使われたものであったということは事実ですか。
○参考人(水島藤一郎君) ファイルの所在に関しましては、捜査上の問題もあるというふうに承っておりまして、公表いたしておりません。
○小池晃君 そこはちょっと警察に確認しなきゃいけないことじゃないかなと思うんですが。
委員長に、これ、これじゃ駄目です。日本年金機構から流出した情報は何だったのか、そのファイル内容について、第二に、その流出した情報ファイルはどこで使われていたものか、資料提出を求めます。
○委員長(丸川珠代君) ただいまの件につきましては、後刻理事会において協議させていただきます。
○小池晃君 年金機構が依頼したウイルス対策ソフト開発会社が新種ウイルスは外部に情報を漏えいするタイプではないと解析したことが非常に重大だったと思います。
この点について検証委員会の報告では、運用委託会社と機構との間の契約では、情報セキュリティーの確保について抽象的な仕様が規定されているのみで、インシデント発生時における緊急時、具体的なサービス内容について明確な合意はなされていなかったと、甲斐中委員長、書かれているんですが、要するに、サーバー攻撃がなされた際のウイルス解析というのが、これは契約には含まれていなかったということですね。
○参考人(甲斐中辰夫君) 不明確であったということです。どこまでどういう対応をすべきかという点が不明確であったということです。
○小池晃君 不明確だったと。
私、この問題をこの委員会で取り上げたときに水島理事長は、私はこれ再委託なんじゃないかというふうに質問したらば、理事長は、NTTデータとの契約に基づいて、運用委託契約に基づいて行っているというふうに答弁しているんですよ。
しかし、明確なものはないというじゃないですか。
だとすれば、この契約に基づいてやったんだということは虚偽答弁ではありませんか。
○参考人(水島藤一郎君) 契約、再委託でというふうにお答え申し上げまして、それについては間違いでありましたということは申し上げました。
それでよろしゅうございましょうか。
五月十五日の件でございますが、機構と運用委託会社との間で締結をいたしております契約においては、情報漏えい等を発生させないセキュリティーを確保した運用保守方式とするということを要件といたしております。
運用委託会社が策定をいたしました情報セキュリティー対応手順書におきましては、機構への検知の報告、感染した端末の隔離、ウイルスの解析、機構への解析結果の報告、ウイルスの駆除、駆除の確認といった流れで対応することとされております。
○小池晃君 だから、契約内容には、機構とNTTデータの契約内容の中にはウイルス解析なんという言葉は出てこないじゃないですか。私、契約書見ましたよ。ウイルス解析という言葉は出てこないのに、あなたは、契約に基づいてウイルス解析を、再委託じゃなくて、この運用委託契約に基づいてウイルス解析をやったと言った。答弁が虚偽ではないかと言っているんですよ。答弁したときは契約に基づいてやったと言ったのに、契約にないじゃないですか。そこをどう説明されるんですか。
○参考人(水島藤一郎君) 運用委託会社が策定をいたしまして当機構に提出をいたしております情報セキュリティー対応手順書というのがございまして、その中に、ウイルスの解析、それから解析結果の報告、ウイルスの駆除、駆除の確認という流れで対応するということが記載されているということでございます。
○小池晃君 契約書には書かれていません。じゃ、手順書を後で示してください。それを見て改めて検討します。
これ全体を見て、私は、検証委員会の報告にあるんですが、機構本部から全国の拠点に対する指示は、年間数千件に及ぶ上、過去のものと重畳的なものも見られたなど、現場に相当な負荷が掛かっている。また、機構本部が現場におけるルールの遵守状況について把握できる枠組みとなっていない。要するにもう垂れ流しだという実態を検証委員会の報告書に書いてある。次から次へと指示出すけれども、後は放置したままだと。これは現場の労働者から寄せられている意見とも一致するものなんですね。
甲斐中委員長にお聞きしますが、これは情報セキュリティーに関わる部分だけじゃなくて、機構の業務全体についてこういうやっぱり問題点指摘できるんじゃないかと思うんですが、いかがでしょうか。
○参考人(甲斐中辰夫君) ここで書いてあることは情報セキュリティーだけに限定したものではありません。ガバナンスの不十分さということは機構全体について言えることだという考え方です。
○小池晃君 こういう全体像を含めて解明されなければいけないんではないかと思います。
それから、ちょっと報告書から離れた問題でお聞きしたいんですが、マイナンバーとの連結の問題です。
基礎年金番号とマイナンバーとの連結は凍結をするということが報道されていて、これは今回の情報漏えい事件を見ればもう当然のことだと思うんですが、配付した資料の二枚目を見ていただきたいんですけれども、ところが、日本年金機構はマイナンバー制度に向けた準備作業を中止するどころか今もやっております。機構が出した文書によると、マイナンバーによるサービス実施のためとして、今年五月ですね、この問題が大問題になっているさなかにも住民票住所申出書の送付のお知らせという通知を出しております。
機構に聞きますが、これは一体どれだけの人に郵送、送付をしているんでしょうか。
○政府参考人(樽見英樹君) 私どもの承知しているところでお答えさせていただきます。
社会保障・税番号制度導入の準備作業として、住民票コードの収録を年金機構の方で進めているということでございます。住民票コードについては、機構が管理する氏名、性別、生年月日及び住民票住所の四情報を基に、住民基本台帳ネットワークに照会して収録を行っているわけでございますが、機構にお届けいただいている住所情報が住民票住所と相違しているなどの理由によって住民票コードが未収録となっている方がいらっしゃるために、この四月から五月にかけて住民票住所申出書というものをお送りをして確認をお願いをしたというところでございまして、発送件数は二百二十一万件と承知をしております。
○小池晃君 二百二十一万件、これ出しているわけですよね。マイナンバーは法律が成立も全くしていない段階で、「マイナンバーによるサービスの実施のため、ご協力ください。」と書いてありますよ、これ。そういったことをやっているわけですよ。通知では六月十日までの返事を求めておりまして、文書の中には何と書いてあるかというと、こんなことが書いてある。期日までに本届のない場合、会社員の方はお勤め先に住民票の住所をお尋ねすることがありますというふうにあるんですね。
マイナンバー法もないのに、一体これはどういう法的な根拠でこの義務が生じるんですか。法的な根拠を明確に示してほしい。マイナンバー法ないですよね。一体どういう法律に基づいてやっているんですか。
○政府参考人(樽見英樹君) マイナンバー法のまず改正、審議されているわけでございますが、マイナンバー自体については実施をするということになっているという前提で準備を進めているということでございますが、会社員の方について住民票の住所について尋ねることがあるというところにつきましては、厚生年金保険法に定めます資料提供の依頼の規定に基づきまして事業主に報告を求めるというものでございます。
○小池晃君 だから、全く全然違う法律でこれをやっているわけでしょう、マイナンバー制度のためにと。これ、やり方、脱法的というふうに言えるんじゃないですか。これ、どうなんですか。こんなことがやっぱり許されるというふうにおっしゃるんですか。
○政府参考人(樽見英樹君) まさに、マイナンバーを導入するということによって利用者の方々の利便性が向上する、あるいは住所、あるいはいろんな手続についての確認を確実にするというようなことでございます。
厚生年金保険法について、根拠で、先ほど法律名だけ申し上げましたけれども、百条の二というところでございまして、厚生労働大臣は、被保険者あるいは被保険者であった者について、氏名及び住所、その他の事項について、事業主その他の関係者に報告を求めることができるというふうになっておりまして、まさに厚生年金保険法で加入者、受給者の方々のいろんな確認すべき事項を確実に把握する、あるいはそういうことを円滑に行うというために、こういう資料、情報提供の規定があるというところでございますので、それを根拠にさせていただいているというところでございます。
○小池晃君 いや、だって、普通これを受け取った人は、やっぱりマイナンバー制度に基づく法律でやるというふうに思いますよ。これは非常にやっぱり私はやり方がえぐい、まあえぐいというのはちょっとあれかもしれませんが、これは非常に問題のあるやり方だというふうに言わざるを得ないと思うんです。
大臣、やっぱりこれは、情報漏えいがこれだけ問題になっている、そういう中で、二百万人にこういう文書を送り付けてやっている。日本年金機構ってこんなことをやっている場合だったんですか。もっとちゃんと自らの業務に集中すべきときだったんじゃないんですか。自分の頭の上のハエを追わないで、こんなことをやっているときだったんですかと私思うんですが。大臣、こんなことでいいんでしょうか。これは非常に誤解を与えるやり方だと私は言わざるを得ないと思うんですが、いかがですか。
○国務大臣(塩崎恭久君) 先ほど答弁を申し上げたように、この住民票住所申出書は発送が四月二十日から始まっているわけですね。ですから、これはこれ、今回の情報流出問題は問題としてあるので、法的にも今説明したとおりでありますから、そこはいいと思いますが、問題は、多くの方々がやはりマイナンバーというものについての御理解が十分ではない方もおられるやに私も見えていますので、年金機構がやることがマイナンバーとどういう関係なのかということはよく理解をしていただくように、年金機構が努力をしっかりやらなきゃいけないんじゃないかなというふうに思っているところでございます。
○小池晃君 やっぱりこれを受け取った人は、何かもうマイナンバーで年金も一体化するんだというふうに受け取りますよ。やっぱり行政のやり方として私はこれは非常に問題があるというふうに思います。
このマイナンバーについて言うと、私は、年金情報の連結、半年、一年遅れるというのはあるけれども、それで済まないと、マイナンバー制度そのものに大きな問題があると思っていますし、やはりきちっとこれは内閣委員会との連合審査も含めて議論すべき課題だと、マイナンバー制度そのものも全面的に見直すべきだというふうに思いますし、今日いろんな問題取り上げましたけれども、ちょっとほかにもいっぱいやりたいことあったんですが、もう時間が参りましたので終わりますけど、もうとにかく疑惑深まっただけです。もう様々問題が出てきています。
この問題の徹底解明なくして閣法の処理を前に進めるなどということはこれあり得ないことだということを申し上げて、引き続き年金情報流出問題の徹底的な解明を求めて、質問を終わります。
閉じる
