2021-06-04 第204回国会 参議院 地方創生及び消費者問題に関する特別委員会 第13号
そして、要件定義は、実務経験に加え、日常会話レベルの英語力、セキュリティーエンジニアは正規表現やDB検索によるログ検索及び解析を実施した経験などが必須条件、TOEIC六百程度の英語力。給与が二十三万五千八百円、週休は一日、三か月の試用期間。求人募集が締め切られたのは五月十八日ですから、直後に採用されたとしても試用期間内に本番を迎えて試用期間を終える前に閉会をする。
そして、要件定義は、実務経験に加え、日常会話レベルの英語力、セキュリティーエンジニアは正規表現やDB検索によるログ検索及び解析を実施した経験などが必須条件、TOEIC六百程度の英語力。給与が二十三万五千八百円、週休は一日、三か月の試用期間。求人募集が締め切られたのは五月十八日ですから、直後に採用されたとしても試用期間内に本番を迎えて試用期間を終える前に閉会をする。
また、こうした薬剤情報、特定健診情報の閲覧につきましては、いずれの医療機関等がこれらの情報にアクセスしたか、ログ管理することとしております。また、本人もマイナポータルからいずれの医療機関等が自己の、御自身の薬剤情報、特定健診情報にアクセスしたかを把握できる仕組みとしております。
日本のレンタルサーバーから行われたということで、ログが残りますので、そのIPアドレスというかを分析されて、遡って、ここが、ここから攻撃しているというのを突き止められたんだと思うんですけれども。
このため、ベータモデルの採用に当たりましては、未知の不正プログラム対策や業務システムのログ管理などの技術的対策、CSIRT等の緊急時即応体制の整備、研修等による職員のリテラシー向上などの組織的、人的対策等の従来に比べて高度なセキュリティー対策の確実な実施を求めております。 一方、自治体によっては、人的、財政的リソースの制限等によってこうした対策を実施できない場合もあると考えております。
したがいまして、個人情報保護委員会は、アクセスログの解析を含めて、三十二回の内容というものをもっと詳細にきちっと調べるべきだと私は思いますので、分かる範囲というか、これはどこまで分かるのかちょっと、私も技術的に分かりませんけれども、しかし、この三十二回のアクセスで何があったのかということだけは、是非、更に調査を続けていただきたい、私はこのように思っています。
個人情報というよりも、きちんと個人情報が保護される安全な回線の中に入れてほしいということを要望したということと、あと、万が一何か流出等あったときにアクセスログが要求できるというのが一般的なインターネットのシステムだと聞いておりますが、アクセスログが付いていなかったということで、そちらも九月に付けていただいて、港区はそういう安全面を確認した上で乗せていただきました。
ただ、これ開示請求を行っても、ログがプロバイダーとかに残っていなければ全くもって意味を成さないおそれもあります。ログは、やっぱり事務的なものに必要なものは事業者が保存しますけど、やはりいろんな通信の秘密の観点から一定程度の期間がたてば消去するのが筋だと、それも思います、分かります。 でも、やっぱりこういうことも考えられますので、そことの関係をどう考えるかは現行手続と同様に大事だと思います。
例えば、ツイッターのように海外のSNSが運用するSNSにおきましては、権利侵害を行った、いわゆる投稿を行ったときの通信記録、ログの保存がされておりませんので、現在の法律では、この権利侵害を行ったときの投稿のログからたどっていって発信者を特定をする、発信者情報開示ができるというふうに法律で規定をしておりますけれども、こういった投稿したときのログを保存していないタイプの事業者が特に外資系を中心に出てきてしまったということでありますので
○吉川(元)委員 それで、先ほど先に答弁されましたけれども、入力、記録を残す人は誰なのかということでいえば、生徒本人あるいは先生、それからあと、少し述べられましたけれども、例えば、子供たちが何を検索をしたのかという検索のログ、こうしたものも入力といいますか、自動的に記録をされるということでございました。
そのログもないんですよ。受け手の中国側には何の証拠もないんですよ。 六ページを見ていただくと、これは厚労省の審議会の部会の中につくられた検証作業班というところが作った報告書です。 六ページを見ていただくと、こういうふうに書いてありますね。「中国の事業者には、氏名・フリガナのみが開示されていたとされているが、」これは去年秋に作られたやつですよ、去年秋ですよ。
具体的には、不正アクセスの防止、セキュリティーパッチの適用、脆弱性検査、ログの蓄積、アクセス制御、サプライチェーンリスク対策等のセキュリティー対策を講じることとしております。 御指摘いただきましたセキュリティー対策はしっかりと進めてまいりたいと思います。
○田村国務大臣 いわゆる物的って、物が何なのかよく分からないんですが、少なくとも、SAY企画側のファイルサーバーでありますとか全てのPC、こういうものを、業務用のPC、ログの確認を一回しているわけですね。ですから、もし流れているようなことがあれば、記録的に、そこに何らかの物証が残っているわけで、でありますから、そういう意味からすると、そういうものがなかった。
また、ログを長期保存するということは、一方で、例えばサイバーセキュリティー上の問題であったり、新たなリスクをもたらす、コストのみならず、リスクについても出てくるという面についても配慮が必要と考えております。
そうしたら、被害者救済という観点、これを少し突き詰めていくと、今六か月程度というふうに規定がされている中で、もっと短期でしかログを保存をしていない、三か月とか一か月とか、若しくはリアルタイムでどんどんどんどん消していってしまうというような運用をしているような事業者に対しては、逆に、一定期間ログは保存をしておくべきではないかというような方向でのガイドラインの改定というものも考え得ると思うんですが、その
そこで、プロバイダーによる個人情報の取扱いに係る指針であります電気通信事業における個人情報保護に関するガイドライン及びその解説におきまして、課金、料金請求、苦情対応など業務の遂行上必要な場合には通信履歴の記録ができる旨を定め、接続認証ログについては、一般に六か月程度の保存は認められるとする一方、記録目的に必要な範囲を超えてはならず、その記録目的を達成したときは速やかに当該ログを消去しなければならない
○福浦政府参考人 アクセスログについては、情報を吐き出すのにやはり物理的な時間がかかるということでございました。 ただ、大至急確認をしないといけないと思っておりまして、提出を受けるとともに、立入検査においてもその辺りも対象として考えたいというふうに思ってございます。
○福浦政府参考人 LINE社からの過去一年間のアクセスログを内部調査した結果といたしまして、従業員四名、計三十二回のサーバーのアクセスがあったという説明を受けてございます。なお、当該アクセス権を現在では付与を止めたという説明を受けてございます。 アクセスログについてのお尋ねでございますが、現在、順次提出を受けてございまして、鋭意検証を行っているところでございます。
後半の質問の方ですけれども、厚生労働省においては、主に職員のPCのログ記録に基づいて各月の時間外在庁状況については把握しておりますが、これは時間外在庁時間を正確に表していない場合があるという状況でございます。 とはいえ、その状態でとどまらず、今後、時間外在庁の状況については、可能な限り正確に把握するための工夫をしていきたいと考えております。
加えて、侵害投稿をした時点のログがなかった場合への対応として、開示請求の相手方に、ログイン型サービスのアカウントにログインしたときの通信を媒介等した者を追加することなどにより、ログイン型サービスでの権利侵害について匿名の発信者を特定することを可能としております。 これらの見直しを通じまして、被害回復の円滑化が進むことを期待しております。
具体的には、一人一人の学習記録、学習ログを基に、理解度、進捗度に応じました学習機会を提供する学びの個別最適化、これはまさに御指摘の点ですけれども、それから、社会課題をテーマとして文理融合の探求学習機会を提供する学びのSTEAM化、この二つをコンセプトに実証事業を進めてまいりました。
はっきり言えば、そうした中で、データアクセスできる人に怪しい人物が入っているということがあればなかなか防ぎようがない、だからちゃんとログを残すというようなことをやっていただかなきゃいけないということだと私は思います。
LINE社からは、過去一年間のアクセスログを内部調査した結果としまして、中国に所在するシステム開発の再委託先であるLINEデジタルテクノロジー社の従業員四名に、開発システムのリリース時の検証又は不具合発生時の原因追跡のためにユーザー識別子、通報されたコンテンツ等の情報へのアクセス権を付与していたということ、また、これら四名につきましては、調査を行った範囲で三十二回日本のサーバーにアクセスをしていたという
○福浦政府参考人 私どもが把握している範囲、説明を受けた範囲では、過去一年間のアクセスログの分析の結果、今申し上げた四名三十二回ということで、それ以上のことについての説明は受けてございません。
ですから、いろいろ制約のある中で、今までマイナンバー法の制約の中でいろいろな情報連携をやっていますが、行政機関がそういう情報にアクセスをする、連携する場合には、そのログがちゃんと残って、本人が望む以上のことはやらないということもちゃんと担保できるようにしなきゃいけない。 先生が大変この分野で御理解があるということが分かりました。
なので、このように、できることとできないことのブラックボックスを政府の裁量でつくるんじゃなくて、誰が何の目的で自分の個人情報にアクセスしたのかということのログをちゃんと残していただいて、それで、個人が希望すればそれを知ることのできる体制整備と具体的な社会実装を行うためのシステムの構築、これを進めていただくことが、個人情報の取扱いに関してより透明性を向上させることに私はつながると思いますし、デジタル化
電子化することによって、そのデータというのは誰がアクセスして、そしてどのように取り扱われたというログが全部残るようになります。その意味で、今までよりはるかに透明性も上がると考えています。
現在、原子力規制庁の情報システム室におきまして、情報システムの運用会社やサイバーセキュリティーの専門会社を使いながら、外部からの不正侵入の経路を詳細に把握するためのログ解析などを実施しているところでございます。まだ調査のめどというのが立っている状況にはございません。
いつ終わるかもわからない、数カ月かかりますというログ解析ですよ。そんなことでいいんでしょうか。だって、これ、誰がアクセスしたかわからないですよ。どんな情報が抜けたかもわからない。 今、更田委員長がおっしゃったとおりで、最高機密は入っていなかったかもしれないけれども、それに至るさまざまな議論、あるいはさまざまな情報は、当然、業務の中でやりとりが発生していると思うんですよ。
外部からの攻撃と思われる不正な通信を検知し調査を行った結果、原子力規制委員会ネットワークシステムの一部サーバーに侵入された痕跡、いわゆるログでございますが、これを十月の二十六日に確認してございます。 なお、その旨を直ちに内閣サイバーセキュリティセンター、NISCへ連絡をし、外部との接続を切断するとともに、その事実を速やかに公表したところでございます。