2021-03-05 第204回国会 参議院 予算委員会 第5号
○国務大臣(河野太郎君) 政府機関などの情報セキュリティー対策のための統一基準に準拠して、必要なセキュリティー対策を講じることとしております。 また、クラウドサービスについても、政府情報システムにおけるクラウドサービスの利用に係る基本方針を参照しながら、継続的に投資が行われ、事業リスクが最小化と考えられるクラウドサービスを活用しております。
○国務大臣(河野太郎君) 政府機関などの情報セキュリティー対策のための統一基準に準拠して、必要なセキュリティー対策を講じることとしております。 また、クラウドサービスについても、政府情報システムにおけるクラウドサービスの利用に係る基本方針を参照しながら、継続的に投資が行われ、事業リスクが最小化と考えられるクラウドサービスを活用しております。
その中において、民間との協力については、例えば重要インフラ分野において、重要インフラの情報セキュリティ対策に係る第四次行動計画に基づいて官民の情報共有体制を構築するなど、必要な協力を行っていくこととしているところでございます。
次に、令和元年十一月から令和二年十月までの間におきまして、会計検査院法第三十条の二の規定により国会及び内閣に対して報告いたしましたものは、福島再生加速化交付金事業等の実施状況に関するもの、国による地方公共団体の情報セキュリティ対策の強化に関するもの、低金利の状況下における政府出資法人の業務及び財務の状況に関するものの三件となっております。
一方、令和元年度決算検査報告においては、地方自治体の情報セキュリティー対策について、自治体により十分でない事態が指摘されています。この点も含め、自治体のシステムが統一・標準化されるまでの間も、デジタル庁が司令塔となって自治体のデジタル化を支援すべきと考えます。 地方自治体のデジタル化に対する国としての支援策について、デジタル改革担当大臣の御所見を伺います。
総務省では、平成二十七年度に地方公共団体の情報セキュリティー対策として、内部ネットワークを分割するなど、いわゆる三層の対策を講じるよう要請し、併せて補助金などによる支援を行いました。 この補助金に関して、会計検査院が平成二十九年十月から行った検査において、一部の地方公共団体でマイナンバー利用端末に二要素認証が導入されていないことなどに対し改善の指摘がなされたところであります。
また、情報管理に関しましても、調査員に対しましては、情報セキュリティー対策基準に従って情報漏えいの防止等について徹底をさせていただいたところでございます。 本年の調査において、来年の調査におきましては、本年の調査で認識した課題を踏まえまして、例年のスケジュール感で調査を実施できるよう、実施方法等について更に工夫をしていきたいというふうに考えておるところでございます。
中立性ということでありましたけれども、利用者等協会というやつができますけれども、利用者等協会は、電力データの活用が適切になされるように中立性を保持、確保しつつ、消費者保護や情報セキュリティー対策に万全を期すことが重要であります。
これは、仕事の性質そのものもありますけれども、個人情報を扱うゆえに、情報セキュリティー対策、これを厳しくしているという半面もあるんではないかと思うわけです。 自治体でのテレワーク導入状況が先ほどの三%、BCP対策の観点から課題は本当に大きいと思うんですが、自治体については、これ三層分離等セキュリティー上の制約を受けるというふうには承知しております。
また、さらに、委員会開催する場合には、議事の公開の要請への配慮、議員の本人確認、また自由な意思表明の確保などにも十分留意をしていただき、情報セキュリティー対策も適切に講じていただくということをお願いいたしました。
これを中心に人的体制の強化を図りまして、その中で、その裁判手続や法制に関する裁判所が元々持っている知見と、それから外部から得られるようなITの技術面に関する知見とを効果的に組み合わせていくということによりまして、裁判手続のIT化の検討、準備を進める過程で生じる様々な問題、課題、業務への対応をし、また、裁判事務の合理的、効率的な運用を図るための各種システムの最適化を図って、併せて情報セキュリティー対策
そこで、この民事裁判のIT化を進めるに当たってはサイバー攻撃からの防御など情報セキュリティー対策が非常に重要だと考えますが、どのように取り組んでいこうとしているか、お聞きをしたいと思います。
○最高裁判所長官代理者(門田友昌君) 委員御指摘のとおり、民事訴訟手続においては個人情報や営業秘密などの機微な情報を扱いますので、情報セキュリティー対策には十分な配慮を要すると考えております。
また、民間におきまして、もし事業者がお持ちのシステムに対してサイバー攻撃があったということであれば、これは元々の、あらかじめの対策若しくはその認定というものは、その事業者御自身の責任で行われるものと私どもは考えてございますが、例えば重要インフラ分野、情報通信、電力といったそういう分野におきましては、サイバーセキュリティ戦略本部、これは政府の組織でございますが、この重要インフラの情報セキュリティ対策に
具体的には、内閣官房のサイバーセキュリティセンターが定める情報セキュリティー対策のための基準がございます。これに基づきまして、各府省におきまして、行政手続のオンライン化に当たりまして適切なアクセス制御やログ管理等を行うことによりまして、リスク管理や安全性を確保するということになるわけでございます。
デジタル手続法案におきましても、情報システムの整備に当たり、情報セキュリティー対策を講ずる義務を国の行政機関等に課しております。具体的には、サイバーセキュリティ戦略本部が定めます、政府機関等の情報セキュリティ対策のための統一基準群に基づきまして、各府省庁において、手続のオンライン化に当たり必要な情報セキュリティーを確保するための対策を講ずることとしております。
本院では、今から十四年前の平成十七年に、会計検査院に対し、各府省等におけるコンピューターシステムに関する契約の状況、競争性、経済性の状況、電子申請などのシステム利用の状況、情報セキュリティー対策の状況等について検査を要請したことがあり、後日、要請に基づく報告書が提出されました。先ほど御覧いただいたものが抜粋になります。
まず、セキュリティーの対策という観点から申し上げますと、政府機関等において遵守すべきセキュリティー対策を定めております統一基準群、政府機関等の情報セキュリティ対策のための統一基準群というのがございます。
これを踏まえまして、求められる情報セキュリティーの水準がどこまで達成をされているかということを勘案をすること、それから、各機関、これは各省庁でございますが、情報セキュリティー対策の推進の責任者がその端末の利用の可否を判断をすること、このような端末を利用する場合には許可、ちゃんと届出をして、その端末の許可を与える、こういうことを定めなさいということを求めているところでございます。
現在どうなっているかということを申し上げますと、先ほど政府委員からもお答えをいたしたところでありますが、政府機関等の情報セキュリティ対策のための統一基準群というものがございまして、その中で、各政府機関の業務の遂行上、情報セキュリティー対策の観点から、各機関は省庁でありますが、各機関から支給された端末を用いて業務を遂行すべきものとされております。これが基本であります。
政府機関等におきましては、政府機関等の情報セキュリティ対策のための統一基準群というのを定めております。ここの中で、情報セキュリティー対策が必要なものを行うということにしてございますが、この統一基準群において、スマートフォンなどをモバイル端末というふうに定義をしております。このモバイル端末については、所要の情報セキュリティー対策を講じることによって利用可能であるということにしてございます。
○政府参考人(高橋俊之君) 日本年金機構のマイナンバー情報連携でございますけれども、これにつきましては、御指摘いただいたような情報流出事案でございますとか外部委託先の問題等ございましたので、これにつきましてはしっかりと日本年金機構における情報セキュリティー対策の強化をやってまいりました。
国といたしましては、昨今のサイバー攻撃による急速な脅威の高まりなどを受けまして、サイバーセキュリティ戦略本部におきまして、重要インフラの情報セキュリティ対策に係る第四次行動計画を決定しております。 ここの中では、ほかに代替することが著しく困難なサービスを提供する事業といたしまして、例えば電力、情報通信といった十四分野を重要インフラとして位置づけております。
具体的には、内閣サイバーセキュリティセンター、NISCが定める情報セキュリティー対策のための基準に基づいて、各府省において、行政手続のオンライン化に当たり、適切なアクセス制御やログ管理等を行うことにより、リスク管理や安全性を確保しなければならないわけであります。
お尋ねの情報セキュリティーの問題でございますけれども、本法案におきましては、内閣官房内閣サイバーセキュリティセンター、いわゆるNISCが定めます情報セキュリティー対策のための基準に基づきまして、各府省において、行政手続のオンライン化に当たり、適切なアクセス制御やログ管理などを行うことによりましてセキュリティー対策を講じていくこととしているところでございます。
そして、この法案においても、情報セキュリティーの確保のため、情報システムの整備に当たっては、情報セキュリティー対策を講ずる義務を国の行政機関等に課しています。 具体的には、内閣官房サイバーセキュリティセンター、NISCが定める情報セキュリティー対策のための基準に基づいて、各府省において、アクセス制御、ログ管理等を行うことになっています。
○平井国務大臣 各府省において、行政手続のオンライン化に当たりまして、適切なアクセス制御やログ管理等を行うことにより、外部システムとの接続による情報漏えいのリスクに対して必要な情報セキュリティー対策を講ずるとしています。 これは、官民両方がそれぞれ取り組まなきゃいけないし、アクセス制御、ログ管理、通信回線の暗号化とかウイルス対策みたいなものを当然やっていかなければなりません。
このため、交通分野のうち、特に機能が停止等をした場合に国民生活への影響が大きい分野といたしまして、航空、空港、鉄道、物流の四分野を重要インフラということで指定をいたしまして、政府の計画であります重要インフラの情報セキュリティ対策に係る第四次行動計画、これに基づきまして、情報セキュリティー対策を重点的に講じているところでございます。
個々の一つ一つのソフトウエアがどうかというところのチェックという形ではございませんが、政府機関におきましては、政府機関等の情報セキュリティ対策のための統一基準群というものがございます。これに基づきまして、ソフトウエアに関する脆弱性対策を実施するという形になってございます。