2019-03-12 第198回国会 参議院 総務委員会 第3号
地方公共団体の情報セキュリティー対策につきましては、平成二十七年度以降、インシデント発生時の即応体制の強化や自治体情報セキュリティー対策の抜本的強化等について総務省では総合的な対策を推進してきたところであります。特に技術的な対策につきましては、委員御紹介のとおり、抜本的強化策としていわゆる三層から成る対策を講じたところであります。
地方公共団体の情報セキュリティー対策につきましては、平成二十七年度以降、インシデント発生時の即応体制の強化や自治体情報セキュリティー対策の抜本的強化等について総務省では総合的な対策を推進してきたところであります。特に技術的な対策につきましては、委員御紹介のとおり、抜本的強化策としていわゆる三層から成る対策を講じたところであります。
委員御指摘の特定のコンサルティング会社に限りませんが、内閣官房のサイバーセキュリティー対策にかかわる事業者につきましては、政府機関等の情報セキュリティ対策のための統一基準群、こういうものなどによりまして、情報の取扱いには細心の注意を払って進めているところでございます。
次に、平成二十八年十一月から二十九年十月までの間におきまして、会計検査院法第三十条の二の規定により国会及び内閣に対して報告いたしましたものは、租税特別措置(所得税関係)の適用状況等に関するもの、年金個人情報に関する情報セキュリティー対策の実施状況及び年金個人情報の流出が日本年金機構の業務に及ぼした影響等に関するもの、各府省等における職員の研修の実施状況等に関するもの、地方公共団体における社会保障・税番号制度
したがいまして、サイバーセキュリティ戦略本部におきまして政府機関等の情報セキュリティ対策のための統一基準というものを策定をいたしまして、必要な取組を行ってございます。 事柄の性質上、詳細については差し控えさせていただきますが、今後とも、諸外国の動向、サイバーセキュリティーに係る技術の進展を踏まえまして、引き続き、我が国におけるサイバーセキュリティーの確保に取り組んでまいります。
この本部において、重要インフラの情報セキュリティ対策に係る第四次行動計画なるものを決めてございます。ここの中で、情報共有に関する仕組みについても定めているものがございます。
したがいまして、諸外国の動向、サイバーセキュリティーに係る技術の進展を踏まえまして、サイバーセキュリティ戦略本部におきまして、政府機関については、情報セキュリティ対策のための統一基準というものを決めてございます。このサプライチェーンリスク等、必要な取組を行っているところでございます。
今、政府内も国会内もいろいろアタックを受けていると思いますが、サイバーセキュリティ戦略本部が政府機関等の情報セキュリティ対策のための統一基準というのをつくっておられますけれども、これは全部お読みになりましたか。
法務省職員が通常業務で使用しておりますパソコンにつきましては、法務省情報セキュリティ対策基準等に基づきまして、情報セキュリティーの必要性から、セキュリティーワイヤー等で固定し事務室内から持ち出せない取扱いとなっております。
総務省におきましては、取り扱う情報の機密性などの格付に従いまして、行政事務においてセキュリティーリスクを排除した適切な情報処理がなされるよう、政府全体の政府機関の情報セキュリティ対策のための統一基準に基づきまして、必要な安全管理措置などのルール、具体的には、先ほど御答弁させていただきました総務省情報セキュリティポリシーというものを定めております。
政府全体で申し上げますと、情報セキュリティー対策については、政府統一基準というもので定めております。また、これに基づいて、総務省情報セキュリティポリシーというものを策定し、これを運用しております。これが適正に運用されているかどうかという点については、私どもで把握をさせていただいております。
まず、地方公共団体の情報セキュリティー対策について、既に総務省の方では、インシデント発生時の即応体制の強化、そして業務システムにおけるセキュリティー対策の抜本的強化など、総合的な対策を推進してきているところです。
この指針におきましては、例えば、初診は原則として直接の対面による診療を行うことでありますとか、HPKIカード等を活用し患者が医師の免許確認を行える環境を整えることですとか、患者の医療情報の漏えい等がないよう十分な情報セキュリティー対策が講じられていることを確認することなどから成るルールを定めたところでございます。
四 データの収集・活用等を行う事業者が講ずべき情報セキュリティ対策等については、セキュリティ技術の多様化、国際化を踏まえ、政府において適宜必要な検討を行うとともに、人材の確保・育成等に対する支援の充実に努めること。
政府としても、重要インフラの情報セキュリティ対策に係る第四次行動計画を策定し、これに伴い、内閣サイバーセキュリティセンター、NISCですが、を中心として、重要インフラ、所管省庁が対策を進めております。この所管省庁というのは、金融庁、総務省、厚生労働省、経済産業省、国土交通省であります。 防衛省・自衛隊としても、これに対して情報提供等の支援を行うこととしております。
具体的には、政府機関における情報セキュリティー対策を定めた統一基準におきまして、政府機関の内部と外部のシステムにおいて共通のパスワードを使用すること、それから、政府機関の業務のために使用しているメールアドレスやパスワードを私的に利用することについて禁止しているところでございます。
まず、現状でございますけれども、総務省におきましては、政府機関における情報セキュリティー対策を定めました統一基準に基づきまして、総務省のセキュリティー対策基準を踏まえた情報システムのセキュリティー確保のための体制を整備しております。
具体的には、政府機関における情報セキュリティー対策を定めた統一基準において、政府機関の内部と外部のシステムにおいて共通のパスワードを使用することや、政府機関の業務のために使用しているメールアドレスやパスワード、これを私的に利用することについて禁止しているところでございます。
今回の事案では、中国の関連事業者に契約に違反して再委託をした、これが大変、契約違反、重大な問題であったわけでございますが、再委託先の事業者が取り扱った情報は氏名と振り仮名のみ、それ以外の情報は再委託先事業者に渡されていなかった、また、情報セキュリティー対策が組織面、業務面のいずれにおいても中国の関連事業者においては適切に講じられており、委託された入力情報も適切に管理、削除されて特段の問題はなかったという
当機構においては、情報セキュリティー支援業者に実地監査を委託し、一月三十一日から二月二日にかけ実施された中国の再委託先事業者に対する実地監査には当機構職員も同行しましたが、監査結果として、再委託事業者が取り扱った情報は氏名と振り仮名のみであり、それ以外の情報は再委託先事業者に渡されていなかった、当該再委託先事業者においては、情報セキュリティー対策が組織体制面、業務面のいずれにおいても適切に講じられており
これは、加藤大臣の記者会見で出ているのは、マイナンバーを通じて国と自治体が連携して情報共有して、受給者情報システムを簡略化する新たなシステムが今月始まる予定でしたが、延期との報道もありましたが、事実関係を含めて教えてくださいという記者からの質問に、日本年金機構のマイナンバー情報連携の開始時期については、情報セキュリティー対策あるいは地方公共団体とのテストの状況を関係機関で確認し、最終的には内閣官房において
○加藤国務大臣 昨年十一月の日本年金機構によるマイナンバーの情報連携を可能とする政令の閣議決定のときには、本年一月から稼働テストを行って、三月以降、順次開始したいという目標、そして、それに向けて準備を進めたいということを申し上げたわけでありますけれども、情報セキュリティー対策、地方公共団体のテストの状況を関係機関で確認し、改めて判断するということにしていたわけでありますが、今般、こうした事案が発生をしたわけでありますので
情報連携の開始時期については、情報セキュリティー対策や地方公共団体とのテストの状況、これを関係機関で確認し改めて判断するということにしていたわけでありますけれども、今般、日本年金機構の業務委託における事務処理が適切でなかった事案など、情報連携を実施するに当たって対処すべき課題が生じているため再延期するということにしたところであります。
その結果においては、中国の事業者に送られていたのは氏名部分のみで、マイナンバーや所得額等の情報は入っていなかった、また、当該再委託事業者においては、組織体制面、業務面のいずれにおいても必要な情報セキュリティー対策が講じられていた、委託された入力情報も管理、削除されていた、そして特段の問題もなかったという、これは日本IBMからの報告の概略でございます。
他方、克服すべき課題でございますが、民事裁判手続をIT化することに伴いまして、例えば弁護士等が代理人として選任されていない本人訴訟における本人へのIT面のサポート策をどうするか、また、IT化された裁判手続においてどのような情報セキュリティー対策を講じるかといった問題点が指摘されておるところでございます。
日本年金機構におきましては、再委託の事実を把握した後、情報セキュリティー対策支援の業務契約を締結しております日本IBMとともに実地監査を行いまして、その結果といたしまして、当該再委託先の事業者におきましては、情報セキュリティー対策が組織体制面、業務面いずれにおいても適切に講じられておりまして、委託された入力情報も適切に管理し、削除されている、特段の問題はなかった旨の報告を受けてございます。