2021-05-27 第204回国会 参議院 厚生労働委員会 第19号
本年三月に公表された日医総研のレポートでは、サイバーインシデント発生時のルールに関し、サーバー、情報端末へのウイルス感染について、オンライン資格確認の導入を決めている医療機関の三分の二、六六・五%の医療機関が明文の、明らかな文のルールなしと回答しています。
本年三月に公表された日医総研のレポートでは、サイバーインシデント発生時のルールに関し、サーバー、情報端末へのウイルス感染について、オンライン資格確認の導入を決めている医療機関の三分の二、六六・五%の医療機関が明文の、明らかな文のルールなしと回答しています。
こういう中で、まず確認しておきたいのは、平時ですとかあるいはインシデント発生時、そもそも電力事業者と地元の自治体、連携体制ってどうなっているのかということをちょっと改めて確認をさせていただきたいと思いますし、同時に、これ当然地元自治体とのあるべき連携の姿って恐らくあるんだろうと思っています。
会計検査院の検査報告では、地方自治体において、マイナンバー利用事務ネットワークにおける認証が不十分であった事柄、マイナンバー利用事務ネットワークとインターネットの間で通信経路の限定がなく、住民情報の流出につながりかねない事例、そしてインシデント発生時の事業者との役割確認が行われていない事例が見付かりました。
地方公共団体の情報セキュリティー対策につきましては、平成二十七年度以降、インシデント発生時の即応体制の強化や自治体情報セキュリティー対策の抜本的強化等について総務省では総合的な対策を推進してきたところであります。特に技術的な対策につきましては、委員御紹介のとおり、抜本的強化策としていわゆる三層から成る対策を講じたところであります。
まず、地方公共団体の情報セキュリティー対策について、既に総務省の方では、インシデント発生時の即応体制の強化、そして業務システムにおけるセキュリティー対策の抜本的強化など、総合的な対策を推進してきているところです。
その具体的な体制としましては、最高情報セキュリティー責任者、いわゆるCISOのもとに、関係課室と連携をとりながらセキュリティー対策を講じておりますけれども、その際、セキュリティーの専門的な知識あるいは経験を有する外部の専門家を最高情報セキュリティアドバイザーに任命をいたしまして、システムのセキュリティー水準を高めるために、より堅牢なシステム構築やセキュリティーインシデント発生時の対処などに対応をいただいているところでございます
それでは、早速でありますけれども御質問させていただきますが、この新幹線の「のぞみ」、重大インシデント発生を受けまして発表がありました。私も大阪―東京を往復しておりますもので、本当にこのことについては不安に感じておるところであります。 その点について幾つか疑問点、また心配なところを御質問をさせていただきますが、今回の事案以前にも、平成二十八年五月の東武東上線での台車亀裂による脱線事故があったと。
その結果、この事案の原因といたしましては、日本年金機構及び厚生労働省のいずれにおきましても、標的型メール攻撃を始めとしますサイバー攻撃に対する危機意識が低く、インシデントに対処する体制や技術的な対応が不十分であったこと、また、インシデント発生後の組織内、組織間の情報や危機感の共有が欠如していたこと、それから、日本年金機構におきましては組織としての一体感の不足やルールの不徹底等の問題があったこと等が明
今の段階だと、インシデント発生時の対応は総務省の地域情報政策室ですか、そちらの方でやっていて、J—LISはかまないんだというふうな話も伺いまして、だったら、じゃこの集中監視機能は何で置くんだというような話にもなってきますので、しっかりとここのJ—LISがそうした機能もお持ちになっていただきたいと考えております。
国の行政機関によっては、その保秘の在り方、あるいはインシデント発生の際の関連企業等の特約条項などについて、省庁ごと、行政機関ごとに差があります。例えば、防衛省の関連企業による情報漏えいが発生した場合などはまさにそういった対応を行うというふうに以前改正されたと私は理解しています。
そして、インシデント発生時とかどういうことをやろうとしているのかと。具体的にどうセキュリティー対策を講じているのか、よろしくお願いします。
この再発防止策に基づいて、厚労省そして所管法人における情報セキュリティー対策の強化に向けて、組織的、人的業務運営、技術的対策、様々な観点から取組を進めてきているわけでありますが、具体的には、二十七年度、昨年度に、情参室において情報セキュリティーの外部専門人材の配置、そしてインシデント発生時に即応できるいわゆるCSIRT体制、これを強化をするための職員の増員というのを行いました。
○川田龍平君 昨年の質疑で私が、インシデント発生時の厚労省内の情報伝達の不手際、情報参事官室の人員拡充、医療保険者、介護保険者の個人情報取扱いの改善などを指摘したところ、その後、厚労省では、予算の確保や人員体制、手順書の見直し、職員の研修など、どのような取組を行ったのでしょうか。
そして、所管の法人に対しましても、インシデント発生時における当該法人と厚労省との役割分担の明確化、また、報告、連絡のオペレーションの改善等々についても力を入れて、これまでにも既に実施をいたしております。 先生おっしゃっておりますような、それほど高度なレベルでない攻撃型のサイバー攻撃に対してしっかりと対応できるように、これからも危機意識を持って対応していきたいと考えております。
さらに、自治体情報セキュリティ支援プラットフォームなどを通じまして、各自治体における専門的人材と申しますか、そういう方々の育成を図るとともに、外部の高度な専門人材との通常時からの交流等により、専門知識のさらなる向上とインシデント発生時の即応能力の強化を図っているところであります。
基本的には、先ほどの谷脇審議官の答弁のとおりでありますが、インシデント発生時に各府省庁が適切に対処できるよう、NISCにおいてはまず各省庁における人材、体制等の能力構築を支援していくとしておりますが、インシデント発生時に講ずべき具体的な措置のさらなる可能性については、今委員御指摘の点もありましたので、引き続き検討してまいります。
それに基づきまして、現在、インシデント発生時におけるNISCまでの連絡ルートの強化、緊急時対応計画の見直し、訓練の徹底等とともに、セキュリティー専門人材のノウハウを自治体の対策に生かすための仕組みとして、自治体情報セキュリティ支援プラットフォームの整備等を進めるとともに、インターネットのリスクへの対応ということで、安全性の確認、システム全体の強靱性の向上ということを図っておるわけでございます。
この報告を受けまして、インシデント発生時におけるNISCまでの連絡ルートの強化や、緊急時対応計画の見直しと訓練の徹底等を図るとともに、インシデント情報の共有や情報セキュリティー専門人材、これは民間人も含めて、ノウハウを自治体の対策に生かす仕組み等を鋭意推進しているところであります。
総務省においては、情報セキュリティーに係る専門家や実務家から構成される自治体情報セキュリティ対策検討チームの中間報告を踏まえまして、NISCとの連携を深めながら、インシデント発生時におけるNISCまでの連絡ルートの強化を図るとともに、インシデント情報の共有、マニュアルの策定や自治体の問い合わせ対応の充実等、情報セキュリティー専門人材のノウハウを自治体の対策に生かす仕組みづくりを鋭意推進しているところであります
これを受けまして、現在、インシデント発生時におけるNISCまでの連絡ルートの強化や、自治体の緊急時対応計画の見直し、それと訓練の徹底等を図りますとともに、インシデント情報の共有や情報セキュリティー専門人材のノウハウを自治体の対策に生かす仕組みづくりなど、様々な手法を組み合わせた多角的な取組を鋭意推進しているところでございます。
独法等との連絡につきましても、現在は課室長まで事案を報告することを徹底しておりますけれども、さらに対処手順書の見直しなどを行ってインシデント発生時の情報共有の徹底を図ってまいりたいと思いますけれども、その際の手順書などは、今先生御指摘のように、やはり一貫した哲学で、厚労省と同じ意識を持って、哲学を持って情報を守るというセキュリティーポリシーを共有していくということがとても大事だということを、今御指摘
これを受けまして、インシデント発生時におけるNISCまでの連絡ルートの強化や、あるいは自治体における緊急時対応計画の見直しと訓練の徹底等を図るとともに、インシデント情報の共有や情報セキュリティー専門人材のノウハウを自治体の対策に生かす仕組みづくりなどを今鋭意推進しているところであります。
この点について検証委員会の報告では、運用委託会社と機構との間の契約では、情報セキュリティーの確保について抽象的な仕様が規定されているのみで、インシデント発生時における緊急時、具体的なサービス内容について明確な合意はなされていなかったと、甲斐中委員長、書かれているんですが、要するに、サイバー攻撃がなされた際のウイルス解析というのが、これは契約には含まれていなかったということですね。
重大インシデント発生時の飛行記録装置などの記録、バッテリーの分解調査により判明した損傷の状況、高松で収集しました充放電試験のデータ等、さまざまなデータが集まってきておりまして、現在、損傷の状況についてはおおむね明らかになってきております。