2021-06-03 第204回国会 参議院 厚生労働委員会 第22号
そこの分の、要は、内部の情報、個人情報保護法のためのセキュリティーシステムについての予算は付いていないんですね。梅村委員からも若干指摘ありましたけれども、カードリーダーをただでもらえるんだけれども、セキュリティー対策に係る費用やその維持管理というところについても費用はなくて、そのサイバーリスクがあるということに対しても認識は非常に甘い。そういう部分は実は医療機関に丸投げになっているんですよね。
そこの分の、要は、内部の情報、個人情報保護法のためのセキュリティーシステムについての予算は付いていないんですね。梅村委員からも若干指摘ありましたけれども、カードリーダーをただでもらえるんだけれども、セキュリティー対策に係る費用やその維持管理というところについても費用はなくて、そのサイバーリスクがあるということに対しても認識は非常に甘い。そういう部分は実は医療機関に丸投げになっているんですよね。
そして、二つ目なんですけども、これはちょっとそもそも論の話になってくるんですけども、先ほど小沼議員からもお話ありましたけども、総務省のセキュリティーシステムに関して十八億円掛けたシステムが一度も使われることがなく二年間で終了という話がありましたけれども、非常に、やはりなぜかと考えると、やはりいろいろと縦割りの弊害が出てしまっているんだろうなというふうに私は思っております。
汎用性の低いシステムを利用してきた結果、日本企業のセキュリティーシステムは三世代前のレベルにとどまっているというようなことも言われております。 本当に緊張感を持って、これから、今回議論いたします法案については実行していただきたいというのを、まず冒頭申し上げたいと思います。 それでは、具体的な法案の中身についても二、三、確認をさせていただきます。
それで、こうした情報システムというのは国民の生活に関わるいろんな情報を扱っているからセキュリティーシステムは厳重にしなきゃいけないんだけれども、そのセキュリティーシステムの中にはセキュリティー上問題がなかったかどうかを検証する仕組みってあるんです。これ、ログ解析というんですけれども、そのログ解析を備えていないシステムがあるんですよね、幾つも。
地方公共団体が税や福祉といった業務を処理するに当たりクラウドを活用した場合のメリットといたしましては、情報セキュリティーシステムの運用経費の削減、そしてセキュリティー水準の向上、業務の効率化、標準化といったものがございます。
○政府参考人(三浦正充君) 警察庁としましては、信頼できるメーカーにその機器の製造を発注をするとともに、仕様書どおりに当該機器が製造され、必要なセキュリティーシステムも導入をされていることなどについてメーカーから証明書を発行してもらうことを検討をしております。
具体的な業務といたしましては、様々な組織におきますセキュリティーシステムの構築、組織内の体制の整備、これは言わば平時からの対応でございます。また、いざ現実に攻撃が行われた際におきますサイバー攻撃の分析、そして緊急事態の対応、こういったもろもろの業務に関します専門的な観点からの調査とか指導、助言、そしてこれに関する人材の教育、こういったものを想定させていただいております。
自治体情報システムの構造改革推進事業でございますけれども、自治体クラウドの推進でございますとか情報セキュリティーシステム、マイナンバーシステム、それから今御指摘のございますデジタル方式に移行した消防救急無線システムの運用に要する経費ということで、現在における地方団体の情報システム関係の事業で喫緊を要するもの、これをまとめて重点課題対応分ということで措置させていただいたわけでございます。
また、やっぱり情報の漏えい等のセキュリティーシステムについては大変国民の皆さんも敏感になっておりますので、二度と日本年金機構のようなことが起こらないように、関係機関の皆様方、また政府関係者の皆様方、よろしくお願いいたします。
この意識やガバナンスということ、これはもちろん大事なことなんですが、高度なセキュリティーシステムというのを今後考えていかなければいけないというふうに思っておりますが、厚生労働省としては、この辺りについては、日本年金機構のことだけではなくて厚生労働省全体として、それで、隠蔽体質がどうだという話はありますが、このセキュリティーのシステムについてはどのようにお考えになりますでしょうか。
だとすると、じゃ、この世に存在するそのようなセキュリティーシステムといいますか、その強固な、鉄壁な守りを持っているぞというような機関ってどういうところがあるんだろうと思ったら、どこなんですかね。例えば、日本でいえば防衛省だったり警察だったりというんだったら、例えばアメリカの国防総省とか、多分、すごい強固なイメージありますよね、強そうなイメージがありますけど。 じゃ、お聞きしたいと思います。
これは、当省が設置しておりますセキュリティーシステムに引っかかったと、こういうことでございます。 この不審な通信先への通信の試行は、当省のシステムセキュリティーによってブロックされておりまして、そこから情報が出たということはございません。セキュリティー機能によってその試行は成功しなかったということでございますが、念のためネットへのウエブ閲覧を全部遮断しました上、原因の調査を進めました。
私は何を心配しているかというと、仮に対策費が、これは単に手紙を送るということじゃなくて、多分、そろそろ我々は本質的な問題にしっかりと向き合っていかないといけないのは、今のセキュリティーシステムだけでは同じようなことが再び発生してしまうのではないのか。 もちろん、今回いろいろ、例えば係長さんが出てきて、ヒューマンエラー的なことがあったことも私はこれは認めるべきだと思います。
前回、五日の委員会で、私は、年金機構のほかに、協会けんぽ、そして健康保険組合、地方公共団体の基本的なセキュリティーシステムについて質問をしました。 きょうは、初めに、国税庁と税務署のシステムについて確認をしたいと思います。
総務省にお伺いしますが、前回の委員会で、地方公共団体の基本的なセキュリティーシステムについて私は質問をしました。 住民基本台帳、また地方税、国民健康保険など、地方自治体には複数の重要な個人情報データベースがあります。
きょうは、マイナンバーで情報連携を行うことが想定されている公的機関、日本年金機構、保険組合、また地方自治体が保有する個人情報データベースを守るための基本的なセキュリティーシステムについて質問したいと思います。 六月二日の参議院の連合審査で、山口大臣は、マイナンバーのシステムを例に、インターネットからの不正アクセスを遮断する二つの基本的な方法について答弁をされました。
○若松謙維君 ということで、先ほど言いましたが、まず中央省庁、本庁ですね、あわせて独法、これは法律に、法律なんですかね、例えばITのセキュリティーシステムの確保というものを、それなりにやるようにかなり義務化されているわけですが、ちょっと離れたところですね、これは恐らく山口大臣も今後検討していただくと思うんですけど、是非併せてよろしくお願い申し上げます。
要するに、いろいろありましたけれども、年金機構の情報管理のずさんさもあるんですけれども、要するにどんなセキュリティーシステムを構築しても、サイバー攻撃との戦いは続いて、絶対安全ということはあり得ないわけですね。それがはっきりしたんだというふうに思います。しかも、今回の改正では預貯金口座までナンバーを付けると。
例えば、テロ行為において利用され得る空港等の重要施設への侵入方法、侵入の経路でありますとかセキュリティーシステムの解除方法でありますとか、あるいはテロ行為に使用される武器の使用方法等の情報については、これは資金の提供などと比べても、テロ行為の実行を助長、促進する危険性というものについては、場合によっては資金よりも高い場合もあるわけでございまして、こういったものについては、やはり当罰性があるものと考えて
また、情報につきましても、テロ行為等の実行に資するもの、例えば空港等の重要施設への侵入方法、これには侵入経路でありますとかセキュリティーシステムの解除方法でありますとか、こういった情報、あるいは武器そのものの使用方法という情報、こういったものについてもテロ行為等の実行に資する利益に該当するものと考えております。
○行田邦子君 それが二条、三条の方は分かるんですけれども、情報といったものがその他利益に含まれるといったことで、それは重要施設の侵入経路とかセキュリティーシステムの解除とかというのは理解ができるんですけれども、四条一項で言うその他利益に含まれる情報というのは、例えばなんですけれども、テロ企図者に建物を提供しようとする者に対して物件情報を提供した、あるいは提供しようとするという場合も当てはまるんではないかと
○国務大臣(山谷えり子君) 情報セキュリティーシステムについては、警察の特殊性を踏まえつつ、内閣官房情報セキュリティセンターが策定した政府機関の情報セキュリティ対策のための統一基準群に準拠した警察情報セキュリティポリシーを策定いたしまして、この警察情報セキュリティポリシーに基づいて情報の流出等を防止する観点から、内部のネットワークとインターネット等の外部のネットワークを物理的に分離するなど、技術的環境
お尋ねのいわば情報というものでございますが、例えば、御指摘のような空港等の重要施設への侵入経路でありますとか、セキュリティーシステムの解除でありますとか、こういった方法についての情報については、これはその他の利益に該当するものと解されると思います。
例えば、空港など重要施設への侵入経路、あるいはセキュリティーシステムの解除方法といったものを、経済には関係ないけれども、経済的価値は認められないけれども、情報としてテロ行為などの実行に使われるというふうなこと、このようなこともその他の利益に含まれるのかどうか、御答弁をお願いいたします。
ただ、日米間で、どういった形で自動指紋識別システムをつくり上げていくか、それから通信回線はどんな仕様にするのかとか、あるいは、今、前の高木委員の答弁でもさせていただいたように、セキュリティーシステムをどういうふうな基準でやっていくのか、こういった協議を綿密に行っていく必要があります。
全国に二百ぐらい無人のセキュリティーシステムを運営しているという小さな企業がございましたけれども、そこの事務局長さんの女性にお聞きをしましたら、彼女は、実は、それを運営することも大事だけれども、自分はそこの島にいるためにその仕事はしていると。