2021-06-07 第204回国会 参議院 決算委員会 第9号
一方、また、婚活アプリ百七十万人分の個人情報が不正アクセスされ、流出するという事態も起こっております。あるいは、郵便局の五千七百の局で、投資信託、国債など金融商品を取引した顧客の情報を含む書類が紛失、少なくとも六万七千人分の記録が保管されていなかったという報道が出ています。今調査中だと聞いております。
一方、また、婚活アプリ百七十万人分の個人情報が不正アクセスされ、流出するという事態も起こっております。あるいは、郵便局の五千七百の局で、投資信託、国債など金融商品を取引した顧客の情報を含む書類が紛失、少なくとも六万七千人分の記録が保管されていなかったという報道が出ています。今調査中だと聞いております。
○川田龍平君 いや、これ今朝のニュースでも、富士通のシステムに不正アクセスがあって複数省庁で情報流出したと。これ内閣サイバーセキュリティセンターと国土交通省と外務省が情報流出があったと今日も発表していますけれども、これ、本当にこういう状態なんですよね、今。不正アクセスはもう防ぎ切れないという状況です。
一般に、地方公共団体が自ら調達、利用するクラウドサービスについて、不正アクセス等により個人情報の漏えい等の被害が発生した場合の責任の所在は、一義的には調達主体である地方公共団体にあると考えますが、具体的には、クラウドサービス提供事業者、利用者等、関係者の責任分界に関する契約内容やインシデントの具体的な原因によって異なるのではないかというふうに考えられます。 以上でございます。
当該報告によると、各地方公共団体において不正アクセスや情報漏えいの有無等について調査を行い、その結果等を踏まえて、必要に応じ、不正アクセスによる情報漏えいの可能性があった個人に対して通知やおわびを行うなどの対応が行われたものと承知をしております。
マイナンバー制度では、個人情報保護の観点から、マイナンバーを取り扱う者について、本人からマイナンバーの提供を受けるときは顔写真付きの本人確認書類による本人確認を行う、このことが義務付けられるとともに、不適切な取扱いに対し個人情報保護委員会が立入検査できる、また外部からの不正アクセス、こうした行為に対する厳格な刑事罰を科する、こうした対策をしっかり講じていきたい、このように思います。
○伊藤孝恵君 そのIDとパスワードというのは、多要素認証を用いてこの不正アクセスを防止すると言っている状態なんでしょうか。この自治体向け説明会でそのようにおっしゃっていたので、多要素だというふうに私も思っていたんですけど、IDとパスワードだけだったら、これつまり記憶による一要素認証になるわけですね。これ、セキュリティーが甘いという指摘があります。
また、一橋大学、慶応義塾大学、そういったところにもそのアクセスはあったという報告は受けておりますけれども、そのほかの文科省の所管法人からはその件に関する不正アクセス等の報告はこれまでのところございません。
また、不正アクセスやサイバー攻撃による事故も発生していると認識しておりますけれども、昨年における個人情報漏えい件数と、何人分の情報が漏えいしたのか、確認をいたします。
顧客情報管理ソフトウエア大手のセールスフォース・ドットコムが手掛けるクラウドサービスを利用する地方自治体での不正アクセス被害が次々に明らかになりました。このセールスフォース・ドットコムのクラウドサービスを利用する自治体は九自治体、約十一万人に及ぶそうです。つまり、十一万人の住民が個人情報漏えいの危険にさらされていたということになります。
そして、こうした不正アクセス事案を含めて、サイバーセキュリティーリスクの高度化、複雑化が進んでいますので、デジタルガバメントの推進に当たっては、関係省庁が緊密に連携して、検査、監視、事案対処等の一連のセキュリティー対策を強化しなければならないと考えています。
内閣府、ファイル共有ストレージに対する不正アクセスということです。 資料は配っておりますので、詳細は結構ですので、簡潔に原因と今後の対応を御説明願います。
今委員から御紹介いただきました、内閣府職員等が外部との間でファイルの送受信を行う際に利用しているこのファイル共有ストレージに対して不正アクセスがなされたものでございます。 この不正アクセスを検知後、直ちにこのストレージをネットワークから遮断し、利用停止の上で調査を実施してまいりました。
その際、選定基準を設けるわけでございますけれども、不正アクセス防止やデータ暗号化などにおいて最新かつ最高レベルの情報セキュリティーが確保できることですとか、クラウド事業者間でシステム移設を可能にするための技術仕様等が公開され客観的に評価可能であることですとか、現在IT室において策定中でございますけれども、そういった技術要件等を全て満たすことなど、そういったことを、基準を満たしていただくことを考えておりまして
これは、不正アクセス行為の禁止に関する法律が適用になると。 そして、ガバメントクラウドの実装に当たっては、最新かつ最高レベルのセキュリティーとアクセス制御技術を持つ複数のクラウド環境を採用する予定であり、分散管理や不正アクセス防止策は現行システムよりも更に高度になると考えております。
先ほど先生の御指摘の個人情報保護の観点からも各種の対策を講じていまして、まず一つは、マイナンバーを取り扱う者に対する漏えい防止など安全管理措置の義務付け、不正アクセス行為等に対する刑事罰の強化、個人情報保護委員会による必要な指導など、マイナンバーの適切な取扱いを法律上担保しています。
その上で、不正アクセス防止やデータ暗号化などにおきまして最新かつ最高レベルの情報セキュリティーが確保できること、加えまして、データセンターの物理的所在地が日本国内であること、さらに、一切の紛争は日本の裁判所が管轄するとともに、契約の解釈が日本法に基づくものであること、こういったことを契約等により担保できることなどを選定基準とするということを考えております。
また、情報の一元化が進む中で予想されるシステムの脆弱性をついた不正アクセスをどう防ぐのか。さらには、内閣総理大臣を長とするデジタル庁が集約した個人情報が内閣情報調査室を通じて官邸に吸い取られるのではないかとの懸念に総理はどう答えるのでしょうか。 この個人情報の問題については、衆議院で我が党が個人の権利利益を十分に保護することを内容とする修正案を提案しましたが、受け入れられませんでした。
ガバメントクラウドについては、その安全性については、政府情報システムのためのセキュリティ評価制度であるISMAPに登録されたサービスから調達することを原則とし、不正アクセス防止やデータ暗号化などにおいて最新かつ最高レベルの情報セキュリティーが確保できることや、データセンターの物理的所在地が日本国内であることなどを選定基準とすることを考えています。
クラウドサービスの選定基準としては、政府情報システムのためのセキュリティ評価制度であるISMAPに登録されたサービスから調達することを原則とし、不正アクセス防止やデータ暗号化などにおいて、最新かつ最高レベルの情報セキュリティーが確保できること、データセンターを国内に置くことを含め、契約から開発、運用、廃棄に至るまで、国によってしっかりと統制できることなどを検討しております。
防衛関連企業においては、こうした防衛省との契約等に基づき情報保全のための必要な保護措置を講じていると承知しておりますが、近年、防衛関連企業に対する不正アクセス事案が起きており、外部と接続していない社内のネットワークシステムで管理されている秘密等の情報が外部に流出したものではないものの、十分な保護措置が講じられていない外部と接続されたネットワークシステムにより保護すべき情報が取り扱われ、これらが外部に
今ほども申し上げましたけれども、企業におきましては必要な保護措置を講じていたとしても、不正アクセスを行う側の手口がより巧妙になれば不正アクセスが行われる可能性があることは否定できないところでございます。
本年三月二十六日に、三菱電機株式会社は、同社が契約するクラウドサービスに対する不正アクセスにより国内の取引先の金融機関口座などの情報が外部に流出したことを公表いたしましたが、その情報の中に防衛関連情報が含まれているか否かについては、これを公表すると更なる不正アクセスを誘発することも考えられるため、現時点ではお答えは差し控えさせていただきます。
具体的には、不正アクセスの防止、セキュリティーパッチの適用、脆弱性検査、ログの蓄積、アクセス制御、サプライチェーンリスク対策等のセキュリティー対策を講じることとしております。 御指摘いただきましたセキュリティー対策はしっかりと進めてまいりたいと思います。
また、ガバメントクラウドの実装に当たりましては、最新かつ最高レベルのセキュリティーアクセス制御技術を持つ複数のクラウド環境を採用することといたしておりまして、分散管理や不正アクセス防止策は現行システムよりも高度になるものと見込んでいるものでございます。
○国務大臣(岸信夫君) 近年、防衛省が装備品の製造請負等の契約を締結した企業に対する不正アクセス事案が起きておりまして、防衛産業に対するこうしたサイバー攻撃に対する情報セキュリティー対策を強化することが重要な課題となっております。
今回の不正アクセスに関しては、これが発生したこと自体、また規制委員会と外部との連絡に通信上の支障が生じていること自体は、大変みっともない、深刻な事態だというふうに考えています。また、申請者であるとか事業者に対して、審査や検査で影響が出ないように努めてはおりますけれども、それでもやはり迷惑をかけていることは事実であって、これは遺憾に思っております。
○山崎委員 この不正アクセス、サイバー攻撃、こういう事態が発生したときの対応は、規制委員会としてはどんな対応をルールとして決めていらっしゃるのかお聞きしたいんですが、いかがでしょう。
三菱電機に対する不正アクセス事案につきましては、企業側において流出した可能性のある情報が記録されたデータファイルを精査していたところ、防衛省の装備品に係る研究試作の入札に関する情報で、総合評価落札方式の評価基準や研究試作を行う装備品に対する性能等の要求事項に関する注意情報が含まれていたことが判明しております。
先ほど申し上げたように、現在、まだ三菱電機側と防衛省におきまして情報について確認をしておるところでございまして、そうした調査が今後取りまとめられた後に同社に対する不正アクセス事案の全容が明らかになるということでございますので、そうした段階で検討し、判断をしてまいりたいと考えております。
今般、防衛省が指定した秘密等の情報を取り扱う防衛関連企業に対する一連の不正アクセス事案が生起したことを踏まえまして、再発防止策の一環として、防衛関連企業から秘密等の情報に係る不正アクセス事案が報告された場合における防衛省内及び内閣官房のNISCを含む関係省庁等との間の速報体制等をより万全なものとするためのルールの改正を行ったところでございます。
それから、不正アクセスによる場合、財産的被害に至るおそれがある個人データの漏えいを対象とすることを予定しておりまして、これらの類型につきましては、件数に関わりなく報告の対象とする予定でございます。また、これらの漏えいに該当しない場合であっても、一定以上の、一定数以上の大規模な漏えいについては安全管理措置の観点から問題があるとも考えられますので、報告の対象としたいと考えております。
具体的には、個人データの性質と漏えいの態様に着目をいたしまして、まず要配慮個人情報の漏えい、それから不正アクセスによる漏えい、財産的被害に至るおそれのあるデータの漏えいについては、件数に関わりなく報告の対象とすることを想定をしております。
例えば、海外の大手IT企業に指導を行った事案、海外における大規模な不正アクセス、それから海外のドメインを使用する事業者への対応などで各国当局と連携をしてまいりました。また、海外当局との執行協力体制を強化するための枠組みでございますグローバルプライバシー執行ネットワークという団体がございますけれども、こういうところにも参加をして関係を深めてまいりました。