2021-04-15 第204回国会 衆議院 総務委員会 第15号
○時澤政府参考人 まず、ガバメントクラウドにつきましては、政府情報システムのためのセキュリティ評価制度というのがございます。ISMAPというものですが、このISMAPに登録されたサービスから調達するということを原則にいたします。
○時澤政府参考人 まず、ガバメントクラウドにつきましては、政府情報システムのためのセキュリティ評価制度というのがございます。ISMAPというものですが、このISMAPに登録されたサービスから調達するということを原則にいたします。
○時澤政府参考人 ガバメントクラウドにつきましては、個人情報が漏えいしないように高度なセキュリティー対策を講じることとしております。
この段階においては、東京電力が自ら考えて、例えば、核セキュリティー文化の劣化の兆候等については東京電力が主体的に把握に努めることが重要であろうというふうに思います。九月の報告書の提出を受けましたらば、これは、東京電力の考える改善というものが果たして妥当なものか、それから、自らの文化をどのように捉えているかというところについては、更に検査、確認を進めてまいります。
更田委員長は、本日のこの調査会の場でも、先ほど青木委員の質問に対して、東京電力の核セキュリティー文化、あるいは組織的な背景の支障、さらには安全文化の劣化などが問われていると発言されておりました。また、菅総理は、原発を扱う資格に疑念を持たれてもやむを得ないと、東電に対してそういうふうに評価をしています。
で、今回、赤という判定になって、調べなければならないのは、個々の機器の機能喪失だけではなくて、東京電力の核セキュリティー文化や組織としての管理体制の在り方ですので、当然、更に遡って検査をしていく必要があるだろうと思っていますし、また、さらに、核セキュリティー文化が安全文化の劣化に及ぶようなものであるという考えに基づくのであれば、同じく管理体制の、それこそ東京電力福島第一原子力発電所以前の東京電力のビヘイビア
ガバメントクラウドについては、その安全性については、政府情報システムのためのセキュリティ評価制度であるISMAPに登録されたサービスから調達することを原則とし、不正アクセス防止やデータ暗号化などにおいて最新かつ最高レベルの情報セキュリティーが確保できることや、データセンターの物理的所在地が日本国内であることなどを選定基準とすることを考えています。
デジタル庁のセキュリティー対策についてお尋ねがありました。 デジタル庁は、内閣サイバーセキュリティセンターとも連携をするとともに、デジタル庁にセキュリティーの専門チームを置き、システムの検証、監査を充実することによってセキュリティー対策を強化していきます。 また、マイナンバー制度に個人情報の保護の観点から、従来より個人情報を特定の機関において一元管理するものではありません。
クラウドサービスの選定基準としては、政府情報システムのためのセキュリティ評価制度であるISMAPに登録されたサービスから調達することを原則とし、不正アクセス防止やデータ暗号化などにおいて、最新かつ最高レベルの情報セキュリティーが確保できること、データセンターを国内に置くことを含め、契約から開発、運用、廃棄に至るまで、国によってしっかりと統制できることなどを検討しております。
私自身も、自衛隊の働く年齢を延ばすということが極めて重要でありますし、何も、若い隊員さんが本当にその仕事に従事をしていくことが全体の安全保障上に活用できるかどうかという、ヒューマンリソースをどう整えていくかという課題を超えていくためには、やはり知見があり、そしてある意味セキュリティークリアランスをお持ちのOBの方に力を貸していただくというのが私は大事だというふうに思っております。
それから、WiFi環境につきましては、今年の二月から、四団地の集会所や管理サービス事務所におきまして、WiFi環境を整えて、ICT活用の有効性やセキュリティー対策を含むWiFi運用上の課題等について検討を始めたところでございます。 今後、これらの効果の検証、あるいは課題への対応策の検討を行い、多様な世代が安心してお住まいいただける、よりよい環境づくりを進めてまいります。
教育情報セキュリティーポリシーについて、昨年の十一月十三日の文科委員会で、私、取り上げさせていただきました。簡単に言うと、ガイドラインとハンドブックの策定が遅れていますよねということです。 二〇一九年にガイドラインが出て、ハンドブックを更新されていないという状況の中で、現場や教育委員会等では、やはり読みよいですから、ハンドブックの方を使うというのが通常です。
平成二十九年に文部科学省で策定しました教育情報セキュリティポリシーに関するガイドラインについては、その後具体化したGIGAスクール構想の実現に向けまして、学校現場でのクラウド活用が促進されるよう、令和元年十二月、クラウド・バイ・デフォルトの原則に基づきまして、クラウドサービスの利用におけるセキュリティー対策を新たに追加するなど、第一回目の改定を行いました。
また、標準化対象事務に係る法令又は事務を所管する大臣は、当該法令又は事務に係る地方公共団体情報システムに必要とされる機能等について、地方公共団体情報システムの標準化のため必要な基準を、内閣総理大臣及び総務大臣は、データの相互運用性の確保、サイバーセキュリティー等、各地方公共団体情報システムに共通して必要となる基準を定めることとしており、地方公共団体情報システムは、これらの基準に適合するものでなければならないこととしております
この新たなサイバーセキュリティーの、情報セキュリティーの基準については、早期に導入をすると、こういうことが大変重要なんだというふうに思っています。一方で、企業に対しては新たなやはり義務付けということになりますので、企業との間で丁寧な意見交換をし、彼らの理解をしっかり得た上で前に進めていかなければならないと、こういうふうにも考えておるところでございます。
このため、現在、防衛省といたしましては、防衛関連企業における保護措置を強化するため、米国防省が契約企業に義務付けているサイバーセキュリティーの基準、NIST・SP800―171という基準でございますが、これと同程度となるような管理策を盛り込んだ新たな情報セキュリティー基準を策定するための作業を行うとともに、企業において新たな情報セキュリティー基準に適合した保護措置が講じられるような支援の在り方についても
政府におきましては、サイバーセキュリティ基本法に基づきまして、戦略本部の下、サイバーセキュリティ戦略を閣議決定をしております。サイバー犯罪への対策を含む国民への安全、安心の実現等を目的として様々な対策を進めております。
ですから、規制庁に、更田委員長、今日来ていただきましたけれども、今後はやり方を変えて、テロ防護のセキュリティーをチェックする検査官を常駐させるという仕組みに変えたらいかがですか。
部外の人材の中途採用については、例えば、高度な知識、スキル及び豊富な経験や実績を持つ人材のサイバーセキュリティ統括アドバイザーとしての採用、また、サイバーセキュリティー要員としての防衛技官の選考採用などの取組を行っております。 幼少期からの適材発掘については、若い層に対する人材育成策としては、今年度から、陸上自衛隊高等工科学校においてシステム・サイバー専修コースを新設したところでございます。
他方、先ほど御答弁申し上げましたように、そういう教育訓練を受けた現職自衛官の中から、いわゆる情報システムやネットワークのセキュリティーに関する技術を保有する者を優先的にそういうサイバー防衛隊等に配置する、そういう考え方で現在対応させていただいているところでございます。
サイバー攻撃の脅威が日々高度化、巧妙化する中、サイバー空間における能力の向上は、先ほど大臣も申し上げましたように喫緊の課題でございまして、サイバーセキュリティーに関する専門的知見を備えた優秀な人材の安定的な確保が不可欠である、こう認識しているところでございます。
ワクチン接種記録システムにつきましては、政府機関等の情報セキュリティ対策のための統一基準、サイバーセキュリティ戦略本部決定に準拠して必要なセキュリティー対策を講じることとしております。具体的には、不正アクセスの防止、セキュリティーパッチの適用、脆弱性検査、ログの蓄積、アクセス制御、サプライチェーンリスク対策等のセキュリティー対策を講じることとしております。
この点も委員から御指摘がありましたけれども、もとより、刑事手続のIT化に当たっては、刑事手続で扱う情報の性質に鑑み、情報セキュリティーに万全を期すことが重要であると考えております。 先ほども申し上げましたが、法務省といたしましては、情報通信技術の活用によってより適正かつ迅速な刑事手続が実現できるよう、スピード感を持って検討を進めてまいりたいと考えております。
先ほども申し上げたところですが、もとより、刑事手続で扱う情報の性質に鑑み、情報セキュリティー対策に万全を期すことが必要でございますが、こういった観点も考慮しながら今後の検討がなされていくものと考えております。
また、ログを長期保存するということは、一方で、例えばサイバーセキュリティー上の問題であったり、新たなリスクをもたらす、コストのみならず、リスクについても出てくるという面についても配慮が必要と考えております。
核物質防護の規定において、私の役割は、核セキュリティー文化の醸成に関わる方針を示すことと、それに対する社長としてのチェックというのが大きな役割だと認識しております。その上で、個々のセキュリティーの不具合の事案につきましては、発電所において管理するというような、今のところのマネジメントの体制になっております。
また、それが公になることにより核セキュリティーに影響が生じる可能性がある情報についても、同様に公表を差し控えております。 今回の公表に当たりましては、三月五日に全ての設備が復旧し脆弱性が解消されたことから、規制庁の判定に関わる事実関係のうち、核セキュリティーに影響のない範囲で公表させていただきました。
そして、最後に、この核セキュリティーの事案、文化を根づかせるというのは、会社にそういうのを促すということだとは思うんですけれども、守秘性も高く、事案の共有もしにくくて、そういう中で、この核セキュリティーの文化が各原子力事業者に定着しているかどうかを確認をしたり促したりしていくという規制の在り方、これは非常に難しいものがあろうかというふうに思うんですけれども、今回の事案を通じて今後どのような取組をしていくのかについても
ある意味非常に特徴的なところでありまして、一般的には、この目的を問わず、付きまといというのは具体的な要件、行為の要件をもって定義するということでありまして、先ほどもありましたけれども、各国の法律を比べてみても、どうもなかなかこの目的要件というところは入っていないようでありますし、また、例えばネット上のセキュリティーを扱っている会社もこういうストーカーとか付きまとい行為って定義しているんですけれども、
いろいろあるんだと思っておりますけれども、このやっぱりセキュリティー確保の要件がちょっと厳しいとか、電子化の要件、あるいは、当然、通関するときに、例えば食品などの通関の場合にはこれ厚労省とか農水省の方で検疫の手続というのもあるわけでありまして、システム通すといってもそこがつながっていないと結局、じゃ検疫やるために出社するかということにやっぱりなってしまう。
通関業者の通関業務のテレワークの話でございますが、これ元々こういう通関業務は情報のセキュリティーの確保が重要ということで、許可を受けた営業所において行うことが原則でございますが、在宅勤務に係る社内管理規則等の具備が確認された場合には在宅で行うことを可能としてございます。
こういうようなナショナルセキュリティーに関する備えというのは、私は日本にも絶対必要だと思います。 感染症に関して言えば、それには医師の数というのが要るわけですね。 医師の需給予測というのをずっと見てみますと、昭和三十五年頃に人口十万当たり百五十人という目標が立てられた。昭和四十八年に、閣議決定で、無医大県の解消構想が立てられております。
清掃職員さんについても、庁内の情報セキュリティーの問題を考えたときに、外部の人間、果たして入れていいのかどうかという議論だって当然あるはずだと思うんですね。そうしたことを注意して、要はこの問題についてはアプローチしていただきたいということを指摘させていただきたいと思います。 聞きたいことがいっぱいあるんですけど、あと二分しかなくなりましたので、最後の質問の方に移らせていただきます。
総務省自治行政局選挙部長) 森 源二君 政府参考人 (総務省自治財政局長) 内藤 尚志君 政府参考人 (総務省自治税務局長) 稲岡 伸哉君 政府参考人 (総務省情報流通行政局長) 吉田 博史君 政府参考人 (総務省総合通信基盤局長) 竹内 芳明君 政府参考人 (総務省サイバーセキュリティ
このようなデジタル化は、地域住民の利便性を考えると、今後も進めるべきであると考えておりますが、一方、課題としては、現場におけるIT投資のコストやセキュリティーの問題があり、なかなか進んでいない状況もあります。医療、福祉におけるITインフラを国で準備するのも一つではないかと考えています。
内閣官房内閣人事局内閣審議官藤田穣君、人事院事務総局職員福祉局次長練合聡君、国家公務員倫理審査会事務局長荒井仁志君、内閣府地方創生推進室次長武井佐代里君、総務省大臣官房長原邦彰君、大臣官房総括審議官前田一浩君、大臣官房総括審議官竹村晃一君、大臣官房地域力創造審議官大村慎一君、自治行政局長高原剛君、自治財政局長内藤尚志君、自治税務局長稲岡伸哉君、情報流通行政局長吉田博史君、総合通信基盤局長竹内芳明君、サイバーセキュリティ
としており、行政のデジタル化に賛成ですが、あらゆる住民の利便性を高めるとともに、苦手な人も含めて誰も取り残さないこと、個人情報保護の対策を徹底すること、セキュリティーを確保すること、国民の監視に使用しないことなどを基本姿勢として進める必要があります。 日本のデジタル化には多くの課題があります。
オープンソース化にはセキュリティーリスクを指摘する声もありますが、むしろ、ブラックボックスであるよりもオープンとした方がセキュリティーを脅かす不具合を見つけやすいのです。アメリカでは、フェデラルソースコードポリシーを定めており、ソースコードの一部についてはオープンソース化しなければならないことになっています。
一方で、オープンソース化されたシステムは、セキュリティー面に不安があることに加え、オープンソースの開発に参加した者に不具合対応の責任がないため、緊急時に迅速なサポートが受けられない可能性があるといった指摘もされており、可用性、機密性、完全性が求められる基幹業務等のシステムにオープンソースを適用することには慎重な検討が必要だと考えております。