現在、原子力規制庁の情報システム室におきまして、情報システムの運用会社やサイバーセキュリティーの専門会社を使いながら、外部からの不正侵入の経路を詳細に把握するためのログ解析などを実施しているところでございます。まだ調査のめどというのが立っている状況にはございません。
いつ終わるかもわからない、数カ月かかりますというログ解析ですよ。そんなことでいいんでしょうか。だって、これ、誰がアクセスしたかわからないですよ。どんな情報が抜けたかもわからない。 今、更田委員長がおっしゃったとおりで、最高機密は入っていなかったかもしれないけれども、それに至るさまざまな議論、あるいはさまざまな情報は、当然、業務の中でやりとりが発生していると思うんですよ。
○政府参考人(大塚幸寛君) 今申し上げたような手続に従って行ったことでございますので、ログ解析などの調査を行う必要はないと考えております。
もう一点、ログ解析についてのお尋ねでございます。 政府共通プラットフォームのセキュリティーといたしましては、一つには、プラットフォームの基盤において、これを提供しております総務省においてファイアウオールなどの対策を講じております。
これ、ログ解析というんですけれども、そのログ解析を備えていないシステムがあるんですよね、幾つも。これは、もし情報が漏れたりしたら大変な問題になると思うんですけれども、ここら辺のセキュリティーシステムというのは改善すべき点があるんじゃないかと思いますが、そこはいかがでしょうか。
具体的には、システムの修補関係費用としては、中継サーバーの設定変更でございますとか原因特定のためのログ解析といったもの、追加的に講じた対策に要した費用としては、中継サーバーの増設費用でございますとか常時監視対応といったようなものでございます。
ログ解析の結果、それが二十三日に判明したのでということでは答弁されているわけですよ。 ということは、その十九台が、もしこれが仮に人事管理部のパソコン、本部のですよ、人事管理部のパソコンであったとすると、その時点でそのPCにどのような情報ファイルがあって、どのような情報ファイルが流出した可能性があるかというのは、五月の二十三日の時点で判明していなきゃおかしいわけです。そうでしょう、理事長。
とっくにログ解析は終わっているはずなんです。 それでは、個人情報保護法を所管する消費者庁にお尋ねをしたいと思います。 消費者庁では、国民の個人情報が流出した際には、被害防止の観点から注意喚起を促すなどの取組をされているというふうに承知をしているわけであります。 そこで、一般論としてお尋ねします、一般論。
理事長、五月の二十三日の時点で、これ前回答弁いただきましたけれども、既に十九台のPCについてはログ解析をした結果として大量の外部への不正アクセスがあったということが分かっているわけです。これは機構が発表されているわけです。既に五月の二十三日の時点で本部人事部にあったと思われる、ちゃんと言っていただけませんが、十九台の感染したPCのログ解析は終わっていたんですね。それはよろしいですね。
NISCがログ解析結果を受け取っていないということは、手順書に反するという旨の発言がありました。これは担当の方がそのように発言をしていました。 どういう点が手順書に反しているのか、これはNISCと大臣にお伺いをしたいと思います。
○塩崎国務大臣 西村先生が今御指摘になられました、五月八日の機構でのログ解析結果をNISCが受け取っていないのは手順書に反するという趣旨の発言を部門会議でしたようでございまして、結論から申し上げますと、その発言は正確ではなかったというふうに思います。
続きまして、また事実確認ですけれども、東京本部のパソコン十九台から大量のデータが外部送信をされたこの二十三日は、ここもまたログ解析を行ったのかどうか、お伺いをしたいと思います。
○水島参考人 大変申しわけございませんが、ログ解析の結果に関しましては、捜査情報にかかわりますことと加えまして、やはり解析能力ということを示すという面で、セキュリティーの面でもやや問題があるというふうに思っておりまして、本当に大変申しわけございませんが、開示をいたしておりません。お許しをいただきたいというふうに思います。
○水島参考人 ログ解析は行っております。
ログ解析の結果、このウイルスは中の情報を抜き取るタイプではなかったというのはその一週間後に判明をしておりますが、この時点のログ解析で何かが盗まれていますか。何か不審な情報で取られましたか。
○参考人(水島藤一郎君) 正確に申し上げますと、私どもの運用の委託会社がログ解析を行ったということでございまして、日本年金機構がログ解析を行ったということではございません。
○蓮舫君 衆議院の厚生労働委員会でこのことを問われて、ログ解析はしていないと認めていますよ。機構と厚労省の提出していただいた、今日資料でお配りをしておりますけれども、時系列の報告でも、ログ解析については一点も触れていません。我々の会議において、機構の担当者もログ解析については何も言っていません。なぜ今そんなログ解析を行ったと言われたんですか。
それができていないのか、していないのか、それはちょっとわからないですけれども、セキュリティー会社は例えばほかのメールでもログ解析とかは行っていないですか、セキュリティー会社自身は。
この調査の過程の中でログ解析をされたんだと思います。その中で、ある都内の海運会社のサーバーというふうに言われておりますが、このサーバーを特定されたんでしょうね、機構と外部不正アクセスのログを解析されたところ、この海運会社のサーバーのIPアドレスを特定をされて、その間に不正アクセスがあったことを確認をされたと。