2021-04-02 第204回国会 衆議院 内閣委員会 第14号
LINE社から委託先に付与していた個人データへのアクセス権限をサーバーから削除するとともに、中国の委託先のIPアドレスからの接続ができないようにネットワークレベルでの遮断をしたという報告を受けまして、当委員会としましては、これらの方法は一定の信頼を置けるものと考えた上で、これらの方法が実際行われているかどうかを一定程度確認をいたしました。
LINE社から委託先に付与していた個人データへのアクセス権限をサーバーから削除するとともに、中国の委託先のIPアドレスからの接続ができないようにネットワークレベルでの遮断をしたという報告を受けまして、当委員会としましては、これらの方法は一定の信頼を置けるものと考えた上で、これらの方法が実際行われているかどうかを一定程度確認をいたしました。
○青柳委員 私も、繰り返しますが、委託先の対応が悪かったとか、その委託先の手続が悪いとか、そういうことを言っているわけじゃありません。それから、公平に扱え、これは当然のことですよ。不公平にやれなんて言っているわけじゃないんです。 この申請期限というのは、繰り返しますよ、大臣、内部ルールです、内部ルール。今、要件とおっしゃいましたけれども、要件より低いです、内部ルールですよ。
この中では、委託先において必要な情報セキュリティー対策が確実に実施されるように、委託先、これは国内外を問いません、委託先によるアクセスを認める情報、それから情報システムの範囲を判断する基準を整備をしてくださいということを求めております。これを受けまして、各行政機関において、委託する判断基準を作成をするというものと認識をしております。
○福浦政府参考人 LINE社から提出をされました委託契約書には、移転先に法の遵守を義務づけますとともに、同委託先への定期監査を実施することなど、個人情報保護法ガイドラインに記載された内容が盛り込まれておりまして、委託契約書の内容に問題があるとまでは考えてございません。
○福浦政府参考人 LINE社から提出されました委託契約書には、委託先に法の遵守を義務づけるとともに、同委託先への定期監査を実施することなど、個人情報保護法ガイドラインに記載された内容が盛り込まれておりまして、委託契約書の内容に直ちに問題があるとまでは考えてございません。
次に、無料通信アプリLINE利用者の電話番号など個人情報が利用者への説明が不十分なままに業務委託先の中国企業から閲覧可能だったという問題についてなんですが、自治体などがLINEを活用した行政サービスの利用を停止する動きが相次いでおります。
金融機関には、資金決済法等において、利用者に関する情報の安全管理、従業員や委託先の監督について情報の漏えい等の防止を図るために必要かつ適切な措置を講ずる義務が課されております。
また、二点目は、個人データの取扱いを別の事業者に委託又は再委託をする場合は、委託元におきまして、当該委託先等における個人データの安全管理につきまして監督を行うことが求められておりますが、これが適正かどうか。 これらの点につきまして事実に基づく調査を行うべく、社外秘の情報も含めまして必要十分な資料を確認するために、三月十九日に個人情報保護法に基づく報告徴収を行ったところでございます。
個人情報保護委員会において、外国にある第三者への個人データの提供、委託先等の監視等に関する個人情報保護法の規律の遵守状況についての資料の提出を求めたのに対して、昨日報告されたと聞いておりまして、まず、個人情報保護委員会の方で、そういう問題に対して現在説明できるような状況になればいいなと私は思っております。
○国務大臣(平井卓也君) 当該再委託先については、関係省庁等データ連携基盤に係るアプリケーション開発のために必要なエンジニアを確保する必要があることから、先ほどお話ししたとおり、再委託を行われました。なお、再委託に当たっては、個人情報の取扱業務の委託が行われていないということでございます。
現時点で再委託先は一社でございまして、端末の事前設定、動作試験、配送、改修の一部、そういったものについて委託するものでございます。 再々委託としては五社を予定しておりまして、端末の事前設定、充電、そういったものについて再々委託をするということになっているところでございます。
○国務大臣(平井卓也君) コンソーシアムを構成する日本ビジネスシステム株式会社の再委託先であるJBS・USA・インク、これはカリフォルニアに所在しておりますが、これは日本ビジネスシステムズ株式会社の一〇〇%の子会社で、そこのアプリケーション開発のエンジニアを使っているということでございます。
まず、大臣にお尋ねしますが、北陸新幹線が、御案内のとおり、二〇二二年度末開業というのが、具体的に申し上げますと、独立法人通則法によって、毎年、大臣から所管の委託先の鉄運機構に指示を出しております。昨年度の指示も、二〇二二年度末で指示を出しています。ちょうど年度替わりで、来年度、四月一日に目標数値を出さなあかんのですが、一年遅れるわけです。
○本村委員 ファイル全体もあるということで、先ほども住宅金融支援機構のものを出させていただきましたけれども、委託をする場合、かなりの膨大な個人情報が委託先に行ってしまうということになってくるわけでございます。 以前、総務省は、地方公共団体の非識別加工情報の作成・提供に係る効率的な仕組みの在り方に関する検討会を行っておりました。
○田原(泰)政府参考人 各金融業法などにおきましては、金融事業者に対して、利用者に関する情報の安全管理ですとか従業員や委託先の監督につきまして、情報の漏えい等の防止を図るための必要かつ適切な措置を講じるという義務が課されているところでございます。
○本村委員 こういう組織、加工する組織も検討をして、これは検討を中断したわけですけれども、個々に委託をするのか、こういう組織に委託をするのか、どういうふうに考えているのかお示しをいただきたいのと、どんどんどんどんそういう委託先に個人情報がたまってしまうということになると思いますけれども、その危険性について、平井大臣、御答弁を。
一般論として申し上げますと、製品、サービスのサイバーセキュリティーを確保するためには、委託先ですとか取引先を含めまして、設計、開発、運用等のサプライチェーン全体での信頼性を確保していくということが必要になってまいります。
中国における委託の状況と、日本企業の海外委託先の従業員が日本国内のデータセンターのデータにアクセスをして委託業務を行うという事例は、一定程度の数があると承知はしてございます。 ただ、そういった実態があるという中で、私ども個人情報保護委員会としましては、実態調査につきまして前向きに検討したいというふうに考えているところでございます。
海外の委託先事業者への個人データの提供につきましては、実態を把握することが課題となっておりまして、個人情報保護委員会において実態調査を検討していくものと承知しております。
また、個人データの取扱いを別の事業者に委託又は再委託する場合につきましては、委託元におきまして当該委託先における個人データの安全管理についてきちんと監督を行うことが求められてございます。 本件につきましては、今申し上げたような個人情報保護法の規律の遵守状況を含めまして、事実関係の詳細につきまして、現在、Zホールディングス社及びLINE社に説明を求めてございます。
LINEの中国の関連会社、これは上海にあるもの、また委託先、大連にあるもの、こういったところから、日本の八千六百万人加入しているLINEの個人データ、氏名、電話番号、ID、それからまたトークの中に入っている文章や画像、これらがそれらの中国側から、会社、関連会社からいつでも見られるというような状況で、二年三か月にわたってそういう状態が続いたということが明らかになりました。
また、個人データの取扱いを別の事業者に委託又は再委託する場合、委託元において、当該委託先等における個人データの安全管理について監督を行うことが求められております。 現在、個人情報保護委員会において、外国第三者への個人データの提供や、委託先の監督等に関する個人情報保護法の規律の遵守状況を含め、事実関係の詳細についてZホールディングス社及びLINE社に説明を求めているところでございます。
○福浦政府参考人 日本企業の海外委託先の従業員が日本国内のデータセンターのデータにアクセスをして委託業務を行うという事例は多く見られると承知をいたしております。 そういう実態があるという中で、実態調査につきまして前向きに検討してまいりたいというふうに考えております。
もう一つ、法律にひっかかり得るところがあって、一ページ目に戻りますが、委託先の監督という責任があります。これは孫会社に対してもあって、A社、B社、C社となっていますが、A社がLINE株式会社だと思ってください。B社がLINEプラスコーポレーション、韓国の会社。C社、孫会社がLINEデジタルテクノロジー社だと思ってください。
○福浦政府参考人 個人情報保護法上、委託につきましては、委託元は、委託に伴って提供する個人データにつきまして、自ら講ずべき安全管理措置と同等の措置が講じられますように、委託先に対して適切な監督を行うことが求められます。委託先が更に再委託を行う場合には、委託元は、委託先に対する必要かつ適切な監督を通じまして、再委託先における安全管理が図られるようにする必要がございます。
NHK予算に付した総務大臣意見においても、寄せられた苦情等を踏まえ、委託先を含めた受信契約の勧奨業務の適正を確保すること等について指摘しているところでございます。 さらに、全国の消費生活センター等に寄せられたNHKに関する御意見等の内容について、調査、分析を実施する等、必要な対応を引き続き行ってまいりたいと考えております。
これは報道の中でも、今回は中国再委託先から閲覧ができる状況にもあって、情報が流出するそういった状況が、今後、どのような人がどのようなデータにどういう形でアクセスできたのか、あるいは、実際にどれだけのアクセスがあったのか、どういう内容が閲覧されたのか、そういったことの確認も必要だと思いますし、そういうことがやはりしっかりと、これは政府においても、個人情報保護委員会が報告はもう受けているわけですから、連携
その規律に対してどうかということと、委託が絡んでまいりますと、委託元においてちゃんと委託先を安全管理について監督できているかといった点あたりが今後議論になってくるのかというふうに思います。
今後、当委員会におきまして、事実関係の報告を受け、確認の上、適切に対応してまいりたいというふうに考えてございますけれども、現行の個人情報保護法上、現時点の報道の範囲で考えられるチェックポイントといたしましては、外国の第三者への個人データの提供に関する規律と委託先の監督責任に関する規律が考えられるんじゃないかというふうに現在把握しております。
このため、給付要件を満たしていない可能性がある一部の方に対して、中小企業庁の委託先である法律事務所から給付要件を満たしているか否かについての認識を確認する書面を送付しております。
そのために、事業者の選定に当たりましては、委託先事業者を含む複数の事業者に照会をした上で、必要とする物品又はサービスの提供者がほかに存在しないことを確認した上で、会計法令にのっとり随意契約によるものとしております。 これのその契約手続をやりましたのはIT室でございます。
このモデル事業では、まず、地域の実態調査と事業実施計画の策定をいたしまして、そして、事業の実施、効果検証という一連の取組を行うこととしており、委託先の地方公共団体においては、地域の実情に応じた様々な取組が展開をされております。
つまり、中国の委託先から漏れているんではないんであろうということを今、水島理事長はおっしゃられたと、私は今聞いていてそういう認識をいたしております。
このような観点から、このメールは中国の再委託先からインターネットに流出して、そこから取得した情報ではないというふうに私どもとしては判断をいたしております。 また、この通報メールに記載されました個人情報は、受託事業者でございますSAY企画が保有していた情報であることを確認しております。
また、事務を委託する場合にも、個人情報の厳重な管理や目的外使用の禁止などを契約書に定めるとともに、委託先の契約遵守状況を管理監督することなどを自治体向けの手引においてお示しをしているところであります。 引き続き、安心してワクチン接種を受けられる体制の構築に努めてまいりたいと考えております。
ですから、今回のこの非常事態ですからやむを得ないとは思いますが、そういったことも含めて、例えば法律を作って、そういった委託先に対してもきちっと一定の規制がかけられるとか、そういったことを考えるべきじゃないかと思いますが、いかがですか。