2021-04-27 第204回国会 参議院 内閣委員会、総務委員会連合審査会 第1号
昨年のデジタル社会の実現に向けた改革の基本方針において、具体的には、NISCが政府統一基準群を策定し、デジタル庁は、当該基準群を活用して、情報システムに関する整備方針においてサイバーセキュリティーについての基本的な方針を示して、その実装を推進すると。デジタル庁にセキュリティーの専門チームを置いて、デジタル庁が整備、運用するシステムを中心に検証、監査を実施すると。
昨年のデジタル社会の実現に向けた改革の基本方針において、具体的には、NISCが政府統一基準群を策定し、デジタル庁は、当該基準群を活用して、情報システムに関する整備方針においてサイバーセキュリティーについての基本的な方針を示して、その実装を推進すると。デジタル庁にセキュリティーの専門チームを置いて、デジタル庁が整備、運用するシステムを中心に検証、監査を実施すると。
個別具体的な検討をしなくてはいけない部分がございますので、一概になかなかお答えしづらいとは思いますが、例えば、御指摘の事例で申し上げると、サーバー室への入退室、その管理、パソコンから出力をされた紙、書面の取扱い、こういうものにつきましては、先ほどおっしゃっていただきました政府統一基準群、ここの中で規定をしております。
その一環として、昨年七月に閣議決定されたサイバーセキュリティ戦略においても対応の重要性を言明しているほか、政府統一基準群においても対策の考え方を記載しております。 申合せも対策強化の一つとして決定したものであり、他国政府の要請によるものではありません。
そういった政府統一基準群に基づいたセキュリティーポリシーを定めるとともに、各種法令等に基づく規定に基づきましてセキュリティー対策についてもしっかりと取り組んでまいりたいと考えております。
現在もJ―LISにおきましては、NISCの政府統一基準群あるいは総務大臣の定める告示等に基づきまして、今申し上げましたような措置も含めて、適切に講じられているものでございますが、今回、機構処理事務特定個人情報等の安全確保措置について法律上明確に位置づけることによりまして、適切な情報の管理に資するもの、このように認識しているところでございます。
こうした教訓を広く政府機関で生かしていくためにも、現在見直し作業を進めている政府統一基準群の中に、基本認識をしっかり踏まえた上で、今委員御指摘のように、日常時及び緊急時に連携の取れた対応を取ることの重要性について規定したいと考えております。
J—LISでは、NISCの政府統一基準群等に倣いまして、情報セキュリティ管理規程などによる情報セキュリティポリシーを定めますとともに、このポリシーと併せまして、個人情報を扱う重要な業務につきましては、住民基本台帳法、公的個人認証法などの法令により定めております規定に沿って情報セキュリティー対策を行っているところでございます。
○政府参考人(宮地毅君) お答え申し上げましたように、政府統一基準群等に倣いながらセキュリティポリシーを定めております。また、法律に基づく規定に沿いながら、具体的な運用につきましても、組織、体制等につきまして、常勤理事の一人がCISOとして担当しておりまして、また内部のリスク管理課がその事務局としてインシデント時の対応を行うCSIRTの機能も含めて対応しているというふうに承知をしております。
また、指定法人に対して政府統一基準群が適用されるため、これを踏まえた監査等を行うことにより、十分なサイバーセキュリティー対策がとられているかを評価し、必要な措置を講ずるよう求めることも可能となってまいります。