kokalog - 国会議事録検索

2015-06-09 第189回国会 参議院 厚生労働委員会 第17号 公式Web版

1. 会議録情報 0

   平成二十七年六月九日（火曜日） 　　　午前十時一分開会 　　　　───────────── 　　　委員の異動 　六月三日 　　　　辞任　　　　　　　　　補欠選任 　　　　　石橋　通宏君　　　　　蓮　　　舫君 　　　　　福山　哲郎君　　　　　羽田雄一郎君 　六月四日 　　　　辞任　　　　　　　　　補欠選任 　　　　　滝沢　　求君　　　　　世耕　弘成君 　　　　　蓮　　　舫君　　　　　石橋　通宏君 　六月五日 　　　　辞任　　　　　　　　　補欠選任 　　　　　世耕　弘成君　　　　　滝沢　　求君 　六月八日 　　　　辞任　　　　　　　　　補欠選任 　　　　　羽田雄一郎君　　　　　蓮　　　舫君 　六月九日 　　　　辞任　　　　　　　　　補欠選任 　　　　　西村まさみ君　　　　　礒崎　哲史君 　　　　　蓮　　　舫君　　　　　羽田雄一郎君 　　　　───────────── 　　出席者は左のとおり。 　　　　委員長　　　　　　　　　丸川　珠代君 　　　　理　事 　　　　　　　　　　　　　　　　大沼みずほ君 　　　　　　　　　　　　　　　　羽生田　俊君 　　　　　　　　　　　　　　　　福岡　資麿君 　　　　　　　　　　　　　　　　津田弥太郎君 　　　　　　　　　　　　　　　　長沢　広明君 　　　　委　員 　　　　　　　　　　　　　　　　赤石　清美君 　　　　　　　　　　　　　　　　石井みどり君 　　　　　　　　　　　　　　　　木村　義雄君 　　　　　　　　　　　　　　　　島村　　大君 　　　　　　　　　　　　　　　　高階恵美子君 　　　　　　　　　　　　　　　　滝沢　　求君 　　　　　　　　　　　　　　　　武見　敬三君 　　　　　　　　　　　　　　　三原じゅん子君 　　　　　　　　　　　　　　　　石橋　通宏君 　　　　　　　　　　　　　　　　礒崎　哲史君 　　　　　　　　　　　　　　　　西村まさみ君 　　　　　　　　　　　　　　　　羽田雄一郎君 　　　　　　　　　　　　　　　　白　　眞勲君 　　　　　　　　　　　　　　　　牧山ひろえ君 　　　　　　　　　　　　　　　　蓮　　　舫君 　　　　　　　　　　　　　　　　山本　香苗君 　　　　　　　　　　　　　　　　川田　龍平君 　　　　　　　　　　　　　　　　小池　　晃君 　　　　　　　　　　　　　　　　行田　邦子君 　　　　　　　　　　　　　　　薬師寺みちよ君 　　　　　　　　　　　　　　　　福島みずほ君 　　　国務大臣 　　　　　　　厚生労働大臣　　　塩崎　恭久君 　　　副大臣 　　　　　　　厚生労働副大臣　　山本　香苗君 　　　大臣政務官 　　　　　　　厚生労働大臣政 　　　　　　　務官　　　　　　　高階恵美子君 　　　事務局側 　　　　　　　常任委員会専門 　　　　　　　員　　　　　　　　小林　　仁君 　　　政府参考人 　　　　　　　内閣官房内閣審 　　　　　　　議官　　　　　　　谷脇　康彦君 　　　　　　　内閣官房内閣審 　　　　　　　議官　　　　　　　向井　治紀君 　　　　　　　内閣府大臣官房 　　　　　　　政府広報室長　　　別府　充彦君 　　　　　　　警察庁長官官房 　　　　　　　審議官　　　　　　塩川実喜夫君 　　　　　　　総務省行政管理 　　　　　　　局長　　　　　　　上村　　進君 　　　　　　　厚生労働大臣官 　　　　　　　房情報政策・政 　　　　　　　策評価審議官　　　安藤　英作君 　　　　　　　厚生労働大臣官 　　　　　　　房年金管理審議 　　　　　　　官　　　　　　　　樽見　英樹君 　　　　　　　厚生労働省年金 　　　　　　　局長　　　　　　　香取　照幸君 　　　参考人 　　　　　　　日本年金機構理 　　　　　　　事長　　　　　　　水島藤一郎君 　　　　　　　日本年金機構理 　　　　　　　事（システム部 　　　　　　　門担当）　　　　　徳武　康雄君 　　　　　　　企業年金連合会 　　　　　　　理事長　　　　　　村瀬　清司君 　　　　───────────── 　　本日の会議に付した案件 ○政府参考人の出席要求に関する件 ○参考人の出席要求に関する件 ○社会保障及び労働問題等に関する調査 　（年金情報の流出問題に関する件） 　　　　─────────────

2. 丸川珠代 1

   ○委員長（丸川珠代君）　ただいまから厚生労働委員会を開会いたします。 　委員の異動について御報告いたします。 　昨日までに、福山哲郎君が委員を辞任され、その補欠として蓮舫君が選任されました。 　　　　─────────────

3. 丸川珠代 2

   ○委員長（丸川珠代君）　政府参考人の出席要求に関する件についてお諮りいたします。 　社会保障及び労働問題等に関する調査のため、本日の委員会に、理事会協議のとおり、厚生労働大臣官房年金管理審議官樽見英樹君外八名を政府参考人として出席を求め、その説明を聴取することに御異議ございませんか。 　　　〔「異議なし」と呼ぶ者あり〕

4. 丸川珠代 3

   ○委員長（丸川珠代君）　御異議ないと認め、さよう決定いたします。 　　　　─────────────

5. 丸川珠代 4

   ○委員長（丸川珠代君）　参考人の出席要求に関する件についてお諮りいたします。 　社会保障及び労働問題等に関する調査のため、本日の委員会に、理事会協議のとおり、日本年金機構理事長水島藤一郎君、同理事（システム部門担当）徳武康雄君及び企業年金連合会理事長村瀬清司君を参考人として出席を求めることに御異議ございませんか。 　　　〔「異議なし」と呼ぶ者あり〕

6. 丸川珠代 5

   ○委員長（丸川珠代君）　御異議ないと認め、さよう決定いたします。 　　　　─────────────

7. 丸川珠代 6

   ○委員長（丸川珠代君）　社会保障及び労働問題等に関する調査のうち、年金情報の流出問題に関する件を議題といたします。 　まず、政府から報告を聴取いたします。塩崎厚生労働大臣。

8. 塩崎恭久 7

   ○国務大臣（塩崎恭久君）　この度、日本年金機構において、外部からの不正アクセスにより、国民の皆様の個人情報が外部に流出した件について、六月一日月曜日に、日本年金機構から公表と謝罪がありました。 　日本年金機構が悪意を持った攻撃を防げなかったことは誠に遺憾です。日本年金機構を監督する立場の厚生労働省としても、事態を重く受け止め、おわび申し上げます。 　私からは、まず、日本年金機構に対し、今回の事態に対して深刻に受け止め、事案を早期に解明するとともに、国民の年金を守ることを最優先に、情報が不正に利用され、今後の年金支払への影響が出ることが万が一にもないよう指示をいたしました。また、今回の情報流出による二次被害が極力発生しないよう、厚生労働省と日本年金機構、関係省庁で連携して取り組んでまいります。 　後ほど、日本年金機構理事長からも、改めて説明と謝罪がございます。 　厚生労働省としては、六月四日木曜日に、今回の事案を検証し、原因究明と再発防止策の検討を行うための第三者から成る検証委員会を設置し、昨日、第一回の委員会を開催したところであります。検証結果を踏まえて、より良い年金事業の運営に向け、適切に対応してまいります。

9. 丸川珠代 8

   ○委員長（丸川珠代君）　次に、日本年金機構から報告を聴取いたします。水島日本年金機構理事長。

10. 水島藤一郎 9

    ○参考人（水島藤一郎君）　この度、日本年金機構におきまして、職員の端末に対する外部からのウイルスメールによる不正アクセスが行われ、お客様の個人情報が流出したことが判明をいたしました。誠に申し訳なく、心からおわびを申し上げます。 　現時点で流出をしていると考えられますのは約百二十五万件であります。 　流出いたしました情報の内訳でございますが、情報の内容別に申し上げますと、基礎年金番号とお名前の二情報が流出いたしました件数が約三万一千件でございます。基礎年金番号、お名前、生年月日の三情報が流出いたしました件数が約百十六万七千件でございます。基礎年金番号、お名前、生年月日、住所の四情報が流出いたしました件数が約五万二千件でございます。 　なお、現在のところ、基幹システムであります社会保険オンラインシステムへの不正アクセスは確認されておりません。 　このような事態が発生した原因でありますが、電子メールのウイルスが入った添付ファイルを開封することにより、不正アクセスが行われ、情報が流出したものと認められます。 　現在、外部への情報流出を防止するために、全拠点でインターネットへの接続を遮断をいたしております。 　当機構では、お客様の年金を守ることをお約束いたします。お客様の情報が不正に利用されるなど、今後のお客様の年金支払への影響が出ることが万が一にもないよう、万全の対応を取ってまいります。 　このため、流出の対象となったお客様につきましてシステム上確認できる体制を確立し、該当するお客様から年金の手続があった際には、御本人であることを確認した上で手続を行っております。 　五月八日から事案の公表を行いました六月一日の間に対象者の方で既に手続を行われた方については、御本人であることが確認されない場合は、全て訪問の上、御本人による手続であったことの確認を行います。 　また、御本人には、今回の事案について個別に郵送でお知らせをいたします。その際、心からおわびをいたしております。四情報が流出いたしましたお客様については、既に受給者約九千人分、被保険者約六千人分を送付し、残りの方にも今月のできるだけ早い時期に送付したいと考えております。更に安全を期すため、該当するお客様には基礎年金番号を変更させていただき、新しい基礎年金番号を郵送でお送りいたします。 　何らかの不審なことが起きた場合や、お客様の御疑問にお答えするため、専用コールセンターも設置し、体制も強化して相談に当たっております。 　当機構では、今回の事態を受けまして、更なる実態把握、原因調査等を進めるとともに、二度とこのようなことが起きることがないよう、個人情報の保護及び管理の徹底、職員教育等に一層努めてまいります。また、当機構といたしまして、実態把握、原因調査等に努めるとともに、設置された検証委員会に全面的に協力してまいります。 　改めまして、このような事態が発生し、お客様に多大な御迷惑と御心配をお掛けすることにつきまして、深くおわびを申し上げる次第でございます。

11. 丸川珠代 10

    ○委員長（丸川珠代君）　以上で報告の聴取は終わりました。 　これより質疑を行います。 　質疑のある方は順次御発言願います。

12. 島村大 11

    ○島村大君　自由民主党の島村大でございます。 　本日は、塩崎厚生労働大臣、また理事長の方から冒頭の発言がありました。それを踏まえて、また昨日、衆議院の決算行政監視委員会ですか、大臣が、今回の件に関しましては、機構の組織を徹底的に見直して、そのためには厚労省の監督も強化するということの御発言がありました。それを踏まえまして、今日、再度御質問させていただきたいと思いますので、よろしくお願いします。 　御案内のとおり、日本年金機構は、旧社会保険庁の様々な不祥事を受け、また国民の信頼を得る運営体制を構築するために平成二十二年一月に設立されたのは御案内のとおりでございます。このような背景により設立された日本年金機構が、設立から約五年でこのような事件を引き起こしてしまったことは誠に残念であり、今回の事案の検証及び再発防止に、早急に図っていくことが必要であること、これは当たり前だと思います。 　今回、是非とも大臣に、この年金情報流出を受けた大臣からの所感並びに対応についてまず御説明をしていただきたいと思いますので、お願いします。

13. 塩崎恭久 12

    ○国務大臣（塩崎恭久君）　先ほど冒頭発言で申し上げたとおりでございますが、今先生御指摘のように、日本年金機構は、あの社会保険庁、年金事業運営に対する国民の信頼が失墜をした中で、社会保険庁を廃止をして、そして日本年金機構を第一次安倍内閣の際に法律として作ったものでございます。 　ちょうど五年前にスタートしたわけでありますけれども、今回、その上でこのような事態が起きたということは、国民の年金に対する信頼に関わる重大なことであり、また、悪意のある不正アクセスが原因の、言ってみればサイバーアタックではありますけれども、そしてまた現在、警察が捜査を続けているわけでありますし、また、ホームページなどに対する日本年金機構への攻撃というものがサイバー上行われている、継続をしている、そういう中ではございますけれども、しかし今回、個人情報を守り切れなかったということに関しては大変遺憾であり、また私も、厚生労働省としても、監督をする立場としておわびを申し上げなければならないというふうに思っているところでございます。 　何よりも年金を守ることが最優先ということを総理からも指示を受け、その旨を年金機構にも伝えて、二次被害が出ないようにするということがまず大事なことであるわけでございまして、今回の事案による影響を最小限とする、そして二度と起こらないような体制をつくっていくためには、まず真相究明を年金機構においても厚生労働省においてもやらなければいけないというふうに思っていますし、それぞれがまた再発防止のために何をやるのかということも徹底的に考えなければいけないというふうに思っております。 　その上で、今回の事案を厳しく検証を第三者の目からやっていただくという、専門的な第三者を入れております原因究明と再発防止について検討いただくための日本年金機構不正アクセス事案検証委員会、これを六月四日に設立をいたしまして、昨日その第一回の会合を開いたところでございます。ここにおいて徹底的な検証もいただいて、それぞれ当事者としての反省と、真相究明とそれから再発防止策の策定を重ねてやっていきながら、最終的に国民の皆様方からの年金事業に対する信頼を取り戻していきたいというふうに思っております。

14. 島村大 13

    ○島村大君　ありがとうございます。 　今お話ありましたように、昨日から検証委員会が立ち上がったということなんですけど、再発防止は当たり前ですけど、やはりこの検証委員会の結果次第では組織そのものを見直す必要もあるかと思いますので、是非とも大臣、そこは考えていただきたいと思っておりますので、よろしくお願いします。 　続きまして、今回の流出情報に対しまして、いわゆる四情報ですか、基礎年金番号、それから氏名、生年月日、住所と、これが全て流れてしまっている方、また三情報、二情報とも言われていますけど、これが今流出している状況と、もう一点は、いわゆる年金の受給者の方々に対しての情報を管理している基幹サーバーですか、これはいわゆるインターネットに接続されてはいないとは言われていますけど、しっかりその情報は適切に管理されているかということをやはり国民の方々は心配なされていますので、そこをひとつ御説明していただきたいと思います。 　質問は、情報として何が流出しているのか、二番目として、基幹サーバーの情報は本当に大丈夫なのか、そして三番目としましては、情報の流出が判明したその百二十五万件以外の方々が、今回の五月八日から六月一日の間に住所変更や振り込み口座の変更手続を行っている方々にも何らかの対応が必要じゃないかと思いますが、その三点に関しまして、理事長、よろしくお願いいたします。

15. 水島藤一郎 14

    ○参考人（水島藤一郎君）　お答えをいたします。 　ちょっと順不同になりますが、まず基幹サーバーとの関係でございますが、いわゆる社会保険オンラインと申しておりますが、日常のお客様の記録を管理する、あるいは給付を行うというシステムでございますが、これに関しましては、いわゆる情報系のサーバーとは完全に分離をされております。したがいまして、基本的に業務系、業務の基幹システムは現在安全だというふうに申し上げられると思います。もちろん、ここに関して現在異常が出ているということは全くございません。 　次に、今回流出した情報の内容とその対処策についてでございますが、先ほど申し上げましたとおり、今回流出をいたしました情報百二十五万件につきましては、機構で年金についてのお知らせなどをお送りするためのリストなど、お客様の基礎年金番号、氏名など、いわゆる基本情報と言われるものでございます。先ほど申し上げました二情報三万件、三情報百十七万件、四情報五万件と、こういうことでございますが、これは件数ベースでございまして、必ずしも人数とは一致をいたしません。 　これらの情報が流出をいたしました際に想定されることといたしましては、例えば、成り済ましによりましてお客様の情報を変更し、年金の手続などが行われるケースがまず第一でございます。次に、氏名、生年月日、住所を使用してダイレクトメールなどが行われるケースが考えられます。したがいまして、この情報が流出された方に対しまして、できる限りの対応策を充実することといたしております。 　その対応策についてでございますが、まず全てのお客様に御通知を申し上げたい、おわびと流出したということについてのお知らせを申し上げたいというふうに考えておりまして、まず、六月の三日から四日にかけまして、最もたくさんの情報が流出をいたしました、四情報が流出をいたしました約一万五千名の方々におわびの文書をお送りをいたしております。加えまして、そのほかの方々に関しましては、極力早く、遅くとも今月中にはお手紙をお送り申し上げたいというふうに考えております。 　また、成り済ましによる手続の防止策といたしまして、年金受給者の住所変更、金融機関変更が行われないように、御本人であることを確認することを徹底をするために、この流出の対象者であるという方に関しましては、基礎年金番号にアラートを付しておるというシステム上の対処を行っております。その上ででございますが、住所変更のお届けがあった場合、これは住基情報を確認をして、一致をしておりますればそれで取扱いをいたしますが、一致をしない場合には個別訪問をして御本人であることを確認をさせていただくことといたしております。 　また、金融機関変更届につきましては、郵送又は代理人による場合、届出の内容について全て確認をさせていただくということにいたしておりまして、お手紙をお送りをすることにいたします。確認できない場合は個別に御訪問して確認をするという手続を踏んでまいりたいというふうに考えております。 　さらに、五月八日にこの事案は発生をいたしておりますが、それから公表をいたしました六月一日までに変更手続が行われた方の中でその対象者がいらっしゃる場合、この対象者に関しましては、住所変更、金融機関変更、いずれについても個別に御訪問をして確認をさせていただくという方針でございます。 　また、御指摘の百二十五万件の対象者以外の方々の対応についてでございますが、現時点で最終的な流出件数が確認できていないということもございまして、五月八日から六月一日までに変更手続をされたお客様について、大臣からの御指示もございまして、対応すべしと判断をいたしました。 　したがいまして、百二十五万件の対象者と同様に、住所変更につきましては、住基情報を確認の上、一致しない場合には個別訪問を行って確認をさせていただきます。金融機関変更につきましては、郵送又は代理人による場合、届出の有無を確認をさせていただくために手紙をお送りをいたします。そして、そこで確認できない場合には個別に訪問をさせていただくということにさせていただきたいと思います。今回新たにこの施策を追加させていただくことといたします。 　いずれにいたしましても、機構といたしましては、まずお客様の年金を守るということを最優先に、被害が出ないよう、関係機関の御協力を得ながら、誠心誠意全力で取り組んでまいりたいというふうに考えております。

16. 島村大 15

    ○島村大君　ありがとうございます。 　今詳しく御説明はいただきましたけど、この件に関しまして、国民の方々にどこまで伝わっているかというのが非常に大切だと思うんですよね。年金機構からホームページでお知らせをしていると。そのホームページも一時的に閉鎖されたときもありました。今また回復して最小限のお知らせはできているという話ですし、先週末の土曜、日曜日も窓口を開けて説明をしていただいたということなんですけど、ただ、まだまだ国民は理解しておりません。ですから、その広報活動をもっと、これは政府、省庁、我々も含めてだと思いますけど、やはり一丸となってやらなくちゃいけないと思っています。 　私も週末地元に帰りまして、必ずこの問題点に関して言われました。昨日ちょっとある経済人の会合へ行きまして、経済人ですから、私、余り年金に関して興味ないかなと思いましたけど、一つだけ、結局、今回の年金機構から発信されています、直接国民に対してお電話は行かない、封書でお知らせをすると。この一つだけでもまだまだこれは周知徹底されていない、ほとんどの方々が知られていないと。こういう状況で、今お話ししたことが今対応はしてくれているということですけど、国民はやはり心配だと。ここをもっともっと、これをどう周知徹底するかを、是非ともこれは考えていただきたい。 　そして、今お話ししましたように、我々議員も、やはり地元に帰るわけですから、そのときに、皆様方から情報が、我々にもマスコミを通しての方が多いわけですよ。ですから、もっともっと我々にもこの情報を早めに連絡していただき、やはり我々がしっかりと地元で説明をする、いろんな会合のときに説明をする、そうすればもっともっと早く私は周知徹底できると思います。 　是非ともそこは、大臣並びに理事長、お考えいただきたいんですが、どうですか。大臣、どうですか。ちょっとこれはあれですけど、じゃ、理事長の方でいいですか。理事長、お願いします。

17. 水島藤一郎 16

    ○参考人（水島藤一郎君）　まず、現在ホームページが片肺飛行でございまして、なかなか時間が掛かっているということに関しまして、御迷惑をお掛けしていることについて、まずおわびを申し上げなければならないと思います。 　その上ででございますが、ホームページに関しましては、本件に関します情報は順次充実をしてまいりまして、ホームページの完全な立ち上がりを待たずにホームページでの情報提供は充実をしてまいりたいというふうに考えております。 　それから、もちろん各省庁あるいは政府広報を通じましていろいろ御協力を賜っております。各関係機関の御協力に心から感謝を申し上げたいと思います。 　何よりも私ども機構自身で努力をしなければならないというふうに考えておりますが、私ども、全事務所で地域年金展開活動というのをやっております。このようなルートで種々の場所にお伺いして年金の広報をいたしておりますが、本件に関しまして、その活動の一環といたしまして、事務所を挙げて対応をしてまいりたいと考えております。 　加えまして、情報の提供に関しましては、極力早く幅広に提供させていただきたいというふうに考えている次第でございます。 　どうかよろしくお願い申し上げます。

18. 塩崎恭久 17

    ○国務大臣（塩崎恭久君）　先生御指摘のとおりで、皆様方に対する情報も国民に対する情報も更に充実しなきゃいけないことは御指摘のとおりだと思っております。 　今、御指摘いただいたように、年金機構のホームページが引き続き攻撃を受けていて、今それを一時的に閉鎖をしていまして、緊急的なメッセージだけ伝わるようにはしております。 　一方で、厚労省のホームページにもＱアンドＡをアップをさせていただいて、私のおわび文とともに載せております。それから、月曜日の全国紙にこの問題について広告を載せさせていただき、これからまたスポットで年金の情報漏えいについてのお尋ねはここにというようなこともお載せをして、それからラジオの広報もテレビの広報もこれから順次やることになっておりますが、まだ十分先生方のところに行き届いていないということについては、何ができるか考えて早急に対応してみたいというふうに思います。

19. 島村大 18

    ○島村大君　ありがとうございます。 　是非とも大臣、ある意味ではこれはもう本当、政府、それから我々は議員全員で一丸となって国民にこの不安を一日でも早く解消させていただきたいと思いますので、よろしくお願いいたします。 　時間が大分なくなったので、ちょっと済みません、飛ばさせていただきまして、最後にマイナンバーに関して。その前のＮＩＳＣに関しましては、非常に大切だということをまたどなたかの議員から出ると思いますので。済みません、申し訳ないです。 　最後に、マイナンバー制度に関してちょっとお聞きしたいと思います。 　今回、この年金機構の年金情報が流出して以降、マイナンバーに対しての不安の国民の声、また報道が度々行われています。これに関しまして、このマイナンバー制度は今回のシステムとは違うということをやはりしっかりと御説明していただきたいと思います。それがやはり制度面で違うのとシステム面で違うということをまたちょっとここではっきりと説明していただき、国民の不安を払拭したいと思いますので、よろしくお願いいたします。

20. 向井治紀 19

    ○政府参考人（向井治紀君）　お答えいたします。 　マイナンバー制度につきましては、より公平公正な社会保障制度等のために、個人情報の保護にも万全を尽くしつつ、着実に取組を進めることが重要であると考えております。マイナンバー制度の導入に当たりましては、制度上、システム上の両面から様々な安全管理措置を講じております。 　まず制度面でございますけれども、諸外国ではよく成り済ましによる年金の不正受給とか、特にアメリカでございますけれども、あるいはＩＤ窃盗というのが言われておりますけれども、マイナンバーを用いた手続では必ず本人確認をすることになっております。これはマイナンバーカードでも免許証でも結構ですが、本人確認をすると。ネットの場合は公的個人認証を使って本人確認をするという、そういうスタイルになってございますので、まず番号だけで成り済ますことはできない、そういう仕組みにしてございます。 　それから、アメリカなんかはソーシャルセキュリティーナンバーの多用途の利用に関して規制がございませんでしたために、あらゆるものに使われたという経緯があることを踏まえ、マイナンバー法ではマイナンバーの利用範囲を法律でポジティブリストで定めているところでございます。 　また、情報連携につきましても、どういう情報を使えるのか、例えば地方税の所得情報を年金の保険料減免に使えるというふうに、誰がどの情報を何のために使えるのかというのを全て法律で書き切ってございますので、それ以外の用途は使えませんし、使えないようなシステム設計になってございます。 　それから、特定個人情報保護委員会という監視、監督、それから罰則の強化等がございます。 　さらに、行政機関が情報ネットワークシステムを通じましてどういう情報をやり取りしたかというアクセスログが、それぞれ本人がマイナポータルでアクセスすることによりまして確認できることになってございます。 　それから、システム面におきましては、まず、個人情報は一元的に管理せず、行政機関ごとにそれぞれ情報を持ってございます。よくマイナンバーからハッカーされると全部が抜けるというふうなことがございますけれども、そういう大きないわゆる情報を一か所にまとめて保管しているところはございません。 　それから、行政機関が情報をやり取りする際には、マイナンバーを直接用いずに、まず情報をもってする、その情報から中間サーバーに移す際に、マイナンバーではなく情報連携符号というのを各機関ごと別々の符号を振るということをしてございます。それも更に暗号化するというふうな加工をしてございます。したがいまして、情報連携ネットワークから芋づる式に出るというふうなシステムにはなってございません。 　それから、アクセス制御によりマイナンバーを利用するシステムやアクセスできる人を制限、アクセス記録を管理するというふうなこともやってございます。 　ただ、人的対応や内部管理の問題への対応など、今回の事件の原因究明、再発防止策等の検討結果も踏まえ、必要があれば各種ガイドライン等の見直しを行うとともに、関係機関を挙げてセキュリティー対策の強化に努めてまいりたいと考えております。

21. 島村大 20

    ○島村大君　ありがとうございます。 　今御説明ありましたが、国民の方々が今の説明を聞いて分かるかというと、やはりなかなか分かりづらいところもあると思いますので、是非とも、今回、この年金流出問題が起きたわけですから、やはりしっかりと広報も、マイナンバーに関して何が大丈夫だと。また、こういう問題が出たときにはこういう対応をしっかり取れるように法的にもしっかりとできているんだとか、やはり分かりやすく国民にこれも周知徹底していただきたいと思いますので、是非ともよろしくお願いします。 　時間になりましたので、これで終わらせていただきます。ありがとうございました。

22. 蓮舫 21

    ○蓮舫君　百二十五万件の年金情報の漏えい、漏れた年金記録は更に広がるリスクがあると理事長も認めておられます。こうした情報が犯罪につながらないよう、我々も野党ではありますが、知恵を出し合って全面的に政府の取組に協力をしていきたいと思います。 　他方、今回の事件がなぜ起こったのか、その原因の分析、再発防止、それは国会でしっかり検証していきたいと思いますが、まず理事長、五月八日、最初の不正メールを受けて開封、感染があったことから今回の漏れた情報記録が始まったわけですが、最初にその報告を受けたのはいつですか。 　　　〔委員長退席、理事羽生田俊君着席〕

23. 水島藤一郎 22

    ○参考人（水島藤一郎君）　五月八日にＮＩＳＣから不審な通信が行われているという連絡がございまして、私どもでその対象のパソコンを抜線し、注意喚起メールを発信したわけでございますが、当日、全ての事象について私宛て報告がございました。

24. 蓮舫 23

    ○蓮舫君　その報告を受けたときに、このサイバー攻撃は大変なことにつながるという危機感はお持ちでしたか。

25. 水島藤一郎 24

    ○参考人（水島藤一郎君）　抜線をして、翌日でございますが、ウイルスが検知されたという報告を受けました。そして、ワクチンが開発されたという報告を受けまして、その後、全てのパソコンに対してワクチンの接種を行ったという状況でございます。加えまして、その後、いわゆるウイルス対策会社から、このウイルスは情報を外に持ち出すようなタイプのものではないという報告を受けたところでございます。

26. 蓮舫 25

    ○蓮舫君　五月十五日のその話を聞いているんじゃないんです。五月八日に最初に理事長が報告を受けたときに、危機感はお持ちですか。

27. 水島藤一郎 26

    ○参考人（水島藤一郎君）　もちろん、ウイルス攻撃を受けたということでございますので、危機感は持っておりました。

28. 蓮舫 27

    ○蓮舫君　その危機感を持って厚生労働大臣に連絡をしましたか。

29. 水島藤一郎 28

    ○参考人（水島藤一郎君）　当日にいた担当部局から年金局には御報告をしたというふうに聞いております。

30. 蓮舫 29

    ○蓮舫君　現在に至るまで、理事長が厚生労働大臣と二人でこの件について話し合ったことはありますか。

31. 水島藤一郎 30

    ○参考人（水島藤一郎君）　二人ということではございませんが、六月一日に公表させていただく時点から、ずっと大臣とはいろいろお話をし、御指示をいただいております。

32. 蓮舫 31

    ○蓮舫君　一日以前はどうですか。

33. 水島藤一郎 32

    ○参考人（水島藤一郎君）　にわかに記憶が思い起こせませんが、大臣とこの件でお目にかかりましたのは三十一日の日曜日ではなかったかと思います。

34. 蓮舫 33

    ○蓮舫君　それは百二十五万件が確定をしてからのことだと思うんですが、つまりそこに至るまで、危機感を持っていると言いながら、厚生労働大臣に報告もしていないし、二人で話もしていない。 　日本年金機構法では、第一条の目的規定、機構は、厚生労働大臣と密接な連携を図りながら、年金制度に対する国民の信頼の確保を図る、これを目的としている。大臣と連携を取らなくても国民の信頼は失墜しないという判断だったんでしょうか。

35. 水島藤一郎 34

    ○参考人（水島藤一郎君）　私どもは、常に年金局とは密接な連絡を取りながら仕事をいたしております。基本的には年金局に御報告し、御相談をし、その結果として、その御指示を踏まえて対応するというのが基本だというふうに考えております。

36. 蓮舫 35

    ○蓮舫君　つまり、トップ同士で話をしなくても、事務方レベルで問題はないという判断、その判断が相当私は甘かったと思います。 　五月八日から一か月が経過しました。問題は全く解決していないどころか、どこまで広がるかもまだ分かりません。この間、機構は理事会を開きましたか。 　　　〔理事羽生田俊君退席、委員長着席〕

37. 水島藤一郎 36

    ○参考人（水島藤一郎君）　五月二十二日に、月に一回の定例の理事会でございますが、五月二十二日に開催をいたしております。

38. 蓮舫 37

    ○蓮舫君　二十二日の理事会の議題は何でしょうか。

39. 水島藤一郎 38

    ○参考人（水島藤一郎君）　二十二日の議題は、国民年金、厚生年金保険の適用、徴収業務等の状況、年金給付業務部門主要業務処理状況、平成二十七年七月組織改編の概要（案）、平成二十七年六月の給与規程改正について等でございました。

40. 蓮舫 39

    ○蓮舫君　二十二日の理事会、議題は年金保険の適用、徴収業務等の状況、年金給付業務部門の報告、組織改編、給与の改定について。 　二十二日というのは、機構で何が起きていたか。八日に不審メールの感染があって、いろいろあって、十八日までに百通を超える不審メールを受信、しかも最初のウイルス対応ワクチンが二通目のものに関しては効かないということも判明していました。十九日には警察に捜査も依頼していました。なぜ二十二日の理事会で、緊急でこの問題を議題に上げなかったのでしょうか。

41. 水島藤一郎 40

    ○参考人（水島藤一郎君）　まだその時点では流出が確認をされておりませんでしたので議題といたしませんでしたが、その後、六月一日……（発言する者あり）はい、いたしませんでした。

42. 蓮舫 41

    ○蓮舫君　十九日に警察に捜査の依頼。何で警察に捜査を依頼したんですか。

43. 水島藤一郎 42

    ○参考人（水島藤一郎君）　五月八日にウイルスの攻撃を受けまして、その後、そのウイルスの攻撃についてはワクチンを投与して、不審な通信はそこで一旦収まりました。五月十八日になりまして、不審なメールが複数確認をされました。これを踏まえまして、警察に調査のお願いをいたしたところでございます。

44. 蓮舫 43

    ○蓮舫君　つまり、警察に通報すると判断するに足る材料があった。それだけ犯罪に抵触する、重いという判断を理事長自身がされたんでしょうか。

45. 水島藤一郎 44

    ○参考人（水島藤一郎君）　警察に届け出るという報告がございまして、それを了承いたしました。

46. 蓮舫 45

    ○蓮舫君　警察に通報した後にも大量のメールが送られてきている。二十二日にはＮＩＳＣから二回目の不審な通信を検知との通報が、これ機構にもたらされています。そしてその日は、不審な通信が確認されたパソコンのある地域、そのブロックのネットを一斉に遮断をしました。大変な事態がまさに刻々と起きている。この時点の理事長の危機意識はどうでしたか。

47. 水島藤一郎 46

    ○参考人（水島藤一郎君）　逐次その内容については報告を受けておりましたし、強い危機感を持っておりました。

48. 蓮舫 47

    ○蓮舫君　その強い危機感を持っていたさなかの二十二日に理事会がありました。なぜ強い危機感を持っているテーマを議題に上げなかったんですか。

49. 水島藤一郎 48

    ○参考人（水島藤一郎君）　理事会に関しましては、もちろん臨時の議題として御報告することは可能でございますが、事前に議題が決まっておりますので、その日の議題に関しましては、その議題について御報告をしたということでございます。

50. 蓮舫 49

    ○蓮舫君　機構の意思最高決定機関です。ここで決めたことが全ての日本年金機構の隅々まで行き渡って、ここで決めていればここまで情報は漏えいしていなかったと思います。 　危機感はありながら、臨時のテーマで上げることはないという、それほどのことではないという判断でしょうか。

51. 水島藤一郎 50

    ○参考人（水島藤一郎君）　今、その事態が理事会との時間的な関係をちょっと私の記憶の中でははっきりしないのでございますが、いずれにいたしましても、そのセグメントの、インターネット環境との接続を遮断するという手続を取るという判断を行ったということでございます。

52. 蓮舫 51

    ○蓮舫君　済みません、よく分かりません。 　なぜ理事会に上げなかったのか、納得できる説明を教えてください。 　これ通告していますよ。

53. 水島藤一郎 52

    ○参考人（水島藤一郎君）　はい。 　まず、先ほども申し上げましたとおり、情報漏えいの事実はまだ確認をされていないと。それから、感染に関しましてもどういう状況であるかということが正確に把握されていないという状況にあったということでございます。

54. 蓮舫 53

    ○蓮舫君　理事会招集権者の理事長がこの程度の認識です。 　では、伺います。 　組織というのは、それでもちゃんとカバーできるような仕組みになっている。監事はこのことをいつ知りましたか。

55. 水島藤一郎 54

    ○参考人（水島藤一郎君）　二十九日だったと思いますが、業務運営会議という定例の会議がございまして、そこにおきまして私がこの事実を主要なメンバーに知らせました。そのときに監事も出席をいたしておりましたので、その時点で知ったと思います。

56. 蓮舫 55

    ○蓮舫君　機構法十二条四項二号、監事は個人情報の管理を含む機構の業務の状況を監査、同条七項、理事会の招集を請求できる、同条八項、あるいは厚労大臣に意見を提出することができる。 　監事になぜ早く情報を上げなかったんですか。理事長が、大したことではないと理事会の議題に漏れた年金情報を入れなかった。監事にちゃんと情報を上げていたら、監事が、理事長それは違いますと。この問題は大変なことだから、厚労大臣にも言うし、ちゃんと理事会を開くべきだという助言ができるようになっていますが、適切だったんでしょうか。

57. 水島藤一郎 56

    ○参考人（水島藤一郎君）　監事監査規程では、法令、規程等違反行為、重要な業務上の事故、その他機構の業務運営に著しく影響を及ぼすと認められる事項が発生した場合の報告聴取が規定をされております。 　私どもは、定例の会議で種々報告をいたしておりますので、その会議での報告をもって監事に御報告するということにしたということでございます。

58. 蓮舫 57

    ○蓮舫君　厚労大臣、今の一連の話を聞いて、日本年金機構の組織の体はどのように感じられますか。

59. 塩崎恭久 58

    ○国務大臣（塩崎恭久君）　今理事長から、この間の理事会開催あるいは監事への通知、通告などについての経緯を細かく聞きましたけれども、私なりに解釈をすれば、恐らく執行部門の話なので経営としての理事会に掛けなかったのかも分からないなと思いながら、今御指摘のように重要事項でございますので、これは反省すべきところが多々あるなということを感じましたし、先ほど島村先生の御質問にもありましたように、今回、年金機構の組織を抜本的に見直すということは、私も既に、それから官房長官も既に申し上げているところで、そういうようなことが随所に現れているのかなと。そしてまた、厚労省としてもこれは監督の責任があるわけでありますから、我々の監督も格段に強化をしないといけないなということを改めて感じました。

60. 蓮舫 59

    ○蓮舫君　大臣、間違っています。執行部門の理事会で重要事項を検討して、執行機関として決めて組織隅々まで落として、そして問題の再発防止を防ぐというのが組織の体なんです。そういう部分では、執行部門の理事会だから重要事項を検討しなかったという程度の認識では駄目だと思います。 　そして、官房長官も厚労大臣も機構への監査を厳しくすると言っていますが、それ以前に厚労省の責任はどうなんでしょうか。

61. 塩崎恭久 60

    ○国務大臣（塩崎恭久君）　そのことは繰り返し国会で答弁をしてまいりましたように、監督者としての厚生労働大臣としても責任を感じ、おわびを申し上げてきているところでございまして、それがゆえに、今後、厚生労働省の監督の体制も再構築をしながら強化をしていくというふうに考えているところでございます。

62. 蓮舫 61

    ○蓮舫君　繰り返し国会で答弁をしているのは衆議院の話です。参議院では今日初めてこの問題をしていますので、ちゃんと真摯に向き合っていただけませんか。 　その上で、八日、ＮＩＳＣから不審通信検知と情報担当参事官、これ厚労省ですが、受けまして、その通報を年金局のどなたに連絡されたでしょうか。

63. 安藤英作 62

    ○政府参考人（安藤英作君）　お答え申し上げます。 　年金局の担当係長に連絡をいたしました。

64. 蓮舫 63

    ○蓮舫君　係長は、この重要な情報を連絡を受けて、機構に連絡する際に上司に報告をされましたか。

65. 樽見英樹 64

    ○政府参考人（樽見英樹君）　そのときに上司に報告を行っていたものではないと承知をしております。

66. 蓮舫 65

    ○蓮舫君　最初の通知を機構に知らせるときも、その後十一日には、機構は対応状況を年金局にこれ報告をしています。十五日、ウイルスの解析結果も厚労省に報告しています。十九日、警察へ捜査依頼を行った経緯を報告しています。二十五日、新たに不審メール感染パソコンの可能性を発見したことと追加攻撃について警察に経緯説明を行った旨を報告しています。全部で五回、これは年金局の誰に報告をされましたか。

67. 水島藤一郎 66

    ○参考人（水島藤一郎君）　年金局の担当者に御報告をしたということでございます。

68. 蓮舫 67

    ○蓮舫君　どの課のどの肩書でしょうか。

69. 水島藤一郎 68

    ○参考人（水島藤一郎君）　事業企画課の係長でございます。

70. 蓮舫 69

    ○蓮舫君　五回にわたって機構から大変な報告、しかも毎回報告内容は重くなっています。係長はいつ上司に報告をしましたか。

71. 樽見英樹 70

    ○政府参考人（樽見英樹君）　担当係長からは、今いろいろ言われましたが、その都度の報告というものは必ずしもなかったと、専ら情報政策担当参事官室と年金機構との間の連絡役との意識が強かったというふうに聞いております。 　上司でございます事業企画課長、それから私については、五月二十五日に報告を受けたところでございます。

72. 蓮舫 71

    ○蓮舫君　確認をしますが、係長の役割は、機構で大変な事態が起きていることの連絡を受けて、それの単なる連絡役なんですか。上司や部局には報告を上げないでいいと認識なんでしょうか、審議官。

73. 樽見英樹 72

    ○政府参考人（樽見英樹君）　こういう対応が客観的に後になってみてよかったかどうかということについてはしっかり検証しなければいけないというふうに思いますし、こういう組織の在り方であったということに関する反省というものについては私どもも持たなければならないとは思いますけれども、担当者としては、言わばその間に入っている連絡役であるという意識で行動していたということでございます。

74. 蓮舫 73

    ○蓮舫君　連絡役であるその方が自分で情報を全部抱えて上司に報告をしない間に、事態は刻一刻と重くなりました。そして、最終的にそれを初めて審議官が知ったのが二十五日、その間には、警察に重要な事項と理事長が判断をして捜査の依頼をしている。捜査依頼のことも二十五日に審議官は知りましたか。

75. 樽見英樹 74

    ○政府参考人（樽見英樹君）　さようでございます。

76. 蓮舫 75

    ○蓮舫君　そのとき、どう受け止められましたか。

77. 樽見英樹 76

    ○政府参考人（樽見英樹君）　率直に申しまして、なかなかちょっと普通でないことが起きているなという印象を持ちました。

78. 蓮舫 77

    ○蓮舫君　正しいです。普通でないことが起きているんです。 　普通でないことが起きて、すぐさま局内で対策会議は開きましたか。

79. 樽見英樹 78

    ○政府参考人（樽見英樹君）　まずは機構の方から事実がどういうことになっているのかということについてしっかりと確認することが必要であるというふうに考えまして、特に対策会議というような形の会議は開いておりません。

80. 蓮舫 79

    ○蓮舫君　会議も開いていない、普通でないことが起きている。大臣に上げるべきではないと誰が判断しましたか。

81. 樽見英樹 80

    ○政府参考人（樽見英樹君）　そのときに直ちに大臣に上げなかったということについては、私の判断ということになります。

82. 蓮舫 81

    ○蓮舫君　普通でないことが起きているけれども、対策会議は開かないでいい、大臣に上げないでいい、それまでずっと係長が一人で抱えてきたことも、連絡係だということも問題がない。そのときの行動が、百二十五万件、あるいはこれから更に広がる漏れた年金記録情報につながるという想像は難しかったということでしょうか。

83. 樽見英樹 82

    ○政府参考人（樽見英樹君）　そのときの考え方としては、まさにいろんなことが起きていて、普通でないことが起きているけれども、一方で、それぞれのことについての対処というものについてはやってきているということでございましたので、その時点で直ちにそういう動きをするという考えは私は持ちませんでした。

84. 蓮舫 83

    ○蓮舫君　そして、警察から、個人情報が持ち出された、通信ログも含めての提供をいただいたのが二十八日です。機構はこれをすぐさま年金局に上げています。 　この情報、二十八日の、捜査の結果で情報が漏れているというニュース、審議官、いつ聞きましたか。

85. 樽見英樹 84

    ○政府参考人（樽見英樹君）　二十八日に聞きました。

86. 蓮舫 85

    ○蓮舫君　そして何を行いましたか。

87. 樽見英樹 86

    ○政府参考人（樽見英樹君）　二十八日、その報告を聞いたところでまず年金局長に御報告をし、それから大臣に御一報を入れるということで動きました。

88. 蓮舫 87

    ○蓮舫君　機構も機構なら厚労省も厚労省なんです。二十日間、事態がどんどんどんどん悪化をして、ウイルスに感染したのが情報を外に持ち出していることをどこも感知をすることができなかった。 　大臣、官房長官も大臣も、機構への関与は強化していくと力強く発言をしておりますが、強化するのは自分たちの中の組織の連携じゃないでしょうか。

89. 塩崎恭久 88

    ○国務大臣（塩崎恭久君）　今御質問をいただいて、この連絡・報告体制が極めて不十分だったということが明らかになっていると思います。 　先ほど申し上げたように、私どもが言っていることは、今後の、即座にもやらなきゃいけないことは、機構の抜本的な組織の見直しと厚労省の監督の格段の強化、体制も含めてやらなきゃいけないということで、今御指摘をいただきましたように、係長がきちっと上に上げていないということは、実は情報セキュリティーポリシーというのがあります。そこに手順書というのがあって、このような事態が起きたときにはやはり上に上げなきゃいけないということは明確に書いてあるわけでありますから、そういうことであれば、今回の事案の発生を受けて担当者がやるべきことは、上司に速やかに報告をすること、つまりこれは手順書に沿っていないということになるわけであります。 　したがって、これは御指摘のように、厚労省の監督体制そのものも再構築をしないといけないということを先ほども申し上げたとおりでありまして、ここは深く反省をして徹底的に見直していこうと私自身思っておりますし、昨日第一回目の会合を開いていただいた日本年金機構不正アクセス事案検証委員会、ここでも徹底的に第三者の目で見ていただいて、私どもの監督体制をどう強化をして立て直すかということも御提案をいただこうというふうに思っているところでございます。

90. 蓮舫 89

    ○蓮舫君　厚労省のセキュリティーポリシーが動いていなかった。それは是非正していただきたいと思います。併せて見直していただきたいのはサイバーセキュリティーポリシー、これ、機構は厚労省のポリシーに準じているんですね。 　大臣は、本件に対し機構への対策を問われて、当然のことながら、八日、起きたときから対応を指示している、年金局がしっかり指示をしていると衆議院の委員会で答弁をしているんですが、でも実態は、係長の判断で、上司も何も組織も知らなかった。サイバーセキュリティーポリシーにのっとって抜線等の指示を出したというんですけれども、この係長の機構へのサイバー攻撃に対する対応、指示は、これ適切だったとお考えですか。

91. 塩崎恭久 90

    ○国務大臣（塩崎恭久君）　これは私も衆議院の方で申し上げたとおり、対応の仕方というものはこのセキュリティーポリシーに書いてあって、それにのっとって指示をしたというふうに私は理解をしております。

92. 蓮舫 91

    ○蓮舫君　ＮＩＳＣから情報が来て、機構に情報が行って、そして指示を出したものが機構が出した指示と同じなんですね、サイバーセキュリティーポリシーが一緒ですから。だから、ＰＣを特定をする、抜線をする、それとウイルスの解析をする、で、ワクチンをつくっていく。 　実は、ここで最も足りなかったのが、なぜそのときに、ウイルスの感染のおそれを否定できないそのときにログ解析は行わなかったんでしょうか。

93. 水島藤一郎 92

    ○参考人（水島藤一郎君）　ログ解析は行っております。

94. 蓮舫 93

    ○蓮舫君　そのログ解析の報告はいつ来ましたか。

95. 水島藤一郎 94

    ○参考人（水島藤一郎君）　たしか翌日だったと思いますが、大変申し訳ございませんが、これはまさにウイルスの中身に関する情報でございますので、開示を控えさせていただきたいと思います。

96. 蓮舫 95

    ○蓮舫君　衆議院の厚生労働委員会でこのことを問われて、ログ解析はしていないと認めていますよ。機構と厚労省の提出していただいた、今日資料でお配りをしておりますけれども、時系列の報告でも、ログ解析については一点も触れていません。我々の会議において、機構の担当者もログ解析については何も言っていません。なぜ今そんなログ解析を行ったと言われたんですか。

97. 水島藤一郎 96

    ○参考人（水島藤一郎君）　正確に申し上げますと、私どもの運用の委託会社がログ解析を行ったということでございまして、日本年金機構がログ解析を行ったということではございません。

98. 蓮舫 97

    ○蓮舫君　情報に真面目にお答えをいただきたいんですね。ログ解析の結果、このウイルスは中の情報を抜き取るタイプではなかったというのはその一週間後に判明をしておりますが、この時点のログ解析で何かが盗まれていますか。何か不審な情報で取られましたか。

99. 水島藤一郎 98

    ○参考人（水島藤一郎君）　それはいわゆる捜査に関することでございますので、開示を控えさせていただきたいと思います。

100. 蓮舫 99

     ○蓮舫君　いや、捜査に関わる個別のことではなくて、その一回目のログ解析で何が、何の種類がざくっと取られているのか、教えてください。

101. 水島藤一郎 100

     ○参考人（水島藤一郎君）　まさにそこが捜査情報だというふうに思いますし、したがいまして、開示を控えさせていただきたいと思います。（発言する者あり）

102. 丸川珠代 101

     ○委員長（丸川珠代君）　速記を止めてください。 　　　〔速記中止〕

103. 丸川珠代 102

     ○委員長（丸川珠代君）　速記を起こしてください。

104. 水島藤一郎 103

     ○参考人（水島藤一郎君）　私どものこれはまさにセキュリティー上の観点からも、この内容については開示を控えさせていただきたいと思います。

105. 蓮舫 104

     ○蓮舫君　抜き取られたものは把握をしているんですか、機構では。

106. 水島藤一郎 105

     ○参考人（水島藤一郎君）　どういうものが抜き取られたかということ、抜き取られたか、抜き取られたことがあるかどうかということも含めて申し上げられません。（発言する者あり）

107. 丸川珠代 106

     ○委員長（丸川珠代君）　速記を止めてください。 　　　〔速記中止〕

108. 丸川珠代 107

     ○委員長（丸川珠代君）　速記を起こしてください。 　この際、答弁者に申し上げます。 　質疑者の趣旨を体し、内容をよく整理して答弁を願います。

109. 水島藤一郎 108

     ○参考人（水島藤一郎君）　五月八日の時点で情報が取られたか取られなかったかという御質問に関しましては、現在お答えできますのは、分かりませんということでございます。

110. 蓮舫 109

     ○蓮舫君　では、ログ解析で何が分かったんですか。

111. 水島藤一郎 110

     ○参考人（水島藤一郎君）　先ほど来申し上げておりますが、ウイルスの内容が分かったということでございます。

112. 蓮舫 111

     ○蓮舫君　済みません、ログ解析はウイルスの内容の特定ではありません。不審な通信が、何が行われて何が抜き取られたのかというのが分かるんです。理事長、大丈夫ですか。

113. 水島藤一郎 112

     ○参考人（水島藤一郎君）　今まで同じタイプの攻撃を受けたことがないということが分かったということでございます。

114. 蓮舫 113

     ○蓮舫君　ログ解析は何のために行ったんですか。

115. 水島藤一郎 114

     ○参考人（水島藤一郎君）　通信している相手先が分かったということでございます。

116. 蓮舫 115

     ○蓮舫君　どういう情報が抜き取られたかということも把握はされていますか。把握している、していないで結構です。

117. 水島藤一郎 116

     ○参考人（水島藤一郎君）　把握しておりません。

118. 蓮舫 117

     ○蓮舫君　では、一回目の五月八日の攻撃を受けて感染をしたＰＣを抜線をして、ウイルスの特定は別に行う、そしてログ解析も行った。相手は特定されたんですか。

119. 水島藤一郎 118

     ○参考人（水島藤一郎君）　その時点で確認できなかったということでございます。

120. 蓮舫 119

     ○蓮舫君　その後、いつ確認できましたか。

121. 丸川珠代 120

     ○委員長（丸川珠代君）　速記を止めてください。 　　　〔速記中止〕

122. 丸川珠代 121

     ○委員長（丸川珠代君）　速記を起こしてください。

123. 水島藤一郎 122

     ○参考人（水島藤一郎君）　現在、まさにその点も含めて解析を継続しているということでございまして、そういう報告を受けております。

124. 蓮舫 123

     ○蓮舫君　理事長、整理します。 　何が盗み取られたかというのは、これは具体的に言うのは難しいでしょう。でも、このときに、盗み取られたものがあるのであれば、対策をしていれば、そうしたら二回目のアタックはなかったんですよ。 　そして、今、理事長はすごく大事なことを言いました。一回目の八日の感染したＰＣ、それが不審な通信をやり取りをしている相手を特定したと。犯人じゃないですか。それはもう今明らかになったんですか。

125. 水島藤一郎 124

     ○参考人（水島藤一郎君）　相手は分かりましたが、それは特定できなかったということでございます。

126. 蓮舫 125

     ○蓮舫君　済みません、意味が分かりません。もうちょっと説明してください。

127. 水島藤一郎 126

     ○参考人（水島藤一郎君）　相手先の通信サーバーは分かったけれども、本当の犯人がそこにいるかどうかというのは分からないということでございます。

128. 蓮舫 127

     ○蓮舫君　それから先は、じゃ、捜査のことになるんでしょう。 　私がこだわって言ったのは、実は、最初のことだからいろんな部分で慎重に対応しているのはよく分かります。だけれども、一回目のアタックのときに、そのウイルスは中の情報を持ち出すものじゃなかったけれども、実はここは住所録が持ち去られたんじゃないか。この住所録が持ち去られているということがログ解析で分かっていれば、その時点で職員全員のメルアドを変えていれば、その日以降から送られてくる大量のメールは来なかったんじゃないですか。

129. 水島藤一郎 128

     ○参考人（水島藤一郎君）　まさにその内容についてどういうことであったかというのはこれ以上お答えしかねますが、仮定としてそのようなことがあったかなかったかということも含めてお答えしかねるということでございます。

130. 蓮舫 129

     ○蓮舫君　大臣、改めてなんですけれども、この機構のサイバー攻撃の対応、理事長の認識、六月一日に少なくとも発表して一週間以上たっています。それでもまだこの認識なんですが、適切でしょうか、この方は。

131. 塩崎恭久 130

     ○国務大臣（塩崎恭久君）　この事案発生以来、理事長は理事長として全力投球をしてくれていると思っていますが、セキュリティーのレベルという意味において組織としてどうかということについては、反省が多いというふうに私は思っております。

132. 蓮舫 131

     ○蓮舫君　理事長を指名したのは大臣ですよね。罷免権も含めて大臣には人事権がありますけれども、その意味ではいかがでしょうか。

133. 塩崎恭久 132

     ○国務大臣（塩崎恭久君）　私自身が水島さんを任命したわけではございませんが、厚生労働省として任命をしたということは事実でございます。

134. 蓮舫 133

     ○蓮舫君　次に、先週、私たちの党内の会議で機構の理事が明言をしたんですが、衆議院委員会の質問で、我々の玉木雄一郎代議士の事前レクに対して、これ機構も明言をしているんですが、八日に添付ファイルを開け、最初にＰＣを感染させた職員、結果としてここから情報が漏れて二次被害につながっていくんですけれども、その後、二十二日、ＮＩＳＣの通報で再度明らかになった感染による不審な外部との通信、これは別のパソコンなんですが、扱っていた人物、感染させた人物は八日、二十二日、共に同じ職員ですか。

135. 水島藤一郎 134

     ○参考人（水島藤一郎君）　これに関しましては、まさに誰が開けたかということでございまして、捜査上もセキュリティー上も極めて重要な事実だというふうに思っております。したがいまして、開示をいたしておりません。

136. 蓮舫 135

     ○蓮舫君　我々のオープンな、メディアもいる中で御機構の理事が明言をしていたんですが、それが捜査上で言えないということに変わってきました。サイバーテロ、外部、内部、共にどういう人が関与をしているのかは、これちょっとしっかり調査をしてもらいたいと要請するにとどめます。 　今回の日本年金機構は、ウイルスで恐らく大量の住所録が流れて、そこで止められなかったので次に大量に送り付けられて、さらに、添付ファイルを開封をして進化した別のウイルスが入ることによって今度は情報が抜き去られた。機構も厚労省も対応が後手後手だと、非常に今日の質問を聞いても、本当に何でこれが誰も止めることができなかったという思いを持つんですが。 　ちょっと話が変わりますけれども、機構が狙われる直前、厚生年金基金の連合体であります企業年金連合会にも似たような不審メール、連合会をかたった成り済ましで送信されていたと分かりました。 　四月十七日から二十一日、連合会のホームページでは何が行われていましたか。

137. 村瀬清司 136

     ○参考人（村瀬清司君）　四月十一日から二十二日にかけまして、当連合会のホームページの中に一般の方が閲覧できるページがございまして、具体的には、入力フォームとしまして、書籍の購入であるとか研修の申込みであるとか、会員加入の申込み等に何者かによる大量のデータ入力がなされたことが確認されました。四月二十一日まで短期間の受信であったことから、送信元であるＩＰアドレスを個別にブロックすることで対応をいたしております。 　一方、四月二十二日において、入力フォームの受信データ量が大きなものとなったことから、サーバーダウンの可能性を考慮に入れまして、ホームページ全体を一時閉鎖をいたしました。その後、ホームページへの大量アクセスに対するセキュリティーを高め、翌二十三日からホームページを再開したと、こういう経緯でございます。

138. 蓮舫 137

     ○蓮舫君　つまり、ホームページのところで送信フォームが一斉に攻撃をされてホームページの提供するサービスが不能になるというか、低下をさせるという、一般的にＤｏＳ攻撃に遭った、ＩＰアドレスを見付けて一個一個潰して対応したけれども間に合わなかった、それでホームページを一旦閉じてメンテナンスをされた、それは正しい判断だと思います。ただ、メンテナンスが復旧した翌日の二十二日から、会員から、連合会を名のる不審メールが来てそれには添付ファイルが付いていた、このことについて連絡が来た。 　この会員のメルアドは何で分かったんでしょうか。

139. 村瀬清司 138

     ○参考人（村瀬清司君）　四月二十二日に会員からの御連絡によりまして、当連合会の名前をかたった成り済ましメールが添付されていることが判明をいたしました。 　これを受けまして、当連合会といたしましては、全ての会員、約千四百会員ですけれども、添付ファイル付きの成り済ましメールが送信される可能性があることから、受信した場合には添付ファイルを開かないよう注意喚起をする電話連絡を全件行いました。また、連合会のホームページにも、大切なお知らせ欄に、成り済ましメールについて注意を喚起する旨のメッセージを掲載しております。さらに、成り済ましメールが送信された可能性のあるアドレス、約四十二件でございますけれども、本件につきましては、関連団体等に対しまして電話により成り済ましメールについて注意喚起を行ったところでございます。

140. 蓮舫 139

     ○蓮舫君　なぜ会員のメールアドレスが漏れたんでしょうか。

141. 村瀬清司 140

     ○参考人（村瀬清司君）　会員のメールアドレスにつきましては、基本的には、会員相互間の情報連絡をするために、本人同意の下にホームページ上に公開している部分でございまして、そういう点では、漏れたということではないんですけれども、確認をできる仕組みができていたと。 　ただ、これでいいのかというのがありまして、連合会といたしましては、このメール自体をシャドーを掛けるだとか、ほかの人が見られないような仕組みを今考えたいというふうに思っております。

142. 蓮舫 141

     ○蓮舫君　いや、村瀬さん、もうちょっとちゃんと連絡を受けた方がいいと思います。 　会員情報というのは、一般のホームページに入ったときに非会員は入れないことになっている。だから、会員というのは、その会員の専用の掲示板の中で個人情報も含めていろんな情報のやり取りをしているんです。 　何で今回、連合会の会員のメルアドが漏れたかというと、平時のホームページで検索ツールにアットマークと打ち込むと、会員のメルアドがずらっと検索されることが実は分かった。ＤｏＳ攻撃に遭って対応しているときに、平時の管理不足で検索ツールから会員の個人情報、メルアド情報が大量に漏れたんじゃないですか。

143. 村瀬清司 142

     ○参考人（村瀬清司君）　先ほど申し上げましたように、ホームページから漏れました会員のメールアドレスですけれども、総数四十二件というふうに確認をしております。 　そして、そのホームページにつきましては、会員用のホームページがいろんなコンテンツが含まれておりまして分かるようになっておりますけれども、その部分についてある一定のセキュリティーを掛けていたつもりですけれども、移行できる枠組みがセキュリティー上見付かったということで、今そのセキュリティーについてしっかり遮断をしているということでございます。

144. 蓮舫 143

     ○蓮舫君　有料会員のメルアドが検索ツールで簡単に検索をされて、それがぶわっと漏れて、そこに連合会を名のった不審メール、添付ファイルが付いているメールが届いた。これでも連合会は情報管理は問題ないという認識でしょうか。

145. 村瀬清司 144

     ○参考人（村瀬清司君）　先ほど申し上げましたように、問題ありという判断をしておりまして、その部分につきましては、基本的にシャドーを掛ける等、確認できない仕組みを構築しようということで今考えている最中でございます。

146. 蓮舫 145

     ○蓮舫君　連合会の基金数、会員基金は千四百ですが、会員数になると七百三十万人おられます。この方たちの情報が漏れたかどうかというのは調べましたか。

147. 村瀬清司 146

     ○参考人（村瀬清司君）　現段階の確認でございますけれども、そういう情報が漏れたというふうには把握をしておりません。

148. 蓮舫 147

     ○蓮舫君　それは不審メールをもらった方からの報告だけであって、連合会が調べましたか。

149. 村瀬清司 148

     ○参考人（村瀬清司君）　現在の連合会のシステムの範囲内でそういう漏れたか漏れないかということの確認についてしている段階においては、漏れた実績がないという意味での確認は、漏れたという確認は、しておりますけれども、逆に言って、漏れた事実がないという、こういうふうにお考えいただきたいと思います。

150. 蓮舫 149

     ○蓮舫君　漏れたという事実はどうやって確認したんですか。

151. 村瀬清司 150

     ○参考人（村瀬清司君）　現段階において、基本的にそういう問題の問合せは一切来ておりません。

152. 蓮舫 151

     ○蓮舫君　つまり自己申告なんですよ。こんなメールが来たという人には対応する、漏れたかどうか分からないのは放置をしている。それは企業年金を扱う連合会のトップとして、その意識でよろしいんでしょうか。 　いいですか。機構の場合も、不審メールが来た、添付ファイルを開けた、ウイルスに感染した、情報がだだ漏れになった、これは機構自身で気付いたんじゃないんです。ＮＩＳＣが、外部の情報が勝手にやられて異常な通信を探知して、問題じゃないですかと通知をしたことによって初めて分かった。それでもサイバー攻撃への危機意識が薄いから、どんどんどんどん後手後手に回って被害が広がったんですが、連合会の場合もちゃんと調べないと、勝手に漏れたメルアドを通じて、その方がその方の所属している厚生年金基金の情報に関与している人だったら、その情報が添付ファイルを開けたことによってウイルスに感染して、外に持ち出されている可能性があるんじゃないですか。

153. 村瀬清司 152

     ○参考人（村瀬清司君）　まず、連合会の基幹システムでございますけれども、年金通算システムという形で受給者、待機者の個人情報を管理しておりますけれども、これは基本的には外部ネットワークとは遮断をしておりまして、高いセキュリティーで保護をしているというまず事実を御報告申し上げたいと思います。 　そして、今現在、何を対策を打っているかということになりますと、その基幹システムで動かす部分とインターネットでつながる部分と、この部分が連合会の記録が漏れる可能性がございますので、その部分を完全に遮断しまして、情報システムと基幹システムとを分けて運用をすると、こういう手続を取ってございます。 　もう一つ、ホームページにつきましても全く別のシステムでサーバーで動いておりまして、そういう点では、可能性があるとすれば、連合会に対して何らかの形でメールを送られてきて、その添付ファイルにウイルスが入っている、そうなった場合に情報系で持っているデータについて漏えいする可能性はゼロではないと。そこをどう遮断するかという形だろうと思います。 　その点については、セキュリティー番号といいますか、コードを入れることによって外部へ漏れないような、こういう仕組みを構築していきたいというふうに思っております。

154. 蓮舫 153

     ○蓮舫君　私がこの件を、中からの情報をいただいて問い合わせたのが先週の金曜日の六月五日でした。そのとき、連合会の担当者、元社保庁にいた方ですけれども、その方の説明では、既に対応しているから大丈夫だということでした。 　ところが、その日の夜、急に連合会のホームページは閉鎖をしました。そしてメンテナンスに乗り出した。しかも、そのとき一緒に同席をしていた年金局の方、その方も、大丈夫だ、対応していると言いながら、その日、私の指摘を受けた日に事務連絡を各厚生年金理事長宛てに一斉に発出をした。基金の個人情報等を含む情報の適正管理、取扱いの徹底。 　これは偶然ですか。

155. 香取照幸 154

     ○政府参考人（香取照幸君）　この通知につきましては、直接的に今回のホームページの事案とは直接関わりは、そういう意味では結果的にはございませんで、むしろこちらの、こちらのといいますか、年金機構の事案がありまして、政府全体としてサイバーセキュリティ対策会議がございまして、その中で、それら各府省において、個人情報を含む重要事項の適正な管理について、関係団体、独法、特殊法人等についても徹底をするようにと御指示がございまして、それを踏まえて私どもの所管法人に通知をいたしたと。この通知自体の経緯はそういうものでございます。

156. 蓮舫 155

     ○蓮舫君　サイバーセキュリティ会議は二十五日にありましたし、六月一日に機構が会見をして、本当に反応するんだったら、二日には出さなきゃいけないと思いますよ。その部分、ちょっと無理な答弁だなと思いますけれども、しっかり管理はしてください。 　ただ、大臣、どうでしょうか。今、厚労省の指導は、連合会のずさんなホームページの管理によって漏れた、検索ツールから簡単に検索できるメールアドレスが流出してしまって、そこに添付ファイル付きの不審なメールが届いた。そのことについて年金局からの指導は、各基金に勝手に開けるなという指導をしたんですけれども、本来、厚労省がやらなければいけないのは、連合会のずさんな情報管理であり、ホームページの管理の是正、個人情報の保有の在り方の指導ではないでしょうか。

157. 塩崎恭久 156

     ○国務大臣（塩崎恭久君）　今回の企業年金連合会の事案では、受給権者の個人情報の漏えいは現時点では確認をされていないわけでありまして、基本的には企業年金連合会における対処とか、あるいは厚生労働省の報告、そしてまた厚生労働省からの対処指示というのが、これ自体は適切に行われたのではないかなというふうに私は思っておりますが、今後の新たな不正アクセスが行われる可能性も当然あり得るわけでありますし、今のような、検索を掛けるとアドレス帳がどっと出てくるみたいなことがあって、個人情報の適切な管理、取扱いというのは、やっぱりこれは徹底してもらわなきゃいかぬというふうに思うわけであって、それは周知を行うように既に文書で徹底はしているところでございます。 　引き続き、個人情報の管理については連合会についてもしっかりやってもらうように、私どもとしても、広い意味での監督権限が私どもにありますから、指揮監督をしっかりやっていかなきゃいかぬというふうに思うところでございます。

158. 蓮舫 157

     ○蓮舫君　機構に確認をします。 　この週末、日本年金機構のホームページが閉ざされました。理由を聞くと、脆弱性。脆弱性とは何でしょうか。

159. 水島藤一郎 158

     ○参考人（水島藤一郎君）　現在、外部から攻撃を受けておりまして、その脆弱性のどこが脆弱であるかということを認識しているかということを開示をいたしますことは、セキュリティー上極めて問題があるかというふうに思いますので、御勘弁をいただきたいというふうに思います。

160. 蓮舫 159

     ○蓮舫君　外部から攻撃を受けている脆弱性というのは、連合会が四月に受けたいわゆるＤｏＳ攻撃、フォームにいろいろな情報がアトランダムに攻撃をされる、あるいは検索ツール、アットマークを入れることによって個人情報を持ち去ることができる、これではないですか。

161. 水島藤一郎 160

     ○参考人（水島藤一郎君）　内容につきましては、どのような攻撃の内容であるかということについては開示を控えさせていただきますが、比較的一般的な攻撃であるというふうに認識しております。

162. 蓮舫 161

     ○蓮舫君　いや、連合会が受けた攻撃と同種のものではないですか。

163. 水島藤一郎 162

     ○参考人（水島藤一郎君）　異なると思っております。

164. 蓮舫 163

     ○蓮舫君　分かりました。 　次なんですけれども、厚労大臣、結果として大臣に情報が上がるのは二十八、二十九。百二十五万件と取りあえず情報が分かったのが週末を挟んで日曜日の深夜。そして一日の夕方の会見につながりますけれども、私、やっぱりどこかの段階で情報が係長がしっかり共有をしていれば、早い段階でＮＩＳＣに相談、要請を行うことができたのではないかと思うんですね。 　ＮＩＳＣは、今の法律の関係では、異常な通信を検知した場合に通知はできるけれども、その後どうなっているかという確認はできないんですよ。各省庁から助言の要請がないと動くことができない、ここの部分はやはり変える必要があると思いますが、いかがでしょうか。

165. 塩崎恭久 164

     ○国務大臣（塩崎恭久君）　ＮＩＳＣの権限については、ちょっと私も手元に今法律等がございませんので、何とも言い難いところでありますけれども、ＮＩＳＣ自体の実態的な協力は、あるいは指導は、先ほどお話があったように、五月八日の分もＮＩＳＣからの連絡であり、またこちらから、機構がケーブルを抜いて特定したパソコンについて外しましたということについては報告をし、なおかつ、ＮＩＳＣから異常な発信は止まったということは五月八日に聞いているわけですね。 　ということでございますので、いずれにしても政府全体のサイバーセキュリティーをしっかりやるという目的でございますので、そこのところについては実態に即して機能をするように絶えず見直していくということが大事だろうというふうに思います。

166. 蓮舫 165

     ○蓮舫君　それと、厚労大臣、今回の漏れた年金情報対応、この予算措置はどうされるんでしょうか。

167. 塩崎恭久 166

     ○国務大臣（塩崎恭久君）　これについては、まだ言ってみれば継続をしている攻撃もございますし、そして今申し上げたように、機構はもとより私ども厚労省も自らの検証をして、何が原因でこういう事態に至ったのか、結果として個人情報が流出してしまったことはもう間違いないわけでありますから、これについて、どこに責任があるのかということについては、自ら検証するとともに、先ほど申し上げた日本年金機構不正アクセス事案検証委員会、ここでの検証をしっかりと踏まえて、どういうふうにするかということを考えていかなきゃいけないんじゃないかというふうに考えます。

168. 蓮舫 167

     ○蓮舫君　いや、どこに責任があるかって、厚労省と機構じゃないですか。国民にはないですよ、責任が。機構理事長の考えをお聞かせください。

169. 水島藤一郎 168

     ○参考人（水島藤一郎君）　このような事態が発生をしたということに関して、私自身非常に重い責任を感じております。 　もちろん、この間の判断に関して、その時々……

170. 蓮舫 169

     ○蓮舫君　予算措置ですよ。予算措置について聞いているんですよ。

171. 水島藤一郎 170

     ○参考人（水島藤一郎君）　失礼しました。 　予算措置に関しましては、厚生労働省の御指導を、御相談しながら進めてまいりたいと思っております。

172. 蓮舫 171

     ○蓮舫君　被害は確かにまだ拡大をしておりますけど、既に様々な経費が発生しています。想定で、対策費は機構は幾らぐらいだと積算されていますか。

173. 水島藤一郎 172

     ○参考人（水島藤一郎君）　現在まさに進行形でございまして、種々の対策も今打っておるところでございます。今後起きてくることに関しまして更に対策を打つ必要があるかも分かりません。 　そのようなことも踏まえまして、現在では分からない、まだ把握はできないということでございます。

174. 蓮舫 173

     ○蓮舫君　一万五千人への郵送費、機械的に算出したら百二十万円と伺いました。これ、一通八十円の計算です。切手代ですよね。そうすると、百二十五万件、対象者はこれ小さくなるとは思いますけれども、単純計算すると、百二十五万なら一億掛かります。切手代だけで一億です。さらには、発注しているのが、今、電話相談、コールセンターの経費ですね、千人単位。これ、通常時のいわゆる電話相談の契約書をいただきましたけれども、平時のコールセンターでは業務委託契約によると、一日平均百三十人、年契約で十三億。そうすると、今回それ千人に員数増えていますから、単純計算すると、年間百億、月八億。しかも、電話相談は、今時間を長くして、土日もやっています。これ、もっと膨らむと思います。 　こうした経費、誰が払うんですか。

175. 水島藤一郎 174

     ○参考人（水島藤一郎君）　まさにその点につきまして、厚生労働省と打合せをしながら、御指導をいただきながら進めてまいりたいというふうに考えております。

176. 蓮舫 175

     ○蓮舫君　機構の平成二十五年度予算、決算を見ると、二千九百五十七億円のオーダーです。機構運営の交付金、千六百八億、年金等事業運営費交付金は千三百四十二億。機構の予算、それは、国家財源が税金で五四％、年金保険料で四五％、その他の自己収入は僅か三億しかないんですね。つまり、ほぼ税と保険料。どこから出すんですか。

177. 水島藤一郎 176

     ○参考人（水島藤一郎君）　まさにその点も含めて厚生労働省と御相談をしていきたいというふうに考えているということでございます。

178. 蓮舫 177

     ○蓮舫君　理事長百十一万、副理事長九十万、理事八十二万、監事七十一万の月額給与です。それに年二回の賞与。少なくとも漏れた年金情報のある程度の一定の解決のめどが立つぐらいまでは給与減額、自主返納すべきではないですか。

179. 水島藤一郎 178

     ○参考人（水島藤一郎君）　そういう御意見も含めて、きちんと受け止めて対処してまいりたいと考えております。

180. 蓮舫 179

     ○蓮舫君　自主返納されるんですか。

181. 水島藤一郎 180

     ○参考人（水島藤一郎君）　現在、検証委員会がスタートいたしております。私どもの中でも調査委員会を立ち上げております。そのような委員会の検討結果も踏まえながら検討させていただきたいと思います。

182. 蓮舫 181

     ○蓮舫君　検討結果は、責任がどこにあったのか、再発防止です。今、私が伺っているのは理事長の意思です。 　日本年金機構の財源は税と保険料、国民に何にも責任がない漏れた年金情報の処理に対して、税か保険料を使うしかないじゃないですか。それに対して、それに至るまでの間、せめて自分たちの給料、これは自主返納するお気持ちがあるんですか。お客様と国民に対しておわびをされるのであれば、それは形でお示しするおつもりがありますか。

183. 水島藤一郎 182

     ○参考人（水島藤一郎君）　決して言い訳ではございませんが、悪意を持った攻撃が行われて、それに対する対処が妥当であったかどうかということがこれから検証されるわけでございます。そういうことも踏まえながら、自らの責任を考えてまいりたいというふうに考えております。

184. 蓮舫 183

     ○蓮舫君　最後に、厚生労働大臣、政務三役、歳費の返上はされますか。

185. 塩崎恭久 184

     ○国務大臣（塩崎恭久君）　今回の事案につきましては、機構がこういう問題を起こしながら、この責任は私どもも監督責任として持っているわけでありますから、それなりのけじめは付けないといけないというふうに思います。

186. 蓮舫 185

     ○蓮舫君　ありがとうございました。

187. 白眞勲 186

     ○白眞勲君　民主党の白眞勲でございます。 　日本年金機構がサイバー攻撃を受けて、年金受給者や加入者の個人情報が流出した問題につきまして、蓮舫議員に引き続き質問をしたいと思います。 　まず、日本年金機構にお伺いいたしますけれども、今回の流出した情報のＬＡＮにつながっているＰＣは合計何台で、今現在分かっている感染したＰＣは何台になるか、お答えください。

188. 水島藤一郎 187

     ○参考人（水島藤一郎君）　インターネットにつながっておりますＰＣは七千八百台でございます。現在、感染を確認しておりますのは二十七台でございます。

189. 白眞勲 188

     ○白眞勲君　理事長は、六月三日の衆議院厚生労働委員会の御答弁で、この流出した百二十五万件の情報のうち七十万件についてはパスワードが設定されて、パスワードが設定されていない状態なのは五十五万件だと答弁されました。 　ここでお聞きしたいんですけれども、このパスワードはファイルごとに設定するんでしょうか、それとも個人個人のデータに設定するんでしょうか。お答えください。

190. 水島藤一郎 189

     ○参考人（水島藤一郎君）　ファイルごとでございます。

191. 白眞勲 190

     ○白眞勲君　報道によりますと、実際には百二十五万件のうちパスワードが掛けられなければならないファイルの数は九百四十九個、そのうち七個しか実際にはパスワードの設定がなかった。つまり、ファイルにパスワードを設定するように内規で決められていたにもかかわらず、実際にパスワードが設定されたのは一％もなかったということでよろしゅうございますか。

192. 水島藤一郎 191

     ○参考人（水島藤一郎君）　今回流出をいたしましたデータに関しまして、今おっしゃいました数字に関しましては今ちょっと精査中でございまして、最終的にこうだという確認はもう少し待っていただきたいと、おおむねそういうことだったと思います。

193. 白眞勲 192

     ○白眞勲君　いや、五十五万件とか百二十五万件とか、そういう数字が出るというのは当然ファイルの数が分からなければ出てこない数ですよね。ですから私は聞いているわけなんですよ。ファイルの数はどうであれ、パーセンテージでいえばもう一％に満たないということでよろしゅうございますか。もう一度お聞きしたいと思いますが。

194. 水島藤一郎 193

     ○参考人（水島藤一郎君）　おおむねそうだと思っております。

195. 白眞勲 194

     ○白眞勲君　理事長は、六月三日の委員会で、一部の情報についてパスワードの設定がないということが判明しましたとお答えになっているんですね。ところが、今のお答えですと、パスワードの設定は一％に満たないということになると、一部の情報についてパスワードの設定がないのではなくて、ほとんどの、全てのと言っていいぐらいのデータにパスワードの設定がなかったということじゃないですか。これ、答弁逆なんじゃないんですか。

196. 水島藤一郎 195

     ○参考人（水島藤一郎君）　言い訳ではございませんが、そう申し上げておりますのは、七十七万件と五十万件について申し上げたわけでございまして、その中で、申し上げますと、その時点ではファイル数の報告は私宛てにはございませんでした。これに対して、ファイル数ベースではどうなっているのかということを指示をいたしまして、分かった数字がこの数字でございました。ただ、第一次的な数字でございまして、ちょっとまだ最終的な確認が取れていないということだけ申し上げておきたいと思います。

197. 白眞勲 196

     ○白眞勲君　いや、それも私、今ちょっと聞いて驚いたんですね。当然、こういうパスワードの設定について理事長に、きちっとしたファイルでパスワードが設定されているかどうかを理事長が聞き直さなければ下から上がってこないという、私はこれ、構造というのは少しおかしいのではないのかなというふうに思うんですけれども、そういう中で、もう一つ、私、非常に疑問に思うのは、このパスワードが設定されていないというのが、これ機構としては分かっているんじゃないのかなと思うんですね、普通に考えれば。これだけ、つまり一％も設定されていないんですから、普通にやっている人たちにとってみたら、パスワードは設定しなくていいものだという形になっているんですよね。ですから、誰かがダブルチェックをしているのかどうか、もう一度ちょっとその辺確認したいと思うんですが、いかがでしょうか。

198. 水島藤一郎 197

     ○参考人（水島藤一郎君）　この点に関しまして、機構内部では一定のサイクルで報告を取っておったということでございますが、しかしながら、それによるルールの遵守ということが必ずしも担保されていなかったということだというふうに思っております。

199. 白眞勲 198

     ○白眞勲君　今報告があればというんですけれども、報告があれば当然、これパスワードされていませんというふうに報告されていなければならなかったんじゃないんでしょうか。もう一度お答えください。

200. 水島藤一郎 199

     ○参考人（水島藤一郎君）　その内容を現在、監査によってチェックしているところでございます。

201. 白眞勲 200

     ○白眞勲君　今日は徳武さんもいらっしゃっていますので、理事長が分からないときには、徳武さん、どうぞ、どんどん手を挙げて答えていただいてと思いますし、私は、理事長さん一人に御答弁をさせると余りにも忍びないと思いましたので、一緒に是非手を挙げていただきたいなというふうに思うんですけれども。 　ここで年金機構にもう一つお聞きしたいんですけれども、これ、今までもいろいろ報道は出ています。つまり、基幹ファイルからいわゆる個人情報を共有ファイルに一時的に保存をするという言い方をされていますよね。私も前、民間にいたときには、そういうことがあるとするならば当然、業務が終了したデータについては何らかの処理をしていかなきゃいけない。要は、削除をしなければならないわけですよ。それについて、いわゆる個人情報について消去はしているのかしていないのか、その辺り、いかがなんでしょうか。

202. 水島藤一郎 201

     ○参考人（水島藤一郎君）　その点に関しましても、現在監査で徹底的にチェックしているところでございます。

203. 白眞勲 202

     ○白眞勲君　いや、私が聞いているのは、徹底的にじゃなくて、今の時点でです、今の時点で消去をしていないデータも残っているということなのかどうか、それをお聞きしたいんですけれども、どうなんでしょうか。

204. 徳武康雄 203

     ○参考人（徳武康雄君）　現在、調査中でありますけれども、流出したファイルの中身を精査した上で、残っていたものがあるかというのを確認をしたいというふうに思っております。

205. 白眞勲 204

     ○白眞勲君　いや、もう一度お答えください。これ重要ですよ、この部分。 　つまり、消去しているかしていないか、それ何で答えないんですか。消去していないファイルもあるのかどうか、それだけをお聞きしているわけなんですけれども、お答えください。

206. 徳武康雄 205

     ○参考人（徳武康雄君）　正確には確認をした上でお答えしたいと思いますけれども、大分前のファイルであるというふうに思われるものが残っておりましたので、そういったところを含めて確認して、状況を整理したいというふうに思っております。

207. 白眞勲 206

     ○白眞勲君　じゃ、是非、整理したデータというのをこの委員会に提出していただきたいと思いますが、委員長、よろしくお願いします。

208. 丸川珠代 207

     ○委員長（丸川珠代君）　後刻理事会で協議いたします。

209. 白眞勲 208

     ○白眞勲君　つまり、これ、私、思うんですけれども、基幹ファイルはネットと遮断されて、それなりの、何というんでしょうね、保護されていると。だけれども、そこからデータを持ってきて、データを持ってきたらそれを消去しなければ、どんどんデータを移しているということは、これが何であれ、結局これが、いわゆるインターネットと接続環境にどんどん持ってきているわけですよ。そうすれば、これは当然、個人情報がどんどんネットの環境に置かれているということじゃありませんか。水島理事長、もう一回その辺お答えください。

210. 水島藤一郎 209

     ○参考人（水島藤一郎君）　その懸念は否定できないと思っております。その点も含めて、現在、徹底的な中身のチェックを行っているところでございます。

211. 白眞勲 210

     ○白眞勲君　日常の作業の中で、今、パスワードについてもきちっとしたチェックがされているかどうかは非常にあやふやでした。と同時に、この消去したという確認作業、日頃の作業の中でですよ、当然これは誰かが消去したということを確認作業をしなければいけないと思うんですけれども、そういうチェックというのはされていたんでしょうか。

212. 徳武康雄 211

     ○参考人（徳武康雄君）　共有ファイルにつきましては定期的な整理を要求しておりますので、そのときにはどのファイルを消去したということは整理ができておりますけれども、個別のファイルの消去時期についてどうしたかという整理につきましては、例えば書類等の報告につきましては今ちょっと分かりませんので、これにつきましても後ほどお答えしたいというふうに思います。

213. 白眞勲 212

     ○白眞勲君　非常にあやふやなんですね。この規定はどうなっているんですか、規定は。

214. 徳武康雄 213

     ○参考人（徳武康雄君）　規定上は、消去すべき日程を設けたものにつきましては、その日程で消去するという扱いになっております。

215. 白眞勲 214

     ○白眞勲君　あと、当然、この基幹ファイルから持っていくときに、何らかの媒体を使って持っていくわけですよね。ＣＤ—ＲＯＭとかという話も聞いていますけれども。そのＣＤ—ＲＯＭの処理状況については、これ確認されていますか。ちゃんと何らかの、普通は大体消去するなり何かするんだと思うんですけれども、それについてはどういうふうになっているんでしょうか。

216. 徳武康雄 215

     ○参考人（徳武康雄君）　基幹システムからデータを抜き出しまして、媒体に落として共有ファイルに持ち出すという手続の中で、許容された手続、あるいはどういうものを渡すかということ、決められた手続にのっとって作業しておりますので、誰がどういうことをやったかというのは整理が付いております。整理といいますか、確認をした上でそういった措置をしております。

217. 白眞勲 216

     ○白眞勲君　いやいや、私が聞いているのは、その媒体はどうするんですかということなんですよ。

218. 水島藤一郎 217

     ○参考人（水島藤一郎君）　基幹システムからデータを取り出して、それを磁気媒体にいたしまして、それをいわゆるＬＡＮのパソコンに移すということになります。そのルールは、その磁気媒体は可及的速やかに廃棄処分をするというのがルールでございます。

219. 白眞勲 218

     ○白眞勲君　そのルールは守られているんですか。

220. 水島藤一郎 219

     ○参考人（水島藤一郎君）　これに関しましても、本日でございますが、そのチェックを行った上で、廃棄すべきものについて、正当な手続に沿って廃棄するように全事務所に対して指示を行っているところでございます。

221. 白眞勲 220

     ○白眞勲君　いや、ちょっと待ってくださいよ。今、本日それをやるんじゃないですよ。日頃どうしているかということになると、それは非常にあやふやな答弁なんですね。ちょっとそれ、ひど過ぎますよ。

222. 水島藤一郎 221

     ○参考人（水島藤一郎君）　その状況の把握が、正確に把握されるというルールが必ずしも明確にできておりません。それをきちんとルールをつくり、それを守らせるということをやっていかなければならないということでございます。

223. 白眞勲 222

     ○白眞勲君　もう、ちょっと私、開いた口が塞がらないような状況になってくるんですね。 　つまり、持ってきたやつは消しているかどうか確認できない、パスワードはそもそも設定もされない、そして持ってくるときの道具、これについても廃棄されたかどうかも分からない。内規ではそうなっている。でも、内規が全然守られていないということじゃありませんか。ということは、これ、ほかの内規ももしかしたら全然守られていないものがあるかもしれないと、我々はそういうふうに勘ぐっちゃうわけなんですね。 　この際、これちょっと御提案ですけど、ほかの内規もしっかり守られているか全部チェックする必要があると思いますけど、いかがですか、水島理事長。

224. 水島藤一郎 223

     ○参考人（水島藤一郎君）　御指摘のとおり、ルールは決まっております。そのルールに従ってやっているかどうかについては報告を取り、そして監査でチェックをしということをやってきているわけでございますが、その中に漏れているものもあるということでございまして、その漏れている状況について現在どのような状況であるかということについては、再度、もう一度確認をしなければならないというふうに考えてチェックを行っているところだということでございます。

225. 白眞勲 224

     ○白眞勲君　ちょっと今聞き漏らしたんですけれども、漏れているって、何の情報が漏れているということですか。

226. 水島藤一郎 225

     ○参考人（水島藤一郎君）　ルールを守ることができていない、例えば廃棄についてですね、廃棄というルールになっているにもかかわらず廃棄ができていないものがあるかもしれないということでございます。

227. 白眞勲 226

     ○白眞勲君　廃棄をしていないものがあるかもしれない。そうすると、職員がポケットに入れたり、あるいは何らかの形でそれを持ち出すことだってできるんではないんだろうか、そういう疑いもあると思うんですが、その辺はいかがですか。

228. 水島藤一郎 227

     ○参考人（水島藤一郎君）　そのような磁気媒体の組織外への持ち出しについては禁止をいたしておりますので、それに関しましては、現在、監査の際に、朝、全て、持ち物とかあるいはロッカーとか、そういうものについてもチェックをいたしておりますので、その中では、現在のところ、そのような持ち帰りについて報告はされているものはございません。

229. 白眞勲 228

     ○白眞勲君　いや、持ち物検査は朝するんじゃないんです。持って帰るんだから、夕方しなきゃ駄目なんじゃないですか。 　ちょっとこれ、もう一回理事会でちゃんとこの辺り確認していただくようにしていただきたいと思うんですけど、いかがでしょうか、委員長。

230. 丸川珠代 229

     ○委員長（丸川珠代君）　後刻理事会において協議をいたします。

231. 水島藤一郎 230

     ○参考人（水島藤一郎君）　なぜそのチェックを朝行うかということでございますが、監査は当日入りますので、入っているということが分かれば、夕方にチェックをしても意味がないわけです。朝、仕事をするのであれば、それは朝持ってまいりますから、その持ってきたかどうかということをチェックをするということによって行っている。（発言する者あり）いや、持ち帰らせておりません。万が一、持ち帰りがないということをチェックしているということでございます。

232. 白眞勲 231

     ○白眞勲君　また何かこれ、本当よく分からなくなってきちゃったんですね、私、話を聞いていて。ちょっと私も議事録を精査してもう一回聞きたいと思いますが、ちょっとこれ、先へ進みます。こればっかりというわけにいかないので。 　基幹サーバーから共有ファイルを持ち出す際に、今まで内規が全然守られていないということになりますと、本当に住所、氏名、生年月日と年金番号だけだということ、これ断言できるんですか。内規がこれだけ守られていない、本当にそれだけだということがどうやって確認できるんでしょうか。

233. 水島藤一郎 232

     ○参考人（水島藤一郎君）　現在流出が確認されておりますファイルについてそのような情報であるということでございます。

234. 白眞勲 233

     ○白眞勲君　つまり、現在流出が確認されているものを見たらそれしかないですということですから、逆に言うと、基幹サーバーから別の方に、もしかしたら、その流出の確認されているファイルだか何か分かりませんけれども、そのサーバー以外のサーバーにもし何かが漏れていたら、そっちの可能性というのは四つ以外にもあるのではないかということが考えられるんじゃないんでしょうか。その辺どうなんでしょうか。

235. 水島藤一郎 234

     ○参考人（水島藤一郎君）　外部のサーバーに何かデータを送るということに関しましては、全て上司に対してＣＣで報告するシステムになっておりますので、それは全部チェックできるようになっております。

236. 白眞勲 235

     ○白眞勲君　いや、ですから、その内規が守られていないのに、システムとしてじゃなくて、事実を私は聞いているわけなんですね。要は、状況とか、報告する必要性がありますとか、そういう話じゃないんです。事実どうなんだというので、そういう疑いがあるんじゃないんでしょうかということを私は理事長にお聞きしているわけなんですね。もう一回お答えください。

237. 水島藤一郎 236

     ○参考人（水島藤一郎君）　自動的にＣＣが掛かりますので、そのようなことはないと思います。

238. 白眞勲 237

     ○白眞勲君　個人情報にはパスワードを設定するなど内規の具体的な内容について、民主党の部門会議に厚生労働省が提出した資料の、日本年金機構共有ファイル運用要領、第百七十一号、経営企画部長決定、平成二十七年三月二十三日制定、施行という文書がありまして、その中に、お客様の個人情報や入札関連情報などの情報を取り扱う場合には、アクセス制限やパスワード設定など厳重なセキュリティー措置を講ずることとなっているわけですね。 　ちょっと私、これ気になったのが、平成二十七年三月二十三日制定、施行となっているんですよ。今年の三月ですよね。ということは、これ以前はどのようなセキュリティーが規定されていたのか、お答えください。

239. 水島藤一郎 238

     ○参考人（水島藤一郎君）　お答えいたします。 　それまでは指示依頼という形でルールを定めておりましたが、七月でございますが、要領として定めたということでございます。

240. 白眞勲 239

     ○白眞勲君　じゃ、それをきちっともう一回リニューアルしたということだというふうに私は理解しますけれども、ちょっとここで厚生労働大臣に、今までのやり取りを聞いていただいて、少し感想をお聞きしたいんですね。 　それで、大臣は前に、本件の違反に係る個別の処分については現在事実関係を調査中ですが、厚労省としては、本件情報の重要性に鑑み、その処分は当然のことながら厳正に行わなければならないと考えていると答弁されています。 　それ以前に、私は、これだけ聞くと、何か年金機構はけしからぬねというような感じなんですよ。実際にはこれ厚生労働省が監督もしているわけですよね。ところが、今も、大臣も今日の一番最初の話でもきちっとおわびはされていますけれども、何かそれにしても人ごとみたいに感じるんですね。 　ですから、その辺り、何か私は、しっかり監督さえすればいいとか、処分さえすればいいという問題ではなくて、どういう形で今後これを、やっぱり国民の心配を取り除くために努力をすべきかということをもう少し真剣に考えるべきだというふうに思うんですけれども、その辺り、大臣はいかがでしょうか。

241. 塩崎恭久 240

     ○国務大臣（塩崎恭久君）　今の共有フォルダ運用要領も、定めはしっかりして、当然これ厚労省も把握をした上でこれが施行されているものだという前提でやっているわけでありますが、残念ながらパスワードが掛かっていないと。あるいはアクセス制限についてはどういうことになっているのか私もつぶさには知りませんが、こういったことが守られない、つまり内規が守られていないということが明らかになったわけであって、したがって、厚労省としても、この運用要領を決めること自体のところまでは監督としてやっていても、それが執行されているかどうかということについての検証がふだんからできていたかということも、これ検証しないといけないというふうに思うんです。 　ですからこそ、私は、この監督の体制そのものも格段に強化をしないといけないんじゃないかと申し上げているのは、まさに実際現場でそれぞれのルールが守られているかどうかの、その遵守状況もチェックをするような仕組みも必要になるのかも分からないなということを感じながら今申し上げているので、ただ、実際どういう実態でこういうことが起きてしまったのかということについてはしっかりとした検証を第三者の目も入れてやった上で最終的には決めるということだろうと思いますが、当然、機構は機構で、自らの反省の下に、これが守られていないという実態があるとするならば、それをどうするかというのは自分でも考えなきゃいけない。我々も、ですから、要領だけ決めて、それでよかれと思って置いたままではいけないということも分かったわけですから、これからどうするのかということも考えていきたいと思います。 　いずれにしても、ＮＩＳＣも今回こうやってちゃんとウオーニングを発するということを機能として果たしてくれましたが、我々これから、じゃ、どういうふうにしてこういったことが二度と起きないようにするのかということも、その連携の在り方、つまり政府内の問題としても私たちはしっかり考えていかなきゃいけないというふうに思います。

242. 白眞勲 241

     ○白眞勲君　日本年金機構にまたお聞きしたいと思うんですけれども、この流出した百二十五万件のデータというのは、攻撃者に乗っ取られたと見られる東京都港区の海運会社のサーバーで警視庁が見付けたデータを基に機構が確認できた数字だということでよろしゅうございますか。

243. 水島藤一郎 242

     ○参考人（水島藤一郎君）　警視庁からの情報に基づいて、私どもが内容を精査をして確定した数字でございます。

244. 白眞勲 243

     ○白眞勲君　つまり、乗っ取られたサーバーから、警視庁からいただいた情報だということですか。

245. 水島藤一郎 244

     ○参考人（水島藤一郎君）　その点はまさに捜査に関すると思います。お答えを控えたいと思います。

246. 白眞勲 245

     ○白眞勲君　いやいや、それは変ですよ。捜査情報として百二十五万件のデータが出ましたというのは、どこから来たデータですということぐらいは言ったっていいんじゃないでしょうか、ここで。おっしゃってください。

247. 水島藤一郎 246

     ○参考人（水島藤一郎君）　そのサーバーにどのような形でデータがあったかということについては、まさに捜査の秘密だと思います。私が申し上げておりますのは、警視庁からの情報に基づいてそのファイルの内容を調べたところ、私どもとしてこの流出を確認したということでございます。

248. 白眞勲 247

     ○白眞勲君　今、要は、乗っ取られたサーバーの情報を警視庁からいただいて、それで自分たちが解析した結果だということだと思うんですけれども。 　そうすると、その乗っ取られたサーバーというのは一台だけなんですか。それとも、ほかに複数台あるという報道もあるんですけれども、その辺はいかがなんでしょうか。

249. 水島藤一郎 248

     ○参考人（水島藤一郎君）　まさにその点は捜査のポイントだと思います。大変恐縮でございますが、差し控えさせていただきたいと思います。

250. 白眞勲 249

     ○白眞勲君　いや、一台か複数かですよ。それをちょっとお答えいただかないと、これ、先へ進めませんけれども。もう一度お答えください。

251. 水島藤一郎 250

     ○参考人（水島藤一郎君）　まさにその点は、どの程度私どもが把握をしているかということでございますので、捜査上の観点、セキュリティー上の観点、いずれの観点からも申し上げられないというふうに思っております。（発言する者あり）

252. 丸川珠代 251

     ○委員長（丸川珠代君）　速記を止めてください。 　　　〔速記中止〕

253. 丸川珠代 252

     ○委員長（丸川珠代君）　速記を起こしてください。

254. 水島藤一郎 253

     ○参考人（水島藤一郎君）　少なくとも一台以上であることは確かでございますが、一台であるか複数であるかということは分かりません。

255. 白眞勲 254

     ○白眞勲君　資料一に、これは新聞報道で出たものなんですね。 　これ見ますと、東京の記録突合センター、和歌山、沖縄事務センターの資料ということなんですよね。ということは、これは東京、和歌山、沖縄で集中的に取られたということがその記録残っているので、その三つの記録だけだということで判断できるんでしょうか、これは。

256. 水島藤一郎 255

     ○参考人（水島藤一郎君）　申し訳ございません、この内容が正しいということは、ここでは確認できないと思います。 　このデータ、少なくとも私がそのファイル数を調べろということを命じて、ファイル数について報告を受けたものの数字に近いということは思います。ただ、こちらの中身について、恐縮でございますが、私は確認をいたしておりませんので、ここでこうですということは申し上げられません。

257. 白眞勲 256

     ○白眞勲君　そうしますと、これちょっと私、気になったのは、この三番目の沖縄事務センターの年金記録確認のお知らせ文書の送付対象者リスト約六十七万二千件ですね。ということだとすると、この前、事前の私もいろいろ部会でも聞いてみると、沖縄事務センターというのは、大体沖縄県民の皆さんのデータを管理する場所とも聞いているわけなんですね。六十七万二千件というと、沖縄県民の人口が百四十万人ですから、これ半分なんですよ。そういうことになるわけですよね。 　そうすると、これちょっと驚くような数字なんですけれども、これについて理事長、どうですか。お聞かせください。

258. 水島藤一郎 257

     ○参考人（水島藤一郎君）　現在、百二十五万件のデータに関しまして、それぞれのお客様に御通知を申し上げるという作業を進めているところでございます。その過程で、もちろん受給者あるいは被保険者別の件数でございますとか地域別の件数というのも分かってくると思います。 　現在、途中経過にございまして、地域別の件数がどういうような状況になっているかというのはまだつかめておりませんので、これはつかめましたら、これについて御報告を申し上げることはやぶさかでないというふうに思っておりますが、現時点でこの資料を基にこれが正しいということを申し上げるのはちょっと難しいと思います。

259. 白眞勲 258

     ○白眞勲君　そうしましたら、是非それも理事会に提出していただきたいと思いますが、委員長、そこだけもう一回、御答弁願います。

260. 丸川珠代 259

     ○委員長（丸川珠代君）　ただいまの件につきましては、後刻理事会において協議をいたします。

261. 白眞勲 260

     ○白眞勲君　そうしますと、私、今までの理事長さんの御答弁によると、まず一つは、乗っ取られたサーバーは一台以上、一台かもしれないけれどもまだあるかもしれないというお話をされました。一つはこういうデータが出ていて、これはまだもちろん確認はされていないけれども、県民の半分がデータが漏れている可能性があるという件数が出ているということを考えると、これは理事長、ほかにも理事長は前々からおっしゃっているわけですよ。残念ながら更に流出する、拡大の懸念があるということは前々から理事長はおっしゃっている。 　そうしますと、今後新たに個人情報の流出というのは、これ莫大なものになる可能性がある。簡単に言えば、いや、これ分からないです、本当に分からないんです、私も。びっくりしちゃったんですね。沖縄県民の半分ということになったら、これ見ると、和歌山と沖縄と東京の事務センターということになったら、日本国民全体、一億三千万のうちの約半分の六千万件が漏れる可能性もあるということが何か分かる感じがするんですね。 　ですから、その辺りについて理事長としては、今後更に流出する、拡大する可能性があるというのは、一万、二万件とか、それもすごい数字ですよ、だけど、もしかしたら百万件あるいは一千万件の単位で漏れる可能性がある、漏れている可能性があるということでよろしいでしょうか。

262. 水島藤一郎 261

     ○参考人（水島藤一郎君）　現時点で確認をされておりますのは百二十五万件でございます。 　先般申し上げましたのは、その可能性は否定をいたしませんが、いろいろな精査を進めてきております。その中で、今日現在、百二十五万件が確認された件数だということでございます。

263. 白眞勲 262

     ○白眞勲君　いやいや、それ確定なんですか、今日現在ということはもう確定なのか。 　もう一か月たっているんですよ。一か月たっているんだけど、百二十五万件のままなんですか。それとも、私の言っているような可能性について、これ本当に、私、こんな可能性言いたくもないぐらいの可能性ですけど、これについてお話をお聞かせください。

264. 水島藤一郎 263

     ○参考人（水島藤一郎君）　仮定の議論になりますので、要するに今確認できているのが百二十五万件だということでございまして、これに関して新たな流出は現在確認されていないということでございます。

265. 白眞勲 264

     ○白眞勲君　私の聞いているのはそこじゃないんですよ。確認されていることについては、それは早急に、理事長もおっしゃっていますよ、すぐにでもこれは、こう書いてある、今後、新たに個人情報の流出の事実が確認された場合には速やかに公表したい、こう御答弁されています。 　ただ、それと同時に、残念ながら更に流出する、拡大する懸念があると言っている中で、もう一度申し上げますよ、サーバーが一つ乗っ取られていたという中に、一台以上のサーバーが乗っ取られている可能性があるということはお認めになったわけですよ、今。ですから、一台かもしれませんよ、それは。と同時に、そうすると、これは百万単位の、あるいは一千万単位の、沖縄のこれ見ると、個人情報の流出の可能性はあるのではないでしょうかというこの可能性について聞いているんですよ。

266. 水島藤一郎 265

     ○参考人（水島藤一郎君）　若干誤解が、私の説明が悪いんだと思います。 　私どものサーバーがそのまま乗っ取られたわけじゃございません。サーバー全体が乗っ取られたということはございませんで、そのサーバーの中にあるファイルがどこかに流出した懸念があるということでございまして、その流出したファイルがあったところがほかのところのサーバーだったということです。そこの内容を確認したところ、百二十五万件だったと申し上げているわけでございます。それ以外には現在新たな流出は確認されておりませんと申し上げております。

267. 白眞勲 266

     ○白眞勲君　いや、ですから、私は別に誤解も何もしていません。その乗っ取られたサーバーは、何というか、基幹のものではないところから何らかの形で物理的に動かしたものの仕事をしている。 　しかし、一番最初に私がこれを聞いている最中から、パスワードが設定されているのは一％未満、そして消去もされているかどうかも確認はされていないということがはっきりしている中で、相当な数のＰＣ、今、七千八百台とおっしゃいましたけれども、の人たちがこの作業をしているわけですよね。その中で、沖縄事務センターのものが、これは分かりませんよ、確認されていませんから、確認というか、水島理事長は確認はしていませんということですから、にせよ、そういういろいろな仕事をそこでやっていたということになったら、沖縄だけの仕事をやっているわけじゃないでしょうということは容易に推測が付くわけですよ。日本中のデータをその七千八百台のＰＣで動かしていたということになると、そのデータが漏れている可能性があるとすると、それは一千万単位になっちゃうんじゃないんですかということを聞いているんですね。 　ですから、それについて、現在の話はしなくていいですよ、可能性についてお答えください。

268. 水島藤一郎 267

     ○参考人（水島藤一郎君）　まさにこのような事案でございますので、可能性でお話し申し上げるのはできないと思います。申し上げられますのは、現在確認されておりますのは百二十五万件だということでございます。

269. 白眞勲 268

     ○白眞勲君　ですから、流出する拡大の懸念があるというのは御自身がおっしゃった言葉ですよ、これ。可能性についてしゃべりたくないといったって、御自身からそういう可能性があったら、じゃ、何件ぐらい流出するんですかと聞くのが私たちは当たり前なんですよ、これ。ですから、それが単位としてどれぐらいなんだと。大体の、大まかに言ってこのぐらいでしょうというぐらいは分からないと、もう一か月以上たっているわけですから、それについてお答えいただきたいと思いますが、もう一度お答えください。

270. 水島藤一郎 269

     ○参考人（水島藤一郎君）　更に拡大する可能性と申し上げましたのは、公表させていただきまして、その時点で警察情報について更にあるかどうかということについても分からなかったという状況でございました。現在、それがあるかないかということも含めて申し上げられませんが、少なくとも、新たな流出に結び付くような情報については現在得ていないということでございます。

271. 白眞勲 270

     ○白眞勲君　ただ、今日のマスコミ報道によると、複数のサーバーが乗っ取られていたということも今日私は新聞で見ましたので、それについて理事長は知らないと言うんだったらそれで結構ですけれども、これについてはまたこれからもやっていきたいと思いますが。 　ちょっとここで、全職員に注意喚起のメールを出したということですけど、今年に入って全職員に対してメールは何通送りましたか。

272. 水島藤一郎 271

     ○参考人（水島藤一郎君）　三回でございます。

273. 白眞勲 272

     ○白眞勲君　私、これ不思議に思うのは、不審なメールは開くなというのを送っても、これは当たり前なんですよ。不審なメールと分かっていれば開くわけないわけですよ。要するに、不審な人物は入れるなと言って入れる人いませんからね。 　だから、もっと具体的に、添付メールは今開かないでくれとか、開くならメールを送った本人に電話等で確認してから開けるとか、そういう具体的な通達を出すべきではなかったんだろうかなというふうに思うし、それからもう一つは、大臣が、これは入札情報についてもここでやっているんだということを言っていましたよね。入札情報を私、見たら、添付ファイルで送ってくださいとなっているんですよ。そうすると、やっぱり職員は添付ファイルを、何となく添付ファイルが来るとすぐ開きたくなるような感じがして、そういう面での業務上の問題もちょっと私はここで指摘したいというふうに思います。 　それで、もう時間も限られていることですから、最後にこれ私ちょっと聞きたいんだけれども、ＮＩＳＣから、これ五月八日ですよ、五月八日に情報が漏れていますよということが分かったにもかかわらず、結果的に外部には情報は漏れていたんだけど、外部に情報を漏えいするタイプでないと分かったと言っているんですね。これおかしいですね。ただ漏れていますという情報ではなくて、多分具体的な、どのぐらいの量の情報が漏れている程度のことはＮＩＳＣから知らせていると思いますから、どのようなウイルスだということをこのウイルス除去者から聞いたんですか、これ、最後に。外部に情報を漏えいするタイプでなければ、どのようなウイルスだということを情報として聞いたんでしょうか。

274. 水島藤一郎 273

     ○参考人（水島藤一郎君）　まさにウイルスのタイプの内容等々に関しましては、先ほど来申し上げて恐縮でございますが、もちろん捜査上の観点もございますが、私どもがどういうような形でそのウイルスを把握しているかということを開示することにもなりますので、恐縮でございますが、ここで開示をできないということでございます。

275. 白眞勲 274

     ○白眞勲君　要は、ＮＩＳＣから来るのはデータ量ですよ、まず。私はそう思いますよ。データの通信量があるということは外部に情報が漏れているということは、これ、私でも分かりますよ。 　だから、これ、外部に情報を漏えいするタイプでないということを言って、ああそうですかというのもある意味危機感が欠如しているということを最後に申し上げて、またちょっと質問の機会があったら質問させてもらいたいなと思いまして、私はこれで終わりにします。 　ありがとうございました。

276. 丸川珠代 275

     ○委員長（丸川珠代君）　午後一時二十分に再開することとし、休憩いたします。 　　　午後零時二十六分休憩 　　　　　─────・───── 　　　午後一時二十分開会

277. 丸川珠代 276

     ○委員長（丸川珠代君）　ただいまから厚生労働委員会を再開いたします。 　委員の異動について御報告いたします。 　本日、蓮舫君及び西村まさみ君が委員を辞任され、その補欠として羽田雄一郎君及び礒崎哲史君が選任されました。 　　　　─────────────

278. 丸川珠代 277

     ○委員長（丸川珠代君）　休憩前に引き続き、社会保障及び労働問題等に関する調査のうち、年金情報の流出問題に関する件を議題とし、質疑を行います。 　質疑のある方は順次御発言願います。

279. 長沢広明 278

     ○長沢広明君　公明党の長沢広明です。 　平成二十五年度末においての年金加入者は約六千七百万人、公的年金の受給者は約四千万人とされておりまして、いわゆる国民の誰もが年金制度に関わっているわけでございます。 　我が国の社会保障において、年金は高齢者の生活を支える大事な柱であり、それを支えているのは年金に対する国民の信頼というのが基盤でございます。 　残念なことに、旧社会保険庁時代の年金記録問題とか、国民の年金不信につながる事態はこれまでもありました。こういう事態を受けて、低迷していた国民年金保険料の納付率は、平成二十六年度分を見てみると、前年に比べて二・一％上昇して六二・三％となっているという傾向を見れば、徐々にではありますけれども、国民の信頼は回復の傾向に来たところでありました。 　そういう中で起こった今回のサイバー攻撃による百二十五万件に上る年金情報の流出は、これは誠に遺憾であって、二度とこのようなことがあってはならないというふうに思います。 　一方で、この問題の様々な報道もあって、国民の中に、自分の年金は大丈夫なのか、自分の年金が搾取されていないかと、こういう不安が広がっているわけです。そうした不安を少しでも払拭するということも私たちの責任の一つでありますので、今日はそういうことを中心に少し質疑をさせていただきたいと思っております。 　この対応ぶり、今回、午前中の質疑もありました、日本年金機構には、重要な個人情報を取り扱っているという自覚、国民の老後を支える年金という大事な業務に携わっているという自覚が余りにも欠けていたのではないかということを感じざるを得ません。 　情報セキュリティーという観点からは、個人情報が外部のインターネットと接続された環境に存在していたこと、これ自体あってはならないことですし、流出した個人情報ファイルの大部分にパスワードが未設定だったということが午前中の質疑でもありました。管理のずさんさというのは、第一報を聞いた段階から余りにひど過ぎるというふうに思います。 　ちょっと思い出しますのは、この参議院においても、参議院の個人個人、参議院議員に対する攻撃がかつてありました。それを受けて、数年前ですけれども、私も当時、議院運営委員会の理事を務めさせていただいて、議院運営委員会としてこの参議院のセキュリティー、これをしっかり高めなければいけないということを政府も含めて様々に議論した中で、内閣府にきちんとそういうチームをつくって各省庁の防御体制をつくろうと、こういうふうにやり、参議院、ハウスとしても防御体制をしっかりつくっていこうというふうに取り組んだ過去の経緯がございます。 　その中で、例えば不審なメールは開かないという教育訓練メールを各事務所の皆さんに発して、これに引っかかった、開けた場合はそのまま教育のページに誘導されて、こういうものを開いてはいけませんよと、こういうことを訓練をさせていただきました。ちょっと前回の参議院の改選後、もしかしてやっていないかもしれないので、もう一度、新しい議員の皆さんにもこういうことを注意喚起を含めてやらなきゃいけないということで、これは議院運営委員会の方でしっかりまた議論してもらいたいというふうに思いますが、それぐらい不審なメールは開かないというのは、基本的な注意喚起の基礎の基礎であります。 　今回の日本年金機構の対応には大きな注目が集まっておりますけれども、セキュリティーポリシーを根本から見直すとともに、年金機構の職員一人一人が心を改めて職務に取り組んでもらいたい、こういうことをまず冒頭に強く申し上げさせていただきたいと思いますし、こういう背景を含めて、まず大きな観点から、日本年金機構としては、どういう形で今回の事件の今後の被害の拡大防止、再発防止にどういう方針で向かっていくか、理事長のまず具体的な説明を伺いたいと思います。

280. 水島藤一郎 279

     ○参考人（水島藤一郎君）　日本年金機構におきましては、この度の流出事案を受けまして、まずシステム上対象となった方を確認できる体制を確立をいたしました。 　六月一日からお客様皆様の御不安あるいは御質問にお答えするために電話の相談センターを設置したところでございます。また、二次被害の防止が何よりも大切だというふうに考えておりまして、現在、対象となった方々に私どもから個別に文書でおわびとその旨の御通知を申し上げているところでございます。また、五月八日から六月一日までの住所変更手続を行った方に関しまして、御本人の確認ができない場合は個別訪問で確認をさせていただく等、種々の対策を行っているところでございます。 　また、広報面では、機構、厚生労働省のホームページ、ツイッターを活用した周知広報の実施等を行っているところでございまして、最終的にはやはり基礎年金番号の変更が必要だというふうに考えておりまして、基礎年金番号の変更についておおむね三か月程度で完成するように、今鋭意努力をしているところでございます。 　さらに、日本年金機構に今回の事案の検証のための調査委員会を設置をいたしました。厚生労働省におきましても、六月八日、今回の事案を検証し、原因究明と再発防止策の検討を行うために、外部の有識者から成ります日本年金機構不正アクセス事案検証委員会の第一回会合が開催されました。 　これらの検証結果を踏まえまして、また内閣サイバーセキュリティセンターとも連携を図りつつ、適切な情報セキュリティー対策を講じまして、再発防止に努めてまいる所存でございます。

281. 長沢広明 280

     ○長沢広明君　今回流出した年金情報によって詐欺等の事件に悪用されるというような二次被害につながるという懸念があります。基礎年金番号に加え、氏名、生年月日、住所の四情報が流出したという方もいまして、二次被害を防ぐ必要があると。二次被害を防ぐ必要がありますが、それ以上に、まず国民の皆さんへの説明というか、不安解消の対策をまず急がないといけないというふうに思います。 　いろんな不安の声が届いています。ほとんどの方が御高齢の方です。口座番号流出と書いてあった、ニュースで口座番号が流れた、こういうふうに聞いたと。違うんですね。年金番号と聞いて、これが口座番号だと勘違いされる方がある。それだと私の通帳の残金がなくなるのかということで、もう銀行に走ってすぐ残金を確かめているということが御高齢の方々の中に現実に起きています。 　電話したけれどもつながらないと。これは体制を強化してくれたということですけれども、ネット流出ということ自体が御高齢の方には分からない、理解ができない。したがって、何が起きているのか、漠然とした不安というか、漠然とした恐怖というか怖さに今浸っているというのが現実問題なんですね。暮らしの現場の不安というのはそういうところにあります。 　ホームページでお知らせとかやめてくれと、見られませんから、御高齢の方。そういうことをホームページでお知らせとかやめてほしい、そもそもうちにはパソコンがないと。もうちょっと相談できるところ、近くで直接話をして相談できるような場所はないのか、市役所とか役場とかそういうところで相談できるんですかと。暮らしの現場ではこういう声が上がっているというのが現実なんですよ。こういう声にしっかりと最優先で対応してもらいたいと思うんですね。 　そこで、まず基礎的なことをもう一度確認させてもらいたいんですが、今回百二十五万件の流出した情報、これは年金を既に今受給されている方の情報なのか、加入者の情報なのか。受給者なのか、加入者なのか、その内訳。できれば、二情報、三情報、四情報に分けて、その内訳を知りたいんですが、今御報告できますか。

282. 水島藤一郎 281

     ○参考人（水島藤一郎君）　現在、百二十五万件の方々に対しまして御通知を、お手紙を差し上げることを鋭意努力中でございます。 　まず、四情報が流出をされました方がやはり一番急ぐというふうに思いまして、これに関しましては、六月の三日、四日で一応これらの方々については御通知申し上げることが終了いたしております。そこに関しましては、受給者の方が約九千名、被保険者の方が六千名で、合計一万五千名ということでございます。 　あと、今、今月中をめどに全てお送りすべく努力中でございますが、その過程で被保険者あるいは受給者別の人数等々に関しまして判明してくると思います。これに関しましては、判明した時点で御報告申し上げるようにいたします。

283. 長沢広明 282

     ○長沢広明君　生年月日が入っている場合は、その生年月日で分かると思うんですね、受給者かどうかということが、大体大ざっぱに。 　今、四情報の部分だけは分かったということで、受給者が九千人、それ以外の方が六千人ということは、すなわち五分の三は受給者であるということですね。六割が受給者になるということ、これは非常に大きなやはり問題で、受給者の方が一番ある意味では高齢の方が多くて、その高齢の方の中に様々な不安がやっぱり今起こっていると。 　この不安の声にきちんと応えなきゃいけないんですが、この流出した個人情報の百二十五万件という数字、これ、先ほど、午前中の審議でもありましたけれども、百二十五万件でとどまるのか、今後増えるのか、ここについてはどういう判断を今されていますでしょうか。もう一度お願いしたいと思います。

284. 水島藤一郎 283

     ○参考人（水島藤一郎君）　百二十五万件に関しましては、警察からの情報によりまして現在確認ができた件数でございます。現在のところ百二十五万件が確認できたということでございまして、これ以上の流出に関しては、ただいま現在、確認をされていないということでございます。

285. 長沢広明 284

     ○長沢広明君　増えることがないとはちょっと言いづらい環境にまだあるということだと思います。それもある意味では、国民の、受給者の方々の不安の一つです。まだまだ増えるんじゃないかと、これも不安の一つ。 　それから、先ほど紹介した中にあったように、今回流出した情報の一つに基礎年金番号が流出していると。番号という言葉を聞いて、自分の預金口座番号が流出したのではないかと、そういうふうに不安に思っていると。 　今回の流出した情報は最大四情報というふうに伺っておりますけれども、流出した情報の中に預金口座、例えば年金の振り込み口座の情報は含まれていないというふうに明言できるでしょうか。これによって預金口座の残高がなくなるということはないと、こういう理解でよろしいか、お答えいただきたいと思います。

286. 水島藤一郎 285

     ○参考人（水島藤一郎君）　現時点で流出した情報の中に口座情報は含まれておりません。したがいまして、現時点では口座情報に関しましては流出をしていないというふうに申し上げられると思います。

287. 長沢広明 286

     ○長沢広明君　基礎年金番号は変更するという対応を取られるということです。これも、基礎年金番号を変更するってまずどういうことですかと。じゃ、基礎年金番号が変更されて、それは通知が来るんですか、通知が来たらその後どうしたらいいんですか、年金手帳を持って、これ年金手帳を交換しに行かなきゃいけないんですかとか、その後どうしたらいいのかということで、もうどんどん分からないことが増えていくわけですね。 　これちょっと確認します。 　基礎年金番号を変更する作業、これについて具体的な段取りと説明をしていただきたい。その場合、受給者の側がどういう対応をすることになるのか、国民の懸念を払拭するような丁寧な説明をお願いしたいと思います。

288. 水島藤一郎 287

     ○参考人（水島藤一郎君）　今回、個人情報が流出した方につきまして、成り済まし等の被害の発生を防止をするために新たな基礎年金番号を設定することといたしております。 　これに伴いまして、お客様に直接的に影響が及びますのは、被保険者につきましては新しい年金手帳をお送りをいたします。受給者につきましては新しい年金証書をお送りをいたします。具体的には、新しい基礎年金番号を設定した上で、流出した基礎年金番号で管理をしておりました記録につきましては、この新たな基礎年金番号の体系の中に移し替えるということになります。これに関しましては、改めて届出等を御提出いただくことはない形で進めてまいりたいと考えております。

289. 長沢広明 288

     ○長沢広明君　じゃ、受給者の人は新しい年金証書を交付する、それは受給者の人が何か新しい申請をする必要はないといいますが、その年金証書は送付をするということですか。送られるんですか。

290. 水島藤一郎 289

     ○参考人（水島藤一郎君）　失礼いたしました。 　郵便でお送り申し上げるようにいたします。

291. 長沢広明 290

     ○長沢広明君　そういう手続についても慎重に進めてもらいたいというふうに思います。 　ちょっと少し話を進めますが、年金事務所においての相談は、年金を受給している高齢者の中には、自分一人だけで行くのは不安だということで、家族と一緒に相談に行きたいと、今回のこともあって非常に不安があると。家族と一緒に行きたいけれども、御家族の仕事の関係もあって平日や時間内は年金事務所に行けないということに対して、年金事務所においても休日とか時間外の相談窓口を、今回のことを含めて対応するということで、そういう窓口を創設する、開くということを検討してはどうかということと、あるいは市役所とか役場とか、年金事務所がすごく遠いんです、近場でもう少し相談できるところはありませんかと、こういう声もありますが、これについてはどうお考えになりますでしょうか。

292. 水島藤一郎 291

     ○参考人（水島藤一郎君）　幾つかのチャネルで私どもはサービスを提供いたしておりますが、まずコールセンターにつきましては、先ほども申し上げましたが、六月一日から土日も含めまして八時半から二十一時まで延長をいたしまして、御相談、御質問に対応をする体制を整えております。 　加えまして、ただいま御指摘のございました年金事務所の土日開所でございますが、先週の土日より土日の開所をいたしております。現在、九時半から十六時までの時間でございますが、全国の年金事務所については開所を先週いたしました。六月、今週末、十三日、十四日についても同様の対処を取る予定でございます。基本的には、この措置に関しましては、お客様の御利用の状況を踏まえつつ、この延長について検討してまいりたいというふうに考えております。 　以上のような対応でございますが、市役所、役場での対応につきましては、私どもが今対応をいたしております、例えば流出した方に関しまして、基礎年金番号にアラートを付けるというようなことの情報が市役所あるいは市町村役場で御対応いただけるという体制には残念ながらなっておりません。これに関しましては、どのような体制を取ればいいかというのに関しまして、今の御指摘も踏まえて、例えば出張の相談ができないかというようなことも含めまして、検討を進めたいというふうに思っております。

293. 長沢広明 292

     ○長沢広明君　こういうきめ細かな説明と対応というのが今非常に大事だと思うんです。特に一番不安に思っている年金受給者の方々が御高齢の方々が多いということを中心に物を考える必要がある。そういう人たちに対して届くようにしなきゃいけないと。 　例えば今郵送しているといいますけれども、その郵送する郵便物一つ取っても、御高齢の方が見られるように文字を大きくする、ごく大きな文字で読みやすくする、分かりやすくするということを工夫をする必要があるんです。そういうことの配慮が必要なんです。常に、機構としてはそういう方々に向けての仕事をいつもしているんだという意識を持ってもらいたいんですよ。そういう意識の中で責任ある対応をできるようにしなきゃいけないんですよ。 　機構は、そこで働いている人たちのために機構があるんじゃないんです。年金を待っている人たちのために、そのために大事な仕事を今皆さんしているんです。そういう意識を持って一つ一つの対応も、はい、ホームページに書いてありますとか郵送しましたとか、そういうことではなくて、ちゃんと御高齢の方々に気持ちが届くように努力をしてもらいたいというふうに思うんですね。 　今回の事件の内容、おわび、それからコールセンターに問合せがたくさん来ていると思います。その問合せもある程度、こういう問合せ、こういう問合せと、多い問合せが大体分かってきていると思います。厚生労働省も、それに合わせたＱアンドＡを作られています。そのＱアンドＡとか、それから相談窓口の紹介、今理事長がおっしゃった、こういうところで、今、土日もやるようにしていますよとか、こういうことをどうお知らせするかと。 　先ほど来申し上げているように、ホームページに載せていますよじゃ駄目なんですよ。新聞の全面広告とかで大きい字で、おわびとそれからごく基礎的なＱアンドＡ、口座の情報が漏れたわけではありません、年金番号を替えますが新たに証書を交付しますと、そういうことも含めて、受給されている方の不安を取り除くような、そういう情報をちゃんとそういう方々に届くように、新聞の全面広告とかあるいはテレビのスポットＣＭでも、分かりやすい部分をテレビのスポットＣＭでもいい、受給者の方々、高齢者の方々に届くような工夫を、それをしっかりやってもらいたいというふうに思うんですが、どうお考えになりますか。

294. 水島藤一郎 293

     ○参考人（水島藤一郎君）　御指摘のとおり、広報体制に関しましては、より充実していく必要があるというふうに認識をしております。 　ただし、なかなか予算面の制約もございます。そういう意味で、どこまで対応ができるかということについては検討を加えなきゃいけないと思いますが、この点に関しまして厚生労働省ともよく協議をしながら、できることは極力幅広に行ってまいりたいというふうに考えております。

295. 長沢広明 294

     ○長沢広明君　そういうときに予算の話とかするんじゃなくて、自分たちが起こしたことなんだから、しっかり対応しますという、そういう心がないから、説明も何か空を切ったような説明に聞こえるんですよ。 　きちんとそこを、年金を待っていらっしゃる方々のために仕事をしている、その仕事がいかに大事な仕事かということをちゃんと理解して機構は仕事ができるように、理事長自らそういう心になって対応してもらわないと、これ、組織の改革進みませんよ。そういう意味では、年金を受給している高齢者の方々の不安を一刻も早く解消する、その不安にきちんと応えていく体制をやるということを、改めて私、強く申し上げておきたいと思います。 　ちょっと時間になりましたが、最後に一つだけ、大臣にも、国民の安心のために厚生労働省としてもしっかり対応してもらいたいというふうに思いますが、お考え、御決意、伺いたいと思います。

296. 塩崎恭久 295

     ○国務大臣（塩崎恭久君）　今、長沢先生から、広報の大事さ、言っていただきました。そのとおりだと思いますし、政府としても、同じような発想でもって、御年配の方でも分かるように、身近なところで御相談ができるような、そういう工夫も含めてやっていきたいと思いますが。 　いずれにしても、今回、不正アクセスということでありましたけれども、年金機構でこれを守り切れなかった、個人情報が流出したということに関しては本当に遺憾なことであり、また、我々としても監督をしているものとして大変申し訳なく思っているところでございまして、何よりも、今先生からお話があったように、二次被害を出さないということが大事でありますから、これを皆さん方に安心していただけるだけの確実さをもって実行に移してまいりたいと思いますし、もう一つは、二度とこういうことが起きないように、真相の究明と再発防止策を可能な限り早く、そしてまた、機構については組織においても抜本的な見直しをしてもらうようにしたいと思いますし、また意識の変革というものも大事だと。 　それは同様に、意識の変革は、私ども厚生労働省の方にも監督する立場として不十分なところは多々あったということを認めないといけないというふうに思っていますので、これについても自らできることは早くやる。そして、検証委員会が動いていますから、第三者の目で厳しく見てもらった上でこれに着手をしていきたいというふうに思っております。

297. 長沢広明 296

     ○長沢広明君　終わります。ありがとうございました。

298. 川田龍平 297

     ○川田龍平君　維新の党の川田龍平です。 　厚労省は、五日、薬事分科会における審議参加規程に違反した事実があったとしておわび文を掲載しました。冒頭、その一件だけ質問させていただきます。 　大臣、これは、またかというような感想を言わざるを得ない案件ですが、医薬品を承認する国の審議会委員の利益相反問題は度々国会で取り上げられ、私も四月の厚労委員会で大臣に調査を求めたところです。 　　　〔委員長退席、理事羽生田俊君着席〕 　医薬品承認の委員八名が規程違反で全員辞任というＮＨＫの報道もありましたが、実際は三百二十八名中二十四名もの委員が製薬企業から寄附金、契約金をもらっていたことを正しく申告していなかったということです。薬害被害者の人たちが指摘してきた現実がやっと明らかになったわけですが、これらの委員が関わった議決は無効とすべきではないでしょうか。 　また、今の参加規程では、委員の任期中にお金をもらっても、それが五十万円と五百万円という、この区分の変更につながらなければ明らかにされないという制度的な欠陥があります。このことについて、薬害オンブズパースン会議では、最も多い年度のみを幾ら以上という形で申告させるのではなく、いつ幾らもらったか、具体的な金額を申告すべきと提案しています。 　薬事行政への国民の信頼を回復する上でも、新たな不祥事が発覚する前に、今回の発覚を奇貨として、参加規程の再度見直しを行うべきと考えますが、大臣の見解を短く伺います。

299. 塩崎恭久 298

     ○国務大臣（塩崎恭久君）　今回の薬事・食品衛生審議会薬事分科会、ここにおける先生今御指摘の点、大変残念なことでございまして、私としても大変遺憾に思っているところでございます。 　この委員に、本来委員になれない人が委員に就任をしていた、あるいは議決に参加できない人が議決に参加したといった事例があったわけでございまして、委員の自己申告によっているものの、事務局による規程の内容の周知徹底、そしてまた、委員就任時の確認というのが不十分だったということがその一因でもあるわけでありまして、事務局が至らなかったということは率直に認めなければいけないというふうに思います。 　顧問等への就任や寄附金等の申告の誤りがあったことは、これは確かなことでございまして、法律的には過去に遡って議決の効果を打ち消すまでのものはないとは思いますけれども、寄附金等の額については、これは製薬関係団体などが透明性ガイドラインで企業による医療関係者への寄附金等の自主的な開示が具体的な数字をもってされているわけでありまして、また、薬事分科会では、企業からの寄附金等の額の枠に応じた各委員の審議やその議決への参加の可否を明らかにしてきたわけでありますけれども、今後、同様の事案が再発しないようにするために、一つは委員の申告内容を企業に確認をする裏取りを導入する、それから申告対象の年度誤りを防止する観点から様式を改めて改訂をする、そして規程の重要事項について会議開催の都度注意喚起をするなどして、今後とも審議の信頼性を高めるように努力をしていかなければならないというふうに思います。

300. 川田龍平 299

     ○川田龍平君　是非、制度設計を改めてやっていただきたいと思います。 　このおわびも、実は年金の問題が出て大騒ぎしているときにちょっと出てくるという、非常に何かの大きな問題が起きたときにちょっと出してきたんじゃないかということを疑われるような時期、タイミングだったのではないかと私は思っていますが。 　年金機構の個人情報流出問題について私が知ったのは、ちょうど内閣委員会の連合審査でマイナンバー法案の改正案について質疑通告を厚労省の職員に行っている最中でした。翌二日の審議で厚労省の今別府統括官は、マイナンバーと年金のシステム自体は別なので、年金機構におけるマイナンバーの取扱いに影響は生じないと答弁しましたが、五日になって甘利経済再生担当相は、事件を検証し導入時期を考えたいと述べ、先送りの可能性を示唆しています。 　私は、年金だけではなく、病歴などを含む特定健康診査情報についてもマイナンバーとの連携を先送りすべきと考えますが、大臣の見解を伺います。

301. 塩崎恭久 300

     ○国務大臣（塩崎恭久君）　マイナンバーにつきましては、今日も様々な議論が出ておりましたが、国民の皆様の生活にとって重要な制度であるというふうに考えておりまして、引き続き関係省庁と連携をして個人情報の保護に万全を尽くしながら、マイナンバーに対する御理解を深め、これ自体は前に進めていくようにしていきたいと思っております。 　　　〔理事羽生田俊君退席、委員長着席〕 　今御指摘の年金分野でのまずマイナンバーの利用開始時期への影響については、今御指摘がありましたけれども、本件の原因究明、それから再発防止策の検討結果を見極めて判断をするという必要があると考えています。 　そして、今御指摘いただきました特定健診情報、この情報へのマイナンバーの利用については、生涯を通じた予防、健康づくりを推進する観点から、転職等で保険者を異動した場合に本人の同意を前提に特定健診情報が円滑に引き継がれていくということ、関係者の理解を得た上できちっと引き継がれるように進めるものであって、私どもとしては適切なものではないかというふうに考えているところでございます。

302. 川田龍平 301

     ○川田龍平君　このマイナンバー導入により民間の中小企業まで管理者が広がることで、ますます個人情報の漏えいが起きることを私は非常に強く懸念をいたします。 　二〇一三年のサイバーセキュリティ戦略には、日本全体で八万人の要員が不足、またその七割が能力不足と政府自らが記載をしています。この状況が十分に改善されるまではマイナンバー制度は先送りをすべきです。少なくとも、医療情報など要配慮個人情報とマイナンバー制度のひも付きを行うべきではないのではないでしょうか。内閣官房、いかがですか。

303. 向井治紀 302

     ○政府参考人（向井治紀君）　お答えいたします。 　セキュリティー技術の確保につきましては極めて重要な課題であると考えておりまして、積極的に推進することが重要であると思います。 　一方で、マイナンバー制度におきましては、制度上、システム上の両面から様々な安全管理措置を講じた上で、独立した第三者機関である特定個人情報保護委員会がマイナンバーの取扱いに関する監視、監督を行う、あるいは、万が一正当な理由なくマイナンバー付きの個人情報ファイルを提供した場合などに、現行法規よりも重い罰則を適用するなどの安全管理措置を講じているところでございます。 　先生御指摘の特定健診でございますが、マイナンバーの機能には二つございまして、一つは、マイナンバーをその機関の中で利用することにより同一人であることを確実にするということ、もう一つは、それぞれの別の機関で同一人であると確認された情報をやり取りすることなんですが、特定健診の方は前者の方の同一人であることを確認する部分しか使えないようになってございます。 　したがいまして、そういう意味では、マイナンバーが入ることによるリスクというものはほとんど上がらないものではないかと考えておるところでございます。

304. 川田龍平 303

     ○川田龍平君　今回、年金機構を襲ったマルウエアによるサイバー攻撃は、政府機関や防衛関連、研究・学術機関、クラウド事業者まで、少なくとも三百か所に侵入済みだとセキュリティーソフト会社が説明をしています。年金以外の、国が管理する個人情報は本当に流出していないのでしょうか、確認していますでしょうか。

305. 谷脇康彦 304

     ○政府参考人（谷脇康彦君）　お答え申し上げます。 　ただいま委員御指摘のような報道がされているということは私どもとしても承知をしております。 　政府におきましては、今回の日本年金機構における情報流出事案を受けまして、杉田官房副長官を議長といたしますサイバーセキュリティ対策推進会議を六月の一日に開催をいたしまして、各府省庁に対しまして、インターネットに接続されている府省庁の情報システムについて、類似の手口による攻撃を受けていないかどうか、点検及び結果報告を速やかに行うよう指示をしているところでございます。

306. 上村進 305

     ○政府参考人（上村進君）　私ども総務省では、行政機関個人情報保護法、独法個人情報保護法を所管する立場からでございますけれども、現時点におきまして、今般のサイバー攻撃によります国の管理する年金以外の個人情報の流出につきましては把握していないと、そういうことでございます。

307. 川田龍平 306

     ○川田龍平君　この答弁者をめぐっては大変押し付け合って、これは内閣官房のものだと、それから総務省の方だということですね。特に、サイバーセキュリティ基本法に個人情報保護ということが目的規定にないことが問題だと思いますが、保有する個人情報をサイバー攻撃から守るためにも、これは政府全体として取り組んでいただきたいと思います。 　私は、この三日に松野代表と機構本部を視察いたしましたが、その際には説明されなかったパスワード設定が一％以下だった問題や、訪問した高井戸の機構本部にあるパソコンが感染し、大量の個人情報が流出していたことなどが次々に報道で明らかにされています。 　私は、機構に情報セキュリティーの対策の手引を資料要求していますが、更なるサイバー攻撃につながるとして提出に応じていただいていません。中身がずさんで出せないということではないかと考えますが、職員の過半数を非正規の職員が占める状態にあって、果たして本当に機構の職員に対するセキュリティー研修が十分だったのか、疑問です。 　一番目と二番目の質問をまとめて理事長に伺いますが、八日に最初の添付ファイルを開いたのは正規職員でしょうか、非正規の職員でしょうか。非正規であれば、派遣労働者でしょうか、それともパートやアルバイトの方でしょうか。いつ採用され、採用後に十分なセキュリティー研修を受けたのでしょうか。十八日にまた本部の人事管理部でウイルスの入った添付ファイルを開いた職員はいかがでしょうか。

308. 水島藤一郎 307

     ○参考人（水島藤一郎君）　日本年金機構におきましては、個人情報の取扱いにつきましては、正規職員であるか有期雇用職員であるかということに関しましては取扱いに差はございません。したがいまして、同じ義務を課し、そして研修に関しましてもセキュリティー研修をもちろん採用時に行いますほかに、年一回以上実施することといたしております。 　八日に添付ファイルを開けた職員、十八日に添付ファイルを開けた職員は正規か非正規かという御質問でございますが、これに関しましては、添付ファイルを開けた日、あるいは開けた人に関しまして、まさに個人の情報にも属しますし、やはり捜査上の面もございますので、その属性を開示することに関しましては御勘弁をいただきたいというふうに思います。

309. 川田龍平 308

     ○川田龍平君　いや、ちょっとこれしっかり調べて、通告もしていますので、答弁していただきたいんですけれども、マスコミの報道によりますと、一通目のメールを開けた人と、また二通目、三通目になるのか分かりませんけれども、その後にパソコンを、同じ人に別のパソコンを与えた人がまた同じものを開けたと、同じものではないかもしれませんけれども、メールを開けたという報道もあります。本当にこの職員がどういう人だったのかということをしっかり答えていただきたいんですけれども、これ、明らかにできないという理由が納得できません。 　先日、維新の党の会合で、年金業務監視委員会の郷原信郎前委員長は、旧社保庁時代よりも今の日本年金機構の組織の体質というのは悪くなっていると話をされました。 　今回の事件の背景には、十分な研修を受けていない職員、非正規職員を過半数にまで増やす一方で、正規職員の間にも、給与の高い旧社保庁からの継続雇用の職員と機構が採用した職員がいるという年金機構の組織的な体質があるのではないでしょうか。セキュリティー対策の必要なスキルを有した職員が適材適所で配置されていないのではないでしょうか。いかがでしょうか。

310. 水島藤一郎 309

     ○参考人（水島藤一郎君）　個人情報の保護に関しましては、やはり正規であるか非正規、有期雇用であるかということに関しましては全く差がないということについては是非御理解をいただきたいというふうに思います。 　それから、新聞情報等にございますが、私は特に確認をいたしておりませんが、いずれにしても、添付ファイルを開けた人か、あるいは誰が開けたかということに関しましては、これは全く開示をしておりませんし、開示ができない情報であると思っております。

311. 川田龍平 310

     ○川田龍平君　なぜ開示できないんでしょうか。

312. 水島藤一郎 311

     ○参考人（水島藤一郎君）　職員が特定されるというようなこともございますし、今後、捜査も進む過程でそれらの職員に関しましては調査の対象にもなってまいりますので、そのような内容についてここで開示をすることはできないということでございます。

313. 川田龍平 312

     ○川田龍平君　捜査の対象だから開示できないということでしょうか。正規、非正規だからということでしょうか。

314. 水島藤一郎 313

     ○参考人（水島藤一郎君）　正規、非正規であるということは全く関係ございません。今後、調査をする、あるいは捜査をするという過程で対象となる人でありますので、具体的な開示は差し控えたいということでございます。

315. 川田龍平 314

     ○川田龍平君　次回またしっかりと伺いたいと思いますが、マスコミには、捜査機関からかもしれませんけれども、マスコミの情報としてはもう既に明らかになっていることが多々ありますが、それが捜査のために開示できないというのは全く理解できません。 　次に、厚労省の管理責任について伺います。 　厚労省の審議会部会は、機構の個人情報保護の取組についてＣ評価を五年連続で付けていましたが、厚労省はこの事態を放置し、十分な指導監督を怠っていたのではないでしょうか。

316. 樽見英樹 315

     ○政府参考人（樽見英樹君）　お答え申し上げます。 　日本年金機構の業務実績に係る評価というものにつきましては、毎年度この機構が策定いたします年度計画の達成状況というものにつきまして、その実績報告と自己評価を基に厚生労働省が評価を行い、社会保障審議会の年金事業管理部会というところに諮問をして決定をしているというものでございます。個人情報保護に関する事項につきましては、御指摘のとおり、五年連続Ｃ評価というふうになってございます。 　ただ、これにつきまして、この年金事業管理部会における御議論等を含めて、どういうところがその重点になってＣになったのかということでいいますと、専ら誤発送ですね、郵便物をたくさん送っておりますけれども、それの誤送付、違った方に年金のいろんなお知らせみたいなものをお送りしてしまう、これは個人情報の言わば漏えいといいますか、別のところに流してしまうということになる。これがやはりどうしても、ある程度の件数があって、これがなかなか減らないということで五年連続Ｃ評価になったというのが実情でございます。 　これにつきましては、例えばファクスの使用を原則として禁止するとか、封入、封緘のときに確認印を押すとか、送付物については複数の人間で必ずチェックするとか、そういったようなことで最近少し良くなってきているというような感じがございますけれども、引き続きまして今度の二十六年度の評価を今年やるという形になるわけでございます。 　個人情報の保護ということで、例えばこういうセキュリティーの関係というのはどうだったのかということについて言いますと、それも見ていく要素の中には入っておりますので、私どもとしては見ているということでございまして、それをひっくるめてＣだということでございます。 　いずれにしましても、こうした点について私どもとしても引き続いてしっかりと見ていくというふうにしたいと思っております。

317. 川田龍平 316

     ○川田龍平君　資料にあります情報セキュリティー対策の手引、先ほども質疑の中で触れましたけれども、是非この内容についてしっかり精査したいと思いますので、資料要求をしたいと思います。 　委員長、これを是非資料として提出していただきますように、よろしくお願いします。

318. 丸川珠代 317

     ○委員長（丸川珠代君）　ただいまの件につきましては、後刻理事会において協議をさせていただきます。

319. 川田龍平 318

     ○川田龍平君　ほかにこの個人情報保護についてＣ以下の評価を受けている所管法人というのは、厚労省、ありますでしょうか。

320. 安藤英作 319

     ○政府参考人（安藤英作君）　お答え申し上げます。 　個人情報の保護を含みます情報セキュリティーに関しまして、厚生労働省所管法人、独立行政法人とそれから特殊法人等でございますけれども、この中で日本年金機構以外に過去五か年でＣ評価を受けている法人はございません。

321. 川田龍平 320

     ○川田龍平君　膨大な個人情報を有していながら、毎年特別低い評価を受け続けていることをもっと深刻に捉えて厚労省としては対策を打つべきだったのではないでしょうか。五月八日の初動の対処を機構に丸投げしたこと、十九日の警察への通報が課長にさえ上がっていなかった対応も、危機管理上、非常に問題です。 　大臣、年金を守るということについての無責任体質は極めて深刻ではないでしょうか。大臣、いかがでしょうか。

322. 塩崎恭久 321

     ○国務大臣（塩崎恭久君）　冒頭から今日申し上げているように、私どもの立場は、年金機構を監督をするという立場でございます。 　年金事業運営に責任を持って厚生労働省は日本年金機構を監督する立場だということで、それによって責任を丸投げしているということはないわけでありますが、一方で、今般の不正アクセスの事案の対応に当たっては、結果としてこういう形で個人情報が流出をしたわけでありますから、その責めは当然のことながら負わなきゃいけないんだろうというふうに思いますし、国民の年金を守るということを最優先に二次対策の、防止を図りながら、二度とこういうことが起きない体制を早くつくっていくということが私たちの責任を果たすということになるのではないかというふうに思っております。

323. 川田龍平 322

     ○川田龍平君　厚労省では、ほかの社会保険業務においても、基幹システムからデータを抽出し、職員のパソコンに一時的に保存することがあるそうですが、厚労省内及び所管法人で、パスワードをほとんど設定せずに国民の個人情報をネットにつながっている情報系ネットワークに一時的にでも保管している部署は、組織は、ほかには絶対ないと言い切れますでしょうか。

324. 安藤英作 323

     ○政府参考人（安藤英作君）　お答え申し上げます。 　厚生労働省及び所管法人におきましては、個人情報を保存する際に、セキュリティーポリシーなどの規定に基づきましてファイルを暗号化するなど、安全管理措置を講ずることが求められているということでございます。これはルールでございます。 　厚生労働省では、今回の事案を受けまして、速やかに省内職員に対しまして個人情報の取扱いの安全管理の周知徹底を指示するとともに、所管法人に対しまして、個人情報の取扱いの安全管理について遵守を徹底するよう指導しているところでございます。

325. 川田龍平 324

     ○川田龍平君　周知徹底だけでは先ほどからも言われているように不十分です。医療、介護、生活保護、失業手当など、膨大な国民の個人情報を扱う厚労省が、果たして国民の信頼に応えることができるのかが問われているわけです。 　パスワードの設定の有無など、徹底して調査するべきではないでしょうか。大臣、いかがですか。

326. 塩崎恭久 325

     ○国務大臣（塩崎恭久君）　いずれにしても、内部の規定としては、セキュリティーポリシーを持ちながら、セキュリティーをどう掛けるかということについては決まったルールを持っているわけでありますが、先ほど来お話が出ているように、機構においてもセキュリティーポリシーを作るように、そしてまた、その運用の仕方についても書面でルールをつくってもらっていながらそれが守られていないということを考えてみれば、役所の中でも同様に、遵守状況も含めて私たちはそれを見ていかなければいけないんじゃないかというふうに改めて思っているところでございます。

327. 川田龍平 326

     ○川田龍平君　協会けんぽでは、個人情報を扱う基幹システムと日常業務で使用するシステムは物理的に接続されているとのことですが、これでは年金機構と比べても脆弱ではないでしょうか。大臣、いかがでしょうか。

328. 塩崎恭久 327

     ○国務大臣（塩崎恭久君）　協会けんぽは、年金機構とか、あるいは厚労省の組織ではないわけでありまして、民間の組織でございます。 　職員が保険給付の処理などの業務を行うに当たって、基幹システムの個人情報を日常業務で使用する端末で取り扱っておりますけれども、基幹システムへのアクセスできる職員を限定すること、あるいは専用のソフトウエアでしかアクセスできなくするということなどで各種の情報セキュリティー対策を講じているところでございまして、しかし、今回の事案を振り返ってみれば、職員が日常業務で使用する端末で基幹システムの情報へのアクセスは行わないといったセキュリティー対策を更に強化するということについて、私どもは協会けんぽに検討をお願いをするというふうに考えております。

329. 川田龍平 328

     ○川田龍平君　時間ですので終わりますが、先ほど新聞の広告の話、今日の新聞に出ていましたけれども、これでは不十分だと思いますので、是非、マイナンバーの広報予算、十五億四千万円も掛けている予算を振り分けてでも、二次被害対策の、国民の年金は国の責任で必ず守りますという内容の政府としてのテレビＣＭなどを打つべきではないかと考えます。 　また、盗まれた百二十五万件には管理画面上、アラート表示を導入するとのことですが、先ほどから、これは現時点で分かっているだけで百二十五万件、外で見付かったというだけであって、まだ一体どれだけの情報が出ているかということは分かっていません。そういう意味では、ほかの顧客の情報も流出している可能性がある以上、この対応に差を付けることに意味があるのかどうかということも考えられます。 　そういった意味で、是非この問題についてはしっかりと検証する必要がありますし、また、この時代のデータ管理においてゼロリスクはあり得ない以上、分散管理こそ重要であって、医療情報の一元管理は急ぐべきではないということを強く主張して、私の質問を終わります。 　ありがとうございました。

330. 小池晃 329

     ○小池晃君　日本共産党の小池晃です。 　日本年金機構から百二十五万件に上る年金個人情報が流出した問題、大量の相談電話が機構に殺到するなど、深刻な社会問題にもなっております。マクロ経済スライドの発動などで年金額が削減された上に、個人情報まで流出している。年金受給者を始めとして国民から怒りの声が上がっています。事実経過について、納得いかない問題多々ありますから、年金機構に聞きたいし、同時に、厚生労働省の政治の責任、政府の責任について問いたいというふうに思います。 　まず、今回の事件は不審メールが送られたことがきっかけなわけですが、職員のメールアドレスというのがこれ何で外部に漏れたのか、原因は分かったんでしょうか。

331. 水島藤一郎 330

     ○参考人（水島藤一郎君）　分かっておりません。

332. 小池晃 331

     ○小池晃君　分かっておりませんというふうにずっと説明しているんですが、職員のアドレスって、これ極めてシンプルなんですね。例えば水島理事長、あなたのアドレスは、ミズシマ・ハイフン・トウイチロウ・アットマーク・ネンキン・ドット・ジーオー・ドット・ジェーピー、違いますか。

333. 水島藤一郎 332

     ○参考人（水島藤一郎君）　そのとおりでございます。

334. 小池晃 333

     ○小池晃君　だから、非公開でも何でもないんですよ、これ。職員の名前が分かったら、メールアドレス全部分かるんですよ。こういう中で不審メールが送られているという、これが実態なわけです。 　五月八日には年金機構に最初の不審メールが来て、翌日には新種ウイルスを検出したとされておりますが、どういうウイルスだったのか。年金機構の中で情報として出されているものを見ますと、このウイルスの一つは、ジェネリック・トロージャン・ドット・アイ、新種ウイルスで、機能は外部に接続してファイルをダウンロードするもの。もう一つは、ジェネリック・バックドア・ドット・ユー、これも新種ウイルスで、機能は攻撃者からの命令を送受信するためのバックドアを仕掛ける。この二つのウイルスが解析されたんですね。間違いありませんね。

335. 水島藤一郎 334

     ○参考人（水島藤一郎君）　先ほども御質問がございましたが、ウイルスの内容に関しましては申し上げることができません。それは、捜査上の観点ももちろんでございますが、先ほども申し上げておりますが、私どものセキュリティー上の観点からも申し上げることができないということでございます。

336. 小池晃 335

     ○小池晃君　どういうウイルスが来たのかというのはこれ重大なわけですよ。初期対応の妥当性が問われるわけですよ。 　この最初のウイルスというのは、外部に接続してファイルをダウンロードするウイルス、それからバックドアをつくる、これはまさに典型的なサイバー攻撃の手口じゃないですか。そういうウイルスが来たということが分かっているんですよ、翌日には。ところが、この対応をした。このことが問われるわけだから、捜査情報だからなどと言ってここを曖昧にしちゃいけませんよ。ちゃんと答えなければ。 　それから、十八日の朝には百通のメールが送られている。このメールも新種ウイルスで、トロージャン・ハイフン・ＦＧＬＵ、やっぱりバックドアを仕掛けるウイルスですね。バックドアを仕掛けるようなウイルスが来ている、あるいはファイルをダウンロードするウイルスが来ている、これはもう捜査情報という問題じゃないでしょう。ちゃんと国会に対して説明すべき問題じゃないですか。 　どういうウイルス攻撃があったのかをちゃんと説明すべきですよ。私が指摘したこと、間違っていますか。だって、ちゃんと内部ではそういった文書を配っているじゃないですか、あなたたち。ちゃんと認めていただきたい。

337. 水島藤一郎 336

     ○参考人（水島藤一郎君）　どういう文書を指して御指摘になっていらっしゃるか、ちょっと分かりませんが、私どもは、そのような事実を確認したこともございませんし、今までウイルスの内容について開示したこともございません。それは、捜査上及びセキュリティー上の観点から開示してこなかったということでございます。

338. 小池晃 337

     ○小池晃君　年金機構内部では、職員に対してちゃんとそういう情報提供をしていますよ。私はそれ入手した。 　委員長、この資料を委員会として日本年金機構に求めるということでお願いしたいというふうに思います。

339. 丸川珠代 338

     ○委員長（丸川珠代君）　ただいまの件につきましては、後刻理事会において協議をさせていただきます。

340. 小池晃 339

     ○小池晃君　こうしたウイルスが検出されながら、これ深刻な事態だと受け止めていないというところが私は重大だと思うんです。 　私は、年金機構は、このウイルスメールを受信した八日の時点ですぐにネット接続を遮断して、情報が流出したかどうか、サーバーなどの過去のログ、これ調査しなければならなかった。まあ、やったと言っていますけれども、先ほどの説明では極めて不十分な調査ではないかと。 　対策ですよ、問題は、対応。パソコン一台のＬＡＮケーブルを引き抜いただけ、これでよかったんですか。この対応は正しかったというふうに言うんですか。どうですか。

341. 水島藤一郎 340

     ○参考人（水島藤一郎君）　五月八日に関しましては、内閣官房に設置されております内閣サイバーセキュリティセンター、ＮＩＳＣから、厚生労働省年金局事業企画課を通じまして、機構からの異常な通信を検知しているという連絡があったということでございます。 　それ以後、断続的に不審メールの攻撃が続いておりましたので、五月十九日に警視庁に捜査を依頼したということでございまして、この間の過程に関しまして、私どもなりにその時点、時点で判断をしてまいりました。この判断の妥当性については、今後、検証委員会で検証していただくことになると思います。その過程で、私どもの判断の妥当性については明らかになってくるものと思っております。

342. 小池晃 341

     ○小池晃君　検証委員会の中身は非公開なんですよ。我々は全く分からないんですよ。資料を出せと言っても出さないんですよ。こんなところでやっているからといって答えない。駄目ですよ。 　今から見て、これは明らかに、八日の時点でＬＡＮケーブル一本引き抜いただけ、この対応は間違っていた、このことを認めなければ、私、これ以上質疑できない。きちっと答弁を求めてください。

343. 水島藤一郎 342

     ○参考人（水島藤一郎君）　私どもといたしましては、その時点はその時点の判断としてそれを行ったということでございまして、現在、捜査も進んでいることだと思いますし、検証も行われるということでございますので、その過程で明らかになってくるというふうに思っております。

344. 小池晃 343

     ○小池晃君　駄目ですよ。どう考えたってこのときの対応は間違っていると、今にして思えば間違っていると、そのぐらい認めなければ、私、これ以上質問できない。認めていただきたい。

345. 水島藤一郎 344

     ○参考人（水島藤一郎君）　どの時点の判断が的確性を欠いたかということについては、繰り返しになりますが、今後検証されていくことになると思います。

346. 小池晃 345

     ○小池晃君　あなたね、当事者としての責任感ないんですか。まるで他人事じゃないですか、今の答弁だったら、後で歴史家が判断しますみたいな。そんな話じゃないですよ、これ。あなたがやったことなんですから。ちょっとこれ以上やってももうしようがない。 　大臣、涼しい顔していられないと思いますよ。これ、結局、機構の責任ももちろん重大だけれども、八日の時点で全てのネット接続を遮断していればこんな事態は起こっていないんですよ。ＬＡＮケーブルを一本引き抜いただけ、こんな対応が正しいと思いますか。厚労省がこういったことに対してきちっと指導すべきだったんじゃないですか。

347. 塩崎恭久 346

     ○国務大臣（塩崎恭久君）　先ほど申し上げたように、結果として個人情報がこれだけ大量流出したわけでありますから、適切であったということで済ますことはとてもできないということはもうそのとおりで、私たちもそれを認めつつおわびを申し上げているわけでありますが、八日の時点でＮＩＳＣの方から不審な通信を検知しているという連絡をもらって、それを機構の方に伝え、なおかつセキュリティーポリシーどおりＬＡＮケーブルを引き抜いて、まず第一に問題のパソコンを特定をした上でそのケーブルを引き抜いた、そして回収した、そしてそのことをＮＩＳＣの方にも報告をして、その上でＮＩＳＣの方からは不審な通信は止まったというふうに連絡を受けたわけでございます。 　直ちにこのメールについてはウイルス対策ソフト会社に分析に出していったわけでありまして、そのときはそのときの判断としてルールどおりやっていたというふうに理解をしているわけですが、重ねて申し上げますけれども、結果としてこういう事態を招いたということは、どこかに問題があったからこういうふうになったわけでありますので、それはしっかりと受け止めていかなければならないというふうに思います。

348. 小池晃 347

     ○小池晃君　これ、以前から、例えば年金機構の第一期中期計画に対する大臣の評価は、毎年度、個人情報の漏えい等が発生しており、情報管理が徹底されているとは言い難いため、より厳格な管理を徹底する必要があると、大臣はそういう評価をしているわけですよ、前の大臣かもしれないけど。こういったことが事前にもう分かっている中でこれが起こっているわけですよ。初めて起こったわけじゃないんですよ。毎年毎年こんな事態になっているということを言ってきたわけですよ。 　ところが、これだけ重大なことが、内閣官房からの、ＮＩＳＣからの情報というのは、年金機構に行ったんじゃないですよ、厚労省に行ったわけですよ。なぜかといえば、ＮＩＳＣは行政機関しか対象にしていないから、だから結局、年金機構から出た情報が厚労省から発信されたということで、厚労省に連絡が来ているわけですよ。だから、そういう点でも厚労省の責任は重大なんですよ。それを全部係長にとどめておいた。 　私、この係長にとどめておいたというのは本当は疑わしいと思う。もしそうだとすれば、厚労省のガバナンス問われますよ、これ。こんな重大な問題を、私、逆に係長一人に全部おっかぶせようとしているんじゃないかと。おかしいですよ、これ、どう考えても。 　大臣は、年金機構について基本動作ができていないと言いました。確かにそうです。しかし、基本動作ができていないのは厚生労働省も全く同じじゃないですか。どうですか。

349. 塩崎恭久 348

     ○国務大臣（塩崎恭久君）　先ほどの個人情報の保護の問題につきましては、先ほども既に答弁をいたしておりますけれども、Ｃ評価の問題ですね。これはセキュリティーポリシー上の問題で個人情報の保護に問題があったという評価というよりは、通知書を郵便で送るときの誤送付などで問題が起きたという評価が書かれているというふうに思います。 　したがって、セキュリティーポリシーの問題で言われたということではないわけでありますが、しかし、それはそれとして、今先生がおっしゃったように、基本動作ができていないのは機構だけじゃないじゃないかと、それは私もそのとおりだということはもうとうに認めているわけであって、私たちの監督者としての監督体制も格段にこれ強化しないといけないという反省を込めてそれを認めているわけでありまして、係長でとどまっていたということ自体は私どもとしても大変問題であり、セキュリティーポリシー上もこれは許されないことではないかというふうに私は見ております。

350. 小池晃 349

     ○小池晃君　基本動作ができていないと認めたのは、言ったのは初めてじゃないかと思いますが。 　私は、係長にとどまっていたなんて、そんなことはないと思いますよ、これ、実際は。だって、すぐそば、隣に座っているんだもの。こんな重要情報をやり取りしていて、相談しないわけがないですよ。だって、さっきからだって理事長が答弁に窮すると大臣の後ろの秘書官がぱっと的確にメモを渡しているじゃないですか。本当に連携を取ってやっているでしょうが。こんなの絶対内部で既に検討しているに決まっていますよ。やっていなければ、私は、厚生労働省の内部が本当に問題だということになる。ちょっと今日時間がないからここにとどめるけれども、これはもう重大問題だと思いますよ。 　それから、流出した情報というのは一体どういうものだったのかということ。結局、オンラインシステムのデータというのは、これは給付管理だけやるんだったらオンラインシステムの中で完結するわけで、それを年金機構のＬＡＮシステムの共有サーバーに移す。何のために移すのか。これは結局、例えば未納者に対する督促状を発送するとか、そういうリストを作ったりするために、みんなで作業するために共有サーバーに移しているんですよ、実際は。そういうリストを作るためには、氏名、基礎年金番号、住所だけじゃなくて、やっぱり保険料の納付状況とか、そういったデータがなきゃ、これ仕事できないはずですよ。 　機構に聞くけれども、共有サーバーには基礎年金番号、氏名、生年月日、住所以外のデータを移すことは禁止されていますか。それ以外のデータを移すことはできますね。

351. 水島藤一郎 350

     ○参考人（水島藤一郎君）　共有サーバーの中に保有、保存できる情報に関しましては、個人情報に関しまして厳格な管理を行った上で認めているということでございます。その他について必要最低限の範囲で移すことは認められます。

352. 小池晃 351

     ○小池晃君　その厳格な管理の中でこういう事態が起きているわけですよ。認めたように、移せるんですよ。 　新聞報道では、先ほどこの中身はこれは認められなかったけれども、例えばこの新聞報道、今資料で配ったものでいうと、三号不適合問題の対応に係る対象者リストというのがありますよね。例えば、三号不適合をリスト化するとしたらば、これは配偶者も含めて加入状況を照合しなければ三号不適合なんてリストを作れるはずがありません。結局、共有サーバーには四情報以外の情報を移していなければ作業の意味がないわけですよ、これははっきり言って。 　先ほどから理事長は四情報以外流出は確認されていないと言いますけど、これ確認しますが、より機微に触れる情報、加入期間、保険料納入状況、場合によっては標準報酬月額、年金受給額、そういったデータが流出がこれから判明する可能性はないと言えますか。一〇〇％ないと言えますか。

353. 水島藤一郎 352

     ○参考人（水島藤一郎君）　現在、個人情報に関しましては、この四情報の流出が確認されているということでございまして、それ以外の情報の流出は確認されておりません。

354. 小池晃 353

     ○小池晃君　確認されているかどうかを聞いているんじゃないです。そういう情報が共有サーバーに残っていて、それが流出する可能性が一〇〇％ないと言えますかと、イエスかノーかで、私、明確に聞いていますから、答えてください。

355. 水島藤一郎 354

     ○参考人（水島藤一郎君）　現在確認されていないということでございまして、流出に関して新たな流出は確認されていないということでございます。

356. 小池晃 355

     ○小池晃君　だから、今確認されているかどうかはさっきから何度も聞いているんですよ。結局、私が言っていること、作業の中ではそういった情報を入れることが可能なわけですよ。だから、それが漏れる可能性は今後だってあるじゃないかと、流出する可能性あるじゃないかというふうに聞いているんです。極めて簡単な質問をしているんです。答えてください。

357. 水島藤一郎 356

     ○参考人（水島藤一郎君）　同じお答えで大変恐縮でございますが、現在確認されておりますのは最大四情報ということでございます。

358. 小池晃 357

     ○小池晃君　事実上、これは否定できないということだと思いますよ。だって、これはそこに入ることは否定しなかったんだから、そういう情報が。 　これが一体どういう環境の中で仕事がやられているかというと、この新聞報道にある記録突合センター、これは東京のお台場ですけど、これ外部委託ですよね、ここの業務は。それから、年金記録確認のお知らせ文書という、これもうほとんど外部委託ですよ。結局、今、年金機構では多くの事業が外部委託されている。 　だから、今度のあの流出した情報の中に外部委託で使われていたファイルがあることをお認めになりますか。その可能性はありますよね。今度流出したデータの中で、資料の中で、外部委託の仕事で使われていた可能性のある資料はありますか。

359. 水島藤一郎 358

     ○参考人（水島藤一郎君）　リストを送ると、送付をするものもございますので、どういうような内容が必要かということもございます。そういう意味で、ファイルの内容については、詳細についてはここでは御勘弁をいただきたいと思います。

360. 小池晃 359

     ○小池晃君　もう言語不明瞭、意味不明ですよ。ちょっとこれじゃ駄目ですよ。駄目。

361. 丸川珠代 360

     ○委員長（丸川珠代君）　速記を止めてください。 　　　〔速記中止〕

362. 丸川珠代 361

     ○委員長（丸川珠代君）　速記を起こしてください。

363. 水島藤一郎 362

     ○参考人（水島藤一郎君）　御質問は、外部委託ができる性格の業務に当たる情報が入っていたかという御質問であったかと思います。 　外部委託にしていたかどうかということは別といたしまして、業務として外部委託ができる業務も中に含まれているということでございます。

364. 小池晃 363

     ○小池晃君　何か回りくどい言い方で、ちょっと議事録よく後で見たいと思うんですけど……（発言する者あり）まあ認めたということなので、津田先生がそう言うのでそうなんだと思いますが。 　この百二十五万件って数字も合っているわけですよ、新聞報道で出ているものは。で、この中身すら示さないって、私、重大だと思いますよ。例えば、これ、記録突合センター、お台場の三号不整合問題の対応に係る対象者リスト、これ三百十三ファイルあるんですよ。三百十三ファイルということは、日本の社会保険事務所三百十二ですからね。これは恐らく全国の社会保険事務所の全てのファイルが流出している可能性はあると思いますよ、私、これは。そうでしょう。 　だから、百二十五万件って認めて、ぴったり合っているんだから。このくらいの中身はこれ出してください。 　委員長、この流出した資料について、この中身、件数、この資料の内容、これを資料として当委員会に出すように求めます。

365. 丸川珠代 364

     ○委員長（丸川珠代君）　ただいまの件につきましては、後刻理事会で協議をさせていただきます。

366. 小池晃 365

     ○小池晃君　先ほど、この資料の中には外部委託の対象となり得るものがあるということを認められました。 　私、配付資料の二番目に、先ほども若干議論ありましたけれども、この間の日本年金機構の職員体制の推移を出しておりますが、社会保険庁が解体されて日本年金機構が発足したときに正規職員が二千二百人削減され、そして雇用期間七年間の准社員など現場の六割が有期雇用職員になって、雇い止めが繰り返されて経験者がどんどんどんどん少なくなっている。 　その上、昨年度からの第二期中期計画では、人件費など一般管理費は一五％削減、業務経費は五％削減、業務の外部委託が一層推進、これがうたわれています。 　しかし、外部委託された事業で何が起こっているか。資料をちょっと飛ばしていただいて、最後の一枚に昨年七月の外部委託の評価結果というのがあるんですが、例えばこの中に、アンダーライン引いたところですが、機構の端末にＵＳＢメモリを使用して金融機関一覧のデータ移行といった事例とか、あるいはその裏にあるのは委託先が倒産してしまって業務が履行できなくなったと、こういう事態が起こっているわけですよ。 　機構としては、この外部委託による業務に個人情報の漏えいの危険というのは認識されていませんか。どうですか。大丈夫だとおっしゃいますか。これは余りに無計画なやり方ではないですか。

367. 水島藤一郎 366

     ○参考人（水島藤一郎君）　外部委託、外注化した業務に関しましては、例外なく守秘義務の誓約書を取っております。業務委託契約書で受託事業者に対して、知り得た秘密を漏らしたり目的外に使用してはならない旨を定めております。また、受託事業者、業務委託員との間で個人情報や機密情報の漏えい及び目的外利用を禁じた契約書を締結することを定めております。 　契約書の写しは業務開始前までに機構へ提出させております。ただし、プライバシーマーク取得事業者又はＩＳＯ・ＩＥＣ２７００１認証を取得している場合は提出を免除しているということでございます。

368. 小池晃 367

     ○小池晃君　この辺の問題はちょっとまた改めてやりたいというふうに思うんですが、私は、全体として非常にやっぱり、職場の中で何が起こっているのか。外部委託、非正規化、労働強化、職員削減。ちょっと今日詳しく触れられませんけれども、職員の中ではもうやりがいが感じられないという声がどんどんどんどん増えている実態がある。 　大臣、私は、大臣の責任というのは二重にあると思っています。一つは、今の厚生労働大臣としてこの事態を生み出した責任。もう一つは、あなたが第一次安倍政権の官房長官として社会保険庁改革を手掛けた人です。今の年金機構の実態、あの改革は正しかったと今でも言いますか。こんな事態になっているこのことを見て、あなたはあの社会保険庁改革、正しかったと今でも思っていますか。

369. 塩崎恭久 368

     ○国務大臣（塩崎恭久君）　基本的には、旧社会保険庁の下で年金業務を十分なし得ないという評価がされて、今回の日本年金機構というものをつくるということを私ども第一次安倍内閣のときに法律化して成立をさせたわけでありまして、そのこと自体に間違いは私はなかったと思いますが、これ、できてから五年余りたっているわけでありまして、この五年の中で十分いい方向に変わっていない部分が多々あるということは今回のことでよく分かったわけでありまして、日本年金機構法というのがございますけれども、この法律を作ったときの原点に立ち返って、もう一回やり変えるというようなつもりで改革をしていかなきゃいけない。そのために今回検証委員会を、第三者の独立した目で見てもらった上で、どのように再発防止をしていくのかということを図っていきたいというふうに思っています。

370. 小池晃 369

     ○小池晃君　終わります。 　大臣が、正しかったと。これ、とんでもないと思います。こういう日本年金機構の実態をつくり出した、そのやはり発端をつくった方ですよ。今これだけの事態を起こした責任が問われているわけです。二重にやっぱり塩崎大臣の責任は問われているということ、このことは徹底的にこれからも議論したいというふうに思います。 　終わります。

371. 行田邦子 370

     ○行田邦子君　連日、年金情報流出問題でテレビ、新聞などで報道がなされて、新しい情報が次々と報道されているわけでありますけれども、こうした報道の中で、関係者への取材で分かったとか、あるいは内部文書などから分かったといって情報が流れています。 　そこで、私も、またほかの委員もそうかと思いますけれども、これは事実ですかという確認を厚生労働省また日本年金機構にすると、これは捜査に関することであり、回答は差し控えたいという答えが余りにも多いわけであります。国会に報告できないような、捜査に支障を来すような重要な情報が、なぜいとも簡単にメディアに連日流されてしまうのか、私は不思議でなりません。 　これは厚生労働省また日本年金機構のサイバー空間の情報セキュリティーが緩いというだけではなくて、リアル空間の情報管理も非常に問題があるのではないかというふうに思いますが、大臣、いかがでしょうか。

372. 塩崎恭久 371

     ○国務大臣（塩崎恭久君）　先ほど申し上げたように、年金事業運営に対する国民の信頼が本当に地に落ちた旧社会保険庁、それを廃止をして日本年金機構をつくったわけであって、その上でこうした事態が起きたということは、今回の事案が今警察の捜査が続いているような悪意のある不正アクセスが原因だといっても、やはりこれは極めて遺憾な問題であるわけであって、それだけではなく、今お話しのように、セキュリティー上の重要な情報が、私もテレビを見てびっくりするような、どうも職員が話をしているというようなことを見て本当に驚くわけでありまして、これはやはり重大な守秘義務違反をしているということは恐らく疑いもないことではないかというふうに思うわけで、機構の職員として絶対にあってはならないことをしているわけでありますから、そのモラルの欠如あるいは内規の緩さ、そういうものを改めて感じるわけであって、職員が関与をして報道されているということであるとすれば、これはもう本当に言語道断で、厳正な処分が下されなければならないというふうに思っていますので、まさに、先ほど来出ておりますけれども、ガバナンスをもう一回やり変えるということを私たちは考えざるを得ないというふうに思います。

373. 行田邦子 372

     ○行田邦子君　今、大臣、機構からこういった情報が漏れているのであれば許されないということでしたけれども、機構だけではないんじゃないかと私は思うんですけれども、厚生労働省からも情報が漏れているのではないかというふうに私は思っております。是非しっかりと、大臣、こういった漏れてはいけない情報が漏れないようにという危機管理をやっていただきたいというふうに思います。 　今回の件なんですけれども、私は初動に大きなミスがあったというふうに思っておりますので、まず五月八日に何が起きて、そしてどういう対応をしたのか、この確認から入りたいと思います。 　まず、内閣官房に伺いたいと思います。 　五月八日に内閣サイバーセキュリティセンター、ＮＩＳＣが厚生労働省に発した通報内容と通報先について教えていただけますでしょうか。

374. 谷脇康彦 373

     ○政府参考人（谷脇康彦君）　お答え申し上げます。 　今回の事案におきまして、ＮＩＳＣは五月の八日に不審な通信を検知いたしまして、まず宛先でございますが、速やかに厚生労働省政策統括官付情報政策担当参事官室に対しましてその旨を通知したところでございます。通報内容でございますけれども、外部に対する不審な通信を検知したという点について通報をさせていただきました。

375. 行田邦子 374

     ○行田邦子君　外部に対する不審な通信を検知ということの通報だったということですけれども、これは確認ですけれども、機構から外部に対しての発せられた不審な通信ということでいいんでしょうか。

376. 谷脇康彦 375

     ○政府参考人（谷脇康彦君）　私どもにおきましては、厚生労働省のシステムの出口のところにセンサーを設置しております。そういった意味では、私ども、厚生労働省に対して通知をいたしましたけれども、これは厚生労働省本省のシステムなのか、あるいは年金機構のシステムであるのか、この識別というのはできません。 　したがいまして、そこの識別、これは年金機構であるという特定については厚生労働省の方で行っていただいたということでございます。

377. 行田邦子 376

     ○行田邦子君　厚生労働省、日本年金機構も含む厚生労働省側から外部に発せられた不審な通信ということの通報であったということであります。 　そうすると、これ必ずしも情報が流出したとは言い切れませんけれども、外部に対して日本年金機構側から何かが漏れているということを通報したわけであります。非常にこれ大変な事態だと普通は思わなければおかしいんですけれども。 　こうしたＧＳＯＣセンサー監視等による同様の通報件数というのは、これ、二〇一三年で百三十九件あると聞いていますけれども、通常、このような通報がなされた場合は、通報を受けた府省庁はどのような対応を取るのが一般的なんでしょうか。

378. 谷脇康彦 377

     ○政府参考人（谷脇康彦君）　今委員御指摘のとおり、政府機関への実際のサイバー攻撃への対応といたしまして、私どもＮＩＳＣにおきましては、各府省等にセンサーを設置して不正アクセス等を検知するという業務を行っております。この監視活動によりまして不正アクセスを検知した場合、その政府機関への通報を今回の事案のように行っておりまして、委員御指摘のとおり、平成二十五年度におきましては、総数百三十九件の通報を行っております。 　一般的に、通報を受けた府省庁等におきましては、自らの組織の情報セキュリティーポリシーにのっとりまして、当然のことながら初動の対処を行うとともに、原因を確認し具体的な措置を講じた上で、ＮＩＳＣに対して連絡を入れ、助言等を受けると。また、その後も速やかに被害拡大防止の対応措置を実施し、復旧に努めていただくということでございます。

379. 行田邦子 378

     ○行田邦子君　こうした事態が起きたときにはそれぞれのセキュリティーポリシーにのっとって対応をするということですが、一般的には、感染されたパソコンをＬＡＮケーブルを引き抜くなど遮断をするということ、それからまた、ウイルスの解析をしてその対策を新しく講じること、それだけではなくて、インターネット環境を遮断するということ、またそれから、過去のアクセスログを解析するということ、そしてまたさらには、必要に応じて必要な機関に通報する、警察などに通報する、こういった対応がなされるんだと思うんですけれども。 　そこで、日本年金機構に聞きたいと思います。 　五月八日、午前中の質疑の確認なんですけれども、これまで衆議院の委員会では、五月八日の不審な通信を検知したというＮＩＳＣからの通報を受けて、過去のアクセスログは解析しなかったというふうに答弁していましたけれども、今日の午前中の答弁では解析をしたと理事長答えられました。どちらなんでしょうか。

380. 水島藤一郎 379

     ○参考人（水島藤一郎君）　午前中申し上げましたとおり、その当該パソコンのアクセスログに関して解析をしたということ、これは私どもではございませんで、私どもの運用会社が行ったということでございます。

381. 行田邦子 380

     ○行田邦子君　委託している運用会社が行ったのであれば、それは日本年金機構が行ったと同じことだというふうに私は思いますので。 　そうすると、衆議院での再三の御答弁、これは偽りだったということでしょうか。

382. 水島藤一郎 381

     ○参考人（水島藤一郎君）　解析を行っていないというふうに申し上げたかどうかあれでございますが、運用会社が解析を行ったということでございます。

383. 行田邦子 382

     ○行田邦子君　衆議院での答弁は訂正された方がいいと思うんですけれども。 　それで、過去のアクセスログを解析をして、午前中の御答弁ですと、ＮＩＳＣが不審な通信だとしてきた外部へのこの発信の発信先ですね、通信先が特定できたという御答弁でしたけれども、それで正しいんでしょうか。

384. 水島藤一郎 383

     ○参考人（水島藤一郎君）　またお叱りを受けるかも分かりませんが、午前中も申し上げましたが、その内容につきましては、やはりどういうような例えば能力を持っているかというような面でセキュリティー上の問題もございますし、また、これから捜査も進んでいくというふうに思いますので、この点については、開示に関しては御勘弁をいただきたいというふうに申し上げております。

385. 行田邦子 384

     ○行田邦子君　済みません、私は確認で今、午前中御答弁されたことのもう一度確認で聞いているんですけれども、過去のアクセスログを解析をしたと、これは確かですよね。それで、その結果、その不審な通信とＮＩＳＣから言われたものの通信先は特定できたという御答弁を理事長されたと思いますが、それは正しいんでしょうか。

386. 水島藤一郎 385

     ○参考人（水島藤一郎君）　通信先のサーバーを確認したというふうに申し上げたというふうに思います。

387. 行田邦子 386

     ○行田邦子君　通信先のサーバーが確認できたということで、そうしたら、自らの組織からＮＩＳＣが不審な通信というものを、年間百三十九件ですけど、あらゆる通信の中でこれは問題だというものだけＮＩＳＣはこうやって通報するわけであります。それは緊急事態です、ある意味。こういったものがどこに対して、どのサーバーに対して発信したかと、そのサーバーを特定できたわけですので、その時点でなぜ警察に通報しなかったんでしょうか。まず、警察に通報されたんでしょうか。

388. 水島藤一郎 387

     ○参考人（水島藤一郎君）　警察に通報はいたしておりません。

389. 行田邦子 388

     ○行田邦子君　私、おかしいと思うんですけど、なぜ警察に通報しなかったんでしょうか。そして、それは理事長の判断なんでしょうか。

390. 水島藤一郎 389

     ○参考人（水島藤一郎君）　基本的には情報が漏れたという確認は取れておりませんので、その時点でですね、そういう意味で、かつ翌日にウイルスを検知してウイルス除去ソフトも対応したということでございましたので、特に警察には通報しなかったということでございます。

391. 行田邦子 390

     ○行田邦子君　いえ、五月八日の時点では情報が漏れたということ、あるいは情報が漏れていないということは断定できていなかったはずですけれども、いかがでしょうか。

392. 水島藤一郎 391

     ○参考人（水島藤一郎君）　このお示ししております資料にございますが、まず抜線をいたしましたので、不審な通信はそこで収まったということでございます。 　したがいまして、そこで情報の流出については確認は、そういうことはないというふうに考えたということでございます。

393. 行田邦子 392

     ○行田邦子君　その御判断自体が非常に私、何が起きているのか御認識なされていないんじゃないかというふうに思いますけれども、非常に初動の対応が、ここで本当にまずかった、失敗だったというふうに思っております。 　それで、質問を続けますけれども、五月八日、ウイルス感染した端末というのは九州ブロック本部の一台だったということですけれども、それが分かった時点で、この端末がアクセスをしているＬＡＮサーバーがウイルスに感染していないかどうか、確認をしたんでしょうか。

394. 水島藤一郎 393

     ○参考人（水島藤一郎君）　その感染したパソコンがＬＡＮとつながっているということでございますか。 　五月八日、内閣サイバーセキュリティセンターから年金局を通じて、不審な通知を検知しているという連絡があったということは申し上げたとおりでございます。端末を特定してＬＡＮケーブルを引き抜くなどの対応を行いましたが、不審な通信を行っていたのは端末でございまして、情報系ネットワーク、ＬＡＮサーバーについては不審な通信が行われていないために、解析する必要はないと判断したということでございます。

395. 行田邦子 394

     ○行田邦子君　その判断も私はおかしいと思うんですけれども、こういったサイバー攻撃というのは、外部からの標的型メールなどのようなメールを経由してのものもありますけれども、元々、システムそのもの、サーバーそのものに直接入り込んでのこういったサイバー攻撃というのもこれは従来からあるわけですので、もしサーバーに接続をしている端末、それがウイルス感染したとなったら、まず何が狙われているかというと、そのパソコンのハードだけではなくて、その先のサーバーが狙われていると思って当然だと思うんですけれども、そこでなぜサーバーが今どういう状況にあるのかということを確認しなかったのかという、私、これ極めて問題だと思います。 　それで、今回、パスワードが掛かっているファイルが一％に満たないだろうというふうに言われていますけれども、そこでパスワードについて伺いたいんですけれども、パスワードの設定についてのガイドラインはどのようになっているんでしょうか。これは個人情報の場合は、パスワードを掛ける、あるいは暗号化するという規約になっているというふうに聞いていますけれども、それだけではなくて、容易に推測されないようなパスワードにするといった、桁数とかあるいは定期的に変えるといった、こういうガイドラインはどのようになっているんでしょうか。

396. 水島藤一郎 395

     ○参考人（水島藤一郎君）　パスワードに関しますガイドラインはもちろん持っております。 　しかし、このガイドラインは機構内部のガイドラインでございまして、これは外部に開示をいたしておりません。

397. 行田邦子 396

     ○行田邦子君　例えば、定期的に変更するとか容易に推測できないようなものにするといったことをしっかりとやっている組織であれば、むしろそれは公開しているんですけれども、機構の場合は、それは公開していないけれども存在しているということでありました。 　それで、更に伺いたいんですけれども、パスワードの設定なんですが、これは一ファイルごとに設定をしているんでしょうか。別のパスワードを掛けているんでしょうか。

398. 水島藤一郎 397

     ○参考人（水島藤一郎君）　ＬＡＮサーバーの中の個人情報に関しましては、基本的には一ファイルごとでございます。

399. 行田邦子 398

     ○行田邦子君　一ファイルごと別のパスワードということでいいんですよね。

400. 水島藤一郎 399

     ○参考人（水島藤一郎君）　パスワードの、先ほども申し上げましたとおり、どういうような掛け方をするかということに関しましては、機構内のガイドラインでございますので、開示をしていないということでございます。

401. 行田邦子 400

     ○行田邦子君　しっかりとパスワードのルールを設けて、またパスワードの管理を自信を持ってやっているところは、むしろ、我々はこういうパスワードの管理をしていますということを公開をしています。機構はあえてそれを公開しないというのは、自信がないんじゃないか、しっかりやっていないんじゃないかというふうに疑わざるを得ないわけです。 　皆さんも、パスワードというと、もしかしたら経験あると思うんですけれども、例えばですけれども、例えば今回の国民年金だったらばコクミンというパスワードにしたりとか、あるいは記録を突合するためのものはトツゴウとか、三号だったらサンゴウとか、営業部だったらエイギョウというパスワードを掛けたりと、何となく皆さんもそういった経験あるかもしれませんけれども、こんな誰でも容易に推測できるようなパスワードをもしかして機構は掛けていたのではないかと、こういうふうにも今の御答弁を聞いて疑わざるを得ないなというふうに思っております。 　それで、続いて質問なんですが、五月八日から少したちまして、五月二十九日の時点でのことを確認したいんですけれども、日本年金機構不正アクセス事案の経緯というこの書面、三枚のもの、私もいただいておりますけれども、ここの五月二十九日金曜日のところに書いてあるのが、機構本部及び全拠点のインターネット接続を遮断となっているんですが、インターネットメール接続は遮断されたんでしょうか。

402. 水島藤一郎 401

     ○参考人（水島藤一郎君）　インターネット環境との接続に関しましては、外部の情報に対してアクセスする方法と、それからインターネットメールと二つの出口を、方法を持っております。そのうち、当日は外部の情報に対するアクセスを遮断をいたしまして、インターネットメールは遮断をいたしておりません。

403. 行田邦子 402

     ○行田邦子君　そうなんですよ。私が六月二日に日本年金機構と厚生労働省さんに御説明をいただいたときに、インターネットの環境を遮断していますというので、それじゃメールもできないから大変ですねと言ったらば、いやいや、インターネットメールはやっていますということだったんです。年金局とも今でもやっていますと、六月二日時点で言っていました。 　ということは、外部からの、年金局は外部ですからイントラネットではないというふうにお答えになっていましたので、外部からのメールも五月二十九日以降も接続されていたということです。つまり、ウイルスメールの感染の危険もあったということでよろしいんでしょうか。

404. 水島藤一郎 403

     ○参考人（水島藤一郎君）　五月二十九日以降はいわゆる外部の情報に対するアクセスは遮断をいたしましたが、これに関しましては、その後、いわゆる不正なアクセスということは確認をされておりません。 　最終的に、新たないわゆる不正アクセスは確認されていないということでございます。

405. 行田邦子 404

     ○行田邦子君　済みません、ここ大切なのでもう一度お答えいただきたいんですけれども、インターネットは遮断したというふうに機構はおっしゃっています。けれども、インターネットメールは遮断していないと私は聞いていますけれども、いかがですか。

406. 水島藤一郎 405

     ○参考人（水島藤一郎君）　インターネットメールは、その時点では遮断いたしておりません。

407. 行田邦子 406

     ○行田邦子君　そうすると、この経緯の説明書には、五月二十九日、機構本部及び全拠点のインターネット接続を遮断となっていますし、また過去の衆議院での御答弁でも水島理事長は、申し上げるまでもございませんが、現在はネット環境と遮断をいたしておりますので流出はございませんと、六月三日にも、再三にわたって御答弁されているんですけれども、インターネットメールという外部との通信手段、これは遮断をしていないということですよね。

408. 水島藤一郎 407

     ○参考人（水島藤一郎君）　その時点では遮断をいたしておりません。

409. 行田邦子 408

     ○行田邦子君　じゃ、いつインターネットメールの環境を遮断したんですか。

410. 水島藤一郎 409

     ○参考人（水島藤一郎君）　六月四日の十九時でございます。

411. 行田邦子 410

     ○行田邦子君　そうすると、全てのインターネット接続を遮断しましたと言っておきながら、五月二十九日から六月四日の十九時まで、この期間は外部とのインターネットメールによる交信というのは、これは従来どおりできていた、つまりウイルスメールに感染する危険というのもあったということですよね。

412. 水島藤一郎 411

     ○参考人（水島藤一郎君）　インターネットとの接続のうち、先ほども申し上げておりますが、外部のファイルに対するアクセスは禁止をいたしました。インターネットメールに関しましては、六月四日の十九時まで維持したということでございます。

413. 行田邦子 412

     ○行田邦子君　やはりインターネットメールは遮断していなかったわけですよね。ですから、この期間中もウイルスメールに感染している端末が出てきたかもしれないと思うんですけれども、なぜインターネットメールは遮断しなかったんですか。

414. 水島藤一郎 413

     ○参考人（水島藤一郎君）　インターネットメールに関しましては、私どもの業務に与える影響が極めて大きいということもございまして、ぎりぎりまで環境は維持したということでございます。

415. 行田邦子 414

     ○行田邦子君　理事長、申し訳ないですけれども、ことごとく判断が誤っていると思います、今回の対応につきまして。 　まず、衆議院の議事録もこれ訂正された方がいいと思いますし、また、私たち議員に配られているこの資料も、これ訂正をされた方がいいと思いますけれども、いかがでしょうか。厚生労働省ですか、これは。

416. 水島藤一郎 415

     ○参考人（水島藤一郎君）　申し訳ありません、もう一度質問よろしいですか。

417. 行田邦子 416

     ○行田邦子君　議事録を訂正した方がいいと思います、衆議院での議事録。インターネット、ネット環境等遮断していますというふうに断言されているわけですから。 　それから、こちらのペーパー、これもインターネット接続を遮断というふうになっていますけれども、これ、うそじゃないですか。

418. 水島藤一郎 417

     ○参考人（水島藤一郎君）　インターネットメールの場合に、添付ファイルを開かなければ感染をすることはないわけでございますので……（発言する者あり）そういう意味で……（発言する者あり）

419. 丸川珠代 418

     ○委員長（丸川珠代君）　速記を止めてください。 　　　〔速記中止〕

420. 丸川珠代 419

     ○委員長（丸川珠代君）　速記を起こしてください。 　暫時休憩いたします。 　　　午後三時八分休憩 　　　　　─────・───── 　　　午後三時四十二分開会

421. 丸川珠代 420

     ○委員長（丸川珠代君）　ただいまから厚生労働委員会を再開いたします。 　本日の調査はこの程度にとどめ、これにて散会いたします。 　　　午後三時四十二分散会