2015-08-25 第189回国会参議院厚生労働委員会第28号

2015-08-25 第189回国会参議院厚生労働委員会第28号公式Web版

会議録情報 0

平成二十七年八月二十五日（火曜日）　　　午前十時二分開会　　　　───────────── 　　　委員の異動　八月二十一日　　　　辞任　　　　　　　　　補欠選任　　　　　森本　真治君　　　　　羽田雄一郎君　　　　　辰巳孝太郎君　　　　　小池　　晃君　八月二十四日　　　　辞任　　　　　　　　　補欠選任　　　　　大沼みずほ君　　　　　酒井　庸行君　八月二十五日　　　　辞任　　　　　　　　　補欠選任　　　　　酒井　庸行君　　　　　二之湯武史君　　　　───────────── 　　出席者は左のとおり。　　　　委員長　　　　　　　　　丸川　珠代君　　　　理　事　　　　　　　　　　　　　　　　羽生田　俊君　　　　　　　　　　　　　　　　福岡　資麿君　　　　　　　　　　　　　　　三原じゅん子君　　　　　　　　　　　　　　　　津田弥太郎君　　　　　　　　　　　　　　　　長沢　広明君　　　　委　員　　　　　　　　　　　　　　　　赤石　清美君　　　　　　　　　　　　　　　　石井みどり君　　　　　　　　　　　　　　　　木村　義雄君　　　　　　　　　　　　　　　　酒井　庸行君　　　　　　　　　　　　　　　　島村　　大君　　　　　　　　　　　　　　　　高階恵美子君　　　　　　　　　　　　　　　　滝沢　　求君　　　　　　　　　　　　　　　　武見　敬三君　　　　　　　　　　　　　　　　二之湯武史君　　　　　　　　　　　　　　　　石橋　通宏君　　　　　　　　　　　　　　　　西村まさみ君　　　　　　　　　　　　　　　　羽田雄一郎君　　　　　　　　　　　　　　　　白　　眞勲君　　　　　　　　　　　　　　　　牧山ひろえ君　　　　　　　　　　　　　　　　山本　香苗君　　　　　　　　　　　　　　　　川田　龍平君　　　　　　　　　　　　　　　　小池　　晃君　　　　　　　　　　　　　　　　行田　邦子君　　　　　　　　　　　　　　　薬師寺みちよ君　　　　　　　　　　　　　　　　福島みずほ君　　　国務大臣　　　　　　　厚生労働大臣　　　塩崎　恭久君　　　副大臣　　　　　　　厚生労働副大臣　　山本　香苗君　　　大臣政務官　　　　　　　厚生労働大臣政　　　　　　　務官　　　　　　　橋本　　岳君　　　事務局側　　　　　　　常任委員会専門　　　　　　　員　　　　　　　　小林　　仁君　　　政府参考人　　　　　　　内閣官房内閣審　　　　　　　議官　　　　　　　谷脇　康彦君　　　　　　　警察庁長官官房　　　　　　　審議官　　　　　　斉藤　　実君　　　　　　　特定個人情報保　　　　　　　護委員会事務局　　　　　　　長　　　　　　　　其田　真理君　　　　　　　総務大臣官房審　　　　　　　議官　　　　　　　猿渡　知之君　　　　　　　厚生労働大臣官　　　　　　　房長　　　　　　　蒲原　基道君　　　　　　　厚生労働大臣官　　　　　　　房情報政策・政　　　　　　　策評価審議官　　　安藤　英作君　　　　　　　厚生労働大臣官　　　　　　　房年金管理審議　　　　　　　官　　　　　　　　樽見　英樹君　　　　　　　厚生労働大臣官　　　　　　　房統計情報部長　　姉崎　　猛君　　　　　　　厚生労働省保険　　　　　　　局長　　　　　　　唐澤　　剛君　　　　　　　厚生労働省年金　　　　　　　局長　　　　　　　香取　照幸君　　　参考人　　　　　　　日本年金機構に　　　　　　　おける不正アク　　　　　　　セスによる情報　　　　　　　流出事案検証委　　　　　　　員会委員長　　　　甲斐中辰夫君　　　　　　　日本年金機構理　　　　　　　事長　　　　　　　水島藤一郎君　　　　　　　日本年金機構理　　　　　　　事（システム部　　　　　　　門担当）　　　　　徳武　康雄君　　　　───────────── 　　本日の会議に付した案件 ○理事補欠選任の件 ○政府参考人の出席要求に関する件 ○参考人の出席要求に関する件 ○社会保障及び労働問題等に関する調査　（年金情報の流出問題に関する件）　　　　─────────────
丸川珠代 1

○委員長（丸川珠代君）　ただいまから厚生労働委員会を開会いたします。　委員の異動について御報告いたします。　昨日までに、辰巳孝太郎君、森本真治君及び大沼みずほ君が委員を辞任され、その補欠として小池晃君、羽田雄一郎君及び酒井庸行君が選任されました。　　　　─────────────
丸川珠代 2

○委員長（丸川珠代君）　理事の補欠選任についてお諮りをいたします。　委員の異動に伴い現在理事が一名欠員となっておりますので、その補欠選任を行いたいと存じます。　理事の選任につきましては、先例により、委員長の指名に御一任願いたいと存じますが、御異議ございませんか。　　　〔「異議なし」と呼ぶ者あり〕
丸川珠代 3

○委員長（丸川珠代君）　御異議ないと認めます。　それでは、理事に三原じゅん子君を指名いたします。　　　　─────────────
丸川珠代 4

○委員長（丸川珠代君）　政府参考人の出席要求に関する件についてお諮りをいたします。　社会保障及び労働問題等に関する調査のため、本日の委員会に、理事会協議のとおり、厚生労働大臣官房年金管理審議官樽見英樹君外八名を政府参考人として出席を求め、その説明を聴取することに御異議ございませんか。　　　〔「異議なし」と呼ぶ者あり〕
丸川珠代 5

○委員長（丸川珠代君）　御異議ないと認め、さよう決定いたします。　　　　─────────────
丸川珠代 6

○委員長（丸川珠代君）　参考人の出席要求に関する件についてお諮りいたします。　社会保障及び労働問題等に関する調査のため、本日の委員会に、理事会協議のとおり、日本年金機構における不正アクセスによる情報流出事案検証委員会委員長甲斐中辰夫君、日本年金機構理事長水島藤一郎君及び同理事（システム部門担当）徳武康雄君を参考人として出席を求めることに御異議ございませんか。　　　〔「異議なし」と呼ぶ者あり〕
丸川珠代 7

○委員長（丸川珠代君）　御異議ないと認め、さよう決定いたします。　　　　─────────────
丸川珠代 8

○委員長（丸川珠代君）　社会保障及び労働問題等に関する調査のうち、年金情報の流出問題に関する件を議題といたします。　まず、日本年金機構から報告を聴取いたします。水島理事長。
水島藤一郎 9

○参考人（水島藤一郎君）　不正アクセスによります情報流出事案に関しまして、国民の皆様方に多大なる御心配、御不安をお掛けいたしましたことにつきまして、誠に申し訳なく、改めて心よりおわびを申し上げます。　日本年金機構におきましては、本年六月四日に調査委員会を設置をいたしまして、当事者として本事案の原因究明及び再発防止のための調査を実施してまいりました。この度、その調査結果を報告書として取りまとめましたので、御報告をいたします。　なお、内閣サイバーセキュリティセンターには原因究明調査を取りまとめていただくとともに、厚生労働省の日本年金機構における不正アクセスによる情報流出事案検証委員会には第三者の立場から厳しく事案の検証をいただいております。これらの報告における御指摘をしっかり踏まえて今後の対応に当たってまいりたいと考えております。　さて、当機構の調査委員会の調査結果について御説明をいたします。　本調査においては、本事案の関係者からのヒアリング及び関係資料の検証を主として実施いたしました。あわせて、感染端末及びサーバーのデータやログ等から不正アクセスの記録を収集、解析して証拠性を明らかにする、いわゆるフォレンジック調査等も実施をいたしました。　フォレンジック調査を含みますこれまでの調査の結果、お客様の個人情報に関しましては、約百二十五万件以外の新たな情報流出は確認されませんでした。また、お客様の個人情報は五月二十一日から二十三日までの間に流出したことが判明をいたしております。　一方、お客様の個人情報以外に関しましては、当機構職員の個人情報の一部などの情報が流出している可能性があることが新たに確認されております。　本事案につきまして経緯を省みますと、まず、当機構に第一回目のメール攻撃があった五月八日において、送信元メールアドレスの受信拒否の設定が行われておりませず、標的型メール攻撃ではないかとの担当者の疑いが組織として共有されないなど、初動対応に問題がございました。また、情報流出の直接的要因となった五月十八日からの対応につきましては、標的型メールの受信者全員に個別に添付ファイルの開封の有無を確認しなかったことから本事案への対応が遅れ、結果として感染の拡大やその後の情報流出につながりました。　もし実施すべきと現時点で考えられる対策がルール化、体系化され、それが確実に実行されていたならば、情報流出の防止につながったと考えられます。先ほど御説明申し上げましたとおり、特に数次にわたる標的型メールを受信した際の対応、対策には多くの問題点があったことは率直に認めなくてはなりません。　また、共有ファイルサーバーにつきましては、個人情報等の重要情報は共有ファイルサーバーに保存しないことを原則とし、例外的に保存する場合のルールを設けておりました。しかしながら、そのルールが本当に実行されているかなどの点検、確認が行われておらず、ルールが有名無実化いたしておりました。　こうした中、インターネット接続環境下にある共有ファイルサーバーに本来例外的であるべき個人情報が管理不徹底のまま保存されてきたことが今回の情報流出につながった極めて大きな要因の一つであり、検証委員会からも、「官民を問わず他の組織では考えられない」、「国民の重要な個人情報を大量に扱う組織としてはあるまじきことである。」と、このような御指摘をいただいたことは、役員から職員に至るまで、情報セキュリティーに関し、外部からの攻撃があり得るというリスク感覚が欠如していたと言わざるを得ず、率直におわびをしなければならないと考えております。　そのほか、本事案の公表後、個人情報の流出に関するお客様からの問合せに対する説明誤りが発生をいたしましたことにつきましても、その公表が遅れるなどの問題がありました。重ねておわびを申し上げます。　今後は、最も重要な個人情報を扱う基幹システムはもとより、個人情報をインターネット接続環境から完全に遮断することは必須であると考えております。　また、情報セキュリティー対策の司令塔といたしまして、規定整備、リスクアセスメント、研修、緊急時対応等を一元的に管理する情報管理対策本部を新設いたしまして、情報セキュリティー対策の強化に取り組むとともに、緊急時対応の組織として、専門家等の協力を求め、実効性を確保したＣＳＩＲＴを立ち上げる方針であります。　さらに、職員研修及び内部監査の充実を図ってまいります。　今回の情報流出を防止できなかった問題の要因には、基本的な対応が担当者任せとなっていたこと、専門人材が配置されていないこと、共有ファイルサーバーの管理についてリスク認識の甘さ、厚生労働省との情報共有体制の不備等の構造的要素が大きいと考えております。　その根底には、ガバナンスの脆弱さ、組織としての一体感の不足、リーダーシップの不足、ルールの不徹底など、従来から指摘されてまいりました諸問題があり、また、厚生労働省が責任を担う公的年金制度の、最も大切な実際の執行部分を責任を持って実施するという緊張感、責任感、使命感が共有されるに至っていなかったという組織全体の基本姿勢に関わる問題があると考えております。　検証委員会からも、サイバー攻撃に対する人的、組織的な準備の不足についての指摘や技術的指摘のほか、こうした当機構のガバナンスの在り方が組織として一体的な対応が不足した背景にあるとの指摘を受けております。　加えまして、検証委員会に資料を御提出する際に、当機構の姿勢について、かかる事態を引き起こし検証を受ける立場として論外との厳しい御指摘をいただきました。誠に申し訳なく、おわびを申し上げる次第でございます。　本事案を通じまして、これら積年の問題の解消、解決が急務であることが改めて明らかになりました。今後、ゼロベースから組織全体を総点検し、ガバナンスや組織風土の抜本的な改革に向け、職員全員の力を結集していかなければなりません。　そのため、当機構に日本年金機構再生本部を新たに設け、これらの問題を払拭するため、組織を挙げて全力で取り組んでまいります。具体的には、現場の実態を踏まえたルールの設定及び現場における当該ルールの遵守、人事評価制度の抜本的見直し、本部と現場間の人事異動の促進等の取組を進めてまいります。　また、自らの責務を改めて自覚し、厚生労働省との的確かつ緊密な情報共有体制を構築いたします。　私を始めといたしました役員及び関係者の責任につきましては、この調査結果や検証委員会の検証結果等を踏まえまして、当機構に設置されております制裁審査委員会の審議を経て厳正に対処することといたします。　当機構といたしましては、年金を確実に受給者の方にお届けすることを第一に、個人情報の流出に伴う二次被害が万が一にもお客様に発生することのないよう、現在、組織全体を挙げて取り組んでおります。今後とも、個人情報が流出した方々の基礎年金番号の変更を始めといたしまして、二次被害の発生防止対策に全力を尽くしてまいります。　今後は、検証委員会の検証結果、あるいは政府全体の取組を踏まえまして、国民からの信頼回復、再発防止に向け、不動の決意を持って取り組んでまいります。　最後に、この度の個人情報流出及びその後の当機構の一連の対応に関しまして、国民の皆様に多大な御心配、御不安をお掛けいたしましたことを重ねておわび申し上げ、調査報告の説明とさせていただきます。　以上でございます。
丸川珠代 10

○委員長（丸川珠代君）　次に、日本年金機構における不正アクセスによる情報流出事案検証委員会から報告を聴取いたします。甲斐中委員長。
甲斐中辰夫 11

○参考人（甲斐中辰夫君）　当検証委員会は、この度の日本年金機構における不正アクセスによる情報流出事案について、本年六月八日、厚生労働大臣から、本事案に関し、日本年金機構及び厚生労働省の組織及び初動及び事後の対応について検証し、原因の究明を行うとともに効果的な再発防止策について検討し、報告を行うことを委嘱されました。　本件は、国民の関心が高く、早期の的確な報告の取りまとめが期待されており、当委員会としても休日を返上して検証作業を急いだところでありますが、専門的、技術的な解明に時間を要し、報告書の発表は八月二十一日となりました。　本委員会は、厚労省、機構のそれぞれから独立した第三者から成る六名の委員と十二名の参与により調査と報告書の取りまとめを行い、事務局長は事務的な補佐をいたしました。　調査の方法は、厚労省及び機構の内部関係規程、議事録、メールを始めとする連絡文書、内部報告書、フォレンジック調査報告書及びそのデータ、関係会社との契約書など多数の資料を提出させて分析し、合計延べ七十八名に及ぶ関係者のヒアリングを行いました。その結果、以下に述べるような事項が明らかとなりました。　今回の事案の概要は当委員会で明らかにされてきたところでありますから、詳細は省略します。　最初に、四月二十二日、年金局に前兆的な標的型攻撃がなされ、五月八日、五月十八から十九日、五月二十日と波状的に標的型攻撃がされ、最後の攻撃で大量の情報流出に至ったもので、私どもは、少なくとも十九日の段階でインターネットの全面遮断を行うべきであったという立場であります。　そこで、これからは機構と厚労省の対応の問題点を説明します。　まず、機構の人的、技術的な問題点を説明します。　機構のネットワークシステムは、基幹系システムと情報系システムに分かれ、情報系システムに機構職員の日常業務を行うイントラネットである機構ＬＡＮシステムがあることは既に当委員会の審議で明らかでありますので、省略します。そして、機構ＬＡＮシステムはインターネットに接続する一方で、その共有フォルダ内に膨大な個人情報が積み上げられていたことは既に御存じのとおりであります。　第一に、本来このような個人情報は基幹系システムに分離して保管されるべきでありますが、長期間にわたり膨大な量の個人情報が、きちんと管理されないままインターネットに接続された状況下に漫然と積み上げられていたことが本件発生の大きな要因であります。　第二に、機構の人的体制の不備であります。　人的体制としては、一応、最高セキュリティ責任者以下、情報セキュリティーポリシーに定めた所定の体制はできていたものの、それはポスト指定的に定めたもので、専門的な知識を持つ者がおらず、実効性に乏しいものでありました。　緊急時に対応すべきＣＳＩＲＴが設けられていなかったことも、およそ考えられないことです。そのほかにも、情報連絡が、機構内部、機構と厚労省、機構と運用委託会社などでそれぞれうまくいっていないことなど、様々なことが挙げられます。　第三に、技術的な防護体制の立ち遅れです。　サイバー攻撃には、事前に必要な防護体制を設けてリスクを減らすよう努めるべきであります。ところが、機構では、ディレクトリーサーバーなど重要部分の脆弱性を補うセキュリティーパッチの運用が遅れていたり、端末の管理者ＩＤとパスワードが同じであったり、システム監視が不十分であったりなど、様々なことが指摘されます。　第四に、組織としての一体的な対応ができていないことです。　五月八日から機構に対し次々とサイバー攻撃がされる中で、現場の担当者は運用委託会社と対応に当たっていますが、組織として一体的に対応した形跡がありません。当然、対応は場当たり的になり、先を読んで早めに手を打つことはできていません。幹部がきちんと判断し、指揮した形跡がありません。　これらを通じて、なぜそうなのかを考えてみますと、一つは、サイバー攻撃に対する危機意識が欠けていたことが指摘されます。そして、機構のかねてから指摘されているガバナンスのなさが根底にあると言わざるを得ません。　次に、監督官庁である厚労省の問題について御説明します。　第一に、機構ＬＡＮについて監督すべき室又は課が不明確なことであります。要するに、どの室も課も自分の責任範囲であるとの意識が希薄であるということです。候補として情報政策担当参事官室、年金局事業企画課、事業管理課があるのですが、どこも他人事の意識であります。これでは危機に際しての監督はできません。　第二に、厚労省そのものの情報セキュリティー体制の脆弱性であります。　厚労省の情報セキュリティー対策の要となるのは情参室情報セキュリティ対策係ですが、その人員体制は室長補佐以下僅か四名で、実際には一名の若手職員が省全体のサイバーセキュリティー対策を担当していました。これではとても省全体のサイバーセキュリティーを担うことはできません。ＣＳＩＲＴ体制も、技術力ある実働人員が充てられておらず、不十分でした。このような状況を長年放置してきた厚労省幹部には、サイバー攻撃に対する危機意識が低かったと言えます。　第三に、省内の連携不足です。　今回、五月八日に機構に対する標的型攻撃があったことについて、五月二十五日まで幹部に共有されていないことが問題とされました。しかし、それは今回だけ突然そうなったのではなく、ふだんからの情報連絡が不十分だったのです。全体としてサイバー攻撃に対する危機意識の不足が見受けられ、厚労省のサイバー攻撃に対する監督体制は不十分でした。　再発防止策は、これらの問題点がいかに是正されるかということになります。厚労省、機構とも、まずサイバー攻撃に対する危機意識を持つことが前提になります。　具体的には、以下のような方策を実施すべきです。　機構については、一、セキュリティー対策本部を設立し、平素からセキュリティーのための具体的対策を策定、実施すること。ＣＳＩＲＴを設立すること。三、共有フォルダなどの個人情報の一元管理と整理を実施すること。四、遅れている技術的対応を実施すること。五、教育訓練を徹底すること。六、セキュリティーに関する外部監査を導入すること。七、標的型攻撃に対応するセキュリティーポリシーなどを策定することが挙げられます。　厚労省には、一、情報セキュリティー体制を抜本的に整備すること。二、機構ＬＡＮの監督部署を明確化すること。三、情報連絡を迅速化することが挙げられます。　そして最後に、機構について、個々の対策以上に徹底的な意識改革が必要であると考えます。　発言は以上です。
丸川珠代 12

○委員長（丸川珠代君）　以上で報告の聴取は終わりました。　これより質疑を行います。　質疑のある方は順次御発言願います。
島村大 13

○島村大君　自民党の島村大でございます。　本日は、甲斐中委員長に関しましては、報告書の取りまとめ、また本日御説明いただき、ありがとうございます。また、水島理事長に対しましても、御報告の御説明、御苦労さまでございます。　さて、今回のこの年金問題、我が国の国民皆年金それから国民皆保険は、今考えますと昭和三十六年にはもう実施されておりました。今からもう五十四年前になると思います。国民全員が加入しているこういう公的年金また公的保険は、世界でも日本だけで、いいと思われている制度だと思っております。また、昭和の時代に我が国があの高度経済成長ができた理由は、一つはやはり先人たちの並々ならぬ努力と、もう一つは、この国民皆年金、国民皆保険と言われている制度が我が国にあったからだと言われております。私もそのように思っております。公的年金が国民生活に今なくてはならない制度であると皆様方も御理解していただいていると思っています。　ところが、今回の年金情報流出に関しましては、膨大な個人情報を扱う組織としては到底思えないずさんな情報管理体制であったと。これはやはり改めるべきだと思いますし、今御報告がありましたように、急務であると思われます。　そこで、水島理事長に御質問をさせていただきたいと思います。　今回の両報告書を踏まえまして、今後の対応に向けての取組を含めて、水島理事長より所感を伺いたいと思います。よろしくお願いします。
水島藤一郎 14

○参考人（水島藤一郎君）　お答えをいたします。　今回の情報流出事案は、ウイルスメールに起因をいたします不正アクセスが端緒となってはおりますが、情報流出を防げなかった原因は、まず第一は、個人情報を外部の攻撃から防ぐための対策をあらかじめルール化、体系化しておらず、初動が遅れ、対応も担当者任せとなっていたと。また、厚労省との情報共有もできていなかったということがまず第一の原因であるというふうに考えております。また、第二は、お客様の個人情報をインターネット接続環境下に置いてしまったこと、それを放置をしたこと。第三は、そのような状況下で共有ファイルサーバーのセキュリティー措置のようにルールが本当に実行されているかなど、点検、確認が行われておらず、ルールが有名無実化していたこと。これら多くの問題があったということに関しては、率直に認め、おわびを申し上げなければならないというふうに考えております。　検証委員会の検証報告書におきまして、今回の事態の根本的な原因として、標的型攻撃の危険性に対する認識の不足、事前の人的体制、技術的な対応の不十分さ、あるいは組織内での情報や危機感の共有がなく、組織が一体として危機に当たる体制になっておらず、場当たり的な対応に終始し、迅速かつ的確な対処ができなかったと、広範にわたり厳しい御指摘をいただいたところでございます。　今後は、このような御指摘を真摯に受け止めまして、まず、システム面につきましては、標的型メール攻撃を含め、多種多様なインシデントに耐え得る強力な防御体制を整備することを基本といたしまして、基幹システム及び個人情報等重要情報を扱うシステムにつきましては、インターネット接続環境の完全な遮断によって守ること。また、情報セキュリティー体制につきましては、その司令塔といたしまして情報管理対策本部を設置をいたしまして、情報セキュリティーを一元的に管理する体制を整備をすること。三点目といたしまして、ガバナンス、組織風土に係る構造問題を抜本的に改革をするために日本年金機構再生本部を設置をいたしまして、より現場の実態を踏まえて、ルールの設定と遵守、組織の一体化、人事評価、人事制度の見直し等、現場各層の意見を吸い上げ、職員の総力を挙げ、改革を行ってまいらなければならないというふうに考えております。　当機構は、公的年金制度の最も大切な執行部分を担っているという緊張感、責任感、使命感を持って、厚生労働省との的確かつ緊密な情報共有体制を構築していくことなど、国民からの信頼回復及び再発防止に向けて不動の決意を持って取り組んでまいる所存でございます。　どうぞ今後とも御指導をよろしくお願い申し上げます。
島村大 15

○島村大君　ありがとうございます。　私が聞くところによりますと、水島理事長も、今までに理事長に就任していただいてから何回も全国の現場を回っていただき、職員と直接意見交換もなされていたと、このような、理事長自ら、やはり今までの旧社保庁から改革をするんだという御意識は非常にあったというふうに聞いております。ただ、残念ながらやはりこういう結果にもなりましたので、是非ともこの改革の気持ちは続けていただき、理事長先頭になって、国民の方々に信頼回復を是非とも理事長が進めていただきたいと思っております。　続きまして、検証委員会の委員長でございます甲斐中委員長に、同じように両報告書を踏まえまして所感を伺いたいと思います。よろしくお願いします。
甲斐中辰夫 16

○参考人（甲斐中辰夫君）　技術的なこと、個別的なことは先ほど発言で申し上げました。また、報告書にも具体的に書いてあります。　そこで、なぜ今回こういう問題が起きたのか、これからどうすべきかということの根本的なことについてのみ申し上げたいと思います。　一つは、先ほども申し上げましたけれども、機構も厚労省もサイバー攻撃に対する危機感が不足していたと思います。だから体制も不備であり、技術的な対応も遅れたということになろうかと思います。　普通、民間会社なんかでは、大勢の人間が、セキュリティー部門に優秀な人を配置して徹底的な対策を講じています。ところが、標的型攻撃によくやられる企業とか組織というのは、何となく現場の担当者任せ、それから、運用委託会社に任せておけば何とかなるだろう、セキュリティー対策ソフトを入れておけば何とかなるだろうと、こういう考えでやってきて、今でもそういうところはあるんじゃないかと思います。しかし、事態はもう既にそういう時代ではなくなってきているということをよく御認識いただいて、私が申し上げましたような対策を是非とも講じていただきたいと思います。　それからもう一つは、特に機構についてですが、共有フォルダをいつまでも積み上げていたとか、今度の事案に対するまとまりのない対応とかを拝見いたしますと、私が直接委嘱を受けた事項ではありませんけれども、どうしても機構の組織体質、ガバナンスの問題というのが目に付いてくるわけであります。これは簡単なことではありませんけれども、ここをしかし何とかしないと、いろんな問題がまた出てくるのではないかということを恐れるものであります。　私も年金受給者ですから、機構にはしっかりしていただきたいんですが、やはり根本的なところできちんとした対応をしていただいて、国民に安心感を与えていただきたいと思う次第であります。　以上です。
島村大 17

○島村大君　ありがとうございます。　甲斐中委員長に、確かに今回この報告書を出していただきましたが、引き続き、是非とも、甲斐中委員長から見ましても年金機構がしっかりとなったよと言っていただけるまで御助言をいただければと思いますので、よろしくお願いいたします。　引き続きまして、四月二十二日に類似の攻撃が厚労省並びに地方厚生局にあったということが検証委員会の報告で公表されました。五月八日以降の日本年金機構に対する攻撃に生かせなかったことは誠に残念でございますが、なぜこの説明がなかったかを説明していただきたいと思います。よろしくお願いします。
安藤英作 18

○政府参考人（安藤英作君）　お答え申し上げます。　五月八日の時点でございますが、ＮＩＳＣの方から不審な通信の検知がございました、連絡がございました時点で、ＮＩＳＣの方からは四月二十二日の事案と検知内容が類似しているという旨の連絡をいただきました。しかしながら、五月八日の時点で機構から統合ネットワークを経由した通信をブロックしたことで通信が止まりまして、その後も検知されていないということから、事案への一定の対応は図られたというふうに担当の者は考えたということでございます。　そういったことで、先ほど委員長の方からもございました前兆とかあるいは一連の攻撃だとか、そういうふうには全く認識をしていなかったということでございまして、この標的型攻撃の危険性に対する意識が全く不足していたということだろうと存じます。　検証委員会の報告を真摯に受け止めまして、抜本的な意識改革や専門的な知識、経験による的確な判断、評価のできる人材の育成に向けて取り組んでまいりたいと考えてございます。
島村大 19

○島村大君　是非とも、引き続きしっかりやっていただきたいと思います。　それからもう一つ、年金の信頼感が問われていますが、事故発生後の納付率について、状況を確認させていただきたいと思います。
樽見英樹 20

○政府参考人（樽見英樹君）　日本年金機構におきます不正アクセスによる情報流出事案に対応いたしまして、成り済ましによる不審電話との混同を防ぐという観点から、六月一日の事案発表以降は、国民年金保険料の未納者に対する電話あるいは個別訪問、文書といったようなものによる納付督励事業というのを見合わせているところでございます。　そういうことの影響ということも心配をされたわけでございますけれども、本年六月末時点の国民年金保険料納付率が先頃出ましたが、これは五五・八％。これは、毎年、年度の始まりは低くて、年度末に向けてだんだん上がっていくというようなことになってございます。五五・八％という数字につきましては、昨年、対前年同期比で比べますとプラス〇・七％ということになってございます。おかげさまでといいますか、幸いなことにといいますか、今のところ、今回の事案による納付率への影響は出ていないという状況でございます。　今後、御指摘いただきました検証の結果等を踏まえまして、再発防止あるいは二次被害防止というところに年金機構とともに私ども全力を尽くしまして、更に年金に対する信頼感というものを確保していくように努めていきたいというふうに思っておりますし、その上で、早期に納付督励の再開というようなこともできるように全力を尽くしてまいりたいと考えております。
島村大 21

○島村大君　ありがとうございます。　今御説明がありましたように、数字的には国民の方々はまだ年金に対して信頼をしていただいているということみたいですけれども、ただ、これはもう最後のチャンスだと思いまして、これを逃したらもう本当に年金そのものの根幹から私は崩れると思いますので、是非とも、引き続きしっかりと改革をしていただきたいと思っております。　それから、もう一点、厚労省のＬＡＮシステムで先ほど攻撃があったということですけれども、今までにどの程度の不審メールとかがあって、どの程度の不審メールを開封して感染していたのか、この辺をちょっとお聞きしたいと思います。
姉崎猛 22

○政府参考人（姉崎猛君）　お答えをいたします。　御質問でございますけれども、厚生労働省のＬＡＮシステムの詳細について言いますとＬＡＮシステムの対応能力を明らかにするというふうになってしまいますので、詳細を明らかにするということはなかなか難しいというふうに思っておるんですけれども、不審メールが相当数あるということは、それは事実であります。ただ、不審メールを開封をしてしまって不正な通信が発生する、こういうふうに至った事例というのはそんなに頻繁に起きているわけではないということであります。　いずれにしましても、標的型攻撃の危険性に対する意識が不足をしていたということを真摯に反省をいたしまして、これまで以上の緊張感と責任感を持って厚生労働省の情報セキュリティーの確保に努めていきたいというふうに考えております。
島村大 23

○島村大君　確かに、開封して感染してしまっているのは少ないのかもしれないですけれども、でも、今後はより一層増えるとか、ゼロということはあり得ないわけですから、しっかりとそこは先ほどの報告書にありましたように対応していただきたいと思います。　最後に、今まで、両報告書がありました、その内容に関しまして、また今日質疑をさせていただきましたことを踏まえまして、大臣、どうか所感をよろしくお願いします。
塩崎恭久 24

○国務大臣（塩崎恭久君）　今回、検証委員会から報告書が出てきたわけでございますが、その前に、ＮＩＳＣからも今回のサイバーセキュリティー事案についての報告書がございました。加えて、機構からも当然自らの検証が出てきたわけでありまして、これらを踏まえていかなければいけないというふうに思っております。　やはり検証委員会、これは私どもがお願いをして甲斐中委員長にリーダーシップを取っていただいて報告書を作っていただいたわけでございまして、先ほど来中身については数々お話がございました。情報流出という事態につながった要因としてやはり備えが、そして危機意識が足りなかった、これは機構にも厚労省にも言える、そして組織としての一体感の欠如というのも、これも両方に言えることだろうというふうに思いますし、また、再発防止策として、機構の人的体制を整備する、厚労省の監督指導体制も強化する、そして厚労省の再発防止のためにセキュリティー対策を強化をする。なお、機構の永年の課題であります意識改革、ガバナンスの強化、これについてもしっかりとやっていかなきゃいけないと思っております。　厚労省としても深く反省をして改善をしなければならない点が多々あるわけでございまして、ここは、公的年金を企画する厚労省と、その制度を執行するという最も大事な部分を担ってもらう日本年金機構、これが車の両輪として一層連携をして、国民の皆様方から信頼回復と、再発防止に向けて取り組んでいくことが大事だろうというふうに思っております。　機構の組織としての一体感の不足といった問題点を指摘をされておりまして、かねてから指摘されております機構のガバナンスの問題も、やはり我々真剣に取り組んでいかなきゃいけない改革課題、これは、まずは機構において、理事長をトップとする日本年金機構再生本部が、自らの問題として、自らの新しい組織をつくり上げる、そういう意識を持ってやってもらうことが大事であり、一方で、監督する側の厚労省としても、厚労省と機構との間の関係についての再定義というものも必要なんじゃないかと私は思っているわけでございます。　いずれにしても、両組織挙げて取り組まなければいけないと思っておりますし、厚生労働省としては、専門人材の確保を含めたセキュリティー対策をするとともに、機構への監督指導体制を一層強化し、国民の年金への信頼回復を図って、再発防止に向けた取組を強力に進めてまいりたいというふうに思います。
島村大 25

○島村大君　ありがとうございました。　今後ですけれども、是非とも改革していただき、今後は、年金事業管理部会ですか、監視強化をするということも聞いていますので、是非ともこれは大臣、先頭を切って進めていただきたいと思いますので、どうかよろしくお願いします。　以上で終わりにします。
白眞勲 26

○白眞勲君　民主党の白眞勲でございます。　本日は、日本年金機構不正アクセスによる情報流出事案検証委員会にて取りまとめられた検証報告書について、まず御質問したいと思います。　お手元にも、皆さんのところにもお配りされている検証報告書というふうに書いたものですけど、その本文三十六ページには、日本年金機構の意識改革というタイトルの項目において、こう書いてあります。これだけの情報を流出して国民に多大の迷惑を掛けていながら、検証委員会の調査を受ける際に、その後改まったとはいえ、一部の者が重要な資料を出し渋り、黒塗りをするなどの態度は論外であるというふうに書いてあるんですね。　これはとんでもない。私もこれを読んで驚いたんですけれども、ここで年金機構、水島理事長にお聞きいたします。　当然、この検証委員会からの調査を受ける際にはいろいろな資料を提出されたんだと思うんですけれども、その資料を提出された際には、当然、これは厚生労働省を一回経由して、あるいは厚生労働省にこういうものを検証委員会の方に提出するんだということで、私は、相談してからやったんだということも民主党の部会でも聞いておるんですけれども。　そうすると、この黒塗りをしたのは一体誰なんだということなんですよ。厚生労働省が黒塗りをしたのか、それとも年金機構が黒塗りをしたものを厚生労働省に出していったのか、その辺はどうなんでしょうか。
水島藤一郎 27

○参考人（水島藤一郎君）　先ほども申し上げましたが、このような態度でありましたことにつきまして、まず深くおわびを申し上げます。　黒塗りをいたしましたのは私どもの担当でございます。これに関しまして、いわゆるセキュリティー上の問題あるいは捜査上の問題等々を踏まえて担当者としてはそのようなことを行ったという報告を受けておりますが、ある段階で検証委員会から私、御指摘をいただきまして、即座に修正をして改めさせまして、全てについてきちんと御提出するという方向にいたしております。　重ねておわびを申し上げる次第でございます。
白眞勲 28

○白眞勲君　検証委員会は元々非公開であり、そして真相究明の重要な役割を果たしているわけですよね。と同時に、これ守秘義務も掛かっているということですから、黒塗りにするということ自体が考えられないわけなんですよ。　ですから、仮に担当者が黒塗りにしたとしても、厚生労働省としては、何でこういうことやるの、ちゃんと上げなさいということをやるべきではなかったのか、そういうふうに思うんですけれども、厚生労働省としてはどうなんでしょうか。
樽見英樹 29

○政府参考人（樽見英樹君）　実は、私どもの方としても、当初、提出する資料ということにつきまして、機構の方と同じような懸念が私どもの中でもあったというふうに承知をしております。まさにセキュリティー上あるいは捜査上という観点から、なかなかお答えができないんではないかというところ。　ただ、私どもの方としても、そういうことでは資料を一部黒塗りにし、一方で、ここについてはどういう扱いにしたらよかろうかということで、黒塗りにしないものと併せて、どういうふうに扱いましょうということで、私どもの方としては検証委員会の方にお出しをしたというふうに聞いております。　そういう意味でいいますと、率直に申しまして、私どもの方もその点についての配慮が足りなかったというふうに反省をいたしております。申し訳ないと思っております。
白眞勲 30

○白眞勲君　やっぱり何かそこに隠していこうということがあったら、何のための検証委員会か分からないわけですよね。非常にこれ問題だというふうに思いますね。　先にちょっと進みたいと思います。　四月の二十二日の時点で既に年金局でウイルス攻撃を受けていたという、これも驚くべき事実が、この報告書が出た八月二十一日時点で新たに分かったわけですが、私、更にびっくりしたのは、八月二十一日の我が党の部会で、年金機構を管轄する事業企画課の担当の課長さんも知らなかったと。つまり、この検証報告書が出る八月二十一日、四か月間何も分からなかったということですね。御存じのように、五月八日に年金機構のサイバー攻撃においても、やっぱり十七日間、年金機構は警察にもその間に相談していたにもかかわらず、十七日間、上司に報告を怠っていたわけですよね。そういうことで、本当に連絡体制、一体どうなっているんだろうなということを非常に私は気になってしようがないんですね。　ちょっと年金局長にお聞きいたしたいと思います。　昨日の民主党の部会に提出された資料によりますと、年金局企業年金国民年金基金課から年金局長に翌日の四月二十三日にこの件について報告がされたとのことですが、局長は、四月二十三日、御存じだったということですね。
香取照幸 31

○政府参考人（香取照幸君）　本件事案は、私には四月二十三日に報告がありましたが、これは企業年金国民年金基金課に不審メールの送信があり、職員がそれを開封したことに伴い、私どものヘルプデスク、セキュリティー部局の指示でＬＡＮケーブルを抜線しパソコンを隔離をしたという御報告を二十三日に受けております。　これは、何といいますか、通常のというと語弊がありますが、この種の不審メールが、頻繁に私どもも受けているわけで、今回は開封をしたということがありましたので、こういった措置を講じたというものとして私は御報告を受けております。これはセキュリティー関係部局の御指示に従って措置をしたということで、この時点でその報告を受けております。
白眞勲 32

○白眞勲君　じゃ、それについて報告は受けたけれども、何か別に指示はしなかったということですね。
香取照幸 33

○政府参考人（香取照幸君）　通常の、不審メールを受信し、それを今回の場合だと踏んでしまったわけですが、踏んだ場合の手続に従って処理を行ったという御報告だったので、それはそのとおり報告を受けましたし、その後、追って何かセキュリティー部局との関係で問題があれば御報告をまた私のところに来たと思いますけれども、それはルールどおり措置をされたということですので、その時点で特段の指示はしておりません。
白眞勲 34

○白眞勲君　大臣は、この四月二十二日の案件についてはいつお知りになったんでしょうか。
塩崎恭久 35

○国務大臣（塩崎恭久君）　今回、甲斐中委員長のこの検証委員会の報告書で私は初めて中身を知ったところでございます。
白眞勲 36

○白眞勲君　つまり、今まで全然知らなかったということが分かったわけですよね。　私、思うんですけれども、要は、このスタートというのは、例の流出事案の大きなポイントは何かというと、今までは五月の八日だったと我々も思っていたわけなんですけれども、実際には五月の八日ではなくて、四月の二十二日から実は時系列としてはスタートをしていたと。それも同じ年金局で起きている事案だったということになったら、根本的に、今までのこの委員会での議論は一体何だったんだということになりはしないのかなというふうに思うんですよね。　大臣は、厚生労働省の責任について、一体これどうなっているんだろうなということについてはどういうふうにお思いでしょうか。
塩崎恭久 37

○国務大臣（塩崎恭久君）　今回、検証委員会の委員長の甲斐中委員長も記者会見でお述べになっていますけれども、この四月二十二日の事案というのは、言ってみれば今回の予兆的な動きであったということでございました。　それはそれとして、今御説明申し上げたように、厚生労働省の中で責任者である官房長まで報告が上がって、私には上がってまいりませんでしたけれども、そこで一旦収束したということでありますが、結果として見れば、幾つかの通信先の、五月八日の中で、四月二十二日の通信先のドメインが共通するものがあったということでございますので、いずれにしても、サイバーセキュリティーの危機意識がなかったという今回の検証委員会の指摘に、私たちは、そのとおりだということで、アラートレベルを上げるという意味においては、年金機構に、こういうこともある、あるいは、ほかの組織にもきちっと伝えておくということが大事であったというふうに思いますし、その日の夜に全職員にメールを送って、こういうようなものが来ているのでということをたしか四月の二十二日に全職員に送って、警告を発しているというところはきちっとやっているわけでございます。ごめんなさい、二十三日でございましたが、そのように対処をしているわけでございますので、五月八日以降の問題については、もう皆さん御存じのようなことになっているということでございます。
白眞勲 38

○白眞勲君　いや、二十三日に全員に送ったとしても、結果的に、年金局の事業企画課の担当の課長まで知らなかったと言っているんですよ、八月、この検証委員会の結果が出るまで。初めて聞きましたと言っていましたよ。だから、全然、メールしたって何の意味もなかったじゃないですかということなんですけれども。　甲斐中委員長にお聞きしたいと思います。　今までのやり取りをずっと聞いていただいて、私、相当やっぱり年金機構、この報告書どおり深刻だと思います、問題が。それと同時に、厚生労働省の対応についても、今議論になった四月二十二日の案件も含めまして、対処に深刻な問題があるような気がしているんですよ、私は。　甲斐中委員長とされましては、厚生労働省の責任の重大性について、例えば今日だって、黒塗りの件についてだって、結局、知っていたけどもそのまま出しているわけですよね。今日の答弁を聞いていたのも含めまして、御感想をお述べいただきたいと思います。
甲斐中辰夫 39

○参考人（甲斐中辰夫君）　今やり取りした問題はいろいろ多岐にわたっておりますので、一遍にちょっと答えるのは難しいんですけれども。　まず、四月二十二日の攻撃の問題なんですけれども、これは、私どもがこの報告書に書いたのは、あくまでも、こういう事実があるのだから、省内だけではなくて機構にもきちんと情報提供しておくべきであったと、こういう視点で取り上げて書きました。そういう意味では、情報連絡体制が不十分だったということは間違いありません。　それから、黒塗りの問題なんですけれども、要するに、機構は機構、厚労省は厚労省で、それぞれ私ども資料の請求をいたします。黒塗り以前に、機構の方からはそもそも資料の提出が遅れていたという問題があって、黒塗りはその附属物だったということです。ただ、機構の場合は、すぐ出してくる部局もあるんです。出してこない部局もあると。いろいろだったということで、そういう意味で私はガバナンスの問題として取り上げて、最後に書かせていただきました。　それで、結局、さっき、厚労省の方の黒塗りの問題もあるんじゃないかというお話でした。　正確に申し上げますと、厚労省の方も黒塗りの資料を出してきた場面はありました。それは、ただ同時に、これでは検証作業に支障を来すだろうから、本物というか、黒塗りしていないものについてはインカメラで見ていただくというような方法もあるがいかがでしょうかと、こういう話が、それは最初からありました。ただ、私どもはインカメラでは時間的な制約もありますので困るということで折衝いたしまして、五、六日後に全部黒塗りの資料は撤回して正本が出てきたと、こういう経過でございます。
白眞勲 40

○白眞勲君　いや、もう何というか、開いた口が塞がらない、本当にそういう感じがしていましてね、ちょっとこれ、私は持ち時間あと十五分しかないんだけれども、もうとてもじゃないけどやり切れないぐらい大きな問題があるのではないのかなと思っておりますが、この辺りはあとまた同僚議員に移します。　次のちょっと話をしたいと思うんですけれども、日本年金機構の調査結果報告についてお聞きしたいと思うんですね。お手元の資料の調査結果報告の方です、日本年金機構による。　私、じっくり読んだんですよ。これを見ると、やっぱり一生懸命作成しているなという印象は持ちました。本当に一生懸命やっているんだな、頑張っているんだなという印象は持ったんですね。　先日の八月二十日に、民主党の部門会議において、年金業務の外部委託先に百十人突然解雇された問題について当事者の方からヒアリングをさせていただいたことをちょっとお話ししたいと思うんですけれども、そのときに、実際解雇された外部委託先の方が、データ処理業務においては紙のデータで書かれていたファイルが床にまで置いてあった、山積みされていたと。別にセキュリティーチェックもない環境の中、雑居ビルの中で仕事をしていたとか、かなりずさんで深刻な状況を聞かせていただきました。　ここで私が注目したのはデータ入力の件なんですね。この方からの話ですと、午後八時にはデータが取れなくなる、恐らく基幹システムが八時にシャットダウンされるのかなという感じがしたんですけれども、その前に、例えば老齢年金の請求書などの関係でデータを取り出して打ち込む、そして、幾らとか、どこに勤めていたか、さらには振り込み先の銀行や標準報酬月額の内容なども打ち込んでいるとされました。つまり、共有フォルダにそういったものも入っているんだということなんですね。　ここで年金機構にまず確認なんですけれども、そのようなことは外部委託先に任せていたんでしょうか。
水島藤一郎 41

○参考人（水島藤一郎君）　まず、御通告をいただいておりませんでしたので、正確な情報を今持っておりませんが、今お答えできる範囲でお答えをいたします。　今おっしゃったのは、共有ファイルサーバーからデータを引き出したということではなくて、黒画面と言っておりますが、ウインドウマシンでそれぞれのお客様の状況について一覧で出てくる画面がございます。これを今御指摘のございました例えば裁定請求等の、あるいはチェックの業務に使う場合に、八時にオンラインが閉まりますので、それらについて、必要な方について黒画面をコピーをするという形で仕事をするということはあるということを報告を受けております。
白眞勲 42

○白眞勲君　つまり、委託先でいろいろなことをやっていただいているということははっきりとしたわけなんですけれども。　私、ここで今日のこの報告書を見ていると、四ページ目の二つ目の丸や五ページ目、こっちのホチキス留めの方ですけれども、縦の大きい、全部入っている方の。例えば四ページ目の二つ目の丸ですね。あるいは五ページ目の（３）調査で判明した事実、五ページ目の（３）①お客様の個人情報を見ると、確かにこう書いてあります。現在判明している百二十五万件以外の新たな情報流出は確認されておりませんと書いてあります。もちろん、三十四ページのまとめにも同じことを書いてあるんですけれども。　私はずっとこれ読んだんですけれども、四情報以外の情報が漏れていませんとは書かれていないんですよ、この文書の中に。どこにも書いていない。また今日の水島理事長さんの報告の中にも、四情報については一言も触れられていないんですね。　つまり、これ、四情報以外の情報の流出というのはどうなっているんだろうなと。これ、四情報以外の情報が漏れていないと書かれている部分があるんでしょうか、この報告書の中に。書かれている部分があるならお示しいただきたいんですけれども、私の読み違いかもしれませんから。
水島藤一郎 43

○参考人（水島藤一郎君）　百二十五万件以外に確認されていないということと、四情報以外は確認をされていないということでございます。四情報以外の流出は確認されていないということでございます。　四情報以外はないというふうには書いてございませんが、百二十五万件で、四情報何件、三情報何件、二情報何件というふうにお示ししてございまして、それでお示ししたということでございます。
白眞勲 44

○白眞勲君　いや、ちょっと変ですね。この二十一ページの四つ目の丸、見ていただきたいんですけれども、こう書いてあるんですね。二十一ページの四つ目の丸ですね。共有ファイルサーバに保存されているファイルにどのような個人情報が含まれていたかについては、現在、調査を行っていますと書いてありますよ。　そうすると、これを読むと、やっぱり今の、水島さん、百二十五万件の中に四情報も含まれているんだと何だかよく分からないお答えをされているんだけれども、調査を行っているんじゃないですか。つまり、共有ファイルサーバーに、私が申し上げたいのは、私が認識したのは、私が話を聞いてああそうなのかなと思ったのは、共有ファイルサーバーには四情報以外のやつもみんな打ち込んでいたんですと。打ち込んでいたし、だからこそこういう言葉が出てくるんじゃないんでしょうか。　つまり、四情報以外の情報が実は共有ファイルサーバーの中にはあって、それが漏れている可能性もあるのではないかと私は思うんですが、その辺はどうなんですか。
水島藤一郎 45

○参考人（水島藤一郎君）　共有ファイルサーバーの調査について大変時間が掛かっておりまして、大変申し訳ないというふうに思っておりますが、現在調査を鋭意進めているところでございます。　それで、百二十五万件に関しまして、四情報以外は確認されておりませんで、これに関しては最大四情報ということでございます。共有情報ファイルの中にもちろんその他の情報が、例えば国民年金の収納対策等々一部あることは確かでございますけれども、そのような情報が漏れているということではございません。
白眞勲 46

○白眞勲君　今、水島理事長がまさにおっしゃいましたけれども、共有ファイルサーバーには四情報以外の情報が入っているということを今お認めになりましたよね、個人の。つまり、そういうことを言った場合には、漏れているかどうかは確認されていないけれども、共有ファイルサーバーのデータが取られたとなったら、四情報以外の情報もその共有ファイルサーバーの中にあるならば、それは漏れた可能性はあるということをお認めにならなきゃいけないんじゃないですか。
水島藤一郎 47

○参考人（水島藤一郎君）　フォレンジック調査は、そのようなことが確認されないかどうかということを調査をしたということでございまして、フォレンジック調査も含めて、百二十五万件以外の新たな流出及び四情報以外の流出は確認をされていないということでございます。
白眞勲 48

○白眞勲君　いや、調査結果には、四情報以外、今おっしゃいましたことを、言葉でおっしゃっていますけれども、文書に書いていないから私は聞いているんですよ。何で文書に書かなかったんですかということなんです。今も四情報については一切触れませんでしたよ、今のお話の中にも、最初の冒頭の発言の中にも。それでいて共有ファイルサーバーの中には、お認めになったじゃないですか、四情報以外の情報も実は入っているんですと。　だったら、私は、やっぱりここは水島理事長、もちろんそれは確認はされていないけれども、漏れた可能性は否定できないわけですよ、これは。そうですよね。確認はされていなくたって、漏れた可能性が否定できなければ、当然、お客様の視点に立てば、漏れた可能性がありますよということは言うべきなんじゃないんでしょうか。お答えください。
水島藤一郎 49

○参考人（水島藤一郎君）　そのために種々の確認作業を進めてきているわけでございまして、現在、百二十五万件、かつ、百二十五万件は四情報でございます。最大四情報の情報でございます。それ以外は確認をされていないということでございます。
白眞勲 50

○白眞勲君　いや、ですから、共有ファイルサーバー、今お認めになったじゃないですか。四情報以外の情報もいっぱい入っていますよということを言ったじゃないですか。今お話しされたでしょう。だから、それが漏れているんじゃないんですかということなんですよ。　確認はされていないのは分かりましたよ。だけど、漏れている可能性についてはあるということはお認めにならないといけないんじゃないんでしょうか。それを私は申し上げているんですが、もう一度お答えください。
水島藤一郎 51

○参考人（水島藤一郎君）　可能性の議論というよりも、事実を積み重ねるということだというふうに思っておりまして、現在までのところ、百二十五万件、これは最大四情報でございますが、これ以外の流出は確認をされていないということでございます。
白眞勲 52

○白眞勲君　水島理事長、もし事実を積み重ねるんだったら、共有フォルダの中にどういう情報が含まれていたかを事実として書くべきなんじゃないんですか。どうですか、それは。
水島藤一郎 53

○参考人（水島藤一郎君）　まず、それはまさに調査中でございまして、なおかつ、新たな情報流出は全く確認をされていないわけでございますので、それを今申し上げているわけでございます。（発言する者あり）
丸川珠代 54

○委員長（丸川珠代君）　速記を止めてください。　　　〔午前十一時六分速記中止〕　　　〔午前十一時二十三分速記開始〕
丸川珠代 55

○委員長（丸川珠代君）　速記を起こしてください。
水島藤一郎 56

○参考人（水島藤一郎君）　フォレンジック調査につきまして若干申し述べさせていただきますと、感染端末の特定をいたしまして、三十一台の端末に関しまして、そのログ等を調査をいたしております。　その結果は、新たな流出は確認をされていないということでございまして、今後新たな流出が判明する可能性は極めて小さいと思いますが、ないとは断定できないとは思っております。
白眞勲 57

○白眞勲君　ちょっとお聞きしますけれども、共有ファイルサーバーには四情報以外の情報も入っていたということでよろしゅうございますね。もう一回確認です。
水島藤一郎 58

○参考人（水島藤一郎君）　現在調査中でございますが、前にも申し上げたと思いますが、可能性としては否定をしておりません。
白眞勲 59

○白眞勲君　つまり、可能性は否定できない。そして、今の御答弁ですと、今の段階では漏れているという痕跡はないようだということですけれども、つまり、逆に言えば、私が思うのは、やっぱりお客様に対して、何か月もたっているわけです、三か月かな、もう。三か月たっていて、やっぱりこういうあなたの情報、それぞれもう、今調査中だったら現在進行形でもいいから、個人の皆様に対して、こういう情報が入っていた、あなたのこういう情報が入った共有サーバーが、実はその中からウイルス攻撃を受けておるんですよということもやっぱり警告の意味で発するべきであるんじゃないんでしょうか。それが本来の意味のお客様第一の考え方じゃないんでしょうか。その辺、水島理事長、どうですか。
水島藤一郎 60

○参考人（水島藤一郎君）　現在、そのような可能性について調査をするためにフォレンジック調査を進めてきたわけでございます。　　　〔委員長退席、理事福岡資麿君着席〕　可能性という意味で、断定ができないと先ほど申し上げましたが、そういう意味で共有ファイルサーバーについての調査は継続いたしておりますが、それが流出したということにはもちろんならないわけでございますので、そのようなことを申し上げることが適切かどうかということについてはよく検討しなければならないというふうに思っております。
白眞勲 61

○白眞勲君　本当に、私、水島理事長さんっていい人なんだなと思うんですよ。やっぱり良心的だから、そこで、何というんですかね、でも、私はお客様のことを考えていただくということが重要だと思います。　また別の機会にこれやりたいと思います。全然やっぱり私は納得しませんよ、これ。　次の、私が今日お示しした資料を見ていただきたいと思います。時間がないので、ちょっと私の方からどんどん説明したいと思います。　これを見ると、まず一枚目、一番上の青いひし形のあれで、通信先が二十三件ですね。そのうちの一つがＸだということがこの一ページ目に書いてあるわけです。つまり、二十二件のまだ別に通信先、乗っ取られているサーバーがあるということで、この次のページを見ていただきたいと思うんですけれども、ちょっと細かくて恐縮ですが、これＮＩＳＣからの情報ですね、結果ですよね。それを見ると、赤の傍線の部分が今回接続先、つまりＸに対する通信、これは漏れていたやつですよね、情報が。　私が特に注目しなければいけないなと思っているのは薄い青い傍線です。一番左方にある端末の七番、九番、十一番、十二番、十三番です。白い傍線の部分が個人情報の流出が確認されなかった接続先ということですから、この青い傍線は少なくとも個人情報の流出が確認された可能性がありというパソコンであるということになりますね。　つまり、そうすると、さらには、今まで百一万四千六百五十三人以外の情報流出ではない、この青い部分は百一万四千六百五十三人以外の方々の個人情報が流出したということでいいのかどうか、これをちょっと、ＮＩＳＣさん、お答えいただきたいと思います。
谷脇康彦 62

○政府参考人（谷脇康彦君）　お答え申し上げます。　今委員御指摘の青色の部分でございますけれども、これは接続先Ｘ以外の接続先と通信が行われ、その通信が成功をしているというものでございます。この中には、いわゆるＣアンドＣサーバーと通信を行いまして何らかの命令を受け取ったり、あるいは端末の情報をＣアンドＣサーバーに送ったり、いわゆる個人情報ではないというものもあり得ます。また、個人情報が実際に送られている可能性というものもございます。それから、もう一つ申し上げておかないといけませんのが、この通信の長さというものが通信量と必ずしも比例するものではないということでございます。　いずれにいたしましても、百二十五万件の個人情報以外の情報が現時点において流出したということは確認はないわけでございますけれども、その可能性を否定するということはできないと考えております。　　　〔理事福岡資麿君退席、委員長着席〕
白眞勲 63

○白眞勲君　極めて可能性が高くなったんではないんだろうかと私は思うんですね。これだけ青い部分、これ端末を調べてみれば、七、九、十一、十二、十三の端末にどういう情報が入っていたかを調べてみれば、可能性としてはありますよ、今の話と一緒ですよ、四情報と。可能性としてはあるんじゃないんですかということははっきり分かる。だから、これ調べるべきなんじゃないんですか。この辺、どうなんですか、水島理事長。
水島藤一郎 64

○参考人（水島藤一郎君）　これはフォレンジック調査の対象でございまして、その結果として個人情報の流出は確認されなかったということでございます。
白眞勲 65

○白眞勲君　どうも私はしっくり来ない部分です。　時間ですので、終わります。　　　　─────────────
丸川珠代 66

○委員長（丸川珠代君）　この際、委員の異動について御報告いたします。　本日、酒井庸行君が委員を辞任され、その補欠として二之湯武史君が選任されました。　　　　─────────────
石橋通宏 67

○石橋通宏君　民主党・新緑風会の石橋です。　白委員に続きまして質疑をさせていただきたいと思いますが、今の白委員とのやり取りだけ聞かせていただいても甚だ不十分というふうに断言せざるを得ないので、白委員の質問に続いて、更問いも含めてさせていただきたいと思います。　最初に、白委員も御質問されましたけれども、三つの年金事務センターで発生した百十名の給料未払問題に関連して幾つかお聞かせいただきたいと思います。　民主党から年金機構に対しまして、じゃ、一体、現在、年金個人情報を扱う大変重要な個人情報を扱っている業務がどれだけ外注、外部委託をされているのか、その実態について、全容についてどのように機構の方で把握をされているのか資料を出してくれと言われると、請け負っている事業者のリストは出していただいたんですが、じゃ、それでどれだけの人たちが、労働者の皆さんが働いておられるのか、とりわけ私がお聞きしたのは、機構の事務センター内で請け負って、今回の事例のように、仕事をされている方が何人おられるのか把握をされているのかというふうにお伺いしたわけです。　水島理事長、教えていただけるでしょうか。外注先、委託業務先でどれだけの方々が実際に機構事務センター内で個人情報を扱う業務に携わっているのか、教えてください。
水島藤一郎 68

○参考人（水島藤一郎君）　申し訳ございません、委託先の従業員数に関しては、現在把握をいたしておりません。
石橋通宏 69

○石橋通宏君　お手元の資料の一に、今回、資料を出してくれと言ったときに、機構全体の人員体制図を出していただいたわけです、非正規の方々も含めて。米印の三のところですね、外部委託先職員については、機構職員でないため把握していないというふうに御回答をいただきました。　これ、私、大変問題だと思うんですが、理事長、委託業務先の方でも事務センター内で個人情報を扱って仕事をされている方々です。その状況を把握していないということは、理事長、問題だと思われませんか。
水島藤一郎 70

○参考人（水島藤一郎君）　契約上、守秘義務は課しておりますので、それによって対応しているということでございます。
石橋通宏 71

○石橋通宏君　理事長、答弁が全く理解不能です。　私がお聞きしているのは、機構として、実際に事務センター内で働いておられる方々ですよ、大変重要な年金情報を扱う業務を、委託先とはいえ事務センター内でやっておられるわけです。これ、恒常的にやられているんですね。一時的、臨時的な話ではないんです。つまり、入退室管理のためのＩＤなどなど、様々な状況対応されているんだと思います。しかし、理事長、今把握を機構としてしていないと、これについて理事長として問題であると思われませんかと私は伺っているんです。問題でないという認識なんですね。
水島藤一郎 72

○参考人（水島藤一郎君）　その事態についてどう考えるべきかということについては、御指摘の点も含めて検討をしてみたいと思います。
丸川珠代 73

○委員長（丸川珠代君）　速記を止めてください。　　　〔速記中止〕
丸川珠代 74

○委員長（丸川珠代君）　速記を起こしてください。
水島藤一郎 75

○参考人（水島藤一郎君）　各事務センターでは把握をしているということでございますので、本部として従来把握をいたしておりませんでしたが、把握するようにいたします。
石橋通宏 76

○石橋通宏君　理事長、なぜ今これをお聞きしているかお分かりいただいていますよね。まさにこれが今回の漏えい問題にも関わると我々は認識をしているからお伺いしているんです。　今回の報告書の結論、先ほど来、理事長繰り返し言われていますね。組織としての一体感が不足していた、ゼロベースから組織全体を総点検する、これ言われているじゃないですか。にもかかわらず、現場でどのような個人情報が扱い方をされているのか、そのことを機構本部で認識をしていないと。このことについて理事長として問題視されなかったら、今回の報告書、全く意味ないですよ。だからお聞きしているんですよ。　今、首かしげていらっしゃるということは、それ認識ないということなんでしょうかね。
水島藤一郎 77

○参考人（水島藤一郎君）　個人情報の取扱いの重要性、あるいはルールを守るということに関しましては、正規職員であろうと有期雇用職員であろうと、あるいは委託先であろうと全く同じでございますので、同じような形でルールを守らせるということでございます。
石橋通宏 78

○石橋通宏君　理事長、違うんじゃないですか。数字に出てこないです、外部委託先の職員は分からないと言われているんです。分からない相手に対してどのようにそれを担保するんですか、把握をされていないのに。入退室管理をしているんですか。どのように機構内部で請負先の方々が働かれているところとそうでないところと区分管理をして、入退室・セキュリティー管理を区分してやっているんですか。　理事長、答えてください。事務センターで全て、請負業務の方々が実際に仕事をされているところとそうでないところと、入退室管理、セキュリティー管理、全部厳格にやられているという理解でよろしいんですね。
水島藤一郎 79

○参考人（水島藤一郎君）　各事務センターのセキュリティー対策でございますけれども、職員の属性に応じた区域管理ということまではできておりませんが、職員、委託先以外の者が自由に出入りができないように、執務室等の出入口については電子錠等を設置することにしているということでございます。
石橋通宏 80

○石橋通宏君　今理事長が言われたのは、事務センターの一番最初の入口のところだけの話ですね。　我々がこれまでお聞きしているのは、事務センターに一旦中に入ってしまったら、全く区分管理も入退室のチェックもされていないというふうにお聞きしています。理事長、それでよろしいですね。
水島藤一郎 81

○参考人（水島藤一郎君）　これは、私も事務センターを何か所か回っておりますが、事務センターによって異なると思います。御指摘のようなもちろん事務センターもございますが、別に区分をしているという事務センターもございます。
石橋通宏 82

○石橋通宏君　理事長、認識がおかしいですね。　事務センターによって対応が違うことが間違っているということは分かるんですよね。つまり、事務センターによっては全くやられていないということを今認められた、これが現実なんですよ、年金機構、残念ながら、現場の。事務センターによって全く対応がされていない。　先ほど白委員の質問もありました。山積みになった段ボールが、大切なお客様の、国民の年金情報がそこらじゅうに置かれている、内部で全然区分管理もされていない、これが実態だということを理事長お認めになっているわけです。　大臣、人ごとのようにお聞きになっているのかもしれませんが、こういうことの、現場の個人情報を扱う、これがやっぱり年金機構の今の体制であって、今回の年金情報、今後の対策にも十分関わってくるんだということは大臣お分かりなんだと思いますので、是非しっかり聞いておいてください。　甲斐中委員長も後ほどちょっと若干お聞かせいただきますけれども、こういう実態も含めた今後の対応をやっていかなければいけないということなんだと思う、だからお伺いしているわけです。　本当はこの問題、もうちょっとお伺いしたいんですけれども、もう何点かだけ、理事長。　今回、何でこの偽装の再委託なり偽装請負なり偽装派遣なり、最初に請け負った共栄データセンターからＫＤＣキャリアコンサルティングへの偽装が見抜けなかったのか。機構は、これまで三月に発覚するまで知らなかったというふうに言っています。私は、知らなかったら余計に問題だと思っているんです。つまり、全く管理ができていなかった、だから見抜けなかったというふうに思っています。　理事長、そのことは反省あるんでしょうか。私が問題視しているのは、見抜けなかったこと自体について機構の管理監督責任が不十分だったのではないかと思いますが、そのことは反省して、お認めになるのでしょうか。
水島藤一郎 83

○参考人（水島藤一郎君）　その点については、異なった会社からの職員が働いていたということは結果として事実でございますので、私どもとして、そのようなことについて見抜けなかった、あるいは管理ができなかったということについては反省をしなければならないというふうに考えております。
石橋通宏 84

○石橋通宏君　なぜ見抜けなかったのかということは、これ、理事長、真摯にチェックしなきゃ駄目ですよ。例えば、幾ら外注先とはいえ機構の中で仕事をされていたわけです。　先ほど白さん指摘をされました。機構のシステムでいけば、例えば夜八時から基幹システムのアクセスができなくなる、でも皆さん残業される、だからデータを自分のところに落として引き続き残業されていた、こういう実態を我々も報告を受けています。　例えば委託業務先が機構事務センター内で仕事をされている。残業管理はどうなっているのか、労働安全衛生管理はどうなっているのか、そういう大切な個人情報を扱ってお仕事をしていただいている方々の残業管理、労働時間管理、労働安全衛生管理、これも含めて機構の責任はあるはずなんです。それをちゃんとやろうと思えば、例えば三六協定の締結状況がどうなっているのか、誰が管理責任を果たしているのか、それをしっかりと機構の方で管理監督責任を果たせば、これはもっと実態が早く分かっていたんじゃないかと思うんです。　理事長、どう思われますか。
水島藤一郎 85

○参考人（水島藤一郎君）　結果として異なる会社の社員が委託先として働いていたわけでございまして、そのような事実が把握できなかったことについては誠に遺憾だというふうに申し上げた次第でございます。　そのような事態に対してどう対処していくかということについては、私どもとして、再びこのような事態を繰り返さないために真剣に検討しなければならないというふうに思っております。
石橋通宏 86

○石橋通宏君　今、検討とおっしゃいました。今回の報告の中にある今後の対応、先ほど言いましたように、ゼロベースから組織全体を総点検する、組織としての一体感をしっかりつくっていく、こういうふうにお書きになっています。　ということは、当然このような業務委託の在り方、そして今日、人員体制でお示しをしています、今、正規より非正規の方々の方が多くなってしまっている。これ、そもそも平成二十年七月の閣議決定、業務運営に関する基本計画、この基本計画に示されている機構の人員体制と明確に違いますね。そこでは非正規は三千七百人になっています。基本計画と大幅に逸脱をして今非正規の方が増えている、このことも含めて全体の見直しをしていくんだ、そういうことでよろしいですね。理事長、そのことを確認だけお願いします。
水島藤一郎 87

○参考人（水島藤一郎君）　いわゆる有期雇用職員の人員に関しましては、システム刷新後ということで規定をされている面もございますので、現在の状況については、それぞれの施策に応じて人員が配置されているという状況にあるということでございます。　それで、御指摘は、そういうような職員の状況についてもきちっと把握した上で、一体的な組織をつくる上で、そのような種々の問題点を把握して対策を立てるべきだという御指摘かというふうに思います。そのとおりだと思います。そのように進めてまいりたいと思っております。
石橋通宏 88

○石橋通宏君　今日は時間がないのでやりませんが、私たちは、例えば今回百十名の方々、まだ二か月の給料未払が続いている。給料だけじゃありません。交通費、解雇予告通知、社会保険料がどうなっているのか、多くの問題を抱えていると思います。この対応もありまして、九十人の方々が直接雇用になっておられる。でも、九月三十日までの契約です。その後どうされるのか。　これ、引き続き同じようなことをやられる。でも、これずっと恒常的に、大切なお客様の個人情報も扱っていただきながら、かなり高度なスキルも含めてやっていただく、これ恒常的な業務ですよ。それを、業者が変われど労働者の方々は変わらない、ずっと委託業務先でやっておられる。こんな働かせ方を、年金機構、今後もしていくのかということも含めて、大変大きな問題、課題であるというふうに思います。　このことも含めて、今、理事長、見直しをしっかりするんだということだったと思いますので、これはまた別途引き続きの追及をさせていただきたいと思っています。　続いて、もう一つだけ、別の問題も発覚をしています。　日本年金機構が厚生年金に加入する会社員などに個人情報をディスクに入れて勤務先事業所に送る際、パスワードを同封して普通郵便で送っていたと。これまた信じ難い、しかしこれをもうずっと長年やられていた。　理事長、一体いつからこれずっとやられていたんでしょうか。一体いつからやられていたのか、教えてください。
水島藤一郎 89

○参考人（水島藤一郎君）　個人情報を収録したディスクを事業主に送付して、そのデータを基に届け書を作成、届出を行う、ターンアラウンド方式と言っておりますが、この方式は、旧社会保険庁時代、平成十五年四月に開始をされております。その時点からパスワードを同封して普通郵便で送っていたものでございます。　このようなことは誠に不適切であったと考えておりまして、既に本年五月から、同封する記載要領を変更し、パスワードについて説明する記載を削除するなど、改善に取り組んでいるところでございます。
石橋通宏 90

○石橋通宏君　これは本当に信じられない。つまり、ずっともう何年もの間こういうずさんな対応がやられていた。しかも、パスワードを同封して普通郵便で送っていた。しかも、そのパスワードは五桁の事業者番号がそのまま転用されていた。信じ難い話です。　理事長、今最後のところで、改善をします、まだ改善されていないんですか。発覚して、指摘をされて、そして幾つかのディスクの紛失や遺失があったというふうに聞いています。にもかかわらず、まだ改善されていないんですか。一体いつ改善するんですか。明確にちょっと教えてください。
水島藤一郎 91

○参考人（水島藤一郎君）　今申し上げましたが、既に本年五月から、同封するお知らせの記載要領を変更いたしまして、パスワードについて説明する記述は削除をいたしました。また、九月からは、同封する書類にパスワードとなる番号を記載しないことといたしております。　さらに、可及的速やかに別途追加パスワードを設定し別送する予定といたしておりまして、なお、これに関しまして誤送付がないように、それまでの間ダブルチェックを徹底するなど、チェック体制を一層強化してまいりたいというふうに考えております。
石橋通宏 92

○石橋通宏君　これ、対応としては本当に遅いのではないかと思います。発覚してから随分時間は経過をしています。しかし相当多くの事業所が絡んでいるので、時間が掛かるのは分かります。しかし、それにしても掛かり過ぎだというふうに思います。これ、即刻もう、可及的速やかと言っていただきました、前倒しして早急に対応いただきたいと思います。　一点、甲斐中委員長にお伺いをしたいんです。　今、二つの問題、私、取り上げさせていただきました。大切な個人情報を扱っている業務で請負、外部委託、しかしその実態を機構は把握をされていない、現場の事務センターで情報管理がほとんど徹底されていない、こういう実態があります。今申し上げたように、パスワードを普通郵便でディスク一緒に送っていたと、こういう実態も発覚しています。　こういう状況は検証委員会の中で共有をされて、これも踏まえた検討をされたんでしょうか。事実関係だけお聞かせいただきたい。
甲斐中辰夫 93

○参考人（甲斐中辰夫君）　今のやり取りについては、私ども、検証の対象にはしておりません。私どもは、あくまでも今回の情報流出事案、それに関連するもろもろの事象について調査検討することになっておりますので、残念ですが、その部分については対象外にしておりました。
石橋通宏 94

○石橋通宏君　第三者検証委員会の方では、今のような状況、現実、機構の情報保護の在り方を含めて対象になっていないと。つまり情報提供も受けていないし、検証、総括的な中にも入っていないという委員長の御報告でありました。そうだったんだろうと思います。　だから、私、個人的な見解を申し上げれば、甲斐中委員長、御苦労をいただいて本当に失礼だと思いますが、検証委員会の本当の意味での、機構の個人情報の在り方を含めた対応について検証いただいたという意味では、甚だ不十分な検証しかいただけなかったのではないかなというふうに、残念ながら私は今の御答弁を聞いても思うわけです。　なので、具体的に今回の三報告についての話に進めていきたいと思いますが、繰り返しますが、塩崎厚生労働大臣も、こういう年金機構の個人情報、大切な個人情報をどうこれまで扱ってきたのか、まさにその認識、現場の対応、これ総合的に考えなければ、単にサイバーだけの話じゃないと。サイバーだけの文化を変えるなんてできない話ですから、機構全体の文化、これを変えるということで考えれば、ここも含めた検証、対応しないと変わらないということは大臣も御認識共有いただけるんだと思います。後ほど御意見を伺いますので、準備をしておいてください。　それでは、検証三報告について、甲斐中委員長にまず幾つか伺ってまいりたいと思います。　今回、私たちは、そもそも中間報告が出されると認識をしていたんです。それがなぜか最終報告になってしまいました。なぜ今回最終報告になってしまったんでしょうか。
甲斐中辰夫 95

○参考人（甲斐中辰夫君）　当初、私ども、できるだけ早い機会に報告書を提出したいと、それが国民の皆様の期待にも応える方法であると思っておりました。ところが、先ほどちょっと申し上げましたが、専門的、技術的な問題について検討しているうちに時間が経過しまして、もうこの辺が本委員会の性格としても報告書を上げるタイムリミットじゃないかと思って、八月二十一日に報告書を提出いたしました。　報告書は、最終報告とは書いていないんですけれども、事実上の最終報告という位置付けです。したがって、委員会をいつまで継続するかということはまだ決めておりません。当面は継続するつもりであります。新しい問題とか、今まで調査したことから考えて予想外の事態があれば、また調査活動は再開すると、こういう形になっております。　そこで、今の調査の過程で、今後、再発防止策なり原因究明なり、その部分で大きく変わってくることはないだろうという予測で、中間という文字を取って報告書という形で取りまとめたと、こういう経過でございます。
石橋通宏 96

○石橋通宏君　私どもの部門の会合に対する厚労省からの説明は、これ最終報告の扱いですというふうに聞いております。　塩崎大臣、これは最終報告ではないと。今、甲斐中委員長は、これはまだ今後委員会継続していくんだと、必要に応じてというお話でした。つまり、最終報告ではないという理解でよろしいんですね。まだ委員会は続くと、必要に応じて新しい事実等々出てくるかもしれない、まだ今後続いていくんだ、そういう理解で、それだけ確認してください。
塩崎恭久 97

○国務大臣（塩崎恭久君）　これは甲斐中委員長が今おっしゃったとおりであって、私から付け足すことは特にございません。
石橋通宏 98

○石橋通宏君　それでは、今後も委員会は続いていく、つまり、これは最終報告とはどこにも書いていないので最終報告ではないと、私どもが聞いていたのとは違うという理解なんだということで、一つ確認をさせていただきました。　その上で、甲斐中委員長、今し方、先ほど白委員の質問、やり取り、黒塗りの資料云々、関係者の任意の協力を前提としている、一定の制約があった云々書かれております。つまり、先ほど、技術的、専門的な事項が多くて時間も掛かった。だから、我々は、まだこれは中間的な扱いにしておくべきで、今後更なる情報、先ほど機構はまだ調査中だとおっしゃいました、つまりまだ全容が解明されていないわけです。だからまだ十分な検証の最終取りまとめに必要な情報は得られていないという判断だというふうに思うんですが、甲斐中委員長、改めて確認します。　そういう理解でよろしいですね。まだ全部の資料、情報、データ、解析結果が出てきていないからこそ、まだこれから新事実が出てくる可能性があるので、今後も必要に応じて委員会をやっていくんだと、そういうことでよろしいですね。確認だけです。
甲斐中辰夫 99

○参考人（甲斐中辰夫君）　調査の過程で必要な情報、資料は全て提供していただきました。そういう意味では、私ども、現段階でこれ以上調査することはないわけですけれども、ただ、新しい事態の展開、新しい問題が起きてきた場合には調査を再開することはあり得ると、こういう位置付けです。
石橋通宏 100

○石橋通宏君　そうすると、ちょっと幾つか検証委員会についてもお伺いしたいんですが、今回、検証委員会のメンバー若しくは検証に関わった関係者の中にプロのハッカーの方はおられたでしょうか。いわゆるホワイトハッカーが関与されたのか、若しくはホワイトハッカーの方々に具体的な検証、ヒアリング等々に関わってもらって、今回の攻撃型の中身について検証されたんでしょうか。これも事実関係だけです。
甲斐中辰夫 101

○参考人（甲斐中辰夫君）　ハッカーかどうかは分かりませんが、サイバーセキュリティーの専門家が五人いらっしゃいました。その方から一緒にヒアリングにも参加していただきました。
石橋通宏 102

○石橋通宏君　今回のことも含めて、大変高度な攻撃型です。そして、初めて大量な流出が判明したということも報告書にも書かれています。つまり、大変高度な攻撃に対していかなる状況だったのか、そのことを分析していただく上で、当然、ホワイトハッカー等々含めて大変技術の高い方々に関わっていただかなければ全容解明はなかなかできないというふうに思います。今、委員長、何名か関わられたということですが、私がいろいろと委員の皆さんや関係者の皆さんの企業等々をお調べをさせていただいた形では、どれだけ十分な体制を取っていただいたのか、いま一つ分からなかったものですから、ちょっとお伺いをした次第です。　その上で、例えば、委員長、今回の厚生労働省統合ネットワークのシステムの全容、例えばＮＩＳＣは、今回の事案が発生した際、五月八日の段階でも厚生労働省の統合ネットワークに機構のシステムがぶら下がっていたことについて知らなかった、つまり厚生労働省統合ネットワーク自体のシステムの脆弱性若しくはリスクアナリシス等々についても全くやられていなかったんだと思いますが、そういうことについても検証委員会の方では事実としてつかんでおられたんですね。
甲斐中辰夫 103

○参考人（甲斐中辰夫君）　私どもが検証委員会を発足したのは六月八日です。その後、発足といっても委員だけが就任したわけでございまして、実際、調査の手足になる参与は委員が自分の裁量で優秀と思われる人を任命するということを、人集めをやっておりました。したがって、実際動き出したのは更にそれから十日ないし二週間ぐらい先のことになります。つまり、六月の下旬近い頃から動き出していると、こういう形になります。　ＮＩＳＣの方はその前から活動していらっしゃいますので、当初、ＮＩＳＣがどういうことを考えていたかということは、発足の時期が違いますので、ＮＩＳＣの当初の考え方というのは私たちは調べようがございませんので、特に聞いておりません。
石橋通宏 104

○石橋通宏君　今、一番最後のところだけが重要だったんです。特に聞いておられないわけですね。　つまり、五月八日に発生した時点、ＮＩＳＣが厚生労働省統合ネットワークから不正通信、外部への、関知した時点で、ＮＩＳＣは、それが年金機構のシステムが今回統合ネットワークに入っていたことについて一切知らなかった。それが我々は一つ大きな問題点だと思っているわけです。　政府の内閣サイバーセキュリティセンターとして、厚生労働省統合ネットワークシステムのシステム構成自体知らなかった。機構が、社保庁時代からの外部の通信、メールのための専用回線をＮＩＳＣのＧＳＯＣをかませずに独自で直接外部と通信していた、そんなことは全然知らなかったわけです。それも検証委員会は今御存じなかったというふうに言われましたので、今回の検証自体についてちょっと若干不安を覚えます。　もう一つお伺いさせてください。　概要版の報告の四ページに、機構のシステムについて、基幹系システムと情報系システムは物理的に接続されているものの、論理的に分離されているというふうに記述をされています。　委員長、これは事実でしょうか。
甲斐中辰夫 105

○参考人（甲斐中辰夫君）　そのとおり理解しております。
石橋通宏 106

○石橋通宏君　理事長、これは事実ですか。
水島藤一郎 107

○参考人（水島藤一郎君）　事実だと認識しております。
石橋通宏 108

○石橋通宏君　理事長、これは、この委員会の質疑の中で事実ではなかったことはお認めになったんじゃなかったんでしょうか。基幹系のいわゆるウィンドウズＰＣ端末から情報系のファイルサーバーに行けると。つまり論理的に分かれているというふうに説明されていたのが、いや実は、皆さん普通に、社会保険オンラインシステムにアクセスをしている業務系の端末、ここから情報系の機構ＬＡＮに行ってファイルサーバーにアクセスして、普通に情報を扱っていたと。つまり、論理的に完全に分離はされていなかったというふうに、これはもう御答弁をいただいています。　これ、甲斐中委員長、そのことは御存じでしたね。
甲斐中辰夫 109

○参考人（甲斐中辰夫君）　私どもが報告書に書いてあることは、機構の方がどこでどういうふうにお話しになったかということではなくて、私どもが調査した結果をそのまま書いたものでございます。
石橋通宏 110

○石橋通宏君　そうすると、今申し上げたように、普通に、機構の事務の皆さん、職員の方々、業務系の端末を扱いながら、そこからネットワークを介して情報系、機構ＬＡＮの方にも行って、日常的に作業をされているわけです。そのこと自体は特に問題視はされなかったという理解なんですね。
甲斐中辰夫 111

○参考人（甲斐中辰夫君）　論理的に分離されているかどうかという御質問だと受け止めてよろしいですか。
石橋通宏 112

○石橋通宏君　されていないんじゃないかということです。
甲斐中辰夫 113

○参考人（甲斐中辰夫君）　論理的に分離されていると、こういう回答です。
石橋通宏 114

○石橋通宏君　その辺の理解がちょっと、委員長、分かりません。もう少しこれ精査をいただかないといけないのかと。もしそういう理解で今回のシステムの全体像も分析をされたのであると、私は、ちょっと前提条件が違ってしまうのではないかなというふうに思いますので、この点、あえて聞かせていただいているということを御理解いただきたいと思います。　その上で、続いて、白委員から今回の情報漏えいについての機構の認識について、先ほど、まだ調査していると、現時点では可能性としては限りなく少ないかもしれないけれどもという機構理事長のお話がありました。　甲斐中委員長にお伺いしたいんです。　検証委員会としては、この漏えいした情報の問題についてどういう判断を最終的に下されているんでしょうか。　検証委員会の報告書二十六ページ、情報流出、これ、我々は、この検証委員会は第三者の検証委員会ですね。機構の内部の委員会の検証、済みません、理事長がおられる前であれですが、これ内部の調査ですから、なかなか本当は出ていても出ているとは言えない。第三者の検証委員会だからこそ、まさに大切な国民の皆さんの情報が一体今回どうなったのかということについて、これ我々はずっと待っていたわけです、検証委員会の報告を。ところが、ここの記述を見ていると、全部機構が言っていることをそのまま写しているんです。検証委員会としての主体的な判断、結果、結論というのは書かれていないというふうに私は判断をしています。　なぜなんでしょう、甲斐中委員長。検証委員会としては、機構が何を言っているかは関係なく、これまで全て得られたデータに基づいてどのような判断をされたのか、なぜここに書かれていないんでしょうか。
甲斐中辰夫 115

○参考人（甲斐中辰夫君）　情報流出の範囲というものは、調査するに当たっては非常に多大な手数も要しますし、難しい問題だと思います。全てを放り投げてこれを一生懸命やるという方法もあるんですけれども、限られた人数と時間でここに大勢の人間をつぎ込むということはなかなか難しい事情がございました。　それと、この百二十五万件のことなんですけれども、これも現に警察が捜査中ですし、それから機構自体がなお調査中ということでありますので、当面、その捜査なり調査結果を待つと、こういう姿勢でありました。
石橋通宏 116

○石橋通宏君　もしそれが検証委員会の立場、立ち位置、姿勢だとすると、私どもの認識とは随分違うなというふうに言わざるを得ません、委員長。　我々は、ここを検証委員会に大きく期待をしていたわけです。今回の、これ年金機構による不正アクセス情報流出事案の検証をしていただいたわけです。つまり、ここの全容を解明していただくこと、それを期待していたわけであります。しかし、今委員長が言われたとおり、いや、それをやっていたら大変だからそれは余りというふうに言われちゃいますと、これ、検証委員会、我々が待っていたものとは全然違うなということを言わざるを得ません。　ということは、委員長、じゃ、今回のフォレンジックの結果、例えば先ほど白さんが質問された、どこのディレクトリーから今現在判明をしている百二十五万件百一人分の情報が抜かれたのか、そのディレクトリーに一体どのようなファイルが置かれていたのか、そのことも検証委員会としては基本的に検証対象にはしていなかったということでよろしいですね。
甲斐中辰夫 117

○参考人（甲斐中辰夫君）　元に戻って申し訳ないんですけれども、私どもが受けた委嘱事項というのは、本事案に関し、機構及び厚労省の組織及び初動、事後の対応について検証し、原因の究明を行うとともに、効果的な再発防止策について検討し、報告を行うことを委嘱したと、こういうことになっております。　今委員がおっしゃる事柄というのは、ずばりその問題ではないんですよね。ここに書いてあることには含まれていないんですよ。ただ、事案の実態を見る上で、そういうことも可能であれば調査することは構わないんだろうと私も思っていますが、ただ、あくまでも私たちは委嘱を受けた事項について検証し、報告書をまとめたと、こういう立場です。
石橋通宏 118

○石橋通宏君　大臣に伺います。　これは委嘱をしなかったんですね。つまり、大臣としても、この点について、大変重要な、この委員会で何度も何度も何度もこの問題については審議をさせていただいた。そのたびごとに大臣も機構も、検証委員会の検証に委ねたいというふうに答弁をされてきたと思います。にもかかわらず、今委嘱を受けていないというふうにおっしゃっている。　大臣もそういう認識だったんですか。つまり、この委員会でずっと、検証委員会の検証に委ねたい、検証委員会がまだ検証中だと言っていたのは、全部うそだったということでよろしいですか。
塩崎恭久 119

○国務大臣（塩崎恭久君）　検証はあくまでも第三者として、先ほど委員長からも御答弁いただいた、私どもからお願いしたことについて検証していただくということで、それで全てということは私は一度も言ったことはございません。　当然、私たちは、全ての問題について、これは、日本年金機構は、まさに先ほどからずっと話が出ているように、年金制度そのものを執行するということでありますから、まさにこれは我々が監督をする、その中で年金制度そのものを言ってみれば車の両輪でやっていくということでありますので、全てのことが私どもにとっては対象でありますけれども、何を対象として私たちがお願いしたことを検証するかということは、これは甲斐中委員長を始め委員の先生方にお任せをしているわけでありますので、私どもがお願いしたことの範囲内でやっていただいているというふうに理解をしております。
石橋通宏 120

○石橋通宏君　これちょっと、大臣、おかしいですよね。今、甲斐中委員長は、委嘱された事項についてのみやったんですと。　大臣、これまでの国会質疑で、繰り返しますが、検証委員会について、どういう情報漏れがあったのか、そのことも含めてちゃんと検証していただくんだ、そういう答弁されてきたと思います。委嘱していないから、それはできない。大臣、それも含めて、じゃ、一体誰が検証するんですか、そのことを。委嘱していなかったんですね、大臣。そのことを確認してください、委嘱していなかったんですね。
塩崎恭久 121

○国務大臣（塩崎恭久君）　私たちは、原因究明と再発防止策を徹底的に検証してくださいということを申し上げているので、その中にスコープとしてどういうものが入ってくるかというのは、それは委員会が考えてお決めになることでありますので、私たちは、必要であることがもしないならば、それは当然私たちも自分たちでやっているわけですから、いろいろな検証を、それに基づいて対応はしていくということでありまして、それは、検証委員会の皆さん方にお願いをしたことはそのとおりやっていただいているというふうに思います。
石橋通宏 122

○石橋通宏君　つまり、お願いしたことはやっていただいているんだけれども、お願いしていないことはやっていただいていないわけで、つまり、今回の情報漏えいの全貌についての委嘱はしていないし、それはやっていただいていないということなんでしょう、大臣。それはお認めになった。　つまり、これまでの国会、我々に説明していただいた情報漏えいの全貌について、検証委員会が、これうそだったということになってしまいますよ。一体、じゃ、誰が今それをやっているんですか。検証委員会は委嘱されていないからやっていない、だから報告書にも年金機構が言うことをそのままコピーされて書いている。　つまり、誰も、年金機構が当事者としてやっている以外は、第三者としてきちんと、こういう結果を含めて、やっている者が誰もいないということであると、これどうなるんですか、大臣。誰も責任を取らず、その全容を解明できない、そういうことなんですね。それを、じゃ、今後もほっておくわけですね。大臣、そういう責任論でよろしいですか。
塩崎恭久 123

○国務大臣（塩崎恭久君）　この委嘱事項は、私どもはちゃんと書面でお渡しをしたというふうに思います。　繰り返して恐縮でございますけれども、これを読んでいただければ、長いので読みませんが、先ほど甲斐中委員長がおっしゃったとおりであって、その原因究明を行うとともに、効果的な再発防止策というときに、それは幅広く私たちはお願いをして、あとどういうふうにそれを検証するかは、それは委員会のお決めになることであるわけであって、スコープとしては、ここに書いてあるとおり、今回の問題のトータルについてお願いをしているので、それをどこまでが範囲内なのかということについては、先ほど来ガバナンスの問題とかいろいろ言われていますけれども、それは甲斐中委員長が御答弁されたとおりだと思います。
石橋通宏 124

○石橋通宏君　これ、大臣、結果としてやられていないわけです、結果としてね。これは報告書を見ていただければ、今御指摘したとおりです。　なので、大臣、今回、第三者検証委員会の位置付け、役割、何だったのかと。今、一連の答弁聞かせていただいて、甲斐中委員長からの御発言もお伺いして、疑問に思わざるを得ません。残念ながら、検証委員会をせっかく立てていただいて、甲斐中委員長等々皆さんにも御努力いただいたのに、我々が求めていた、これまで大臣がこの国会で答弁されていたことが結果としては示されていなかったというふうに言わざるを得ません。　それで、水島理事長、お伺いしますが、まだ調査中である、何をまだ調査しているのか、明確に教えていただけますか。
水島藤一郎 125

○参考人（水島藤一郎君）　共有ファイルサーバーの調査手法でございますが、四百余り……
石橋通宏 126

○石橋通宏君　何を調査中なんですか。
水島藤一郎 127

○参考人（水島藤一郎君）　はい、それを御説明申し上げます。　共有ファイルサーバーは四百余りございます。それに関しまして、全てコピーを取りまして、それを本部に移送しております。　この内容について調査を行っておりますが、実はかなりパスワードが掛かっておりまして、その内容についてパスワードを解読をして、解読といいますか、それぞれ全部報告させて、それを全部やっていかなきゃいけないということでございます。　大変申し訳ございませんが、率直に申し上げて、大変困難を極めている部分がございます。これについて、私どもといたしましても、御理解をいただきたいのは、この中にある個人情報を正確に把握をした上でこれを移さなきゃいけませんから、そのために、何が入っているかということはきっちり把握しなきゃいけません。そういう意味で、きちんとした調査を今行っているということを是非御理解をいただきたいというふうに思います。
石橋通宏 128

○石橋通宏君　ざっくり教えてください。何割終わって、何割まだ調査中なんですか。
水島藤一郎 129

○参考人（水島藤一郎君）　申し訳ございません、手元に今数字を持っておりませんので、お答えできません。
石橋通宏 130

○石橋通宏君　ちょっと水島理事長、おかしいでしょう。　今の状況、報告書を出されているんですよ。報告書を出されていて、まだ調査中という報告書を明確に書かれていて、どれだけやったか分からない。何のために今日来ていただいているんですか。何のために我々ここで質疑やっているんですか。理事長、こんなこと話になりませんよ。　まだ調査中。だったら、全然我々これ調査終わりませんよ、国会質疑も。
水島藤一郎 131

○参考人（水島藤一郎君）　大変申し訳ございません、今数字を持っておりませんので、後刻御報告をいたします。
石橋通宏 132

○石橋通宏君　これ、委員長、即刻機構から報告をいただいて、扱っていただきたいと思います。
丸川珠代 133

○委員長（丸川珠代君）　ただいまの件につきましては、後刻理事会で協議をさせていただきます。
石橋通宏 134

○石橋通宏君　これ、即刻出してください。　だから、白委員が言われたとおり、結局、全容解明できていないじゃないですか。一体どれだけの貴重な情報が漏えいしたのかどうか。　先ほど理事長、いや、可能性は少ないと。分からないんじゃないですか、まだまだ全然。それで、ここでちゃんとこうやって質疑をさせていただいて、全然駄目ですよ、理事長、それじゃ。これ、是非、即刻報告をお願いしたいと思います。　その上で、時間がもうなくなりましたので、残念ながら、もう一点確認をさせていただきます。これも白委員が質問されました四月の二十二日の案件であります。お手元の資料にお配りをした二枚目です。　四月二十二日と五月八日の対応について、これ、何でこんなに大きな対応の違いがあるのか、非常に疑問に思うわけです。これどなたに、大臣に説明いただければいいのか、情参室、説明いただければ。　なぜ二十二日の対応と八日の対応と、こんなにも、迅速な対応、上司への報告含めて対応が違うんでしょうか。説明してください。
姉崎猛 135

○政府参考人（姉崎猛君）　発生から遮断まで掛かった時間のことについて私の方で説明をさせていただきますと、四月の二十二日は……
石橋通宏 136

○石橋通宏君　簡潔に。
姉崎猛 137

○政府参考人（姉崎猛君）　済みません。　先生のお作りいただいた真ん中辺のところで、ＵＲＬブロック、サブドメイン単位というところで、ここで不正な通信が止まりました。これは、検証委員会の報告書でも、厚生労働省においてＵＲＬブロックを行うことにより遮断、それが二時間ということであります。　それから、五月の八日の方ですけれども、先生のお作りいただいた資料の機構側のＬＡＮケーブルを抜線というのと、その下にＵＲＬブロックと書いてありますけれども、順番がこれ逆でして、ＵＲＬのブロックが先で、後にＬＡＮケーブルの抜線というふうになっております、事実関係としてはそうなっております。　それで、五月の八日のときは、ＵＲＬの遮断、書いていませんけど、これ、サブドメイン単位ですけれども、これをしたのは二時間弱ということですので同じぐらいだったんですけれども、ところが、不正な通信を全部、結果として止まっていなくて、実は、端末を特定して年金機構の端末の線を抜線して初めて不正な通信が止まった。ですので、不正な通信が始まってから、これは遮断ではなくて、検証委員会の報告書の十七ページに書いてありますけれども、機構で端末を特定し、ＬＡＮケーブルを抜線してＬＡＮから遮断するまでが四時間ということでありまして、遮断自体はそんなに変わらなかったんですけれども、そこで止まらずに端末のところ、元を閉じて初めて不正な通信が全部止まったということで、二時間、四時間という違いが生じたということでございます。
石橋通宏 138

○石橋通宏君　時間が来ましたので終わりにしますが、今の答弁ちょっと不十分なので、これ、また改めて確認をさせていただきたいと思いますが、最後に委員長に、今回、このＵＲＬブロックの事案がこれは新たに出てきたわけです、四月二十二日の事案は。これだけ質疑をしておきながら、これまで全く厚労省も大臣もＮＩＳＣも我々にこの二十二日の事態は一切報告していない。これ、我々は情報隠蔽だというふうに思っています。　二十二日以降の全てのＵＲＬ、外部のＣアンドＣサーバー判明したやつ、それから、いつどの時点でどこがブロックをしたのか、これ全部リストにして提出をいただきたい、その上で審議をさせていただきたいと思いますので、委員長、お取り計らいをよろしくお願いします。
丸川珠代 139

○委員長（丸川珠代君）　ただいまの件につきましては、後刻理事会において協議をさせていただきます。
石橋通宏 140

○石橋通宏君　終わります。
丸川珠代 141

○委員長（丸川珠代君）　午後一時二十分に再開することとし、休憩いたします。　　　午後零時二十二分休憩　　　　　─────・───── 　　　午後一時二十分開会
丸川珠代 142

○委員長（丸川珠代君）　ただいまから厚生労働委員会を再開いたします。　政府参考人の出席要求に関する件についてお諮りいたします。　社会保障及び労働問題等に関する調査のため、本日の委員会に、理事会協議のとおり、厚生労働大臣官房長蒲原基道君を政府参考人として出席を求め、その説明を聴取することに御異議ございませんか。　　　〔「異議なし」と呼ぶ者あり〕
丸川珠代 143

○委員長（丸川珠代君）　御異議ないと認め、さよう決定いたします。　　　　─────────────
丸川珠代 144

○委員長（丸川珠代君）　休憩前に引き続き、社会保障及び労働問題等に関する調査のうち、年金情報の流出問題に関する件を議題とし、質疑を行います。　質疑のある方は順次御発言願います。
長沢広明 145

○長沢広明君　まず、私の質問に入る前に、午前中の質疑の中での問いに対する答弁を確認させていただきたいと思います。　午前中、石橋議員から機構に対しまして、共有ファイルサーバーの調査の状況についてどのぐらい進んでいるのか、ざっくりでいいからお答えをと、このように御質問がありました。これについて、理事長、現在の状況をお答えできるでしょうか。
水島藤一郎 146

○参考人（水島藤一郎君）　お答えを申し上げます。　現在、ファイル数ベースで調べておりますが、これまでのところでございますが、全体の約七割について、個人情報を含んでいるかどうかの調査を行っております。残りの三割でございますが、パスワードが掛かっている、あるいは中には古いものもございまして、かなり難航はしております。更なる調査を行っているところでございます。
長沢広明 147

○長沢広明君　それでは、私の質問に入りたいというふうに思います。　まず、日本年金機構における不正アクセスによる情報流出事案、これについての検証委員会として第三者検証委員会から報告書が提出をされまして、甲斐中委員長を始め、委員、参与、事務局長の皆様方の御尽力に改めて感謝を申し上げたいと思います。　今日は、機構の方の調査委員会に対する報告書を中心に私は質問をさせていただきたいというふうに思います。　この機構の報告書によれば、標的型メール攻撃に対して十分な対応ができなかったという要因として、これ自らの調査報告ですが、基本的対応は担当者任せであり、システム部門担当理事であるＣＩＯと情報セキュリティー担当部署の部長から具体的指示を行った事跡は確認できていないとのことでありました。特に、情報セキュリティー担当部署の担当者が、最初に攻撃を受けた五月八日の段階で標的型メール攻撃ではないかとの疑いを持ったにもかかわらず、その疑いが組織として共有されなかった、そのことが被害を拡大させた大きな要因になったと思われると、これ、自らの調査報告の結果でございます。ちょっとこの辺、さらっと言っていますけど、よく分からないんですね。　じゃ、これが標的型メール攻撃ではないかと疑いを持った担当者、それが疑いを持ったにもかかわらず、その疑いが組織として共有されなかったということは、じゃ、その担当者は疑いを持ちながらその後どういう行動を取ったのか、行動を取らなかったのか。とすれば、その理由は何なのか。直接の担当責任者である機構のシステム部門担当理事の徳武理事にお伺いしたいと思います。
徳武康雄 148

○参考人（徳武康雄君）　お答えいたします。　五月八日におきましては、同日受信した不審メールにつきまして、担当者は標的型メール攻撃ではないかという疑いを持ちまして、同日に発出しました全職員への注意喚起メールに標的型メール攻撃の特徴を参考として記載しております。この注意喚起メールの発出に際しましては、担当者は部長の決裁を受けておりますけれども、その際、部長は、標的型メール攻撃であった場合の対応について何ら検討を指示しなかったということでございます。私も、当該注意喚起メールの発出をＣＣで受け取っておりましたけれども、具体的な指示はしていなかったということでございます。　振り返ってみますと、この時点で標的型メールの攻撃であるという疑いを組織として共有しまして、ルール化、体系化について指示すべきであったというふうに考えておりますけれども、その対応を行わなかったことにつきまして、ＣＩＯとして深く反省しているところでございます。
長沢広明 149

○長沢広明君　その担当者は疑いを持って注意喚起のメールに載せたという段階で、その疑いについてなぜ上司がそれを確認できなかったのか。　徳武理事、まさしくこういうときにこそ、あなた自身の仕事というか業務というか、そういうものが発生するわけなんですね。ＣＣでそれを確認を御自身もされながら、ちょっとよく分からないんですが、なぜそれをそのまま見過ごすことになったのか。その辺、御自身で振り返ってみて、どういうことだったでしょうか。
徳武康雄 150

○参考人（徳武康雄君）　標的型メールの疑いを持ったというところは共有できていたと思いますけれども、いわゆる典型的な攻撃のパターンの状況として認識がうまくできませんでしたので、今思いますと、まさにそういった疑いを持った段階でやるべきことについて行動を起こし得なかったというところは非常に強く反省すべき点だというふうに思っております。疑いを持ったので、逆に疑ったままになってしまったということを反省しております。
長沢広明 151

○長沢広明君　ちょっと本当に分からないですね。疑いを持ったときにその疑いに対応しなかったら、仕事になりませんね、これはどんなことだって。そこのところがまさしく機構の根っこの問題にちょっと関わってくるんじゃないかという心配があります。　理事長の認識も確認させてもらいます。　こういうふうに、標的型メール攻撃の疑いを持った、その疑いを基に注意喚起のメールまで送られていた、それも担当の責任者までそれを見ていた、にもかかわらず適切な初期対応を取れなかったということは、根本的に情報管理、国民の重要な情報を管理しているという認識そのものが余りに薄かったのではないかというふうに思いますが、理事長、自ら出した報告書に書かれているこの部分、この問題、これについて、理事長の認識を改めて伺います。
水島藤一郎 152

○参考人（水島藤一郎君）　御指摘のとおり、情報セキュリティー担当部署の担当者は、標的型メール攻撃ではないかという疑いを持って、メールにもその参考として付けたわけでありますが、その疑いが組織として共有されなかったということは、まさに幹部としての問題認識が甘かったということだというふうに思っております。まさに、組織の一体感といいますかあるいは危機感といいますか、こういうような部分について、機構全体として極めて大きな問題があったというふうに認識をしているところでございます。　初動対応の遅れを招いた背景と申しますか、原因でございますが、個人情報を守るという認識、組織として一貫した方針の下でこうした対応への議論が本来は平素から行われて、組織全体として対応方針の明確なルール化あるいは訓練等によるその徹底を図らなければならないというふうに考えておりますが、それが行われてこなかったと。これは、やはり国民の皆様の年金をお預かりしているという緊張感、あるいは責任感、使命感、これに欠けていたと言わざるを得ないというふうに思います。外部の知見を活用しなかったのも含めて、まさに痛恨の極みだというふうに思っております。
長沢広明 153

○長沢広明君　第三者検討委員会による報告書の中に、再発防止策の提言として、人的体制の整備が必要であると。セキュリティー対策本部の設立というところで、早急に、十分な判断力のある最高情報セキュリティ責任者の下にセキュリティー対策本部を設立し、役職員の役割、責任、権限を明確にし、各自が自らのなすべきことを熟知し、その責務を果たせるようにすべきであるという、こういうことを言われること自体、本当に恥ずかしいというような内容の提言をされています。　機構の報告書の方にも再発防止に向けた今後の取組が提言されていますね、自ら述べられておりますが、情報セキュリティー対策の司令塔としての組織である情報管理対策本部を新設して、セキュリティーに関する機構全体の体制を強化すると、このように書かれております。　第三者検討委員会もこの再発防止策の中に、早急に、十分な判断力のある最高情報セキュリティ責任者の下に役職員の役割、責任、権限を明確にして、自らなすべきことを熟知して責任が果たせるようにしなさいというふうな提言にもありますが、機構として、この情報管理対策本部、これは理事長を中心にした本部を新設するということですが、今までの体制の中に今までの方でつくっても、この対策本部は本当に意味をなすのかという心配があります。この点についてどういう対策を考えられているのか、お考えをお願いします。
水島藤一郎 154

○参考人（水島藤一郎君）　御指摘のとおり、検証委員会の報告書におきましても、標的型メールの攻撃等に対する情報セキュリティーポリシーや手順書の不備、情報セキュリティーの専門家の不在、あるいは緊急時のＣＳＩＲＴ体制が未設置である等々の御指摘をいただいております。当機構の調査委員会におきましても、組織全体として対応方針の明確なルール化、あるいは訓練等による徹底が図られてこなかったことは極めて問題だというふうに指摘したところでございます。　こうしたことを踏まえまして、情報セキュリティー対策を一元的に管理する司令塔といたしまして情報管理対策本部を新設をいたしますが、御指摘のとおり、いわゆる充て職ではなくて、専門家をここに糾合していくということが大事であるというふうに思っております。　同本部におきましては、情報セキュリティー全般につきまして、分散をしております機能をまず集約をいたします。それから、標的型メール攻撃等を始めとする情報セキュリティーに係る規定、手順書等の整備や研修、訓練を通じたルールの徹底等を行うだけでなく、緊急時には組織の対応方針を決定する等のＣＳＩＲＴ機能も有することといたしております。　こうした体制をしっかり機能させるためには、セキュリティーの専門家を招聘する、あるいは専門機関との契約によってセキュリティー体制を強化する必要があるというふうに考えておりまして、加えて、機構内部におきましても、情報セキュリティースペシャリストが約九名おりますので、このような人材を中心に組織の組成及び内容の充実を図ってまいりたいというふうに考えております。
長沢広明 155

○長沢広明君　午前中の白眞勲委員の御質問の中に触れられているので私はもう質問しませんが、私、今年七月二日のこの委員会の集中審議で、検証委員会の検証作業でしっかり事案が原因究明されるために、機構及び厚生労働省の積極的な協力が必要である、原因究明を受けて厚労省と機構の緊密な連携の下に再発防止に努めていく必要がある、こういうふうにしっかり協力しなさいと。しっかり協力しますと答弁をされたにもかかわらず、報告書の中には、一部の者が重要な資料を出し渋り、黒塗りをするなどの態度は論外であると、こう厳しく指摘をされた。大変残念です。こういう姿勢について、私は大変残念だということを一言申し上げさせていただきます。　最後に一点、厚生労働省、大臣にお伺いします。　第三者検討委員会の報告書の中には厚生労働省の監督体制の整備ということも言われています。特に情参室が弱体だと、これ厳しく指摘されていますね。充て職で形式的な現在の情報セキュリティー体制を、専門家をアドバイザーとして加えた機能し得る体制に改めよと。情参室を質、量共に充実すること、ＣＩＯ補佐官と連携を図ること、ＣＳＩＲＴも技術力を持った実用的なものに改める、こういうことを着実に実行すべきであると、こう提言をされています。　これに対してどういうふうに臨まれるか、大臣の見解をいただいて、終わりたいと思います。
塩崎恭久 156

○国務大臣（塩崎恭久君）　先ほど来、今朝から御質問をいただいておりますけれども、厚生労働省の中の情報関係は、確かに情参室がＮＩＳＣとの関係では窓口になっておりますけれども、実際の統合ネットワークというのを見ているのは統計情報部になっているわけであります。　そういうことにも現れているように、組織的にもばらばらになっているところが私はあるのではないかというふうに思っていて、そういうところの整理も含めて、これからの組織の中でどういう一元的な管理ができるサイバーセキュリティーの言ってみれば有効なる実効性のある体系をつくれるのかということを考え直さなければならないんじゃないかというふうに思っているところでありまして、今でもこの最高情報セキュリティ責任者、これ官房長になっていますけれども、これを一体誰にするのか、そしてその下で非常時のＣＳＩＲＴの体制、そしてそのメンバーをどういう意味あるものにして実効あるものとしていくのか、あるいは職員の意識改革、リテラシー、そしてまた事前のルール設定をどこまできちっとできるのか。　さらには、システム自体も、今回いろいろ分かってきたことは、やっぱり入口対策、そして内部の対策、さらには出口対策、こういったことももう一回考え直さなければいけないんじゃないかということで、ちょうど今、概算要求の時期でもございますが、そういうことを踏まえて新しい組織をしっかりとつくっていかなければなりませんし、今回特に検証委員会からも厳しくこの点については厚労省も指摘を受けておりますので、それを受けてしっかりとつくり直していきたいというふうに思うところでございます。
長沢広明 157

○長沢広明君　終わります。
川田龍平 158

○川田龍平君　維新の党の川田龍平です。　今日は甲斐中委員長に御足労いただきましたが、今回のこの検証委員会の検証について、郷原元年金業務監視委員長は、検証委員会の検証は不十分としています。なぜ今頃になって四月二十二日の厚労省攻撃が明らかになったのでしょうか。厚労大臣の責任や担当係長が情報を上に上げなかったことについて十分な検証がなされていないのではないでしょうか。こういった点についての批判に対し、どのように答弁をされるでしょうか。
甲斐中辰夫 159

○参考人（甲斐中辰夫君）　直接、郷原先生の御批判を承っていませんので、ちょっと答えにくいんですけれども。　もちろん、私どもも一生懸命やったつもりではありますが、御覧になった方々のそれぞれのお立場なり御見識によっていろんな御批判はあろうかと思います。それはそれで貴重な御意見として承りたいと思っております。
川田龍平 160

○川田龍平君　厚労大臣の責任、それから担当係長が情報を上に上げなかったことについて十分な検証がされていないかと思いますが、それについていかがお考えでしょうか。
甲斐中辰夫 161

○参考人（甲斐中辰夫君）　午前中も申し上げましたが、私どもは第三者委員会でありまして、本事案の真相を究明して、原因究明と再発防止策を提言するという立場でございます。　したがいまして、この事案に現れるいろんな方々について、民事、刑事その他の責任追及をするということは私どもの職務範囲に入っておりません。したがいまして、厚労大臣のみならず、いろんな方々の個人の責任ということについては記載しておりません。そこは御理解いただきたいと思います。
川田龍平 162

○川田龍平君　今回、中間報告ということだったと思うんですけれども、これが報告ということになっていまして、国会のこの審議の中で塩崎大臣も、何度も、責任については報告書が出てからだということを言っていました。そういった意味では、この報告書の中に厚労大臣の責任などもしっかり書くべきだったのではないかと思いますが。　大臣は、四月二十二日の厚労省へのサイバー攻撃をいつ知りましたか。先ほど、質問では、二十二日のことはこの報告書で知ったということですが、いつ知ったのか。そして、厚労省の意思疎通に致命的な欠陥があったのではないかと思いますが、いかがですか。
塩崎恭久 163

○国務大臣（塩崎恭久君）　先ほど申し上げたとおり、今回、甲斐中委員長の下で行われた検証委員会での報告書を拝見をして、初めて私は四月二十二日のことを知りました。　私の方に上がってこなかったということは、意思疎通が十分じゃないことは御指摘のとおりであって、今はＮＩＳＣからの注意喚起があったときには全て私に上げ、そしてその処理をどうやったかということについても必ず報告をしろということを明言をして、指示をしているわけでありまして、そもそもＮＩＳＣから来るというときはそれなりのときに来るわけでありますので、それを今回、官房長までは上がっておりましたけれども、私どもの方に上がっていなかったということは、大変遺憾なことであったと思います。
川田龍平 164

○川田龍平君　これ、国会審議やっているときに五月八日の時点のことからしかやっていなくて、厚労省が知っていたということについては、私たちの審議の中でもほとんど出ていなかったわけです。そういった意味で、今回の検証によって出てきたことはあるんですが、ただ、本当にこういったことは厚労省にやはり大きな責任があったということになると思います。　そして、検証委員会は、今回の不正アクセス、これは組織的攻撃だったと結論付けていますが、そう結論付けた根拠をお示しください。
甲斐中辰夫 165

○参考人（甲斐中辰夫君）　機構に対しては三回にわたって攻撃が行われておりますが、特に第二回、第三回は非常に大規模な攻撃でございます。その攻撃の態様、それから規模等を見ますと、これはかなり組織的な事案じゃないかと思った次第です。　例えば、ＣアンドＣサーバーを多数用意していること、それから、短時間に多くの端末をいわゆる乗っ取って、同じ目的のために通信して結果を出しているというような手口から見ますと、組織的な犯行であろうというふうに私どもは考えました。
川田龍平 166

○川田龍平君　警察庁にお聞きしますが、警察はまだ捜査中なのでしょうか。現時点でこれは組織的な攻撃だったと見ているのでしょうか。
斉藤実 167

○政府参考人（斉藤実君）　本件事案につきましては、現在も警視庁において捜査中でございます。　多数の標的型メール攻撃を敢行していること、国内外の複数のサーバーを攻撃の踏み台として利用しているといった状況が見られておりまして、警察としては、組織的な攻撃である可能性も含め、所要の捜査を徹底してまいりたいと考えております。
川田龍平 168

○川田龍平君　警察庁に、これは通告していませんけれども、他国によるサイバー攻撃の可能性もあると考えているのでしょうか。
斉藤実 169

○政府参考人（斉藤実君）　それも含めまして現在捜査中でございます。
川田龍平 170

○川田龍平君　これ、まだ可能性ということであって、組織的かどうかというのは分からないと思うんですけれども、今回の機構の報告には、これまでの国会での答弁において理事長が捜査に関わる情報だとして公表を拒んできた数々の情報、例えば不審メール数、感染台数、共有ファイルサーバー上のファイル名、職員への注意喚起メールなどが明らかにされました。　警察はまだ捜査中なのにもかかわらず、なぜ今こういった情報が出せるんでしょうか。
水島藤一郎 171

○参考人（水島藤一郎君）　御指摘のとおり、これまでセキュリティー上あるいは捜査上ということで公表を控えてまいりました点について、幾つかの点で今回この報告書で明らかにさせていただいております。　従来、これらの項目につきまして公表を控えさせていただきました理由は、機構の対応能力を公表することで不正アクセスを助長するおそれがあり、セキュリティー上問題がある、あるいは、本来犯人と機構しか知り得ない情報を公表することで犯人特定上の捜査上の支障を来すおそれがあるとして、これまで公表を控えてきたものでございますが、今回、調査を通じまして、不正アクセスの実態や個人情報流出を防止できなかった原因の全体像が明らかになってまいりました。それを踏まえまして、機構といたしましては、再発防止策をまとめましたところから、関係方面の確認を取った上で公表可能と判断できるものについては公表することとしたものでございます。
川田龍平 172

○川田龍平君　警察庁、警察も今日までこのような情報は出すべきではなかったという同じ見解でしょうか。
斉藤実 173

○政府参考人（斉藤実君）　先ほど御答弁申し上げましたとおり、現在もこの事案、警視庁において捜査中でございます。被害関係者において把握されている事項の中には、具体的な犯行の状況や捜査の進捗状況のように、公表することでその後の捜査に支障を生じさせるおそれがあるものも含まれておりまして、その範囲で必要な協力はお願いをしてまいったところでございます。　今回の報告書につきましては、日本年金機構が調査をした調査委員会において、本年六月以降、関係者からのヒアリングや関係資料の検証を行った結果が取りまとめられ、捜査に支障のない範囲内で機構において対外的に説明されたものと承知をいたしております。
川田龍平 174

○川田龍平君　この時点でということなんですけれども、実はその前からマスコミにはこの情報、出ていたものもありました。にもかかわらず、こういったマスコミ情報で出ていたことを国会の審議上では出さないという、この理由が警察の捜査上だということであったわけですが、結局のところ、こういった情報は出せたものを出せなかった理由にしていたにすぎないと私は判断します。私は、年金機構は国会に対して情報隠しをしたと断罪せざるを得ないと思います。　この点、甲斐中委員長の見解を伺いたいと思います。検証委員会でも黒塗り資料を出すなど悪あがきをしたと聞いていますが、いかがでしょうか。
甲斐中辰夫 175

○参考人（甲斐中辰夫君）　午前中、説明したとおりでありまして、私どもの資料要求に対して、残念ながら消極的な態度が見られたことは事実でございます。
川田龍平 176

○川田龍平君　午前中の審議では、年金機構だけではなく厚労省からもそういった黒塗り資料が検証委員会の方に出されたということでしたので、本当にもう同罪だと思いますけれども、なぜこのような報告を公表できなかったのかと機構に問うと、これはフォレンジック調査の結果が七月の末に出たからだと担当者の方は答えました。事前の説明の場で私に答えましたけれども、それは間違いないでしょうか。
水島藤一郎 177

○参考人（水島藤一郎君）　調査委員会におきましては、厚生労働大臣から、できる限り速やかに、今回の事案への対応のどの過程に問題があったのか、その原因はどのようなものなのか等について十分検証するよう御指示をいただき、取り組んできたところでございます。　具体的には、六月八日の第一回委員会以降、関係者からのヒアリングは二百一名、延べ二百二十一回に及びました。そして、加えまして御指摘のフォレンジック調査が七月末に出てまいりましたが、関係資料の分析等を行いまして、この度、不正アクセスの実態や原因等の全体像を明らかにするとともに、それを踏まえた再発防止策を取りまとめましたことから、八月二十日に公表したものでございます。
川田龍平 178

○川田龍平君　検証委員会の報告書によれば、五月八日の時点で感染端末のフォレンジック調査を行うべきだったとのことですが、そもそも、端末一台のフォレンジック調査はどのくらいの時間が必要と委員長は認識していますでしょうか。
甲斐中辰夫 179

○参考人（甲斐中辰夫君）　検査をする人の技術能力にもよりますが、大体一週間から二週間ぐらい掛かるというふうに承知しております。
川田龍平 180

○川田龍平君　機構の報告によれば、フォレンジック調査の結果は七月末に委託会社から受け取ったとのことですが、フォレンジック調査がどれくらい掛かるか専門家の方に聞いたところ、ファイルサーバー全体ともなれば、複数員で実施したとしても、一か月から二か月が必要とのことでした。　そもそも、フォレンジック調査はいつ開始したのでしょうか。
水島藤一郎 181

○参考人（水島藤一郎君）　フォレンジック調査を開始いたしましたのは六月十五日でございます。これは、情報流出につきまして当機構の調査委員会といたしまして独自に調査する手法はないかと運用委託会社と協議を行っていましたが、その際、運用委託会社から提案がございまして実施したものでございます。　検証委員会の報告書におきましてはフォレンジック調査を直ちに着手すべきという御指摘をいただいております。ある意味では、私ども機構としての専門的な知識の不足からフォレンジック調査の開始が遅れたということでございまして、この点については反省すべきであるというふうに思っております。
川田龍平 182

○川田龍平君　このフォレンジック調査の開始が六月中旬までなぜ遅れたのでしょうか。
水島藤一郎 183

○参考人（水島藤一郎君）　ただいま申し上げたとおりでございまして、機構として情報流出について自ら検証する方法はないかということを機構内部で議論をいたしました際に、運用委託会社からこのような方法があるという提案がございまして、それを踏まえて行うことを決定したものでございます。　この遅れに関しましては、先ほど申し上げましたが、私どもの技術的な専門的知識の不足ということでございまして、誠に申し訳ないというふうに思っております。
川田龍平 184

○川田龍平君　何かちょっとどうもおかしいんですけれども、その調査開始の遅れというのはそのことなのか、本当にその答弁がどうなのか分かりませんけれども、組織体質も原因ではないかと思います。　このフォレンジック調査が遅れたことにとどまらずに、今回の流出事件の究極的な原因は、先日の予算委員会でも総理と理事長に断罪したとおり、機構の旧社保庁体質というのが最大の原因ではないでしょうか。それについて、甲斐中委員長、水島理事長、いかがでしょうか。
甲斐中辰夫 185

○参考人（甲斐中辰夫君）　旧社保庁体質ということがどういうことを意味するのか正確ではございませんので、こういう答えでよろしいかどうか分かりませんが、要するに、組織としてのまとまりがない、それから仕事に対する、立ち向かう姿勢に真摯なものが感じられない、現場と幹部の間の意思疎通ができていない、そういうものは感じました。
水島藤一郎 186

○参考人（水島藤一郎君）　心にぐさりと刺さる厳しい御指摘でございまして、このような体質があるということをきちんと認識をして、その体質の改革のために全力を尽くさなければならないというふうに考えております。　ただ、社会保険庁時代は、御指摘の、よく言われますのは、三層構造の下での組織ガバナンスの欠如ということが大きな問題として指摘されたわけでございます。　二十二年の日本年金機構発足以降でございますが、全国一体的な人事によって組織の一体感を醸成する、あるいは各拠点の声を業務運営に反映させる等々、三層構造の改革に取り組んできたところでございまして、一定の成果は出てきているというふうに思っておりますが、今回の事案を踏まえますと、今、甲斐中委員長からも御指摘がございましたが、やはりガバナンスの脆弱さ、あるいは組織としての一体感のなさ、リーダーシップの不足、ルールの不徹底、まさに真摯なものを感じないという御指摘でございましたが、このような体質を何としても変えることが急務であるというふうに思っております。　ゼロベースからの総点検を実施をいたしまして、日本年金機構再生本部を立ち上げることにいたしますが、各層を糾合いたしまして、ただいまいただきました御批判についてきちんとお応えをする努力をしてまいりたいというふうに思っております。
川田龍平 187

○川田龍平君　改革道半ばだと言い訳をする向きもあるようですが、配付資料を御覧ください。　この配付資料は職員意識調査の結果ですけれども、年々悪化しています。所属部署の雰囲気は良いですか、あなたのグループ、課室内のチームワークは取れていますか、部署において率直に意見を言える雰囲気があると思いますか、あなたは直属の上司への信頼感はありますか、所属部署において必要な情報の共有は図られていると思いますか、自分の行っている業務はお客様のためになっていると思いますかと、こうした資料を見ると、全て年々悪化しているんですね。　こういう状態にあるというこの結果を見ると、組織体質はむしろ年々悪化していると思いますが、理事長、いかがでしょうか。
水島藤一郎 188

○参考人（水島藤一郎君）　職員意識調査は毎年行っております。その中で、御指摘のとおり、機構職員であることの誇りでありますとか、コミュニケーションでありますとか、上司への信頼感、これらの項目について特に低下傾向にあるというふうに思っておりまして、私自身も強く懸念をしているところでございます。　組織の一体感の不足に関しまして御指摘をいただいておりますが、私どもも本事案の調査を通じましてまさに再認識をいたしたところでございまして、現場における若手職員を始め、幅広く意見を吸収して組織運営に反映させていかなければならないと、そして彼らに対して仕事に対する誇り、生きがいを与えていかなきゃならないというふうに強く思っているところでございます。　日本年金機構再生本部を早期に立ち上げまして、採用区分や雇用形態の違いを乗り越えて幅広い層に構成員として参加を求めまして、まさに職員の総力を挙げて機構の改革に当たってまいりたいというふうに考えております。
川田龍平 189

○川田龍平君　大臣、この数字の悪化というのは理事長の下でのこれまでの組織改革が全く実を結んでこなかった証左だと思いますが、大臣、この調査結果を見てどう思いますか。
塩崎恭久 190

○国務大臣（塩崎恭久君）　おっしゃるように、年々余り好ましい方向ではない方向に向かっている数字だというふうに私も拝見をいたしました。　そこにもってきて今回の問題が起きたわけでありますから、まさにこれは、理事長自らゼロベースからと言っているように、本当にここで、これまでの長い社保庁体質という、いわゆる社保庁体質と言われているようなものから、ガバナンスの問題として検証委員会からも今回指摘をされていますけれども、やはりここで、日本年金機構再生本部で自らがリーダーシップを取りながら、そして恐らく、これを見ていて分かることは、職員に自らの、何というか、オーナーシップというか、自らの帰属意識をちゃんと持てるような、そういう組織に変わっていかないといけないのではないかというふうに思うところでございまして、ゼロベースからの抜本改革ということを本当にここでやらないと、ここから更に良くなるということを期待するならば、もう今しかないというふうに思うところでございます。
川田龍平 191

○川田龍平君　これはゼロからではなくてマイナスからではないかと思いますが、理事長、使命感を欠く旧社保庁体質、ガバナンス、組織風土をゼロから改革などと言っていますけど、これ、ゼロじゃないんですよ、マイナスなんですよ。その認識はいかがですか。
水島藤一郎 192

○参考人（水島藤一郎君）　まさにマイナスからの出発だという覚悟を持って当たるべきだという御指摘だと思います。　言い訳はいたしませんが、本当に一生懸命働いている職員もおります。彼らに対してきちんと応えられる組織にしていくということが大事だというふうに思っておりまして、努力をしてまいるつもりでございます。
川田龍平 193

○川田龍平君　これ、報道によれば、関東地方の年金事務所に勤める男性職員は、情報流出が明らかになるまでパスワードの内規の存在を知らなかったと。本部が考える決まりや改善策は机上のことでちぐはぐ、そういうものだと諦めていると。別の職員は、内規が実態に合わないと指摘する。扱う個人情報は、毎月、国民年金だけで数万件、パスワードを一件一件掛けるのは困難だと話したとのことです。　機構報告には、今事案が発生した構造的な要因として、組織として一体感が不足とありますが、その原因が何なのか、分析が不十分ではないかと考えますが、大臣、いかがでしょうか。
塩崎恭久 194

○国務大臣（塩崎恭久君）　組織として一体感が不足をしているということは、実は、機構自らも認めるとともに、検証委員会からも同時に指摘を受けたわけでありまして、機構が抱える構造的な問題について、機構の方でも、現場における業務の実態が幹部を含む本部に伝わらない、幹部を含む本部に業務の実態を把握する努力が不足しているといった、組織としての一体感の不足ということが指摘をされているわけでありまして、組織の一体感の欠如が今回の不正アクセス事案において情報流出を防げなかった大きな要因の一つだというふうにも考えているわけであります。　今申し上げたように、検証委員会でも、情報流出という事態につながった要因に、組織としての一体感の欠落という言葉を使っていただいておりますけれども、こういうこともあって、機構には是非、ガバナンス、そして組織風土の抜本改革のために、先ほど来お話が出ているような日本年金機構再生本部を、それも恐らく職員の皆さん方が自分たちの組織をもう一回自分たちでつくり直すという、そういう発想でこの本部でもってみんなの心をリードしてもらってやっていただくしか私は道はないんじゃないかというふうに思いますし、厚生労働省としても監督指導する立場として何ができるのか。そして結果として、車の両輪として、制度をつくる厚労省と、それを執行してもらう、大事な執行をしてもらうということにどう有効に立ち向かってもらえるかということを実現をする中で、信頼回復と再発防止を図ってまいりたいというふうに思っております。
川田龍平 195

○川田龍平君　理事長は、また先ほども三層構造とも言っていましたけれども、五年半前に解体的出直ししてもこれを打ち破れなかった理由、そして解体的出直しよりも抜本的な組織改革とは、一体何をどのように行うのでしょうか。この三層構造を打ち破る具体策は何か。　今回の報告の公表で機構に対する国民の不信は頂点に達しています。不信を払拭するような明快な答弁を簡潔に最後、もう時間ありませんので、簡潔にお願いします。
水島藤一郎 196

○参考人（水島藤一郎君）　基本的には人事の一体化だというふうに思っております。それも含めまして、そのような組織風土をつくっていく上で一番必要なことは、現場の声を、あるいは意見をきちんと吸い上げて、それを施策化していくことだというふうに思っております。
川田龍平 197

○川田龍平君　ちょっと今回の質疑時間足りなかったので、また引き続きこの問題について集中してやっていただきたいと思いますので、よろしくお願いします。　終わります。ありがとうございました。
小池晃 198

○小池晃君　日本共産党の小池晃です。　今回の検証委員会報告で一番驚いたのは、これ、四月二十二日に、年金局及び地方厚生局に対して標的型攻撃が行われていた、それが一切説明もされていなかったし、大臣も知らなかったと。　検証委員会、甲斐中委員長にお尋ねしますが、この四月二十二日の標的型攻撃については、検証委員会はどういう経緯で事実関係を把握したのか。これは聞き取りなどの中で分かったのでしょうか。
甲斐中辰夫 199

○参考人（甲斐中辰夫君）　客観資料を細かく分析する過程でこの事案の端緒を得ました。
小池晃 200

○小池晃君　客観的資料で分かったわけですか。要するに、厚労省の中にこういうものが来たという記録があったということなんですね、標的型攻撃があったという。
甲斐中辰夫 201

○参考人（甲斐中辰夫君）　ちょっと客観的資料って分かりにくかったと思うんですが、メールのやり取りとかそういうものを見ているうちに、四月二十二日にも類似の事案があったということが分かってきたと、こういうことでございます。
小池晃 202

○小池晃君　そういうことで分かることが、三か月間明らかになってこなかったと。　ちょっと関連して甲斐中委員長に聞きますが、攻撃者は次なる攻撃を検討し、機構が狙われるに至ったという記載があるように、五月八日以降の攻撃というのは、これは同一の攻撃者によるものだというふうにお考えなんですね。
甲斐中辰夫 203

○参考人（甲斐中辰夫君）　第一段階から第三段階、これらは当然同一の攻撃者であると認めております。それから、前兆の四月二十二日の事案なんですが、ドメインが同じであることとか、使われた標的型メールの態様が類似しているということから、同じ攻撃者である可能性が高いというふうに考えております。
小池晃 204

○小池晃君　とすると、これは前兆というより、これが第一撃だったというふうに考えるべきだと私は思うんですね。　ところが、これは検証委員会報告でも、これが分かっていれば、ドメイン単位でＵＲＬをブロックしておれば五月八日の不正な通信は妨げたとしているわけで、これはやっぱり非常に重大な問題だと思うんですね。　情参室ですが、ＮＩＳＣから情参室には、これは四月二十二日と五月八日の通知内容が類似していると通報があったと。すなわち、四月二十二日の通信と五月八日の通信のドメインが共通性を持っていることは認識されていたわけですね。簡潔にお答えください。
安藤英作 205

○政府参考人（安藤英作君）　担当いたしましたセキュリティー対策係の係員の方ではそういう認識を持っておりました。
小池晃 206

○小池晃君　何で、じゃ、この類似性が分かっていながら、そのことを明らかにしなかったんですか。こういう重要な問題が担当者にとどまっていたというふうにおっしゃるんですか。
安藤英作 207

○政府参考人（安藤英作君）　通信先のドメインが一部一致しているということは気が付いていたということでございますけれども、先ほど委員長の方からございました、前兆であるとかあるいは攻撃者の同一である可能性が高いとか、そういったことについては全く認識をしていなかったということでございます。
小池晃 208

○小池晃君　ちょっとお粗末過ぎると思うんですよね。情参室がそうですから、これでいいんだろうかと。　私は、しかも、この間、これ国会で大問題になってきたわけで、あなたもここに答弁で立っているわけですから、この重要性よく分かると思うんですよ。情参室がこのお粗末ぶりだと。　統計情報部に聞きますが、統計情報部は五月八日に、四月二十二日の不審通信先と共通するドメインを含む通信先について通信遮断したと。統計情報部としても、五月八日と四月二十二日には共通性があるという認識があったから遮断したわけですよね。
姉崎猛 209

○政府参考人（姉崎猛君）　はい、そのとおりでございます。
小池晃 210

○小池晃君　遮断したのは誰の権限でやったんですか。
姉崎猛 211

○政府参考人（姉崎猛君）　ネットワークの担当者の判断で止めております。
小池晃 212

○小池晃君　担当者の判断で遮断ができるんですか、統計情報部というのは。あなたには全く相談すらなしに、担当者が遮断するんですか。
丸川珠代 213

○委員長（丸川珠代君）　速記を止めてください。　　　〔速記中止〕
丸川珠代 214

○委員長（丸川珠代君）　速記を起こしてください。
姉崎猛 215

○政府参考人（姉崎猛君）　その遮断につきましては、ＮＩＳＣからこういう不正な通信が流れているということが情参室に来て、情参室から統計情報部の方に、不正な通信が流れているので、そこの先を特定するとともに、特定したらすぐに遮断をしろというふうに指示が来まして、それで私どもの方で、特定をしたら情参室経由でＮＩＳＣに報告をした上で遮断をするということで、私どもの方のやっているのは、担当者がとにかく迅速にやるということで、担当者レベルでやっているということでございます。ただ、情参室等に相談をしながらやっているということでございます。
小池晃 216

○小池晃君　いや、だから、こういうことが担当者のレベルで判断して遮断するということが行われているということ自体が、もし事実だとすれば大問題だし、これ私、知らなかったはずがないのではないかというふうに思うんですね。　官房長に聞きます。　ここに並んでいる中では、あなただけが四月二十二日にこの攻撃があったことを知っていたわけですね。統計情報部から報告を受けたのは官房長だけじゃないですか。その後、国会で大議論になった。これがどれだけ大変な問題なのか、一番切実に骨身に感じていたのは、官房長、あなたですよね。だとすれば、これだけ議論しているときに、あっ、そういえば四月二十二日に本省にそういう攻撃があったなと、全くそういうことを発想しなかったんですか。どうなんですか。
蒲原基道 217

○政府参考人（蒲原基道君）　ただいまお話しございました四月二十二日の件につきましては、私のところに四月の二十三日に報告がございまして、こういう不審メールに対する添付ファイルを開けて不正な通信が起こったと、かつ、即時にそれに対しては遮断をして攻撃が停止していると、こういったことの報告があったわけでございます。　今先生がお話しのとおり、今回の問題が明らかになっていろんな議論がされているわけでございますけれども、大変恐縮でございますけれども、私自身がまずこの年金の流出問題について知りましたのは五月の二十八日だということで、これは前にも申し上げたことでございますけれども、更に申しますと、今話が出ました四月二十二日と五月八日の言ってみれば類似の攻撃、言わばドメインが一緒だったということ、これについても知ったのがまさにこの検証委員会の報告で初めて知ったということでございまして、その意味では、この四月二十二日と今回の事案に言わば関連性があるということに思いが至らなかったと、こういうことでございます。大変申し訳ないと思っております。
小池晃 218

○小池晃君　そんなことあり得るんですか。ちょっとやっぱりこれはおかしいですよ、どう考えたって、この一連の経過は。　私は、だから、四月二十二日の時点でそれを見過ごしてしまったということは百歩譲ったとしても、その後でこういう事態になったのであれば、あっ、あれはそういえばあのときにあったではないかというふうに、誰一人としてそういうことを議論しようとしない、これが厚生労働省ですか。　大臣、私は、これが本当に気が付かないで議論をしていたというのであれば、厚生労働省はもう実務能力ゼロだと。私はそんなことはないと思う。これは組織ぐるみで隠蔽したとしか思えないですよ。そういう事態がなければこんなことが起こるわけないじゃないですか。隠蔽ですよ、これどう考えたって、経過を見れば。　どうですか、それに対して大臣はどうお答えになるんですか。
塩崎恭久 219

○国務大臣（塩崎恭久君）　残念ながら能力が相当足りないということは認めざるを得ないわけであって、しかし一方で、隠蔽だのいうようなことをやっていることは決してございませんので、そこは御理解を賜れればというふうに思います。
小池晃 220

○小池晃君　いやいや、これは全く理解できないですよ、こういう経過は。　誰かが、だってこれだけ大問題になっているんですよ、そういえば四月二十二日にそういうことがあったじゃないかということを言い出さない、そんな組織ってありますか。私は、ちょっとこれ異常だと言わざるを得ないと思うし、これはどう考えても、この問題についてはやはり隠蔽したというふうに言われても仕方がないんじゃないか。　先ほど石橋委員から、この間の詳細な経過について資料要求がありましたが、私の方からも委員会に提出を求めたいと思います。
丸川珠代 221

○委員長（丸川珠代君）　ただいまの件につきましては、後刻理事会において協議させていただきます。
小池晃 222

○小池晃君　機構の方に話を移します。　先ほど、共有ファイルサーバーの調査についておおむね七割という御答弁がありました。七割調査したのであれば、その中に四情報以外の情報はありましたよね。イエスかノーかでお答えください。
水島藤一郎 223

○参考人（水島藤一郎君）　先ほど申し上げましたが、ファイルを調査をしておりまして、これから個人情報がその中にあるだろうということを特定をして、それをファイルを開けて調査をすると、こういう状況でございますので、まだお答えできる状況にないということでございます。
小池晃 224

○小池晃君　いや、さっき違うでしょう、答弁は。だって、要するに、パスワードが掛かっているのが三割だから、それは開けられないけど、七割調査したと言いました。今の答弁、違います。
丸川珠代 225

○委員長（丸川珠代君）　速記を止めてください。　　　〔速記中止〕
丸川珠代 226

○委員長（丸川珠代君）　速記を起こしてください。
水島藤一郎 227

○参考人（水島藤一郎君）　百二十五万件以外の個人情報がこの中に入っていること、それから、四情報以外があることに関しましては否定をいたしません。
小池晃 228

○小池晃君　さっき可能性だと言っていたんですよね。これだけで変わるわけですよ。これで議論が成り立ちますかと。私、本当にこれ重大だと思います。　四情報以外の情報が共有ファイルサーバーにあったということを初めて認めました。今までは可能性だというふうにおっしゃっていたが、あったと。だとすれば、これは流出している可能性が私はあると思うんですよ。フォレンジック調査で確認されていなくたって、それは否定できないだろうというふうに思います。この問題はやっぱり極めて重大だというふうに思います。　それから、この間問題になってきたことで、例えば今日資料で配っていますが、流出した資料のリストがマスメディアでは報道されているわけですよ。例えば、和歌山事務センターが使った届出書などの受付管理簿ツールとか、沖縄事務センターが使った国民年金の届出書などの受付管理簿、この事実、今まで認めませんでしたが、こういうファイルが流出したことはお認めになりますね。
水島藤一郎 229

○参考人（水島藤一郎君）　このファイル数の九百四十九については、そのとおりでございます。　それから、このファイル名でございますが、このファイルの名前に関しましては、これを認めることが付加的な情報を攻撃者に与える懸念があるというふうに考えておりまして、従来からこれに関しましては具体的にそうだというお答えはいたしておりません。現在も同じでございます。
小池晃 230

○小池晃君　付加的な情報、三か月たって新聞には堂々と出ているんですよ。それをいまだに認めないんですか。私、こういったことはちゃんと認めなければ、議論が前に進まないと思う。　じゃ、少なくとも、流出した情報が沖縄と和歌山の両事務センター、東京の記録突合センターの三か所で使われたものであったということは事実ですか。
水島藤一郎 231

○参考人（水島藤一郎君）　ファイルの所在に関しましては、捜査上の問題もあるというふうに承っておりまして、公表いたしておりません。
小池晃 232

○小池晃君　そこはちょっと警察に確認しなきゃいけないことじゃないかなと思うんですが。　委員長に、これ、これじゃ駄目です。日本年金機構から流出した情報は何だったのか、そのファイル内容について、第二に、その流出した情報ファイルはどこで使われていたものか、資料提出を求めます。
丸川珠代 233

○委員長（丸川珠代君）　ただいまの件につきましては、後刻理事会において協議させていただきます。
小池晃 234

○小池晃君　年金機構が依頼したウイルス対策ソフト開発会社が、新種ウイルスは外部に情報を漏えいするタイプではないと解析したことが非常に重大だったと思います。　この点について検証委員会の報告では、運用委託会社と機構との間の契約では、情報セキュリティーの確保について抽象的な仕様が規定されているのみで、インシデント発生時における緊急時、具体的なサービス内容について明確な合意はなされていなかったと、甲斐中委員長、書かれているんですが、要するに、サイバー攻撃がなされた際のウイルス解析というのが、これは契約には含まれていなかったということですね。
甲斐中辰夫 235

○参考人（甲斐中辰夫君）　不明確であったということです。どこまでどういう対応をすべきかという点が不明確であったということです。
小池晃 236

○小池晃君　不明確だったと。　私、この問題をこの委員会で取り上げたときに、水島理事長は、私はこれ再委託なんじゃないかというふうに質問したらば、理事長は、ＮＴＴデータとの契約に基づいて、運用委託契約に基づいて行っているというふうに答弁しているんですよ。しかし、明確なものはないというじゃないですか。だとすれば、契約に基づいてやったんだということは虚偽答弁ではありませんか。
水島藤一郎 237

○参考人（水島藤一郎君）　契約、再委託でというふうにお答え申し上げまして、それについては間違いでありましたということは申し上げました。それでよろしゅうございましょうか。　五月十五日の件でございますが、機構と運用委託会社との間で締結をいたしております契約においては、情報漏えい等を発生させないセキュリティーを確保した運用保守方式とするということを要件といたしております。　運用委託会社が策定をいたしました情報セキュリティー対応手順書におきましては、機構への検知の報告、感染した端末の隔離、ウイルスの解析、機構への解析結果の報告、ウイルスの駆除、駆除の確認といった流れで対応することとされております。
小池晃 238

○小池晃君　だから、契約内容には、機構とＮＴＴデータの契約内容の中にはウイルス解析なんという言葉は出てこないじゃないですか。私、契約書見ましたよ。ウイルス解析という言葉は出てこないのに、あなたは、契約に基づいてウイルス解析を、再委託じゃなくて、この運用委託契約に基づいてウイルス解析をやったと言った。答弁が虚偽ではないかと言っているんですよ。答弁したときは契約に基づいてやったと言ったのに、契約にないじゃないですか。そこをどう説明されるんですか。
水島藤一郎 239

○参考人（水島藤一郎君）　運用委託会社が策定をいたしまして当機構に提出をいたしております情報セキュリティー対応手順書というのがございまして、その中に、ウイルスの解析、それから解析結果の報告、ウイルスの駆除、駆除の確認という流れで対応するということが記載されているということでございます。
小池晃 240

○小池晃君　契約書には書かれていません。じゃ、手順書を後で示してください。それを見て改めて検討します。　これ全体を見て、私は、検証委員会の報告にあるんですが、機構本部から全国の拠点に対する指示は、年間数千件に及ぶ上、過去のものと重畳的なものも見られたなど、現場に相当な負荷が掛かっている。また、機構本部が現場におけるルールの遵守状況について把握できる枠組みとなっていない。要するに、もう垂れ流しだという実態を検証委員会の報告書に書いてある。次から次へと指示を出すけれども、あとは放置したままだと。これは現場の労働者から寄せられている意見とも一致するものなんですね。　甲斐中委員長にお聞きしますが、これは情報セキュリティーに関わる部分だけじゃなくて、機構の業務全体についてこういうやっぱり問題点、指摘できるんじゃないかと思うんですが、いかがでしょうか。
甲斐中辰夫 241

○参考人（甲斐中辰夫君）　ここで書いてあることは情報セキュリティーだけに限定したものではありません。ガバナンスの不十分さということは機構全体について言えることだという考え方です。
小池晃 242

○小池晃君　こういう全体像を含めて解明されなければいけないのではないかと思います。　それから、ちょっと報告書から離れた問題でお聞きしたいんですが、マイナンバーとの連結の問題です。　基礎年金番号とマイナンバーとの連結は凍結をするということが報道されていて、これは今回の情報漏えい事件を見ればもう当然のことだと思うんですが、配付した資料の二枚目を見ていただきたいんですけれども、ところが、日本年金機構は、マイナンバー制度に向けた準備作業を中止するどころか今もやっております。機構が出した文書によると、マイナンバーによるサービス実施のためとして、今年五月ですね、この問題が大問題になっているさなかにも住民票住所申出書の送付のお知らせという通知を出しております。　機構に聞きますが、これは一体どれだけの人に郵送、送付をしているんでしょうか。
樽見英樹 243

○政府参考人（樽見英樹君）　私どもの承知しているところでお答えさせていただきます。　社会保障・税番号制度導入の準備作業として、住民票コードの収録を年金機構の方で進めているということでございます。住民票コードについては、機構が管理する氏名、性別、生年月日及び住民票住所の四情報を基に、住民基本台帳ネットワークに照会して収録を行っているわけでございますが、機構にお届けいただいている住所情報が住民票住所と相違しているなどの理由によって住民票コードが未収録となっている方がいらっしゃるために、この四月から五月にかけて住民票住所申出書というものをお送りをして確認をお願いをしたというところでございまして、発送件数は二百二十一万件と承知をしております。
小池晃 244

○小池晃君　二百二十一万件、これ出しているわけですよね。マイナンバーは法律が成立も全くしていない段階で、「マイナンバーによるサービスの実施のため、ご協力ください。」と書いてありますよ、これ。そういったことをやっているわけですよ。通知では六月十日までの返事を求めておりまして、文書の中には何と書いてあるかというと、こんなことが書いてある。期日までに本届のない場合、会社員の方はお勤め先に住民票の住所をお尋ねすることがありますというふうにあるんですね。　マイナンバー法もないのに、一体これはどういう法的な根拠でこの義務が生じるんですか。法的な根拠を明確に示してほしい。マイナンバー法ないですよね。一体どういう法律に基づいてやっているんですか。
樽見英樹 245

○政府参考人（樽見英樹君）　マイナンバー法のまず改正、審議されているわけでございますが、マイナンバー自体については実施をするということになっているという前提で準備を進めているということでございますが、会社員の方について住民票の住所について尋ねることがあるというところにつきましては、厚生年金保険法に定めます資料提供の依頼の規定に基づきまして事業主に報告を求めるというものでございます。
小池晃 246

○小池晃君　だから、全く全然違う法律でこれをやっているわけでしょう、マイナンバー制度のためにと。これ、やり方、脱法的というふうに言えるんじゃないですか。これ、どうなんですか。こんなことがやっぱり許されるというふうにおっしゃるんですか。
樽見英樹 247

○政府参考人（樽見英樹君）　まさに、マイナンバーを導入するということによって利用者の方々の利便性が向上する、あるいは住所、あるいはいろんな手続についての確認を確実にするというようなことでございます。　厚生年金保険法について、根拠で、先ほど法律名だけ申し上げましたけれども、百条の二というところでございまして、厚生労働大臣は、被保険者あるいは被保険者であった者について、氏名及び住所、その他の事項について、事業主その他の関係者に報告を求めることができるというふうになっておりまして、まさに厚生年金保険法で、加入者、受給者の方々のいろんな確認すべき事項を確実に把握する、あるいはそういうことを円滑に行うというために、こういう資料、情報提供の規定があるというところでございますので、それを根拠にさせていただいているというところでございます。
小池晃 248

○小池晃君　いや、だって、普通これを受け取った人は、やっぱりマイナンバー制度に基づく法律でやるというふうに思いますよ。これは非常にやっぱり私は、やり方がえぐい、まあえぐいというのはちょっとあれかもしれませんが、これは非常に問題のあるやり方だというふうに言わざるを得ないと思うんです。　大臣、やっぱり情報漏えいがこれだけ問題になっている、そういう中で、二百万人にこういう文書を送り付けてやっている。日本年金機構ってこんなことをやっている場合だったんですか。もっとちゃんと自らの業務に集中すべきときだったんじゃないんですか。自分の頭の上のハエを追わないで、こんなことをやっているときだったんですかと私は思うんですが。　大臣、こんなことでいいんでしょうか。これは非常に誤解を与えるやり方だと私は言わざるを得ないと思うんですが、いかがですか。
塩崎恭久 249

○国務大臣（塩崎恭久君）　先ほど答弁を申し上げたように、この住民票住所申出書は発送が四月二十日から始まっているわけですね。ですから、これはこれ、今回の情報流出問題は問題としてあるので、法的にも今説明したとおりでありますから、そこはいいと思いますが、問題は、多くの方々がやはりマイナンバーというものについての御理解が十分ではない方もおられるやに私も見えていますので、年金機構がやることがマイナンバーとどういう関係なのかということはよく理解をしていただくように、年金機構が努力をしっかりやらなきゃいけないんじゃないかなというふうに思っているところでございます。
小池晃 250

○小池晃君　やっぱりこれを受け取った人は、何かもうマイナンバーで年金も一体化するんだというふうに受け取りますよ。やっぱり行政のやり方として、私はこれは非常に問題があるというふうに思います。　このマイナンバーについて言うと、私は、年金情報の連結、半年、一年遅れるというのはあるけれども、それで済まないと。マイナンバー制度そのものに大きな問題があると思っていますし、やはりきちっとこれは内閣委員会との連合審査も含めて議論すべき課題だと。マイナンバー制度そのものも全面的に見直すべきだというふうに思いますし、今日いろんな問題を取り上げましたけれども、ちょっとほかにもいっぱいやりたいことあったんですが、もう時間が参りましたので終わりますけど、とにかく疑惑が深まっただけです。もう様々な問題が出てきています。　この問題の徹底解明なくして閣法の処理を前に進めるなどということはこれあり得ないことだということを申し上げて、引き続き年金情報流出問題の徹底的な解明を求めて、質問を終わります。
行田邦子 251

○行田邦子君　行田邦子です。　検証委員会が出されたこの報告書を読みまして、私は背筋が寒くなる思いでおります。年金事務を行っている組織がこのようにひどいずさんな状況にあったということ、そしてまた、それだけではなくて、年金行政を行っている組織、厚労省ですけれども、が非常に、これほどまでに責任が曖昧なまま事が進んでいたということ、本当にぞっとしました。　今日は午前中からずっと日本年金機構の意識改革などについての質問が続きましたので、一番目の質問は省略させていただきますけれども、今日は甲斐中委員長にお越しいただいていますので、二番目の質問からさせていただきたいと思います。　今日は、私は主に厚生労働省の責任について中心に伺いたいというふうに思っております。　この検証委員会の報告書では、厚生労働省における情報セキュリティー体制の脆弱性に触れています、十六ページのところで触れているわけですけれども。そして、本事案だけではなくて、過去の事案においても、事案収束後に情参室に報告が行くなど、情報の遅延があったということを指摘をしています。　組織の風通しの悪さとか、そしてまた当事者意識の欠如といったことは、これ、日本年金機構だけではなくて厚生労働省にも大きな問題があるというふうに私は印象を受けています。　そこで、甲斐中委員長に伺いたいと思いますけれども、今回の検証作業を通じて、厚生労働省のこの意識、当事者意識の欠如、また組織の風通しの悪さについてどのようにお感じになったのか、そしてまた、情報連絡の遅延がなぜ起こるのか、どのようにしたら改まるのか、お聞かせいただけたらと思います。
甲斐中辰夫 252

○参考人（甲斐中辰夫君）　情報連絡が遅れているということ、これは今回の事案の経緯を見るとよく分かるところです。なぜそういうことが起きるのかと。原因はいろいろあると思います。　一つは、情報というものに対する認識の問題なんですが、例えば何か大きな出来事があったとします。第一報は不完全なものなんですが、例えば、事例は悪いんですが、ケネディ大統領が亡くなったと、これは第一報なんですね。だけど、誰が殺したのか、どういうふうな経過で、どこで死んだのかと、そういうことは少し調べてみなければ分からない。だけど、情報としては第一報が非常に重要なんです。サイバーセキュリティーに対しては、まさにその第一報が大事なんです。それを、紙文化の世界で、とにかく報告書に作ってこいと、うまくまとまって報告しろというようなことをやっていると、情報連絡はどんどん遅れていくと。したがって、今の報告体制というのが、とにかく紙で報告するという形式にこだわっているというようなところが一つあると思います。　それから、そもそもその体制が充実しておりませんので、本来、情報を情参室にまとめるのであれば、それを全部総括的に見てまとめて、そして次の手をどう打つかということを見られる人間が、何人かスタッフがいなきゃいけないんですけれども、現実に担当者が、若い担当者が一人だけというところでは総合的な分析ができないと。したがって、その人がいなくなれば次のポストへの情報連絡が遅れるというようなことがあります。　認識と体制の問題があろうかと思います。
行田邦子 253

○行田邦子君　今、甲斐中委員長のお話を伺っていましても、この問題が起きた根本にあるのは、組織の様々な問題、そして、特に今回のことについて言いますと、標的型攻撃等のサイバー攻撃に対する、その危険性に対する認識、意識が厚生労働省においても不足していたのではないかというふうに思っております。　そこで、今日は内閣官房に来ていただいていますので、伺いたいと思います。　ＮＩＳＣは、各府省庁に対してこれまで標的型攻撃への注意喚起や対策などの明示について行ってきたと思っていますけれども、いつからどのような形で行ってきましたでしょうか。
谷脇康彦 254

○政府参考人（谷脇康彦君）　お答え申し上げます。　いわゆる標的型攻撃が我が国において広く社会的に問題化いたしましたのが、平成二十三年の衆議院事務局に対する攻撃、あるいは三菱重工業に対する攻撃、この辺りに端を発しているところでございます。　ＮＩＳＣにおきましては、平成二十三年の十二月に、標的型攻撃による被害が拡大している事例を踏まえたセキュリティー対策の徹底に係る注意喚起をまず発出しております。また、翌平成二十四年の四月に、政府機関の情報セキュリティ対策のための統一基準の改定によりまして標的型攻撃に備えた体制の整備を規定しております。加えて、翌平成二十五年の九月以来、高度サイバー攻撃対処のためのリスク評価ガイドラインに基づきまして具体的なシステム対策を計画的に実施するなど、適時注意喚起や対策の強化に取り組んできているところでございます。
行田邦子 255

○行田邦子君　四年前に事案が具体的に起きてから、ＮＩＳＣにおいては注意喚起を行ってきたということでありますけれども、そうした中で、今御答弁にもありましたけれども、昨年の五月に政府機関の情報セキュリティ対策のための統一基準が改定されました。この改定の中には、標的型攻撃の高度化への対策、こうしたことも意識したものとなっています。厚生労働省ではこれに準拠して情報セキュリティーポリシーを改定しているはずでありますけれども、一方で、特殊法人である日本年金機構は統一基準の対象になっていませんので、政府統一基準に準拠した改定ができないままになっていました。　私は、これは、これだけ大量の個人情報を預かっている組織ですので、やはり政府機関と同等レベルの対策を講じるべきであるというふうに思っておりますけれども、なぜ厚労省の責任において機構に対して同等の対応を求めなかったのでしょうか。
樽見英樹 256

○政府参考人（樽見英樹君）　御指摘のとおり、日本年金機構の情報セキュリティーポリシーにつきましては、最新の政府統一基準に準拠した改定に追い付いておりませんでした。これ、国、厚生労働省を言わば追いかけて、年金機構の方でも追いかけた改定をしなければいけないという意識はあったわけでございますけれども、率直に申し上げまして、私を含めて、その点についての言わば切迫をしたリスクの意識というものが薄かったというふうに言わざるを得ないというふうに考えております。　おっしゃるとおり、公的年金制度の最も重要な執行という部分を請け負っているということでございますので、可能な限り政府統一基準と同等レベルの情報セキュリティー対策が講じられるべく、機構を私どもとして適切に監督すべきであったというふうに考えているところでございます。　その中で、検証委員会の報告書でも指摘されておりますとおり、厚労省全体のセキュリティー体制が脆弱、あるいは機構ＬＡＮについて監督すべき部署が不明確であったということの御指摘もいただいております。したがいまして、まず年金局におきまして、機構のＬＡＮについての監督というところにつきましては、局の中でＩＴシステムに関する一定の専門性を有する職員が配置されております年金局事業管理課のシステム室という部署がございます。ここで機構ＬＡＮを含めて機構システムの監督を行うというふうなことをまずしたところでございます。　今後とも、今回の事案を機に、しっかりと指導するということを心掛けてまいりたいというふうに考えております。
行田邦子 257

○行田邦子君　このことだけではなくて、厚労省の情報セキュリティーに対する意識の甘さ、欠如というのは随所に見られるわけでありますけれども、そしてまた、今になって機構ＬＡＮシステムの責任がどこの部署にあるのかということがようやく決められたということ、非常に私は問題があるというふうに思っております。　そこで質問を続けたいと思うんですが、内閣官房に伺いたいと思います。　実は、八月二十日、検証委員会が報告書を出す前日、そしてまた日本年金機構が報告書を出した同じ日に、サイバーセキュリティ戦略本部におきましては、当事案に関する原因究明調査結果というものを出しています。そこの二十一ページにも書いてあるわけでありますけれども、五月二十一日に不審メールの解析結果をＮＩＳＣは厚労省を通じて提供したわけであります。けれども、こうしたＮＩＳＣがふだんから行っている通知や注意喚起や、また不審メールなどの解析結果というのをせっかくＮＩＳＣが提供していても、生かされていないといった場合があると。　これ、間接的に厚生労働省を批判しているわけであると私は読んでいるんですけれども、せっかくＮＩＳＣがこのようなことをやっていても、当該の府省庁でその情報が欠如、意識のレベルが低いために何にも生かされていないというケースがあるというようなことであろうかと思います。　そしてさらに、私の手元にありますが、サイバーセキュリティ政策に係る年次報告二〇一四年度版というのが七月二十三日に出たんですけれども、ここに二〇一四年度の政府機関等に係る情報セキュリティインシデント一覧というものがあるんですが、全部で二十六件あります。これを見させていただいたところ、二十六件中、何と九件が厚生労働省に関係するものです。厚生労働省本省、そして労働局や労災病院といった二十六件中九件が一年間での政府機関等における情報セキュリティーのインシデントに挙げられていると。　これを見て私は、一体厚生労働省のこの情報セキュリティーのレベルってどの程度なんだろうかと思っております。かなり低いのではないかと思っていますし、そう思いたいんですけれども、内閣官房、いかがでしょうか。
谷脇康彦 258

○政府参考人（谷脇康彦君）　お答え申し上げます。　お尋ねのセキュリティー体制の評価でございますけれども、物理的な情報システムはもとより、この物理的なシステムの運用方法ですとか業務手順といった種々の要素が絡むため、一概にそのレベルということをお答えするのはなかなか難しい面がございます。　しかしながら、今回の私どもの事案調査におきましても、厚生労働省のセキュリティー体制のうち、インシデント対処につきましては、その報告・対処手順を整備しているものの、今回のインシデントにおいて、連絡を受けた担当窓口から責任者である幹部に報告が上がっていなかったこと。また、インシデント対応組織であるＣＳＩＲＴの構成員が課室長等以上でありまして、課長補佐以下の実働要員が選任、指名されていなかったこと。さらには、委員からも御指摘がございましたように、厚労省統合ネットワークにおける標的型攻撃に対する多重防御の取組はございましたけれども、機構の情報系ネットワークについては取組が十分でなかったといったような問題点を指摘しているところでございます。　こうした問題点を踏まえて、ＮＩＳＣとしましても、今回得られた教訓を基に、厚生労働省はもとより、各府省庁がより適切な体制整備、必要な取組が行われるよう措置をしてまいりたいと考えているところでございます。
行田邦子 259

○行田邦子君　いっそのこと、厚生労働省の情報セキュリティーレベルは政府機関でかなり低いと、相当低いレベルにあると答弁していただいた方が私も逆に安心したわけでありますけれども、それでも、今審議官からは幾つか重要な指摘がありました。　そして、質問を続けますけれども、各府省庁におきましては、やはり自らが情報を保有して、そしてまた管理をするという責任と自覚を持って、自らの職員の教育とか、あるいは情報セキュリティーの体制整備といったことを自ら行うということが私は原則だというふうに考えていますけれども、結局、その結果、厚生労働省、それから年金機構の情報セキュリティーを厚労省、年金機構に任せてしまったがゆえに、情報セキュリティーへの認識が足りない政府機関においてこのような事態が生じてしまったということです。　私は、これ、政府全体としては情報セキュリティーの水準を底上げしていかなければいけないというふうに思っているんですけれども、政府全体の情報セキュリティー水準の底上げとして、ＮＩＳＣがまたは政府がとるべき措置についてお答えいただけますでしょうか。
谷脇康彦 260

○政府参考人（谷脇康彦君）　お答え申し上げます。　委員御指摘のとおり、各政府機関におきます情報セキュリティー対策につきましては、各府省庁の業務ですとか保有する情報、あるいは利用する情報システムといった個別事情を踏まえて取り組むべき性質のものでございまして、一義的には当該府省庁が責任を持って行うものであるというふうに考えております。　しかしながら、ＮＩＳＣといたしましては、こうした府省庁の取組を更に積極的に後押しをしていくという立場から、今回の私どもの原因究明報告書を踏まえて、新たなサイバーセキュリティ戦略案におきまして、私どもＮＩＳＣが運用しておりますＧＳＯＣシステムの一層の強化、あるいは監視、監査等の業務について、政府機関のみならず、重要業務を行う独立行政法人、あるいは政府機関と一体となって公的業務を行う特殊法人なども対象とすること、さらには、大量の個人情報等の重要情報を取り扱う情報システムのインターネットからの分離を含む攻撃リスク低減のための対策強化などを盛り込んでいるところでございます。　政府といたしましては、この戦略を踏まえて、政府全体として適切な予算あるいは人員の確保に向けて対策の強化を図ってまいりたいと考えております。
行田邦子 261

○行田邦子君　ＧＳＯＣの強化についてはまた後ほど伺いたいと思うんですけれども。　そして、私は、やはり日頃からの教育訓練、情報セキュリティーに関する教育訓練、演習、研修といったことの強化がやはり政府全体として求められているというふうに思っております。　ただ、これまでも政府全体として各府省参加しての教育訓練といったことが行われています。　そこで、二年前に行われました、二〇一三年八月から十二月に行われました標的型メールに対する教育訓練について伺いたいと思います。　お手元に資料一をお配りさせていただいておりますけれども、標的型メールに対する教育訓練を行いまして、その訓練の結果、二回行って、メールを送っているわけですけれども、一回目のメールの開封率が全体で一〇・一％、二回目の開封率が一六・三％と、これは政府十八府省庁約十八万人全体の平均ということですけれども、厚生労働省の実施結果、メールの開封率はいかがでしたか。
安藤英作 262

○政府参考人（安藤英作君）　お答えいたします。　公表することによりまして厚生労働省のセキュリティー能力を明らかにするということから、余り正確な数字というのは差し控えさせていただきたいと存じますけれども、開封率一〇・一％、一六・三％というのがお示しになられておりますけれども、この平均値の辺りにあるとお考えいただきたいと存じます。
行田邦子 263

○行田邦子君　明らかにすると情報セキュリティーのレベルを明らかにしてしまうので、脆弱性を明らかにしてしまうので言いたくないというのは分かりました。　続けて質問させて……（発言する者あり）
丸川珠代 264

○委員長（丸川珠代君）　速記を止めてください。　　　〔速記中止〕
丸川珠代 265

○委員長（丸川珠代君）　速記を起こしてください。
安藤英作 266

○政府参考人（安藤英作君）　この一三年度でございますけれども、一回目の訓練の開封率が五・四％、二回目が一五・七％でございます。
行田邦子 267

○行田邦子君　事前には、この数字を言ってしまうと厚労省の情報セキュリティー体制の脆弱性をあらわにするから言いたくないという、文書でも答弁いただいていたんですけれども、一回目は平均よりか、約半分なので悪いけれども、二回目はまあさほど悪くはないという……（発言する者あり）あっ、逆ですか、済みません、逆でしたね、ということです。　そして、もう一つ結果を伺いたいことがあります。　資料二なんですけれども、これも政府全体としてのサイバー攻撃対処訓練についてなんですけれども、今年三月十八日、三月十八日はサイバーの日と言われているようですけれども、ナショナルサイバー駅伝という競技形式のサイバー攻撃対処訓練を政府として初めて実施して、十二省庁が参加しました。そこには厚生労働省も参加をしていまして、資料二をお配りしているとおりでございます。これで結果が、総合優勝、最速タイムが警察庁、そして、総務大臣表彰が金融庁という結果になっています。　そこで伺いたいんですけれども、厚生労働省のナショナルサイバー駅伝における結果はいかがでしたでしょうか。
安藤英作 268

○政府参考人（安藤英作君）　済みません、これも、政府全体の中で、お答えすることができませんので、どうか御容赦いただきたいと存じます。
行田邦子 269

○行田邦子君　なぜ答えることができないんでしょうか。
安藤英作 270

○政府参考人（安藤英作君）　これは、済みません、政府全体でうちのだけを出すわけにはいかないということで、そういうルールになってございます。どうか御理解をいただきたいと存じます。（発言する者あり）
丸川珠代 271

○委員長（丸川珠代君）　速記を止めてください。　　　〔速記中止〕
丸川珠代 272

○委員長（丸川珠代君）　速記を起こしてください。
行田邦子 273

○行田邦子君　ナショナルサイバー駅伝の結果、答弁できないということでしたけれども、是非これ公表していただきたいと思うんですが、委員長、後刻理事会で協議していただけますでしょうか。
丸川珠代 274

○委員長（丸川珠代君）　ただいまの件につきましては、後刻理事会で協議をさせていただきます。
行田邦子 275

○行田邦子君　メール訓練については数字をお答えいただけました。そして、ナショナルサイバー駅伝の結果はお答えいただけませんでしたが、ただ、大臣は両方のこの結果について、成績について報告を受けていると思います。その数字を聞いて、また結果を聞いた上での大臣の御所見を伺いたいと思います。
塩崎恭久 276

○国務大臣（塩崎恭久君）　先ほど審議官が答弁いたしましたが、政府全体でやっているものでありますために細かな数字は控えたいと、こういうことでございますけれども、厚労省としては、いずれにしても、もう今回の事案で明確になったように、また検証委員会でも厳しく御指摘をいただいたように、サイバーセキュリティーに関する、幹部を含めて、省の意識レベルは問題が大きいということは私もそのとおりだと思いますので、こういった政府の中でのこういう訓練の中で問題が指摘をされていると思いますので、それを踏まえて、金輪際こういう低い評価からは決別をするという決意を持っていかなければいけないというふうに思いますが、そのためには、かなりやらなきゃいけないことがたくさんあると思っています。　先ほどちょっと申し上げましたけれども、組織的にも、また人員配置的にも様々な問題がこれまではあったわけでありますので、有効なセキュリティー体制が組めるように、まず組織、また人の体制を組むとともに、職員を、やっぱり教育訓練を自らやっていかないといけないと、それにはやっぱり意識レベルを我々変えていかなきゃいけないので、まずは幹部からしっかりと意識を変えて、これから出直すという気持ちでやっていかないといけないこの駅伝の評価でもあったということでございます。
行田邦子 277

○行田邦子君　具体的な結果は控えたいということでしたが、大臣からは、低い結果ということの認識での御答弁をいただきました。　続いて、再び大臣に伺いたいと思うんですけれども、こういった政府全体での教育訓練というのはこれからも行われるかと思いますけれども、この中に是非私は日本年金機構も交ぜるべきだというふうに、参加させるべきだと思っていまして、これからの教育訓練の在り方について伺いたいと思います。
塩崎恭久 278

○国務大臣（塩崎恭久君）　これは先生御指摘のとおりで、今回のことでよく分かりましたし、そもそも私は、厚労省と年金機構の間の関係の再定義をすべきだというふうに言っています、今回の事案を受けて。したがって、この訓練、講習を日本年金機構も厚労省と一緒にやるということは大変大事だと私も思っておりますので、可能な限り政府機関と同等のレベルを機構も得るように、もちろん厚労省も自らレベルアップしていくように、徹底的にこれから全てのことをやり変えていかなきゃいけないというふうに思います。
行田邦子 279

○行田邦子君　最後の質問、内閣官房に伺いたいと思いますけれども、このサイバー攻撃というのは、私は、厚労省、日本年金機構だけの問題ではなくて、今政府全体がサイバー攻撃に遭っているさなかだという認識を持った方がいいと思っております。その割にはＮＩＳＣの人員というのは非常に少ない、百名強でやっているということですので、私は、人員の質量ともに増強というのが必要ですし、またいろいろな体制整備が急がれなければいけないというふうに思っております。ちょうど来年度の概算要求の時期でありますので、私は、来年度の予算、しっかりとＮＩＳＣとしても確保すべきと思いますが、いかがでしょうか。
谷脇康彦 280

○政府参考人（谷脇康彦君）　お答え申し上げます。　サイバー攻撃がますます複雑化、巧妙化している中で、内閣サイバーセキュリティセンター、ＮＩＳＣの機能強化ということも非常に重要なテーマだというふうに考えております。先ほども御答弁申し上げましたＧＳＯＣの大幅な機能強化、あるいは監視、監査、原因究明調査業務の対象の拡大、それから、まさに今委員から御指摘がございましたＮＩＳＣの要員の強化、こうしたことを柱といたします機能強化を行う必要がございます。　先週、八月二十日に決定をいたしました新たなサイバーセキュリティ戦略案におきましてこうした項目を盛り込んでいるところでございますけれども、政府としては、この戦略案を速やかに閣議決定をし、この戦略を踏まえて、政府全体として適切な予算あるいは人員の確保などサイバーセキュリティー対策の強化を遅滞なく図ってまいりたいと考えているところでございます。
行田邦子 281

○行田邦子君　終わります。
薬師寺みちよ 282

○薬師寺みちよ君　無所属クラブの薬師寺みちよでございます。　今朝から様々な議論、私も聞かせていただきましたけれども、本当に胸が痛くなるような答弁でございまして、なぜここまでこのような事態というものが本当に放置されていたのかということをしっかりと私どもも含めて反省をしていかなければならないのではないのかなと考えております。特に、私、今日は、旧社保庁の時代から何がどういうふうに変わった、それでもやはり足りなかっただろうというようなところを今日の議論の中で中心的に扱わせていただきたいと思っております。　一問目は、行田委員から御質問いただきましたので飛ばさせていただきます。二問目から参ります。　旧社保庁の時代、これは本当にさんざんたることが行われていたことが明らかになっておりますけれども、平成十七年十二月には、個人年金情報等の業務外の閲覧をしたとして約二千七百名の職員が懲戒処分になされております。また、上司など約五百八十名が監督責任の内規処分にされております。　一連の処分者は、当時の職員の一一％です。私もこれ新聞記事を見ましたら、タレントの住所だとか、若しくは同窓会の名簿を作りたいからということで住所を見たとか電話番号を調べたとかと、あってはならないようなことが起こっていたわけです。職員一人一人のやはりこういうふうに個人情報に対する認識の甘さというものを、意識を変えるために様々な努力がなされてきたと思います。　一体それはどのような対策を取られたのかということを、済みません、理事長、私に教えていただけますでしょうか。
水島藤一郎 283

○参考人（水島藤一郎君）　お答えをいたします。　旧社会保険庁時代の業務目的外閲覧事案を踏まえまして、個人情報保護の徹底は旧社会保険庁改革の重要な柱と位置付けられておりました。日本年金機構法におきまして、特に年金個人情報の保護に関する規定を置きまして、その利用及び提供の制限について法定化をいたしております。そして目的外の利用を禁止しているところでございます。　また、機構発足に当たりまして、日本年金機構個人情報保護管理方針、プライバシーポリシーと言っておりますが、これや個人情報保護十か条などを定めまして、個人情報保護管理を徹底することとしてきております。この個人情報保護十か条については役職員必携として常時携帯するとともに、各拠点において毎年度個人情報保護研修を実施することなどを通じて、職員が法律及び規程等を遵守し、個人情報を適切に取り扱う意識の醸成に努力をしてきたところでございます。　なお、情報漏えいがあった場合はもとよりでございますが、業務目的外で年金記録を閲覧した場合にも制裁の対象といたしております。
薬師寺みちよ 284

○薬師寺みちよ君　ありがとうございます。　十か条を携帯していても、個人情報というものが一体どれほど貴重なものなのかという意識がまだまだ根付いていなかったということだと私は捉えております。　結局、今まで取られてきた対策というものがいかに空振りであったのか、形骸化していたのかということについてもしっかり今見直していただかなければ、この報告書を見ましても、大変高尚に改革を進めるということがありますけれども、改革って一体何なんだ、国民は誰一人もこの言葉を信じることができないと思います。　例えば、旧社保庁時代の年金記録の問題でございます。　平成十九年十月の年金記録問題検証委員会の報告書でも同じようなことが書かれているんです。厚生労働省及び社会保険庁は、年金記録を正確に作成、保管、管理する組織全体の使命感、責任感が決定的に欠如と指摘をされているじゃないですか。もうこれから何年たっているんでしょう。今回の検証報告書の中でも同じことです。組織全体として個人情報保護に関する意識が薄かった、全く変わっていないんです。　平成十九年の年金記録問題検証委員会のこの報告書を受けて、年金機構ではどのような組織などを設けられたのか、どのような策を設けられたのか、もう一度、理事長、私に教えていただけますでしょうか。
水島藤一郎 285

○参考人（水島藤一郎君）　年金記録問題検証委員会の報告書におきましては、年金記録問題発生の根本にある問題として、厚生労働省及び社会保険庁の基本姿勢として、国民の大切な年金に関する記録を正確に作成し、保管、管理するという組織全体としての使命感、国民の信任を受けて業務を行うという責任感が厚生労働省及び社会保険庁に決定的に欠如していたことが、年金記録問題発生の根本にある問題であったと指摘をされております。　平成二十二年一月の日本年金機構設立に際しましては、このような指摘を踏まえまして、日本年金機構運営方針におきまして、職員全員が年金記録管理や個人情報管理の重要性を再確認するとともに、お客様である国民の信任を受けて年金記録を正確に管理し、正しく年金をお支払いするという使命感と責任感を持って業務に当たると、このことを掲げますとともに、そのための組織ガバナンスとして、組織内の対話とコミュニケーション、厳格な内部統制の仕組み、コンプライアンス・リスク管理担当部署の整備等の方針を定めたところでございまして、これに伴いまして、コンプライアンス委員会及びリスク・コンプライアンス部、あるいはリスク管理委員会、これらの組織の設置を行ってきたところでございます。
薬師寺みちよ 286

○薬師寺みちよ君　ありがとうございます。　社会保険庁から日本年金機構という看板がただ掛け替わっただけじゃないか、中身は何も変わっていないじゃないかということを今回も委員会から指摘をされている。先ほどの委員長の読み上げられました文書の一番最後、最後に機構について、個々的な対策以上に、いわゆる意識改革というものが必要であるというふうな、全くその意識改革というところが何も行われていなかったではないかと私は指摘をさせていただきたいと思います。　では、かねてから指摘されている機構のガバナンスの在り方ということを、検証の報告書でも書かれておりましたけれども、機構のガバナンス、一体どこが問題で、どのような改革を今までその問題の解決のために図られてきたんでしょうか。教えてください。
水島藤一郎 287

○参考人（水島藤一郎君）　平成二十二年の日本年金機構発足以降、全国一体的な人事により組織の一体感を醸成すること、職員提案制度や拠点訪問等によりまして各拠点の声を業務運営に反映させることなど、公的年金業務の的確な運営という目標に向けて取り組んできたところでございます。　しかしながら、今回の事案を踏まえますと、まさに改革は道半ばでございまして、ガバナンスの脆弱さ、組織としての一体感の不足、リーダーシップの不足、ルールの不徹底など、まさに旧社会保険庁時代から指摘されてまいりました諸問題がいまだ解決されていないと。また、お客様の大切な年金情報を守れなかったということは、厚生労働省が責任を担う公的年金制度の最も大切な執行部分を責任を持って請け負うという緊張感、責任感、使命感が十分共有されるに至っていなかったという組織全体の基本姿勢に関わる問題があるというふうに考えております。　そのため、日本年金機構再生本部を新たに設けまして、職員各層を糾合いたしまして、今後、ゼロベースで組織全体を総点検し、ガバナンスや組織風土の抜本的な改革に向け、組織を挙げて全力で取り組んでまいりたいというふうに考えております。
薬師寺みちよ 288

○薬師寺みちよ君　ありがとうございます。　今読み上げていただいたようなことも私も報告書で見させていただきましたけれども、結局それが何にも果たされていなかったからこそ今問題になっているわけでございます。　大臣、どうですか。今までこのような改革を行ってきました。でも、結局こういうことが起こりました。じゃ、これからどうしていったらいいんだということを真剣にここで議論していかなければならないときかと私は考えておりますが、今御答弁をいただきましたその内容を踏まえまして、どのような改革を行ってきたのか、監督官庁として責任持ってそれを監視していたのかということをお知らせください。
塩崎恭久 289

○国務大臣（塩崎恭久君）　これまでの改革努力についてどういう監視をしてきたのかということでございますけれども、私ども厚生労働省は、監督官庁としてこれまで、今回の事案を振り返ってみると、十分なガバナンスの、あるいは改革のフォローアップをできていたということは私どもとしては十分言えないと私は思います。　それで、今先生から御指摘があったように、何度となくこの改革の試みが行われて、なぜ今までうまくいかなかったんだろうかということを考えて、私も第一次安倍内閣で、この機構の法律を作って成立したのは第一次安倍内閣のときでありました。　あのときのことを振り返ってみると、数々いろんな信じられないような事案がたくさんあって、今回もまた信じられないこともたくさんありますけれども、あのときは、やはり非公務員型にして民間の手法を入れることが一つの解決方法じゃないかという何となく大きな流れが世の中的にもあったと思いますし、私どもの政権の中でもそういう流れがあったと思います。　そして、民間の方のトップのリーダーシップで引っ張ってもらうということで、民間手法をやることがお客様のやっぱりニーズにしっかりと合って、心にも寄り添うということになるんじゃないかという思いがありましたが、先ほど来私が申し上げているように、よくよく改めて考えてみれば、年金機構にやっていただくのは、公的年金制度そのものを執行してもらうという、まさに公の仕事そのものでありますから、これを国のやっぱり仕事として私たちは、どうやって本当に働いている人たちがやりがいを感じながら誇りを持ってやれるようにするのかということを今回は本当にやり直さなければいけないんじゃないかと私は思っています。　さっきもちょっと行田先生のときに申し上げましたけれども、やっぱり今までは、組織の人たちは、機構の人たちは、自分たちの問題として全員が、じゃ、参加でやっていたかというと、多分トップダウンでいろいろ水島理事長が頑張っていただいて、これまでの経験を全て入れ込んでやろうということでやっていただいたと思いますけれども、やっぱり組織は、中にいる方々が自らのオーナーシップを持って自分の問題としてやっていただくしかないのではないのかなということを考えておりまして、これから日本年金機構再生本部で水島理事長をトップに、いろんな方々の考え方を、自らの問題としてこの機構をどうするのかということを考えていただくように聞いては私もおりますので、私どもとしても何ができるのか、そういう中で、新しい、今までの反省を踏まえた監督指導を新たにやるとしたらどういうふうにするのかということを考えていかなければならないなというふうに考えております。
薬師寺みちよ 290

○薬師寺みちよ君　ありがとうございます。　今大臣からお言葉をいただきましたので、質問の順番をちょっと変えさせていただきます。私の質問、済みません、順番が変わっておりますのでお答えいただける範囲で結構でございますけれども、理事長にお尋ねします。　今回、再生本部というものを設置する、今も大臣からありました、理事長がトップで再生本部を設立するという言葉がありました。本当にそれで再生できるのかということは、誰しもが疑問に思っております。　今まで改革といいながら改革も進まなかった、結局、個人情報漏えいをしてもこれだけ後手後手に回っているこの状況の中で、そのガバナンスの体制というものについても厳しく批判をされている、しかし理事長がトップで再生本部を設立する。このことについて、理事長、どのようにお考えでしょうか。お願いいたします。
水島藤一郎 291

○参考人（水島藤一郎君）　今般の不正アクセスによる情報流出事案に関しましては、国民の皆様に多大な御心配と御不安をお掛けいたしました。これに関しまして、理事長として極めて重い責任を感じておりますし、重い責任があるというふうに思っております。　日本年金機構における調査委員会に関しまして、私が委員長として本事案の原因究明と再発防止策の検討を行ってきたところでございますが、まさに改革に向けての取組はいまだ道半ばだというふうに考えております。組織全体の基本姿勢に関わる積年の構造的問題の解決、解消が急務であると改めて認識をしたところでございます。したがいまして、国民の信頼回復と再発の防止に向けまして、ゼロベースからガバナンスと組織風土の抜本改革に取り組むことが当面の私自身の責務であるというふうに考えているところでございます。
薬師寺みちよ 292

○薬師寺みちよ君　ありがとうございます。　ちょっと質問にお答えいただければと思うんですけど、本当に理事長がトップでこのような組織というもので再生ができるのかというものをいささか私は疑問に思っておりますので、それについての御意見というものが今の答弁でよろしゅうございますのでしょうか。
水島藤一郎 293

○参考人（水島藤一郎君）　繰り返しになりますが、極めて重い責任を感じておりますし、重い責任を有しているということに関しましてはこの場でも再々申し上げてきておるとおりでございます。　当面、日本年金機構再生本部を立ち上げることになります。採用区分やあるいは雇用形態の違いを乗り越えて、幅広い層の参加によりまして、まさに職員の総力を上げて機構の改革に当たっていく体制をつくりたいというふうに考えております。当面この仕事に全力を尽くすことが私の責務であるというふうに思っております。（発言する者あり）
薬師寺みちよ 294

○薬師寺みちよ君　ありがとうございます。　驚いたのは私だけではないと思います。　では、甲斐中委員長、教えていただきたいと思います。　今回の委員会の目的は、再発防止策というものも検討していくということでございます。私は、今の理事長の答弁に対してかなり疑問を抱いております。再生本部というものを機構の中に設け、そして理事長がトップでリーダーシップを取って、これで再生が果たしてなせるのかどうなのか。委員長の方でもし御意見ございましたら、いただけますでしょうか。
甲斐中辰夫 295

○参考人（甲斐中辰夫君）　現理事長の適格性ということについては委員会で審議しておりませんのでお答えできませんが、それを離れて一言だけ言わせていただきますと、こういう組織を立て直すときは、きちんとトップに権限を与えて、有能なスタッフを補助に付けて思う存分やらせると、それしかないと思います。
薬師寺みちよ 296

○薬師寺みちよ君　ありがとうございます。　果たしてそういうものが今のこの機構でできるのかどうかというのは今後のしっかりとした検証に委ねたいと思いますけれども、では、それを要するに監視していくという体制も一つこれからまた私は置く必要があるのではないかと考えております。　前々回いらしていただきました業務監視委員会の委員長、あのときに郷原さんからは、自分たちは今のこの委員会をクローズするということに対してまだまだ不満があると、もっともっと外部の目というものを機構に走らせていかなければならないという意見書まで出したというふうに答弁があったと思います。　今回のことを踏まえまして、年金機構、厚労省の外に常設の行政評価という機関を置くべきだと考えますけど、まず大臣、どのようにお考えになられますでしょうか。
塩崎恭久 297

○国務大臣（塩崎恭久君）　これは先生御存じの上でおっしゃっているんだろうと思いますけれども、日本年金機構法には、厚生労働大臣の監督の下で、厚生労働大臣と緊密な連携の下で年金事業を行わなければならないと、こう書いてあるわけであります。　したがって、厚生労働大臣の考えることは、どのように監督をして適切な年金事業を行わせしめるかということが大事なのであって、どこかほかに何かをつくるというようなことは全く私の関知するところではありませんし、そういうことを考える前に、私は、私の場合はですよ、自らがどういう監督手法を持ってやるのかということが大事なので、だからこそ、先ほど申し上げたように、両者の関係を再定義をしないといけないんじゃないかということを申し上げているわけで、それは、外の方がどういうことを言ったところで、実際に監督をし、実際に組織を機構で運営をする方がどうするかということで決まるわけでありますので、まずは一義的にはそこを頑張らなければいけない。当事者として私は、自らがどういうふうな監督体制をしくべきなのかということと、機構にどういう努力を願うのか。　先ほど再生本部の話にいろいろ御注文をいただきましたけれども、水島理事長がこういうことでやるんだということが、もしこの報告書の中に何も将来のことが入っていなかったら、正直言って私はどうしようかと思っていたぐらいでありますが、理事長が自らリーダーシップを取ってやるということでありますから、これはこれでやってもらおうと思っていますけれども、そのままで終わりかといったら、それはまた別問題で、私は、監督する立場でさらにその上にどうするかということを考えるということだと思います。
薬師寺みちよ 298

○薬師寺みちよ君　ありがとうございます。　それはもう当たり前の話でございますので、しっかりと監督はいただきたいと思うんですけど、それだけでは心配だからこそ私は申し上げております。　甲斐中委員長にお伺いをさせていただきたいと思います。　甲斐中委員長、どうでしょう、年金機構、厚労省の体制の脆弱さというものを御指摘いただいたかと思います。その中で、やはり外部の評価というものも必要かと私は考えますけれども、それについての御意見をいただけますでしょうか。
甲斐中辰夫 299

○参考人（甲斐中辰夫君）　これも委員会で議論しておりませんので、あくまで個人的見解ということになろうと思います。　そういう評価機関というものは、それなりの必要性はあろうかと思いますが、しかし、今、年金機構に必要なのは、中に入って組織を改革する実行力のある人だと思います。
薬師寺みちよ 300

○薬師寺みちよ君　ありがとうございます。　今様々な御意見をいただいたところでございますが、私、報告書を読んでおりまして大変違和感を覚えた言葉がございます。組織としての一体感のなさという言葉でございます。本当に、組織として一体感のなさというものが一体何なのか。どうなれば一体感があって、これ上手に回っていくのか。　我々委員、誰しもが本当にうまくいってほしいと願っていることは確かなんです。誰も恨みつらみでこのような質問をしているわけではございません。だけれども、何か問題があるんだったら我々も一緒に考えたいと思ってこの場で質問させていただいております。ですので、この一体感のなさをどうやったら一体感を持って、大臣がおっしゃられるように、再生本部、理事長がトップとして責任を持ってやられるのであれば、それが実行できるのか、教えていただけますでしょうか。
水島藤一郎 301

○参考人（水島藤一郎君）　今般、検証委員会の報告においても、また私どもの調査委員会の結論としても、組織上の問題として一体感のなさということを指摘され、指摘したということでございます。　その原因でございますが、何度か申し上げておりますが、ガバナンスの脆弱性、あるいはリーダーシップの不足といった役員や管理職の問題、担当者任せで情報が共有されない、あるいは組織としての判断がなかなか行えない、そうなっていない、それを担保するルールがないといった問題、あるいはルールの設定について現場の実態を踏まえた設定となっていない、あるいはルールを遵守する、これを徹底する仕組みが欠如しているということについては再々指摘されてきたところでございます。　こうした問題につきまして、機構発足以降、幹部職員人事を本部で一括して行う、あるいは全国異動を推進する、組織風土改革を進める、このような取組を行ってきておりますが、本部と現場との情報共有が隅々まで行き渡っていないということはやはり事実として認めなければならないし、それを改革しなければならないというふうに思います。　加えて、人事が一元的に管理されていないという問題がまだ残っております。日本年金機構が国民の皆様から信頼される組織となるためには、現下の問題を解決することはもちろんのこと、情報共有や組織内連携をうまく機能させ、職員一人一人が組織目標達成のために自ら考え自ら行動する、これを着実に実践すること、すなわち職員全員がお客様の年金を守ることに、この方向に向かって業務を遂行していく、これによって真の一体感のある組織ができ上がるというふうに考えておりまして、それに向け努力をしてまいりたいというふうに考えております。
薬師寺みちよ 302

○薬師寺みちよ君　時間になりましたので、終わります。ありがとうございました。
福島みずほ 303

○福島みずほ君　社民党の福島みずほです。　報告書が出たので、何が問題かということが以前よりもかなり分かるようになりました。とりわけ第三者委員会という立場でこれをまとめられた甲斐中参考人、今日もお出ましいただきまして、心からこの労苦に関して感謝を申し上げたいというふうに思っております。　ところで、これを、報告書を二つ、第三者委員会の分と年金機構と両方読んで、実は余りに驚いたことがたくさんあります。今日も委員からも出ておりますが、とりわけ、一部の者が重要な資料を出し渋り、黒塗りをするなどの態度は論外であるという検証報告書の三十六ページなど、この期に及んでまだこういうことが起きていたのかということに実は唖然といたしました。やはりそんな態度で改革などできるのかというのが一点です。　それから第二点目は、私たちは、これ、一民間企業であればこんなに議論を絶対しないんですが、甲斐中参考人も冒頭おっしゃいましたが、みんなの年金が懸かっている、みんなの年金の情報が懸かっているわけですから、こういう状況だとこの議論を国民の皆さんが聞いたら、本当に大丈夫かというふうに思われるというふうに正直思います。ですから、これはもうしっかりうみを出すというか、何が問題かをきっちりやって、もう一回やり直さなければならないというふうに思っています。　ところで、六月四日に至るまで遮断が実施されなかったことについて報告書で挙げてありますが、実は二つの報告書を読み比べてみますと、第三者委員会の方は、十九日の段階でインターネットの全面遮断に踏み切るべきであったというふうに書いてあります。ところで、機構の報告書では、十八ページ目、五月二十九日の時点で、当機構全体の統合ネットワークを通じたインターネット接続の遮断と同時に実施すべきでしたとなっている。ここでももう違うんですね。第三者委員会は十九日にやるべきだった、機構は五月二十九日の時点でやるべきだった。　このことについて、甲斐中参考人、水島理事長、それぞれ御見解をお願いいたします。
甲斐中辰夫 304

○参考人（甲斐中辰夫君）　私どもの調査結果では、それまでの状況を総合的に判断すると、やはり遅くも十九日の時点ではネット遮断すべきだったという結論になりました。
水島藤一郎 305

○参考人（水島藤一郎君）　まず、検証委員会の御報告では、五月十八日に送信されてきた不審メールが百通余りあったということでございまして、また、一旦五月十八日にこの送信元を切ったわけでございますが、切った後もまた新たにメールが送られてきたということでございまして、これに関しましては、機構は標的型攻撃であるということをきちんと認識をして、その時点でインターネットの遮断をするべきだったという御指摘でございます。　これに関しましては、まさにそのとおりだというふうに思っておりまして、私どもは二十二、二十三とセグメント遮断をいたしまして、最終二十九日にしておりますが、基本的にはできるだけ早く遮断を行うべきだったというのは、現在も私どもは同じように考えております。　ただ、私どもの報告書では、少なくとも五月二十日には遮断を行うべきだったというのが私どもの報告書の結論になっておりますが、十九日の方がよりよかったというふうには思っております。
福島みずほ 306

○福島みずほ君　今おっしゃった、十八日に職員に送信されてきた不審メールが百通余りということですが、そのことを機構が把握したのはいつですか。
水島藤一郎 307

○参考人（水島藤一郎君）　五月十八日同日でございます。
福島みずほ 308

○福島みずほ君　そうしたら、やはりその時点でもっと対応すべきではなかったんでしょうか。
水島藤一郎 309

○参考人（水島藤一郎君）　甚だ不明を恥じるわけでございますが、五月十八日にその報告を受けた際に私が指示をいたしましたのは、警察に御相談をして、届けなさいという指示でございました。遮断をしろという指示はいたしておりません。まさに今、不明を恥じております。　　　〔委員長退席、理事福岡資麿君着席〕
福島みずほ 310

○福島みずほ君　先ほど水島理事長は二十日とおっしゃいましたが、報告書の十八ページ目では、五月二十九日の時点で当機構全体の統合ネットワークを通じたインターネット接続の遮断と同時に実施すべきでしたとなっていて、二十九日ではないですか。
水島藤一郎 311

○参考人（水島藤一郎君）　ちょっと今私どもの報告書が手元にすぐ出てまいりませんが、いずれにいたしましても、それぞれの、二十九日ではなくて、それより前に統合ネットワークを通じたインターネットの遮断は行うべきであったというふうに考えております。
福島みずほ 312

○福島みずほ君　済みません、ちょっと初歩的なところで時間がもったいないんですが、十八ページ目、これは機構の方の十八ページ目なんですが、真ん中から下の段のところ、本来であれば、五月二十九日金曜日の時点で、当機構全体の統合ネットワークを通じたインターネット接続の遮断と同時に実施すべきでしたとなっているので、全てのインターネットの遮断を二十九日にやるべきだったというふうに私は読んだんです。違うんですね。
水島藤一郎 313

○参考人（水島藤一郎君）　ここの文章の趣旨は、二十九日に私ども統合ネットワークとの全面遮断をいたしまして、六月四日にインターネット回線、メールの回線を閉じております。したがいまして、私どもは二つの回線でインターネットの出口がございました。これを、六月四日にメール回線を閉じたわけでございますが、五月二十九日に同時に閉じるべきであったという意味でここに書いてございます。　それから、インターネット全体に関しましては、もっと前に、二十二あるいは二十日の時点でも止めるべきだったというふうに書いてあるはずでございます。
福島みずほ 314

○福島みずほ君　何日までに何をやるべきであったかということなんですが、一方で、二十九日の時点で全て遮断すべきであったという報告書になっていて、もちろんその前にもいろんな機会があったわけですが、他方、第三者委員会の方は、これは十九日の段階で全面遮断に踏み切るべきであったというふうにしております。この点については、やはり機構の判断よりも第三者委員会の方がもっと早く遮断すべきであったという点は機構としても重く受け止めるべきではないか、いかがですか。
水島藤一郎 315

○参考人（水島藤一郎君）　まさにその御指摘については重く受け止めておりますし、私どもの対応が間違いだということに関しましてはおわびを申し上げなければならないというふうに思っております。
福島みずほ 316

○福島みずほ君　いや、私が思ったのは、同時刻に同じような報告書が出て、一方はもっと早く、第三者委員会の方は十九日で遮断をすべきだと言っているのに、機構の方はもっと遅くて、全ての遮断が二十九日の時点だと言っている点で、やっぱりちょっと遅いんではないかというふうに思ったんです。　では、インターネットの遮断のルールが定まっていなかったというふうに報告書の十七ページにありますが、インターネットの遮断のルールは決まっていなかったんでしょうか。　　　〔理事福岡資麿君退席、委員長着席〕
水島藤一郎 317

○参考人（水島藤一郎君）　インターネットの遮断ルールは決まっておりませんでした。
福島みずほ 318

○福島みずほ君　ＮＩＳＣにお聞きをいたします。　インターネット遮断のルールが国の各機関、各独立行政法人で定まっているんでしょうか。その扱いはどうなんでしょうか。チェックはどうなっているんでしょうか。
谷脇康彦 319

○政府参考人（谷脇康彦君）　お答え申し上げます。　まず、政府機関でございますけれども、政府統一基準におきましてそうした規定がございます。すなわち、情報セキュリティーインシデントが発生した情報システムの停止又は隔離について、ＣＳＩＲＴ責任者の判断で指示又は勧告するとなっております。したがいまして、各府省庁の情報セキュリティーポリシー、手順書におきましても同じ旨の規定がされております。なお、こうした内容につきましては、各府省庁が自組織におきまして、この情報セキュリティー監査を行う際に自己点検を行っております。　また、独立行政法人でございますけれども、平成二十七年度より政府統一基準を踏まえたセキュリティー対策を講じるということになっておりまして、現在、その取組を進めているところでございます。　独立行政法人のチェック体制でございますけれども、基本的には、主務大臣が各事業年度ごとに評価を行う際に、その実施状況についても評価を行う、また、その結果についてはＮＩＳＣでも確認をするという体制になっているところでございます。
福島みずほ 320

○福島みずほ君　報告書の十七ページ目では、インターネット遮断のルールが定まっていなかったと機構の報告書にあるんです。だから、何か定まっていなかったのかなというふうに思っていたら、そうではなくて、実は、ＮＩＳＣからいうと、ある種のこうやれ、ああやれ、独立行政法人についてもこうやれというのはあったわけですよね。　ですから、インターネット遮断のルールが定まっていなかったという意味は、そういうものをちゃんと遵守していなかった、決めていなかったということなんでしょうか。これはどういうことなんでしょうか。
水島藤一郎 321

○参考人（水島藤一郎君）　私どものセキュリティーポリシーにおきまして、標的型攻撃について、抜線をするというルールはございましたが、そのほかインシデント手順書等が作成されておりませんでした。このことが今回適切に対応できなかった大きな要因の一つだというふうに考えております。　今後、標的型メール攻撃を受けたと認識した場合には、速やかにインターネット接続の遮断について検討すべき、行うべきと考えておりまして、その具体的なルール、手順等につきましては諸規定を整備する中で検討してまいりたいというふうに考えております。
福島みずほ 322

○福島みずほ君　ＮＩＳＣから見て一体何が問題なんでしょうか。つまり、ＮＩＳＣ側は、こういう手順があってこうだというふうに答弁される、一方で機構側は、遮断のルールが定まっていなかった、今後ちゃんと対応したい。何がまずいんですか。
谷脇康彦 323

○政府参考人（谷脇康彦君）　お答え申し上げます。　日本年金機構は特殊法人でございますので、そういった意味では、今、私どもの取組、これまでの取組は、政府機関及び独立行政法人でございました。今回の教訓を踏まえまして、公的業務を行う、政府と一体として行う特殊法人につきましてもこうした運用を明確に守っていただく、こういった体制の強化が必要だというふうに考えております。
福島みずほ 324

○福島みずほ君　しかし、年金ですから、情報が極めて大事だということはあると思うので、この間のいろんなルールを決めていなかったということは大変致命的だというふうに考えております。　それで、マイナンバーについてお聞きをいたします。インターネット遮断のルールについて、マイナンバーではルールは的確になっているんでしょうか。
其田真理 325

○政府参考人（其田真理君）　お答え申し上げます。　特定個人情報保護委員会では、昨年十二月に策定しましたガイドラインにおきまして、政府統一基準等に準拠した各省の情報セキュリティーポリシーを各省が遵守することを前提といたしまして定められているものでございますけれども、ガイドラインにおきまして、情報システムを外部から不正アクセス又は不正ソフトウエアから保護する仕組みを導入し、適切に運用する、また、個人番号利用事務の実施に当たり、接続する情報提供ネットワークシステム等の接続規定等が示す安全管理措置を遵守するといったことについて定めております。　また、今般の年金機構の事案を踏まえまして、七月二十九日に国の行政機関及び独立行政法人等に対しまして、安全管理措置を講ずるに当たり留意すべき事項といたしまして、個人番号利用事務で使用する情報システムが接続するネットワークはインターネットに接続されたネットワークから物理的又は論理的に分離すること、個人番号利用事務で用いる特定個人情報ファイルは電子媒体を介してインターネットに接続されたパソコン等で取り扱わないことということにつきまして通知をいたしまして、インターネットから分離する形で番号利用事務を行うことを求めております。　今後、政府部内におけるセキュリティー対策の検討状況も踏まえまして、ガイドラインの見直しを検討してまいりたいと思います。
福島みずほ 326

○福島みずほ君　マイナンバーの担当局としては、今回この年金に関してインターネット遮断のルールが定まっていなかったということは事前に把握をされていましたか。
其田真理 327

○政府参考人（其田真理君）　年金の特定個人情報評価書におきましては、マイナンバーを導入する際の取扱いとして、特定個人情報を扱う端末とインターネットを使う端末とを分けており、特定個人情報を扱う端末については外部と接続をしないことというふうに記載されておりましたので、そのように認識しております。
福島みずほ 328

○福島みずほ君　こういうふうに秘密を守ります、情報は漏れませんとあるけれども、実際はすごく漏れているわけですよね。　ちょっとよく分からないんですが、マイナンバーの場合も遮断のルールをガイドライン決めたりやっているというので、今回、実は年金機構においてインターネット遮断のルールが定まっていなかった、このことは、この報告書が出る前、あるいはマイナンバーの担当部局として知っていましたか、この問題点を。
其田真理 329

○政府参考人（其田真理君）　そういったルールは承知をしておりませんでしたが、評価書の記載において、インターネットと接続をしないというふうに記載がございましたので、そのように取り扱われるものというふうに認識をしておりました。
福島みずほ 330

○福島みずほ君　インターネットと接続しないから大丈夫という意味なんでしょうか。どういう意味なんでしょうか。
其田真理 331

○政府参考人（其田真理君）　接続をしないということに加えまして、個人情報の複製、それから外部への持ち出しを禁止する、それから不正プログラム対策や不正アクセス対策を講じることが記載されておりまして、これらが確実に実施されるのであればリスク対策として問題はないというふうに考えておりました。
福島みずほ 332

○福島みずほ君　いや、全然駄目ですよ。だって、外部への持ち出しやって、いろんなことがあって、全然対応できないということが明らかになったのが今回の事件であり、報告書なわけじゃないですか。　以前もこの委員会で議論しましたが、「特定個人情報保護評価書（全項目評価書）」で、評価書番号一、評価書名「公的年金業務等に関する事務　全項目評価書」、評価実施機関名厚生労働大臣、そして承認日平成二十七年三月三日、塩崎大臣がきちっと大丈夫だということを言っていると。　リスク対策のところの自己点検、十分に行っているとなっていて、そして具体的な内容、データに対するコンピューターウイルス対策を講じること、これ全部十分に行っているということなんです。ですから、今、マイナンバーの担当者が、外部に情報を持ち出しません、接続しません、だから大丈夫だと思っているというようなことは、絵に描いた餅じゃないですか。　実際、そういうことは一切履行されていないし、むしろそれに反する実務が横行している。それのチェックもできなければ、今現場がちゃんとやるということを前提に答弁されても、この評価書、全然駄目だったということじゃないですか。だったら、マイナンバーやり直すべきじゃないですか。
其田真理 333

○政府参考人（其田真理君）　特定個人情報保護評価書と申しますのは、特定個人情報を各機関が保有する前に、どういうシステムをつくってどういうリスク対策を講ずるのかということを評価し、記載をして公表する制度でございます。ですので、マイナンバーが導入され、年金機構が保有するときにはこのようにきちんとやるといった前提で書かれている評価書でございます。
福島みずほ 334

○福島みずほ君　きちっとやるということを前提に全部十分できるという報告書が出ているわけですが、実際、全く現実はそうでないという現実の報告書が出ているわけですから、絵に描いた餅。本人の自己評価、丸、丸、丸というのを信用してマイナンバーの導入することなど一切できないと思います。　マイナンバーについては、連合審査を要求をいたします。
丸川珠代 335

○委員長（丸川珠代君）　ただいまの件につきましては、後刻理事会において協議をさせていただきます。
福島みずほ 336

○福島みずほ君　もう一つマイナンバーで非常に懸念しているのは、実は県などは財政があるけれど、市区町村はサイバー攻撃やマイナンバーに対しての費用がとてもかさんで対応できないと。とにかく、大きな市ならまだしも、町村ではもう無理だとか、サイバー攻撃に耐え得るのかという話などを聞いたりしております。　今日、総務省に来ていただきました。自治体のサイバー攻撃への対応、これはできているんでしょうか。
猿渡知之 337

○政府参考人（猿渡知之君）　お答え申し上げます。　自治体における情報セキュリティー対策につきましては、本年三月に、標的型攻撃に対する対策等を加えまして、地方公共団体における情報セキュリティポリシーに関するガイドラインを改定し、その強化を図ったところでありますけれども、今般の日本年金機構における事案は自治体にとっても改めて重大な警鐘となりましたので、直ちに緊急時の対応体制やシステム、ネットワークの総点検等をお願いしているところであります。　総務省におきましても、専門家及び実務家から成る自治体情報セキュリティー検討チームを立ち上げまして、この八月十二日には中間報告が取りまとめられたところであります。　これを受けまして、インシデント発生時におけるＮＩＳＣまでの連絡ルートの強化や、あるいは自治体における緊急時対応計画の見直しと訓練の徹底等を図るとともに、インシデント情報の共有や情報セキュリティー専門人材のノウハウを自治体の対策に生かす仕組みづくりなどを今鋭意推進しているところであります。　今後とも、ＮＩＳＣを始め関係機関と連携しながら、自治体における情報セキュリティー対策が充実してまいりますよう努めてまいります。
福島みずほ 338

○福島みずほ君　もしサイバー攻撃をやろうと思ったら、強いところではなくて弱い自治体、というか町村から入ってやるとか、日本全国の市区町村全部でサイバー対策なんてやれないですよ。だって、年金機構でこれだけやれていないんだから、市区町村で本当にやれるのか、それに対して莫大な人員とお金とを割けるのかということもあり、その意味でも、マイナンバーには極めて弱点があるというふうに思います。　それで、今日警察庁にも来ていただいております。素朴な疑問で、誰が何のためにやったのか。現在、刑事捜査、言える範囲でどうなっているのか。それともう一つ、これ、被害届は書面でちゃんと出ているんでしょうか。
斉藤実 339

○政府参考人（斉藤実君）　本件事案につきましては、サイバー攻撃による年金に係る大量の個人情報が流出をした極めて重大な事案であると認識をしておりまして、現在、警視庁において捜査中であります。　具体的な捜査状況についてはお答えは差し控えさせていただきますが、委員御指摘の、誰が何のためにやったのかという点も含めまして、事案の全容を解明すべく現在鋭意捜査をしているところでございます。　お尋ねの被害届についてでございますが、現時点、被害届は提出をされておりませんが、警視庁におきましては、日本年金機構からの通報、相談があり、かつ関連する資料の提出も受け、所要の捜査を行っているところでございまして、被害届の有無が私どもの捜査に何らかの影響を及ぼしているということではございません。
福島みずほ 340

○福島みずほ君　いや、弁護士の立場からすると、被害届を出さないと警察は普通動いてくれませんよね。
斉藤実 341

○政府参考人（斉藤実君）　被害届の提出がなければ捜査をしないということではございません。
福島みずほ 342

○福島みずほ君　もちろんそういう回答になるかもしれないんですが、実際は、告訴、告発するとか被害届を出すとか、やっぱり書面を出して、これちゃんとやってくださいで、今回の件で高井戸警察署に相談しているという時点から、きちっとこれ刑事事件としてやるのかとか、被害届を書面で出してちゃんとやっているのかというのが、今日の答弁でも、被害届が書面として出ていないという点では、本当にちょっと、えっという声も出ておりますが、きちっと刑事手続としても構えて、あるいはちゃんとメスを入れてやるんだというのが本当に機構の側にあったのかというふうに思います。　それで、今日は資料として契約書をお配りをいたしました。というのは、報告書の中に何度も何度も運用委託会社というのが出てきて、それから、運用委託会社との連携が良くなかったと。例えば報告書の二十九ページ、運用委託会社は、部分的な情報をもとに五月八日の事象をマルウエアの分析結果に基づき、情報漏えいの可能性は極めて低いと報告し、機構もその内容をうのみにしてしまったというふうになっております。　報告書をいただきました。でも、この報告書を読む限りは、これはＬＡＮシステムサーバー等の賃貸料や保守業務であって、サイバー攻撃について本当にどこまで打合せをやり、どこまで責任を持ち、どこまでお金を払っていたのかというのがよく分からないんです。運用委託会社としっかり会って、きちっと会議をやって、打合せをやったんでしょうか。ということについて、理事長、いかがでしょうか。
水島藤一郎 343

○参考人（水島藤一郎君）　解析に関して手順書があるということは既に申し上げたとおりでございます。　五月十八日から二十日までに受信をいたしました不審メールへの対応につきましては、情報セキュリティー担当部署から運用委託担当部署を通じまして運用委託会社に、不審メールの受信者の確認調査、不審メールの送信元のメールアドレスの受信拒否設定並びにウイルスの解析等を依頼をいたしております。　この間、運用委託担当部署と運用委託会社との間では、受信拒否設定の具体的な内容や不審メールを特定するための抽出方法などの打合せを行っております。　なお、運用委託会社から、この時点で標的型攻撃に対する具体的な提言はなかったという報告を受けております。
福島みずほ 344

○福島みずほ君　質問は、この契約書を読む限りは、運用委託会社がサイバー攻撃に対して、先ほど別の契約の書面があるとおっしゃいましたけれど、どの程度関与してやっていたのか、役割分担も含めて極めて曖昧ではないかと思います。　私は、この点については素人なので、四十五億円、これは数年にわたるものですし、最後の年間の賃借料、環境整備等に係る一時費用として年間十二億円払っているというのも、多いのか少ないのか、これにサイバー攻撃の分が入っているのか入っていないのかというのもよく分かりません。また、報告書の中に、ＣＩＯ補佐官の活用ができていなかったとか、いろんな記述があるのですが、まだたくさん論点がありますので、引き続きしっかり追及するよう集中審議をお願いすると申し上げ、質問を終わります。
丸川珠代 345

○委員長（丸川珠代君）　本日の調査はこの程度にとどめ、これにて散会いたします。　　　午後三時五十分散会

2015-08-25 第189回国会 参議院 厚生労働委員会 第28号 公式Web版

2015-08-25 第189回国会参議院厚生労働委員会第28号公式Web版