■西村(智)委員
民主党の西村智奈美です。
先日、理事懇でようやく時系列に沿った年金機構と厚生労働省のペーパーが出てまいりました。出てまいりましたけれども、先ほど来議論がありますように、私は、まずこれは大変不十分なものだと思います。既に新聞報道等で出ている情報が何ら見られない。そして、それが正しいのか正しくないのかということを判断したくても、ここにはそういった記述がないということでありますので、私はやはり、このペーパー、もう一回整理をしていただいた上で、本当の意味で、みんなが事実に沿った、エビデンスに沿った議論ができるように、引き続き整理をすべきだということをまず冒頭申し上げたいと思います。
それで、きょうは、このペーパーに関して二点に絞って伺いたいと思います。
一つは、NISCからのアラートの件なんです。
この時系列ペーパーを見ますと、NISCから、厚生労働省を経由して、機構に不審な通信を検知したという報告があったのは、五月の八日と五月の二十二日の二回だけになっています。
けさもちょっと我が党の部門会議で出てきたんですけれども、厚生労働省へは、昨年度、十四件の通報がある、今年度に入ってからは四回の通報があるということなんですけれども、内閣官房にお伺いいたします。
NISCは、五月八日以降、二十二日までアラートを検知していなかったでしょうか。
■三角政府参考人
お答え申し上げます。
この日本年金機構の事案につきましては、五月八日にNISCが不審な通信を検知した後、厚生労働省に対し通知を行いました。その後、同日中に厚生労働省からNISCに対して、PCを抜線したとの報告を受けました。そこで、一旦検知がとまっていることをNISCとして確認しております。
その後、NISCとしましては、監視を継続していたところ、五月二十二日もまた不審な通信を検知し、厚生労働省に対して通知を行い、同日中に厚生労働省からNISCに対して、PCを切断したとの報告がございました。これについても、検知がとまっていることをNISCで確認いたしました。
その後、厚生労働省からNISCに対して、ネットワークも遮断する旨の報告があったわけでございます。
その後も、NISCで監視を継続しておりますけれども、年金機構に関しまして検知はしておりません。
■西村(智)委員
確認ですけれども、五月の八日から五月の二十二日までの間、アラートは検知していなかったということですか。
■三角政府参考人
はい、そのとおりでございます。
■西村(智)委員
そういたしますと、その間のことについては、大臣もそのとおり答弁しているということで確認をしたいと思います。
続いて、五月の八日のウイルスの分析結果についてなんです。
このペーパーを見ていて私がちょっと不思議に思いましたのは、例えば、機構の方から警視庁の方に届け出をしていたり、あるいは、五月の八日のウイルスについてはNISCの方といろいろなやりとりをしていたりということがあるんですけれども、このウイルスの解析について記述があるのは、五月の十五日の金曜日、このように書いてあります。「機構、ウイルス除去社から、「新種ウイルスは、外部に情報を漏洩するタイプではない」との解析結果を受領」したということなんです。機構がこれを厚生労働省に報告したということなんです。
内閣官房に伺いますが、五月八日のウイルスの分析結果ですけれども、このように書いてあるんですが、NISC自身はこれを分析していないんですか。
■三角政府参考人
お答えいたします。
今回の事案において、NISCは、五月八日に不審メールを受信してから、速やかに厚生労働省に対してその通知を行いまして、これに関する不正プログラムの入手を求めていたところでございます。そして、不正プログラムを十五日に厚生労働省から受け取りまして、解析をいたしております。
■西村(智)委員
NISCも解析をしているんですよね。その解析結果については、どういうものであったかということについては申し上げられないというふうに私もきのうレクを受けておりますので、これ以上はセキュリティーの関係もあるということで、ちょっと譲ることにはなりますけれども、これ以上は踏み込まないことにいたしたいと思います。
それで、警察庁にも伺いたいんですけれども、五月八日のウイルスについて、水島理事長は先日、十九日以降に警視庁に提供しているというふうに答弁しておられました。警察庁としては、五月八日のウイルス、分析をしていますか。
■塩川政府参考人
お答えします。
捜査状況の詳細にわたるお話になりますので、一般論としてお答えさせていただきますけれども、サイバー攻撃に対する捜査においては、お尋ねにあるようなログの分析を含め、所要の捜査を行うものと承知しております。
■西村(智)委員
その内容についても、セキュリティーの関係があるということで、本当は聞きたい気持ちはたくさんあるんですけれども、これ以上はあえて踏み込まずにおきます。
ということで、内閣官房も警察庁も、五月八日のウイルスについては、分析を行い終わったか、行っているか、一般論としてというお答えもありますけれども、やっているわけなんですけれども、ちょっと不思議に思いましたのは、なぜその事実が昨日のこの経緯のペーパーに出てこないのかということなんです。
五月の十五日の記述は、新種ウイルスは外部に情報を漏えいするタイプではないということでウイルス除去社からの結果を受け取ったと。そうしますと、私などのような素人は、ああ、そういう解析結果だったから年金機構や厚生労働省も安心をしたのかなという、まさにこの結果をうのみにしたんじゃないかという疑いがある。
そして、ここでこういう結果だったからということで、年金機構や厚生労働省は、まさにこの結果に言ってみれば責任を負わせる形で、本当はもっと危機意識を持って、NISCや警察庁の分析も参考にしながら対応しなければいけなかったものを、このウイルス除去社の分析結果だけをこのペーパーに記載して、そしてここに責任を負わせて、十分な対策をこの前後もとっていなかったということを正当化しているんではありませんか。機構の理事長に伺います。
■水島参考人
私どもといたしましては、その解析結果について、判断の参考にしたことは事実でございます。その結果を踏まえて判断をしたわけでございますが、その判断が正しかったかどうかということについては、現在起きております事実を踏まえますと、我々として、今振り返ってみる必要はあるかというふうに思っております。
■西村(智)委員
私は、この経過のことも申し上げたいんですけれども、このペーパーの作成そのものについても言いたいんですよ。
これはやはり、機構ないしは厚生労働省が、責任をあたかもこのウイルス除去社の解析結果に負わせようとして、あえてこれだけ書いているんじゃありませんか。厚生労働大臣、いかがですか。
私は、このペーパーの作成についても、やはりそういう意味で、責任の所在について極めて曖昧なまま、それをどこかに転嫁しようとしているようなペーパーであるというふうに見えます。この分析結果だけを記載していて、NISCや警察庁の分析については一言も触れていないわけですから。その点についてはいかがでしょうか。このペーパーは、やはりそういった観点から、厚生労働省の、どのタイミングで、どういう形で責任があるのか、それも踏まえた上でもう一度つくり直すべきだと思いますが、いかがですか。
■塩崎国務大臣
私どもに御指摘のような意思はあるわけではないのであって、事実は事実としてお書きをしているわけでございますし、NISCの方は、やはりこれはセキュリティーの問題でございますので、NISCの方の内容とかそういうことについては、セキュリティー上、これは国益からも明らかにしないということは十分あるわけでございますので、決してそのような意図はございません。
■西村(智)委員
民間会社のせいにするんですね。ウイルス除去社からの解析結果をもとに、それまで、あるいはそれ以降もきちんと対策をとってこなかったということを正当化する。こういったところに私たち国民の年金情報が任されているのかと思いますと、本当に背筋が寒くなる思いがいたします。これは大変大きな、厚生労働大臣、厚生労働省全体の責任だということは改めて申し上げたいと思います。
そして、ちょっとまた事実の確認をさせていただきますが、五月の二十三日、土曜日ですが、十九台のPCからの大量発信を確認したとあります。土曜日なんですね。これはどうしてですかと聞きましたら、土曜日だけれども職員が出ていることもあるだろうから、十九台ぐらいは動いていたんじゃないかというふうに、けさ我が党の部門会議であったわけなんです。
ちょっといろいろ聞きたいんですが、二十三日の十九台、このPCと、二十五日のいろいろな行動、例えば警視庁への説明ですとか厚生労働省への報告を行っているわけなんですけれども、これは、二十三日の事案について警視庁や厚労省に報告をしているということの理解でよろしいんでしょうか。
■水島参考人
少なくとも、二十三日の事案を踏まえて御相談をしているということでございます。
■西村(智)委員
非常に悠長なというか、対応がやはり遅いと思います。土曜日に確認した大量発信について、週が明けて二十五日に警視庁や厚生労働省に対して説明をしたり報告をしているということですから、これは本当に危機管理意識がどうなっているのかというふうに思いますよ。これは年金機構の問題もありますけれども、厚生労働省の問題もある。
NISCは、二十四時間でウイルス、またデータの送受信等々について監視をしているということでありますけれども、やはり私は、まずは五月の八日になぜ遮断をしなかったのかというその最初の、初歩の間違い、そして、さまざま、その後いろいろな間違いがあるんだけれども、例えば二十三日の日も、私はここは、大きな間違いをやった、重要な、重大なポイントなんだというふうに思います。
本当に幾つも、どこかで踏みとどまってこの流出をもう少し防げたかもしれない、そういったポイントをやり過ごしてきてしまったために、今、百二十五万件という件数があって、そしてまた、これがさらに拡大をするかもしれないというおそれがあるわけですよね。
私は、この問題、やはり、年金機構を所管する厚生労働省そのものの問題でもあるというふうに思います。大臣、この点についていかがですか。
なぜ二十三日の土曜日に感知された大量のデータ通信が、二十五日になって厚生労働省に報告をされているのか。緊急のことだからもっと早く情報を上げる、そういうセキュリティーポリシーであるべきだと思いますけれども、そういうふうにはなっていなかったんでしょうか。
■塩崎国務大臣
これはもう既に何度か申し上げておりますけれども、手続を踏んで、厚労省と年金機構が相談をしながら、不正メールの、言ってみればウイルス攻撃段階としての理解でやってまいりましたが、結果として個人情報が流出してしまったということについては、これは責任を重く感じなければいけないことであるわけで、私どもも監督者として責任を感じているわけでございます。
今の、タイミングの遅さということについても、その対策が適切であったかどうかということについても、これを含めて、私どもは、しっかりこれまでのプロセスについて検証を重ねて、今後の対策に生かしていかなければならないというふうに思いますし、何が起きたのかということは、一つは、捜査がありますから捜査の方でも究明されると思いますが、私どもは、今回の不正アクセスの検証委員会でもって徹底的に究明してもらって、次なる対策に当てていきたいというふうに考えております。
■西村(智)委員
捜査の問題があるとおっしゃいましたけれども、政府内部の問題ですよ。大変低い危機意識、これでは、とても私たちの本当の意味での個人情報、そして年金情報を任せることはできません。
申し上げて、質問を終わります。
