■渡辺委員長
質疑の申し出がありますので、順次これを許します。西村智奈美君。
■西村(智)委員
民主党の西村智奈美でございます。
質問に先立ち、一言申し上げます。
先週金曜日に開催された当厚生労働委員会において、一部我が党議員の行為で委員会運営に混乱を招いてしまい、理事として遺憾の意を表します。
渡辺委員長と松野理事に御迷惑をおかけいたしましたこと、深くおわび申し上げます。
今回の反省に立ち、今後は与野党で民主的な委員会運営が行われるよう私としてもさらに努力してまいりますので、どうぞよろしくお願い申し上げます。
それでは、質問に入ります。
きょうは、一般的質疑、私たち民主党からいたしますと先週の補充質疑ということでもありますので、年金情報流出問題そして派遣法について質問をさせていただきます。
私はやはり、この間、国民の大きな関心事となっております年金情報流出問題について、この委員会、国会の中での議論のみならず、私たち民主党で設置しております対策本部での議論も日々行っているんですけれども、それを上回るスピードでマスコミにさまざまな情報が出ているということは、二度にわたる流出が起きているというふうに言わざるを得ません。
今回は、検証委員会を設置して、大臣としては、第三者的にそちらの方で経過の検証をしてもらい、防止策を講ずるという考えのようでありますけれども、ちょっとまだその前にやはり国会で明らかにしていただきたいことはたくさんありますし、そもそもその検証委員会についても、私たちは聞いていてもまだわからないことが多いということは申し上げたいと思っています。
この間、我が党の議員からも、例えば、この年金情報流出問題にかかわるさまざまな経費が発生しています。コールセンター、調査のため、あるいは基礎年金番号を更新するためということで、さまざまな費用がかかっているというふうに思いますし、また、どこかからその費用は出さなければいけないということで、その出元はどこなんだということについて何度も質問してきました。
事業にかかわる保険料から支出をされるのか、それとも、運営事務にかかわるということで国庫の方から支出をされるのかということで何度も質問しているんですけれども、それに対する答弁は、検証委員会の結果を待ってみないとわからないということなんですね。
同じことを聞いても同じ答えが来るということはほかにもありまして、例えば補償の問題です。
成り済ましなどによって被害が生じたときに、その被害は補償されるのかといったことについても、これは責任体制が明確になってからであるから検証委員会の結果を待たなければいけないということで、どうも、私たちが聞いていることについて、検証委員会で検討するということに逃げ込まれてしまっているんじゃないか、こういう気がしてならないんです。
大臣に、冒頭お伺いをいたします。
設置をされましたこの検証委員会、いつまでに結論を得るということで、大臣は指示と申しましょうか要請をされているんでしょうか。
■塩崎国務大臣
日本年金機構不正アクセス事案検証委員会、これは、去る六月の四日にスタートさせていただいて、その翌週の月曜日に第一回目の会合を開催させていただきました。
私の方からは、検証委員会に対しましては、専門的な知識を持った方々にお集まりをいただいています。第三者の厳しい目で検証するということが大事であって、当事者の日本年金機構や、それから監督者である厚生労働省みずからがみずからの検証をすることは、これは当然であります。しかし、やはりそれに加えて第三者の目が必要だということで検証委員会をつくっているわけであって、我々は、今回の検証委員会に全てを丸投げしているようなことは一切ありませんで、我々が自分たちで検証する上に、さらに第三者の厳しい目で見ていただこう、それも、原因究明と再発防止策についての検討を早急に行っていただきたいということをお願いしているところでございます。
■西村(智)委員
私が言ったことを繰り返しおっしゃらなくても結構ですから、いつまでにという期限だけお答えをいただきたかったんです。
ところが、早急にということで、これは期限を示されていないわけですね。これではいつまでたっても、先ほど冒頭申し上げた、例えば補償の問題をどうするのか、それから、そのお金の原資は国庫から出るのか保険料から出るのか、これについても結論が得られないということがずっと続いていってしまうわけですよ。こういう無責任な体制では私はいけないというふうに思います。
昨日、検証委員会の中に、事務局員たる参与が任命されましたね。九名の方が参与として任命をされたと伺っております。この検証委員会と事務局は、言ってみれば二重構造的になっているといいましょうか、検証委員会の本体があって、その下に事務局長がヘッドとなる事務局がぶら下がっている、こういう関係だというふうに理解してよろしいですか。
■塩崎国務大臣
さっき申し上げたように、第三者性を持った検証委員会にも検討していただくということが大事だということで、その第三者性をどう担保するかということを考えました。
普通、役所の中で検証委員会とか、あるいは普通に何か委員会をつくるときには、事務局は役人がやるということが多いわけであります。しかし、今回は、役人は本当に最低限の日程調整とかいうロジをやる程度であって、今回のこの事務局は、各委員の推薦をいただいた参与を任命するということで、今お話しの参与が昨日任命をされたわけでございまして、これを事務局員として充てる。
委員が事実関係の調査とか再発防止策の検討を行う際にこれを補助するという機能がこの方々に期待をされているわけでありますし、それから、最終的な報告書をつくられる際に原案を起案するのもこの人たちということで、決して厚生労働省の役人がそういった中身についてかかわるということはさせないというのが、私たちの、この第三者委員会をつくったときの、第三者性を担保する手だてとしてこれをやろうということで、これで担保しようじゃないかということでございます。
■西村(智)委員
何か大臣の答弁を伺っていると、検証委員会と事務局との関係についてますます混乱してくるんですが、きのう、我が党の調査対策本部で答弁してくださった方の方がクリアに言っていらっしゃいましたよ。組織図を描くとすれば、検証委員会の下にその事務局がぶら下がって、そこに参与として九名の方が入っていく、こういう形になるんだということなんですね。
それで、冒頭の質問に関係するんですけれども、この検証委員会、いつまでに結論を得るのかという期限は示されませんでした、大臣は先ほどの答弁で。では、この参与を任命するときに、これは大臣が任命をされていらっしゃるわけですから、普通であれば任命期間を区切って、そして大臣からの任命書が出ていると思いますけれども、それについて、その内容を明らかにしていただけませんか。
■塩崎国務大臣
先ほど先生がおっしゃった中で、万が一成り済ましで年金を横取られたというようなときに、この委員会の検証を待ってとおっしゃったですけれども、それは、私たちはそういうことは言ったことはないと思います。
そこで、参与の任期についてのお尋ねでございますが、これは、本年八月三十一日までとしつつ、再任を妨げるものではないということとしております。本年八月三十一日までという任期は、あくまで事務的な区切りにすぎず、検討の結論を出していただく期間について何ら拘束するものではないというふうに考えております。
いずれにしても、私からは、検証委員会に対して、第三者の厳しい目で原因究明と再発防止策についての検討を早急に行っていただきたい旨をお願いしております。
ただ、徹底的な検証をお願いするということで一定の時間はかかりますけれども、やはりスピード感というのもとても大事でありますので、早急にということで、また委員長ともよく御相談をしていかなければならないというふうに考えております。
■西村(智)委員
申し上げるまでもありませんけれども、厚生労働省は、NISCから指定されている重要インフラ所管官庁の五つのうちの一つに当たります。そのほかにも、医療分野、水道分野など極めて重要な情報セキュリティーのシステムを保有しているわけですし、これからまたマイナンバー制度等々が始まってくるということになれば、早急にその原因をきちんと突きとめるということと、対策、防止をしっかりとやらなければいけないということだと思いますので、ぜひ、この検証委員会の議論に対しては、大臣から、もうこれは八月三十一日という一応の任命期限の区切りがあるわけですから、それを再任しなくても済むように、国会できちんと答弁をするためにもそこは必要なことだからと言ってきちんと督促をしていただきたい、こういうふうにまず強く要望したいと思います。
それで、改めて具体的な事実関係に戻っていきたいと思うんですけれども、十六日の我が党の調査対策本部の会合でこういう発言がありました、発言というか説明がありました。
五月八日に、ログの解析を機構が運用委託会社に依頼しております。このログの解析結果は、出てきているし、機構が受けていることは間違いないんだけれども、NISCが受け取っていないんだということなんです、この五月八日のログの解析を。NISCがログ解析結果を受け取っていないということは、手順書に反するという旨の発言がありました。これは担当の方がそのように発言をしていました。
どういう点が手順書に反しているのか、これはNISCと大臣にお伺いをしたいと思います。
■谷脇政府参考人
お答えを申し上げます。
ただいま委員御指摘のとおりでございますけれども、セキュリティーポリシーのベースラインである私ども政府の統一基準におきましては、インシデントを認知した際の府省庁関係者への報告手順あるいは対処手順を各府省において整備するということ、それから、情報セキュリティーインシデントを認知した場合には、当該事象について速やかにNISCに連絡をすることというふうに規定をしているところでございます。
厚生労働省の手順につきましては、厚生労働省から御回答ということになろうかと思います。
■塩崎国務大臣
西村先生が今御指摘になられました、五月八日の機構でのログ解析結果をNISCが受け取っていないのは手順書に反するという趣旨の発言を部門会議でしたようでございまして、結論から申し上げますと、その発言は正確ではなかったというふうに思います。
機構のログ解析の結果をNISCが受け取っていないことについては、情報セキュリティーインシデント対処手順書に反するとは言えないわけでありますが、専門機関でございますNISCへの緊密な連絡などをどのように確保していくか、これについては、今後のみずからの検証の中で改善をしていかなければならない点だというふうに思っておりまして、検討を加えていきたいと思います。
いずれにしても、申し上げた事務方の説明は正確性を欠いていたというふうに思っているところでございます。
■西村(智)委員
この五月八日の初動の不手際が、私はやはりいろいろな意味で被害を拡大させたというふうに思います。ですので、ウイルスの分析、解析も大事なんですけれども、このログの解析がきちんと共有をされていれば、もしかしたらこのような大きな流出はなかったんじゃないかというふうに振り返りますと、確かに手順書には反していなかったかもしれないけれども、そこは、NISCがまさに政府全体を統合する情報セキュリティーのかなめでありますので、そことの情報共有ができていなかったということは私は甚だ遺憾です、残念でなりません。これはもう大変大きな問題だったというふうに思います。
それと同時に、先ほどNISCからの答弁で、情報セキュリティーインシデントというふうに認知といいますか認識されていれば、またその後の対応も変わってきたのではないかというふうに思うわけなんです。
それで、情報セキュリティーインシデントという事象だということになれば、またその手順書の中で別な対応というものがあり得た。NISCがさまざま示しているガイドラインなどからしますと、各府省でつくるいわゆる手順書には、例えば、情報セキュリティーインシデントだと認識された際にはこういうことを対応するように手順書には書き込めといってガイドラインが示されているわけですから、情報セキュリティーインシデントとして認識されるかどうかというところも私は大事なポイントなんだというふうに思うんです。
そこで、大臣に伺いたいんですけれども、どういう状態になれば情報セキュリティーインシデントだというふうに認識されるのか。これは、情報に関するさまざまな事象というのは毎日起こるわけですし、いろいろなレベルのものがあると思います。その中で、どういうふうになったら情報セキュリティーインシデントだというふうに認識をするんでしょうか。
■塩崎国務大臣
先生が今御指摘になった点は大変大事な点だと私も思っていて、今後、これについてはさらによく考えなければいけないなと私も思っているんですけれども、厚生労働省セキュリティーポリシーでは、情報セキュリティーに影響を与える、または与えるおそれのある事故や事件の発生、予告等を情報セキュリティーインシデント、こういうふうにしております。
インシデントの判断については、NISCからの不審な通信の検知の連絡があった時点では内容が明らかではなくて、その内容を判明させる過程でインシデントと位置づけられるものではないかというふうに思います。
いずれにしても、今回、手順は、先ほど御指摘をいただいたように、手順書どおりに一応やってはいますけれども、結果として個人情報が流出したということを考えてみれば、どの時点でインシデントと認識を明確にすべきであったかどうかという問題については、よくよくこれはみずから検討し、もちろん第三者委員会にも検証していただきますけれども、政府を挙げてやはりこれは考えていかなきゃいけないことだというふうに思いますが、最も考えなきゃいけないのは、機構とそれから我々ではないか、厚生労働省ではないかというふうに考えております。
■西村(智)委員
そこで、改めてこれは要請したいんですけれども、厚生労働省のセキュリティーポリシーと、それからいわゆる手順書、対処の手順書、これを私はやはり明らかにしていただきたいと思います。何度も私たちは要求をしておりますけれども、これについては示されない。質問したときに、その部分の抜粋的なところだけは答弁で出てくることはありますけれども。
つまり、この間、五月の八日以降起こってきた事象が、本当にそのセキュリティーポリシーあるいは手順書に合致していたのかどうかというところをまずはやはり検証しないといけないと思うんです。ですから、そのポリシーと手順書は公開をしていただきたい。ガイドラインは既にNISCから公開をされているわけですから、これはもう、セキュリティー上の懸念があるとかないとか、そういうレベルの問題じゃないと思うんですね。これはセキュリティー能力を明らかにすることとは無関係だと思いますので、ぜひ明らかにしていただきたい。
それと、私は、この間の経過、まあ、手順書、ポリシーを見てみないとわからないんですけれども、恐らくは、情報セキュリティーインシデントであるかどうかを判断するのは、いわゆる専門家といいましょうか、特定の人、特定の技術なりノウハウなりを持った人に任せっきりにされていてしまったからこういうことにもなってしまったんじゃないか、問題を大きくしてしまったのではないかというふうに思うんです。
この間、私たちは、実際に、五月の八日から情報をとどめていたとされる係長さんからも直接話を聞いて、その点も検証したいというふうに申し上げてまいりました。だけれども、まだ残念ながら直接話を伺うことはできておりません。
しかし、その係長さん一人に何でもかんでも責任を押しつけていくというようなことはあってはならないし、大臣はたびたび、これは厚生労働省の組織全体の問題だというふうに言っているわけですから、厚生労働省の責任としてつくられているセキュリティーポリシー、そしてこの手順書、これが明らかにならない限りは、やはり、専門家に任せっきりにして、そこに責任をなすりつけてこの事件を幕引きしようとしている、そういうふうな疑いを私は晴らすことはできないと思います。
大臣、この点についていかがでしょうか。
■塩崎国務大臣
先ほどセキュリティーインシデント対処手順書の公開についてお話がございましたが、これはもう、西村議員も与党でおられたときに政府の中におられて、厚生労働省の大臣政務官をおやりになってわかっておられると思いますのであれですけれども、今回の厚生労働省のセキュリティーポリシーに基づくインシデント対処手順書を公開するということについては、先ほどお話がございましたけれども、やはりこれはセキュリティーの、言ってみれば手のうちというか、能力を含めて手順などを示すということになってしまいますので、攻撃者を利することになるので、恐らく世界的にもなかなかそういうことはないのではないかというふうに思います。
今、専門家に任せっきりにするような手順になっていないかというお話がございました。
専門家ということでありますけれども、事案に対処するための判断は、課室情報セキュリティー責任者を初めとした、これは課室長でございますが、責任者が行うこととなっている一方で、情報セキュリティー分野に知見を有する専門家として政府CIO補佐官を指揮連絡体制に配置し、適宜相談をするということになっているわけでありますけれども、最終的に決めるのは専門家ではないわけであって、この責任者が決めなければいけない。
今回の事案は、御指摘のように、報告が手順どおり上司に上がっていない、こういう大きな問題点があったことは率直に認めるわけでありまして、この判断の手順が適切に行われていなかったということの反省がございますので、この手順書の運用は今後とも徹底をしていかなければならないというふうに思っているところでございます。
■西村(智)委員
だから、それが適切なものかどうか、そして、今回がその手順書に沿って時系列に流れてきたのかどうかということを検証したいために、ぜひ提出をお願いしたい。
あわせて、情報セキュリティー体制も知りたいのでお願いしますというふうに言ったら、これも出せませんと言うんですよ。何か、どうなっちゃったのかなと思いまして。情報セキュリティー体制、厚生労働省の体制がどうなっているのか知りたいので出してくださいと資料をお願いしたら、これも出せない。これも何かセキュリティー能力が明らかになるので出せないと言うんですけれども、それはちょっとおかしくないですか。体制の話ですよね。これも出せないということになると、本当に、厚生労働省は何かを隠そうとしている、隠蔽そのものじゃないかというふうに申し上げざるを得ません。
私は、今回の件はまだまだ明らかにされなければいけないことがいろいろあると思います。成り済ましで年金の不正な支給がなされたかどうかということもまだ明らかになっていませんし、何より百二十五万件にとどまるのかどうか、情報のサーバーに一体幾つのファイルがあって、一体何万件の情報があったのかということも、私は明らかにされるべきだと思います。
その上でこそ国民の不信感が払拭されるべきだと思いますので、そこは厚生労働省がみずからしっかりと背筋を伸ばして対応してくれるように希望して、質問を終わります。
