質疑配布資料はこちら　⇒　20150611質疑資料
○山本太郎君　おはようございます。生活の党と山本太郎となかまたち共同代表の山本太郎です。

今回の漏れた年金問題、年金情報漏えい事件について、内閣サイバーセキュリティセンター、ＮＩＳＣに質問いたします。

谷脇副センター長、ＮＩＳＣの情報統括担当者の説明では、五月八日にＮＩＳＣは不審な通信を検知して、厚生労働省の政策統括官付情報政策担当参事官室に通報した。情報政策担当参事官室は年金局に連絡、年金局は日本年金機構に連絡をしました。日本年金機構は調査の結果、標的型メールの攻撃を受け、ＰＣが感染したことを確認、そのことを厚生労働省年金局に報告、年金局は情報政策担当参事官室に報告、参事官室はＮＩＳＣに報告しました。全て5月8日のことでした。

日本年金機構が標的型メールに攻撃され、ＰＣが感染した事実、これは情報セキュリティーインシデントと言うそうですが、ＮＩＳＣの情報統括担当者によると、その事実を5月8日、その日のうちに、システム上、谷脇副センター長も高見澤センター長も知り得る状態にあったと昨日の質問レクのときには説明がありましたが、実際に谷脇副センター長が日本年金機構が標的型メールで攻撃を受けＰＣが感染した事実を知ったのはいつでしょうか。

○政府参考人（谷脇康彦君）　お答え申し上げます。

ＮＩＳＣにおきましては、今委員から御説明ございましたように、5月の8日に不審な通信を感知して以降、厚生労働省に対しまして被害拡大の防止や早期復旧のための措置について必要な助言を行うとともに、厚生労働省が講じた措置について報告を求めたところでございます。

委員お尋ねの、私を含みます特定の職員が今回の事案及びその重要度をどの時点で認知したのかという点につきましては、ＮＩＳＣにおけるインシデント対処基準など、これを明らかにすることによりまして具体的に攻撃者を利することとなりますので、お答えは差し控えさせていただきたいと思います。

○山本太郎君　利することになるんですか、これ。ということは、その日のうちには標的型メールで攻撃を受けたということは気付いていなかったということですよね。早く気付けば、別にそのリスクにつながらないじゃないですか。発見されて、すぐその内容が分かったよと言った方がセキュリティー上はいいわけですよね。それを答えられないということは、恐らくすぐには分からなかった。5月8日にはこの標的型メールで攻撃を受けたということはなかったということですか。

○政府参考人（谷脇康彦君）　ＮＩＳＣといたしまして、5月の8日に本件事案につきまして、インシデントとして認知をしたということは間違いなく事実でございます。

非常に多くのインシデントが日々発生をしているところでございますけれども、ＮＩＳＣの中におきますインシデント対処基準におきまして、どのレベルに重要度に応じて上げていくという内規がございます。その具体的な、どういうタイミングでどこまで上げたのかという点については、お答えを差し控えさせていただきたいと思います。

5月8日にＮＩＳＣとしてはインシデントを認知していたというのは間違いなく事実でございます。

○山本太郎君　ＮＩＳＣとしてはそうですけれども、谷脇副センター長はどうなんですか。いつ知ったんですか。5月8日のうちにもう知っていた。

○政府参考人（谷脇康彦君）　繰り返しで恐縮でございますけれども、私のところでどの時点で認知をしたのかと、これはインシデントをＮＩＳＣがどの程度重篤であるというふうに認知したかということと密接に関連をいたしますので、お答えは差し控えさせていただきたいと思います。

○山本太郎君　そうですか。何かこの情報セキュリティーインシデントということに関して、三日に一回ぐらいあることなんですよね、三日に一回ぐらい。日常的にあるもので、だから、どっちかというと、これもまあいつもどおりの三日に一回のやつかなという認識だったかもしれないし、5月8日には気付いていなかったのかもしれないですよね、いつものこと過ぎて。

次に参ります。

お手元の配付資料を御覧ください。これは、今年の2月13日、第一回サイバーセキュリティ対策推進会議で配付された重大インシデントへの対応等についてという資料です。1ページと4ページにございますサイバーセキュリティ戦略本部重大事象施策評価規則の第一条、特定重大事象の二項に、「情報の漏えいを伴う事象であって、国民生活又は社会経済に重大な影響を与え、又は与えるおそれがあるもの」とあります。

今回の事案、これに当たるとＮＩＳＣの担当者から説明を受けました。副センター長、そのとおりですか。

○政府参考人（谷脇康彦君）　今委員御指摘のとおり、サイバーセキュリティ基本法の第二十五条第一項第三号におきまして、サイバーセキュリティ戦略本部の事務といたしまして、国の行政機関で発生したサイバーセキュリティーに関する重大な事象に対する原因究明のための調査、これを行うこととされているところでございます。

この事務の処理要領を定めるために、今御紹介ございました本年2月の第一回のサイバーセキュリティ戦略本部におきまして、サイバーセキュリティ戦略本部重大事象施策評価規則を決定をしております。その中で、サイバーセキュリティーに関する重大な事象につきまして特定重大事象と定義をいたしまして、その一つの類型として、情報の漏えいを伴う事象であって、国民生活又は社会経済に重大な影響を与えるものというものを掲げているところでございます。

今回の事案でございますけれども、国の業務でございます年金業務を厚生労働省と年金機構が一体的に提供しており、かつ百万件を超えるという国民の個人情報が漏えいしていると、国民生活に重大な影響を与える特定重大事象として政府を挙げて対応するよう官房長官から御指示を受けたところでございます。

○山本太郎君　ありがとうございます。そのとおりだということを説明していただいたんですよね、今。

一昨日のレクでのＮＩＳＣの情報統括官、担当者の説明では、5月19日、日本年金機構が警視庁高井戸署に相談及び捜査依頼をした日です。この日の夕方、同じ日の夕方に行われたＮＩＳＣと厚生労働省の打合せの席でＮＩＳＣは日本年金機構が警視庁高井戸署に捜査依頼した事実を知り、ＮＩＳＣは危機意識を持ったという説明、このような説明をいただきました。

けれども、昨日、この説明、全面的に訂正されちゃったんですよ。ころころころころ変わるんですね、言うことが。もう三回か四回レク受けているんですけど、毎回毎回訂正入って、一体どれなのという、迷ってるの、まだ、という話なんですよね。昨日の説明では、警視庁高井戸署への捜査依頼への事実をＮＩＳＣが知ったのは5月29日だと。5月29日だって言うんですよね、この捜査依頼の事実をＮＩＳＣが知ったのは。じゃ、昨日の説明も違うかったということかな。もうびっくり仰天なんですよ。どれが本当か分からないという話なんです。

谷脇副センター長、日本年金機構が標的型メールの攻撃を受け、ＰＣが感染したという事実を知ったとき、危機意識を持たれましたか。そして、それと併せて、その捜査依頼の事実をＮＩＳＣが知ったのは5月29日というとおりで間違いないでしょうか。

○政府参考人（谷脇康彦君）　委員御指摘の本件事案につきまして、日本年金機構が5月19日に警察へ相談をしたということについて、ＮＩＳＣとして報告を受けておりますのは5月29日でございます。

○山本太郎君　一つだけ答えていただきました。もう5月29日ということで確定なんですね、警察。遅いな、これ。政府がこのサイバーセキュリティーというものに対してやっぱり責任を持っていくといってつくられた部署が、その警察に通報したということを知ったのが29日だったって。

もう一個聞きたかったことなんですよ。要は、日本年金機構が標的型メールの攻撃を受けたと、ＰＣが感染したという事実を知ったとき、危機意識、御本人、持たれましたか、谷脇さん。

○政府参考人（谷脇康彦君）　5月29日でございますけれども、その日の午後、私ども、私も含めて、厚生労働省から本件の事案、具体的には個人情報が大量に漏えいをしているという事実を報告を受けたところでございまして、当然、非常に深刻かつ重大な事案であるというふうに認識をしたところでございます。

○山本太郎君　警視庁高井戸署への捜査依頼の5月19日、その二日後、5月21日には第二回サイバーセキュリティ対策推進会議が開かれた。このとき、谷脇副センター長が説明者でしたよね。その四日後の5月25日にはサイバーセキュリティ戦略本部第二回会合が開かれた。谷脇副センター長、5月21と25、この二回の会議で、今回の事案、どうして報告しなかったんですか。

○政府参考人（谷脇康彦君）　お答え申し上げます。

5月の21日のＣＩＳＯ等連絡会議、それから25日のサイバーセキュリティ戦略本部でございますけれども、この二つの会議の前に、ＮＩＳＣとして日本年金機構が警察へ御相談をされたということについて、先ほど申し上げましたように、御報告は受けておりません。この二つの会議の前に御報告をいただいておれば、会議の議題とする可能性というのは当然あったというふうに考えております。

○山本太郎君　今お話ししているのは、警察に捜査を依頼したと、それによって大量に漏えいしている可能性があるということが分かった。その時点で重大事象に切り替わるわけですよね。でも、その前の情報セキュリティーインシデントという段階にはあったわけですよね。それをどうして21日と25日の日に報告しなかったのかということをお聞きしたい。

○政府参考人（谷脇康彦君）　一般論として申し上げますと、こうした事案が起きました場合には、当然、その原因を解明していくという過程におきまして、その深刻度、重篤度というものが次第に判明をしてくるところでございます。

そういった意味で、21日あるいは25日の会合の時点で、この重篤度について、他の事案に比べて特にこの事案について報告をこの会議において行わなければならないという認識には至っていなかったという点がございます。この点については、私どもとしても真摯に反省をし、今後の改善策を考える必要があるだろうというふうに考えております。

○山本太郎君　それはそうですよね。解析していって深刻度、重篤度というものを見ていった、というか見ていかなきゃいけないのに、それに気付いたのは警察からの情報という話ですもんね。しかも、それ、届出をした十日後に知ったということですもんね。でも、いつものことだという感覚で21日も25日も、今回の件に関しては会議に出席したということですよね。いつものことだったんですよね、認識としては。

○政府参考人（谷脇康彦君）　お答え申し上げます。

5月の8日に本件事案を認知をしたところでございますけれども、その後、厚生労働省と私どもＮＩＳＣとの間で様々な助言を私どもの方からもさせていただいていた、その途上にあったということでございまして、本事案の重篤度について十分な認知を持つには至っていなかったというのがそのときの時点での認識でございます。

○山本太郎君　様々な相談に乗ってきたと、8日に発見されてから。そこから二週間以上たっていても、これ、やばいん違うかと、そのやり取りでも酌み取れなかったということですよね。なるほど、分かりました。

5月21日と25日の会議の出席者、今回の事案を知っていたのは谷脇副センター長と高見澤センター長の二人だけだったんですよね。今となってみれば、21日、25日の会議において、日本年金機構が標的型メールの攻撃を受け、ＰＣが感染した事実、報告すべきだったよなというふうに思いませんか。

○政府参考人（谷脇康彦君）　お答え申し上げます。

先ほども申し上げましたけれども、警察に報告を年金機構がされたのが19日ということでございます。当然のことながら、5月の8日に本件事案、ＮＩＳＣとして認知しているわけでございます。その後、被害が大きく拡大したというわけでございますから、当然、私どもが取った対応よりもなるべく前倒しで対応すべきであったという点については、まさにそのとおりだというふうに思います。

○山本太郎君　本当に言い方が失礼だったらごめんなさい。一国民として、一視聴者だったりとか、いろんな立場でこの問題を見たときに、非常に間抜けで、ＮＩＳＣというものが役に立っていないということがはっきりと分かると。もちろん、権限が少ないというか、もっと本当は権限を広げてということをしていかなきゃいけないんでしょうけれども、いろんなルールの中で縛られ過ぎていて、いろんなことに踏み込めなかったと。結果、もう見ているだけという状況がほとんどだったと。だから、結局、29日まで知ることできなかったんですもんね。

政府のサイバーセキュリティーという部分を担っている、この国のサイバーセキュリティーという部分を担っているはずのＮＩＳＣがこんなに遅くまで分からなかった。しかも、警察発表をもってやっとやばいことになっているということに気付くということは、これ、もうこの組織が存在している理由ってあるのかなと、民間の警備会社の方がもうちょっといいサービスしてくれるんじゃないかなとか思ったりするんですけれども。

私は、今回の事件の教訓、インターネット上では情報は基本的に漏れるんだと、情報漏えいが起こることを前提に、個人情報の保護、プライバシーの権利、自己情報のコントロール権を確立することが重要だと思います。副センター長、御見解、いかがでしょうか。

○政府参考人（谷脇康彦君）　委員御指摘のとおり、近年、サイバー攻撃の対応が一層複雑巧妙化している中で、我が国の重要な情報の窃取を意図したと考えられる攻撃が多数発生するなど、その脅威が深刻さを増しているところでございます。

こうした状況におきまして、個人情報などの重要な情報の管理に際しましては、システムに対する外部からのサイバー攻撃、それから部内者による不正操作、あるいは人為的ミスなど、様々なリスクを想定し、技術面あるいは運用面で十分な対策を取ることが不可欠でございます。また、これらの対策の不断の見直しにより、セキュリティーの質の向上を図っていくことが極めて重要な課題であるというふうに認識をしてございます。

○山本太郎君　サイバーセキュリティ基本法三十条の国の行政機関、そして三十一条で指定される48の特殊法人、認可法人、配付資料の8ページから9ページにその名称がずらずらっと書かれております。日本年金機構ももちろん含まれています。

これらの機関、法人で、サイバー攻撃を受けて情報漏えいする可能性のある端末、ＰＣ、これ全国に何台ぐらいあるんですかね。

○政府参考人（谷脇康彦君）　お答え申し上げます。

サイバーセキュリティーの確保という点におきましては、今委員御指摘のような端末の台数のほかにも、ネットワークがどういうふうな構成になっている等、いろいろな面から検討していく必要がございます。

今お尋ねの特殊法人、認可法人が所有をしている端末の台数について、ＮＩＳＣで一元的に把握をしているということはございません。

○山本太郎君　これセキュリティー上、この情報って必要のないことなんですか。どれぐらいのＰＣがあってということを、セキュリティー上、こういうことを把握していなくてもオーケーなんですか。

○政府参考人（谷脇康彦君）　ＰＣの台数でございますが、これ当然、そのネットワークの規模を指し示すものでございますので、私どもがそのセキュリティーということを考えていく上で、パソコンの台数というものは判断をしていく上での重要な要素の一つであるというふうに認識をしてございます。

○山本太郎君　じゃ、これ調べてくださいよ。調査してください。してくださいますよね。

○政府参考人（谷脇康彦君）　この認可法人あるいは特殊法人について、私どもが、一般論としてパソコンの数だけを調査するという立場にはございませんので、必要性を考えながら、必要に応じてそういった調査もしてまいりたいというふうに考えております。

○山本太郎君　その前の答弁では重要である、必要であるというような趣旨のことをおっしゃったと思うんですけれども、これやらなきゃいけないことなんですよね。やってくださいよ。で、報告してほしいんです。

○政府参考人（谷脇康彦君）　お答え申し上げます。

セキュリティー対策を考える上で、例えば、特定の組織について例えばパソコンが何台あるということは、当然そのネットワークの規模を指し示す、そういった意味においてセキュリティー対策を考える上での重要な要素の一つだというふうに考えます。しかしながら、概括的にまずは端末の台数を特殊法人、認可法人全体について私どもが把握をするということについては、その調査の必要性も含めて改めて検討が必要だというふうに考えております。

○山本太郎君　議事録でき上がったら読んでいただいたら分かると思うんですけれども、必要だということを認めておきながら、必要かどうかをこれから見極めていきたいという、何か非常に変な話になっていると思うんです。必要だと思うんです。調査して報告していただけますか、お願いします。

先に行きます。

サイバーセキュリティ戦略本部長である菅官房長官、お待たせいたしました。ありがとうございます。

先ほども申し上げました。私は、サイバーセキュリティーは、攻撃される、情報漏えいが起こることを大前提に考えなきゃいけないと思うんですよね。官房長官はどう思われますか。

○国務大臣（菅義偉君）　先ほどの山下委員に対しても答えさせていただきましたけれども、それは、そういうことで防御体制というものをつくらなきゃならないというふうに思っています。

それで、先ほどの議論の中で私ちょっと申し上げたいのは、ＮＩＳＣの役割でありますけれども、ＮＩＳＣはずっと監視していますから、8日の日に異常な発信があったということで、そこは指摘しています。その指摘に基づいて、これは年金機構もそういう防御の会社があるわけですから、そういうシステム会社と連携してそこをやっていたということは事実だというふうに思います。そして、その対応の仕方についてＮＩＳＣが助言をしていた、そういうこともこれ事実であります。

これから、今厚生労働省で第三者委員会が開かれて検証作業が行っています。その検証を受けて、果たして、例えば、私、ＮＩＳＣの本部長ですから、ＮＩＳＣはもちろんですけれども、どういうことに問題があったかということはそこでしっかりと私たち検証させていただいて、これからＮＩＳＣとして、例えば人員も含めてやらなきゃならないこと、最低これだけはやらなきゃならない、いろんなこと出てきますので、そういうことをしっかり対応していきたいというふうに思います。

○山本太郎君　ありがとうございます。

山下先生も言われましたとおり、先ほどの質疑でマイナンバー、いわゆる共通番号制度、これサイバーセキュリティーの面からもリスクが多過ぎるだろうと、今回の漏れた年金問題によって、この国に生きる人々がそう不安に思っていると思うんですよね。この計画、マイナンバー制度は中止して、先進諸国が取り組んでいるように分野別の番号制度にすべきだというふうに思うんです。

その先に行きたいんですけれども、サイバーセキュリティーを担っているのは人間なんですよね。国の機関、また48の特殊法人、認可法人、それに地方自治体も加えれば、膨大な数のＰＣ、端末があり、その端末は一人一人の人間が操作していると。これらの国の機関、48の特殊法人、認可法人、地方自治体の現場で働く職員、社員の中に膨大な数の非正規職員、社員の方々が非常に劣悪な労働環境の中で働かされているという現実があります。官製ワーキングプアの問題ですよね。サイバーセキュリティーは実はヒューマンセキュリティー、人間の安全保障の問題であるとも思います。

官房長官、これ、政府を挙げて取り組むことがヒューマンセキュリティーのレベルを上げていく、サイバーセキュリティーのレベルを上げていくことになると思うんです。この官製ワーキングプアの問題に対して政府を挙げて取り組んでいただけませんか。

○委員長（大島九州男君）　時間ですので簡潔に。

○国務大臣（菅義偉君）　サイバーセキュリティー攻撃が複雑巧妙化する中で我が国のサイバーセキュリティーを確保するには、やはりそれを支える人材が必要だというふうに思っています。そういう中で、量的、質的にもこれ人材そのものが不足していますので、その対応はしっかりやっていくことが必要だというふうに思います。

今、ワーキングプアの問題、指摘をされました。そこに従事する人に対しても、そこは人材雇用の問題についてもやはりしっかり対応する必要があるというふうに思います。

○山本太郎君　補助的な役割と言われながら非正規が正規と同じ仕事をさせられているという現場にこのような情報漏れというものがどんどん広がっていく可能性が高いと思うんです。是非、官製ワーキングプアに対して政府で取り組んでいただきたいと思います。

ありがとうございました。

Tweet