189-衆-厚生労働委員会-35号 平成27年08月26日

○渡辺委員長 次に、足立康史君。

○足立委員 維新の党の足立康史でございます。
 今、我が党の井坂委員からるる御質問を申し上げました。こういう込み入った話を分析して討議するのはやはり井坂先生が一番適任だなということを痛感しながら、ちょっと色合いを変えて私の方は質問させていただきたいと思います。
 まず、午前中の民主党の審議から入りたいと思いますが、せっかくきょうは甲斐中委員長がおいでであって、午前中も甲斐中委員長をお呼びいたしておったわけでありますが、とうとうとGPIFのテーマを取り上げて、一体、先般、派遣法のときに審議拒否をした理由は何だったのかというふうに痛感します。
 私がこの場でこういうことを申し上げるのは、やはり国会の立法府の一員として、言うべきことは言っておくと。先ほど大臣も若干、軽く苦言を呈されておられましたが、きょうも結局、維新はみんなそろっていますが、民主党の議員は尊敬するお二人の先生以外はおられません。実際にこういう場でやはり全員そろって審議をしていくことが本当に大事である、このように苦言を申し上げておきたいと思います。
 それから、今回の年金情報の問題については、組織文化とかあるいは職員の意識の問題とか、こういうのがたくさん取り上げられていますが、私からは、システムの問題にもうちょっと寄せて討議をさせていただきたいと思うんです。
 まず、甲斐中委員長にお聞きをしたいんですが、確かに、検証の報告書を見ても、今申し上げたような組織の話、職員の話、こういういろいろな議論がありますが、そもそもシステムの問題について、若干、一、二行、遮断せないかぬということを書いています。後で、きょう実は国税庁にもおいでをいただいていますから、国税庁でなぜ同様の個人情報の流出が起きていないのかということについて国税庁御自身の認識をちょっと聞いてみたいと思うんですが、その前に、甲斐中委員長として、今回検証されて、これはやはり組織だ、文化だ、職員だ、意識だ、こういうことなのか、あるいはシステムの問題についても御念頭にあるのか、ちょっと御紹介をいただければと思います。

○甲斐中参考人 言ってみれば、両面あると思います。
 システムの問題、それが現象面としては非常に重要でありまして、そこにいろいろな問題があったということは報告書にも詳しく指摘しました。ただ、いろいろ形や物をそろえても、それを動かす人間の意識がきちんとしていなければ意味がありませんので、そういう面も必要であろうというふうに思っております。

○足立委員 国税庁はおいでいただいていますね。
 端的に言うと、国税庁ではこういう問題は起こっていない。たまたまなのか、それとも国税庁の職員が立派なのか、システムが立派なのか。どうですか。

○柴崎政府参考人 お答え申し上げます。
 国税庁におきましては、基幹システムで管理しております納税者情報が外部に流出することがないように、納税者情報を管理する基幹システムに接続する職員の業務用パソコンとインターネット用のパソコンを物理的に分離しておりまして、インターネットを通じまして外部から納税者情報に不正アクセスを受けることがないようにしているところでございます。また、納税者情報を取り扱う全ての事務処理は業務用パソコンで行っておりまして、インターネット用のパソコンで納税者情報を取り扱う事務処理はございません。
 なお、インターネット用のパソコンに納税者情報を持ち込み、保管することは禁止しているところでございます。

○足立委員 今お聞きいただいてもわかるとおり、業務は基幹システムで閉じるようになっているわけですね。インターネットを使うパソコンはそれはインターネットを使うパソコンであって、そこでは業務は基本的にはしない、そういうことだと思います。今うなずいていただいていますが。
 私は、年金の問題もそうすればそれで大方は解決するような気がしますが、大臣、どうでしょうか。

○塩崎国務大臣 以前にも足立先生とこの議論をさせていただいて、いわゆる国税庁方式、こういう物理的にも分離をしている中でやるということは国民にとってもわかりやすいのではないかというふうに私も思っておりまして、その可能性を含めて、今、独立をさせて、インターネットには基幹システム、すなわち、年金の大事な個人情報はインターネットとつながったシステムには載せないというふうにすることを含めて、今検討してもらっているということでございます。

○足立委員 ごめんなさい、大臣、検討してもらっているというのは……(塩崎国務大臣「機構」と呼ぶ)機構にね。
 理事長、きょうおいでですが、それはそういう方向でやるということでいいんでしょうか。

○水島参考人 今回の流出の最大の失敗といいますか原因は、やはりインターネット環境に重要な個人情報を置いてしまった、そして、それをブロックするルールをつくりましたが、守られなかったということと、さらに、そのルール自体が標的型攻撃には余り有効ではなかった、こういうことでございます。
 したがいまして、私どもといたしましては、今後、このような個人情報等重要情報に関しましてはインターネット環境から完全に分離するという方針で、現在、システムの検討を進めております。

○足立委員 きょうはNISCにもおいでをいただいています。
 今、大臣も、そういう方向で検討、要は遮断、当たり前のことだと私は思っているんですが、そういう方向で検討するように指示されていて、水島理事長はそうするつもりだと。
 基本的に、業務をネットから遮断しておけば、要は基幹システムで業務が完結するように業務とシステムを設計しておけば、いろいろなインターネットから入ってくる攻撃に対しては、そもそもつながっていないんですから、そういう意味でのリスクはない、こう私は解釈しますが、そういう理解でよろしいでしょうか。

○谷脇政府参考人 お答え申し上げます。
 委員御指摘のとおり、サイバー攻撃の大多数はインターネット経由で行われるということを考えますと、特に重要な情報を取り扱う情報システムをインターネットから分離するという対策は極めて効果が高いというふうに考えられます。ただ、このように分けたとしても、分離を確実にするためには適切な運用が行われなければならないところでございます。
 いずれにしましても、政府全体といたしまして、「日本再興戦略」改訂二〇一五におきましても、大量の個人情報等の重要情報を取り扱う情報システムのインターネット等からの分離に取り組むということが盛り込まれているところでございます。また、同じ内容がサイバーセキュリティ戦略案にも盛り込まれているところでございまして、このような方向感で、今後とも政府機関のセキュリティー対策の強化に努めてまいりたいというふうに考えております。

○足立委員 四者にそれぞれお聞きをしましたが、今聞いていただいてもおわかりになるように、基本的にはそういう問題だというふうに、私はそういう切り口、それが全てだとは言いませんが、少なくとも今インターネットから日々新しい攻撃、向こうはイノベーションしてくるわけですから、そういうイノベーションされる攻撃に対して究極的に我々国民の個人情報を守るためには、これはもう基幹システムで業務が閉じるようにすればそれが一番いい、こう思っているわけで、大臣からも理事長からもお話があった。
 一方で、何か検証委員会の報告書を読んだり、あるいは年金機構の報告書を読んで、これには検証そして対策と書いていますが、対策のところにそういうことがちゃんと書かれていない。書かれているのかもしれませんが、少なくともさっと読むと出てきません。
 組織の問題、職員の問題、いろいろ書いていますよ。組織文化の問題、書いています。しかし、私が申し上げた、水島さん、細かいことはいいんです。細かいことはいいんだけれども、要すれば我々は本当に心配しているんです、これはちゃんとした方がいいと。
 かつて社保庁から年金機構に看板をかけかえたときと同じように、そのときには結局システムは全く変わっていなかったわけです、恐らく。ほとんど変わっていないわけです。また今回も、いろいろ議論をしても、結局、今私が申し上げたようなことがちゃんとされないと、私はまた同じことが起こるんじゃないかと心配をしています。二度と国民の皆様にそういう不信感を与えたら、日本の年金はもう大変なことになるという危機感は恐らくみんな共有していると思うんですね。
 それで、きょう質問させていただくに当たって、事前に事務方に、これはどうしているんだ、どうするんだということを聞くと、いや、まだ検討中でと。要すれば、今、年金機構さんはどうなっているかというと、事件が起こったので、基幹系、情報系、全てネット遮断をされていますね。だから、今は日々の業務をどうしているかといったら、PDFにしてファクスしているわけです。竹とやりで仕事をしているわけです、今。
 では、そういう状況がいつまで続いて、いつになったらそういう理想的な仕組み、要は、基幹システム自体を、業務が基幹システムで閉じるような形に一体いつできるのかということをはっきりさせてもらわないと、まあ、民主党さんは何かもう、結果が出ていなくても安心してどこかに行っていますが、私たちは心配で仕方ありません。
 大臣、これは理想的なこと、理想的な姿は多分同じだと思うんです。先ほど大臣もおっしゃいました、水島理事長もおっしゃいました。理想的には遮断した方がいい。年金情報について、いつ基幹システムで仕事が完結するようにできますか。タイムスケジュール、工程表はありますか。

○水島参考人 結論から申し上げますと、最終的な工程表はまだございません。現在検討中でございます。
 検討のテーマについて何点か申し上げますと、まず、インターネットの環境をどういうふうにつくるかということに関してでございますが、これは全く独自にインターネット環境、メール環境ですね、こういうものをつくるのか、例えばLANのような、無線のような形でつくっていくという暫定的なものでやるのか。あるいは、現在はメールのネットワークは独自で持っております。これがいいのかという問題がございます。やはりセキュリティーを確保するためには、独自でやるよりも統合ネットワークを経由した方がいいのではないかという検討をしなければならないと思います。
 そういうことも含めまして、さらに基幹システムのあり方等々も含めまして、きちんとした検討を進めた上で結論を得ていきたいというふうに考えておりまして、情報管理対策本部というのをつくってまいりますが、その中でも、セキュリティーに関しての専門家も交えたきちんとした議論を行ってまいりたいというふうに考えております。

○足立委員 結局、今回この集中審議に至っても、残念ながら、今理事長がおっしゃったように、いろいろ対応に追われる中で、むしろ未来に向けて実際にこれは根本的にどうするんだというところについてはまだ検討中であるということでありまして、これはぜひちゃんとやってほしい。
 その際に、大臣、私、実はきのう、これは厚労省というよりは水島理事長の方でお答えいただくテーマかもしれませんが、要すれば、年金制度について関係者は三者いるんですね。厚労省と年金機構と、そしてNTTデータか何か、ほかにもあるのかもしれませんが、要は民間の会社です、委託先です、今何を委託されているかわかりませんが。
 例えば、今回システムが攻撃を受けた、これはその三者において誰の、厚労省、年金機構、運用委託先、三者の責任関係を、法令上それから契約上どうなっているのかということをきのう事務的にお問い合わせしたわけです。ここでやると時間がかかるので、きのう下さいと言って一応電話でさらっと伺いましたが、解決に向けて一体誰が責任を持ってやるかというときに、これは大事な問題です。
 厚労省、年金機構、そして運用委託先、三者がどういう関係であるのか、ちょっと御紹介ください。

○樽見政府参考人 関係を御説明申し上げます。
 基幹系のシステム、まさに年金の業務を行っている基幹系のシステムにつきましては、国民年金法及び厚生年金保険法上、厚生労働大臣が保有するということになっているわけでございます。その管理運用について、年金機構法に基づいて機構が実施をしているということになっております。ですので、ハードウエア及びソフトウエアについては国が契約当事者となって調達をしている、それから、運用業務の委託については機構が契約当事者となって調達をしているという関係にございます。これは基幹系のシステムでございます。
 情報系のシステム、今回、情報流出の起きた機構LANのシステムでございますけれども、情報系のシステムについては、機構の業務を実施するに当たってのツールであるということでございまして、この開発、管理、運用は機構が一貫して責任を持って行っているということでございますので、これも、運用業者等につきましても機構が調達をしているというようなことになっているということでございます。
 先生御指摘のとおり、こういうものを改善していくということになりますと、今のこの三者の関係ということが問題になってまいりますけれども、よく連携をとって、責任関係を明確にしつつ、改善するということについての検討を進めなければならないというふうに考えております。

○足立委員 まさに今御理解いただけたと思いますが、要は、基幹システムについて、それからインターネットにつながっている情報系のシステムについて、当然全く位置づけが違うということを簡潔に御紹介いただきました。
 基幹システムについては、保有は厚労省、それを運用は機構が責任を持ってやるので、運用について外部と契約する場合には機構が当事者となって民間の会社と契約をしている。一方で、インターネットにつながっているシステムについては、これは機構が一義的にやっている、こういう御紹介でありました。
 しかし、今回の問題は、その両者をまたがって事件が起きているわけであります。今みたいな、そもそも日本の年金制度は、年金制度を支える仕組みは、今申し上げたように股裂き状態になっていて、きょう私が焦点を当てているシステムということでいうと基幹系と情報系でそもそも責任者が違うわけでありまして、こういう形でこれからもやっていくということでいいですか。

○樽見政府参考人 これは検証委員会の報告書でも御指摘をいただきましたけれども、今のような事情になっているという中で、私ども年金局の中で年金局事業管理課にシステム室というのがございますが、これは、国が保有するシステム、基幹系システムについて担当するという考え方でつくった組織でございますが、今回問題の起きた機構LAN、情報系のシステムということについては、いわば一般的な機構の指導監督ということになるということで、その辺の所管関係が不分明というようなことがございましたので、早速私どもとしては、この事案が起きて、機構のLAN、情報系のシステムの部分も含めまして、こうしたインシデント対応等についての窓口を全て年金局内はシステム室で行うというふうに整理をしたところでございます。

○足立委員 今、いわゆる機構と厚労省の関係について、厚労省でもう少し、情報系について機構に丸投げではなくて、そこの部分についても関係があるから厚労省本省でちゃんと責任を持って見ていきたい、こういう御答弁であったと思います。
 もう一つ、運用委託の問題ですね。これは柴崎審議官の方にちょっと教えていただきたいんですが、国税庁も外部委託していると思います。外部委託という契約かどうか、そういう形態かどうかわかりませんが、端的に言うと、どういうものを民間の会社さんに、外に出しているか、ちょっと御紹介いただけますか。

○柴崎政府参考人 お答え申し上げます。
 国税庁におきましては、職員が主体的にシステム運用するということを基本としておりまして、その際、技術的な支援を外部の業者に委託するという考え方で行っているところでございます。

○足立委員 今の考え方は、御答弁は端的ですが、極めて明快で、基本は職員がやるんだ、でも技術的な支援は技術的な専門家を外から調達しているんだ、こういう御紹介でした。
 ところが、今、年金機構はさまざまな契約を民間の会社とされていると思います。何は年金機構の職員がやり、何は外部の会社に、外に出しているのか。今国税庁がおっしゃったようなレベルでいいんですが、端的に整理をしてお答えいただけますでしょうか。

○水島参考人 基本的には、委託契約がございますので、これに基づいて、お互いの責務といいますか、やるべきことを決めていくわけでございますが、しかしながら、今回の標的型メール攻撃という点に限って申し上げますと、これに関する責任関係がやや不明確な点がございます。
 そういう意味で、いわゆる既存のウイルスと申しますか、これと新たなウイルスに関しての、どちらがどういう責任を持つかということについてはやや議論をすべきところがあると思っておりますが、現在、その点も含めまして詰めを行っているところでございます。

○足立委員 我々もこれまで何度かこの場でいろいろな質疑をさせていただいていますが、この集中審議に至って、今、私も改めて御答弁いただいてわかったことは、厚労省、年金機構、そして民間の会社、この三者における、先ほどの、厚労省がもう少しシステムについて責任を持つ必要があるんじゃないか、あるいは外部の会社と年金機構の契約についてもどうかという、課題があるということを何となく御表明いただいているわけですが、この委員会、課題を指摘して終わりではいけません。しっかりと、一体いつまでにどうするのかということを。
 実は、きのう、厚労省と年金機構と民間の受託会社、この三者の関係を、法律がどう規定し、どういう契約を結んでいるかということをつぶさに教えてくださいと言ったんですが、正直それは、要は、そういう質問をなかなか受けたことがなかったので整理できていないということで、事前には資料提供いただけていません。
 委員長、これはぜひ、この問題を収束させていくためにも、今申し上げた三者の関係について、法令とそして契約、その二点についてぜひ整理をして提示をいただきたいと思いますが、御検討いただけないでしょうか。

○渡辺委員長 理事会で協議をいたします。

○足立委員 ぜひお願いします。
 特に、きょう来ていただいて御紹介いただいたように、国税はこうやっているわけです。国税ははっきりしています。
 私は、職員の問題、組織の問題もあると思いますよ。しかし、組織の問題、職員の問題を云々してこの問題が解決するような気がもうしません。
 もしそうであれば、年金システム、年金制度をもう一度再生させるためには、国税庁の取り組みも、まあ国税庁だけではありません、国税庁、防衛省、さまざまな役所がセキュリティーを、外部からの攻撃からさまざまな業務、情報を守っているわけでありまして、厚労省、年金機構、そして外部委託先の三者についてもしっかりと、国税庁がされているように、法律に基づいて、しかるべき者が責任を持ってやる、外部に出す場合には、それは合理的な、要は技術的な支援に限るとか、そういう形でやるべきではないかなと私は思っています。
 その点に関して大臣に、通告の最後ですが、以前もこの場でお聞きをしました、年金以外はどうですかと。きょう、大臣からも水島理事長からも、どちらかというと、はっきりとどこまでおっしゃったかは繰り返しませんが、要すれば、できれば遮断していくのが理想形だ、こういうことについて追認、私がそう指摘申し上げたことについては、そうだなとおっしゃっていただいたと思います。では、前も指摘しました、健康保険を含めて、要は年金以外の社会保険についても同様の考え方でよろしいか、御答弁いただきたいと思います。

○塩崎国務大臣 今回の情報流出の事案を受けて、全ての医療保険者そして介護保険者に対しまして、六月上旬にセキュリティー対策の徹底を厚労省の方から要請しております。
 六月十七日に、改めて四点。まず第一に、基幹システムとインターネットとを物理的に切断する。そして二番目に、基幹システムの個人情報を取り扱う作業は、インターネットに接続された端末では行わないこと。三番目に、基幹システムにある個人情報を外部に移送する場合は、必ずパスワードの設定を行った上で、CD―ROMといった記録媒体等を使用する。そして四番目に、一時的に個人の端末に個人情報を保存するような場合、こうしたときには作業終了後のデータ消去を徹底する。
 こういったことなどの対策の実施について既に文書で要請をしているところでございまして、今先生から御指摘をいただいた、国税庁方式というような話がありましたけれども、基幹システムとインターネットは物理的に切断をするということを医療並びに介護保険者に徹底をしているところでございます。

○足立委員 ありがとうございます。
 先ほど委員長に、三者の関係を整理してくださいと、また御指導いただくようにお願いをしましたが、今大臣からおっしゃった、その指示をしている。これも、きょう私が申し上げたシステムの問題はお金もかかる。国税庁方式と一口に言っても、これは大変な基幹システムでありますので、言うはやすしでありますので、私も簡単にできるとは思いませんが、日本の社会保障、社会保険を守るためには、ある程度の予算、何か、幾らかの予算が今回も出ていったということでいろいろ追及していた党もありましたが、私は、ある程度お金をかけていいと思います。お金をかけてもいいので、持続的に日本の社会保障を守れるような仕組みをぜひつくっていただくようにお願いをいたしたいと思います。
 もう質問は以上にしますが、きょう、甲斐中委員長、お越しをいただいてありがとうございました。心からこの取り組みについては敬意を表したい。もちろん、限られたミッションだったと思いますが、有用な情報を提供いただいたと思います。
 どの組織でも、今、実は我が政党も若干内紛みたいになっていまして、これは問題は全く同じで、トップが問題の重要性を認識しているかどうかなんです、まず一つは。トップが、一つ一つ起こっている事案について、これはどうでもいいんだ、こんなことで幹事長がやめるかというような議論は、まさに執行部が問題の重要性を認識していないから起こっている問題であって、我が党についてもしっかり身を正していくつもりであります。
 加えて、トップの認識に加えて、しっかりと公開をしていく、検証をしっかりしてそれを全部外へ出していくということが当然のことでありまして、最後になりましたが、私は自分のこともしっかりやりますが、甲斐中委員長、きょうお越しいただきましたが、一連の検証、敬意を表しまして、私の質問を終わりたいと思います。
 ありがとうございました。