6月16日(火)の午後、参議院厚生労働委員会で、2回目となる「年金情報流出問題に関する集中審議」が開催され、民主党を代表して私が40分の質問をさせていただきました。私自身、6月4日(木)に、参議院内閣委員会で本件に関して60分の質疑を行ったのに続き、2回目の質疑となりました。
本件については、すでに報道等で、皆さんもよくご存じのことと思いますし、ご自身の年金情報は大丈夫か?とご心配の方もおられるのではないかと思います。
125万件に及ぶ年金個人情報が日本年金機構から漏洩したことが公表されたのは、6月1日のことでした。しかし、問題の端緒となった標的型ウィルスへの感染は5月8日のことで、公表に至るまで3週間以上を要しています。これまでの国会質疑で、次第に5月8日以降の経過が明らかになってきているのですが、そこには、(1)日本年金機構によるあまりに杜撰な個人情報保護・管理の実態、(2)厚生労働省による全くいい加減なサイバーセキュリティ対策体制と運用の実態、(3)政府としてのサイバーセキュリティ体制の不備、があったのです。
今回、これまで明らかになった事実を踏まえ、さらに深掘りをしていく意味を込めて質問した内容は、主に以下のとおりです。
1.厚生労働省の情報セキュリティ対策推進体制について
厚生労働省の官房長が、現在 最高情報セキュリティ責任者となっているが、CSIRTの責任者にもなっている。省庁セキュリティ体制として適切なのか問いただしましたが、厚生労働省の情報政策担当参事官と役割分担して対応しているという答弁。厚生労働省としての情報セキュリティ対策の推進体制がまったく機能していない現状が露呈しました。
2.内閣サイバーセキュリティセンター(NISC-GSOK)による5月8日及び22日の不正通信の検知と、厚生労働省(情報担当参事官室)への通知、その後の厚生労働省からの報告や助言・指導のやり取りについて
内閣サイバーセキュリティセンターが、厚労省統合ネットワークのシステム構成を共有していなかったことが明らかになりました。つまり、政府の情報セキュリティ対策に大きな穴が空いていたことになり、相当に問題だと担当者を追及しました。政府は、サイバーセキュリティ法案が改正されたことで今後はそうならないよう改善していくとの答弁ですが、今まで監視できていなかった組織が、これで機能するようになるのか疑問です。
さらに、5月8日に、GSOKが厚労省統合ネットワークから外部への不正通信を検知して、それをシステム掲載で厚労省に連絡した際、その通知を受け取る窓口としてNISCには厚生労働省・情報政策担当参事官室の①室長補佐、②専門官、③係長、④係員の4名が登録されていたことを確認。これまで「係長しか知らなかった」と答弁していたことが誤り(隠蔽?)であったことが明らかになりました。また、係長が4月1日に異動してきたばかりなのにいきなり課室情報セキュリティ管理者に使命され、特別な研修を受けることも今回の事案に対処させられていた事実も判明。やはり、今回の問題については厚生労働省の責任は大きいです。
3.5月8日に、内閣サイバーセキュリティセンター(NISC-GSOK)から、厚生労働省統合ネットワークから外部への不正通信があったことについて通知(連絡)を受けて以降、厚生労働省・情報セキュリティ委員会及びCSIRTが手順書に則って行った対処行動について
5月8日の時点で、不正通信の発生源が日本年金機構であること、しかもそれが、福岡の九州ブロック本部の端末であることがわかっていたのになぜ、1台の端末だけ遮断をして、年金機構のネットワーク全体、少なくとも九州ブロック全体を遮断しなかったのか再三たずねましたが、明確な答弁は得られませんでした。年金機構も厚生労働省も、全く当事者意識のない答弁で、このままでは再発防止は遠い道のりです。
4)これまで流出が確認された125万件のファイルについて
今、分かっている125万件の漏洩がどのサーバーから起きて、そのサーバーにはほかにもデータがあり、そのデータがさらに流出している可能性について質しましたが、現在 捜査中なので詳細の説明はできないとの答弁の繰り返し。しかし、可能性があることについては否定できませんでした。すでにその危険性は把握しているはずで、早く国民に注意喚起すべきであることを強調して、質問を終わりました。
今回、2度目の質問でしたが、日本年金機構も厚生労働省も、答弁内容がころころ変わるため、再三審議がストップし、十分な原因究明が出来ていません。単に日本年金機構だけの問題ではなく、厚生労働省、そして政府全体のサイバーセキュリティ対策の問題であり、危機感を強く持たざるを得ない状況です。今後も、国民の皆さんからの信頼回復をめざし、この問題にしっかりと取り組んでいきます。