6月4日(木)、先週に引き続き、参議院内閣委員会で、個人情報保護法改正案及びマイナンバー法改正案の質疑に立ちました。
実は、元々、先週(5月28日)やり残した質問をやる積もりで準備していたのです。ところが、皆さんも報道等でご存知の通り、今週になって前代未聞の年金情報漏洩事件が発生し、日本年金機構から現在分かっているだけで約125万件もの年金個人情報が漏洩したことが明らかになりました。国民の皆さんから心配・懸念の声が噴出している中で、まずこの問題についてその全容や原因の解明、そして漏洩した情報の悪用を防ぐための体制構築に全力を尽くさなければ、到底、個人情報保護法改正案やマイナンバー法改正案についての理解が得られないであろうとの判断で、急きょ、この「漏れた年金情報」問題に集中して質疑を行いました。
主な質問項目と、やり取りのポイントは以下の通りですが、今まで明らかになっていなかった新事実を含めて、質疑した私自身も、驚き、唖然とする答弁の連続でした。ここでの紹介には限界がありますので、ぜひ参議院インターネット審議中継で質疑の模様をご覧下さい!
1)山口IT担当大臣の関与と責任について
まず、質問して驚いたことは、政府のIT担当の責任者である山口大臣に、この年金情報漏洩問題の報告があったのは5月30日だったということです。5月8日に、内閣サイバーセキュリティセンター(NISC)が異常なアクセスを検知して厚生労働省に通知してから20日以上経っています。いくら、一義的に対応するのは所管官庁である厚生労働省とはいえ、政府のサイバーセキュリティ対策の司令塔がこんな重大な問題について20日間以上も認知していなかったことは大問題です。日本年金機構をターゲットにした攻撃型ウィルスメールであれば、これはある種、我が国の中枢に対する攻撃と同等であり、この緊急事態に対応する政府の責任体制はどうなっているのか、一体誰が司令塔として対応するのかが分からないことを露呈してしまったことになります。
山口大臣ご自身、そのことについて問題意識も持たず、反省すらされていない様子。これでは国民の心配は払拭されないでしょう。そのことを強く、糾弾しました。
2)初動の対応について
これまでの説明では、5月8日に、内閣サイバーセキュリティーセンター(NISC)が「日本年金機構に対する不正アクセスを検知し、通知した」と報道されていたのですが、今日の質疑で、NISCが監視していたのは「厚生労働省のシステム=統合ネットワーク」であり、その厚生労働省の統合ネットワークに対する不正アクセスを検知したというのが事実であることが判明しました。法律上、日本年金機構はNISCの監視対象にはなっていないのですが、日本年金機構が厚生労働省の統合ネットワークに繋がっていたため、NISCの監視に引っ掛かったわけです。
システム構成がどうなっているのか、詳細を確認してみないとなんとも言えませんが、しかし可能性としては、今回、日本年金機構の内部LANに仕掛けられてしまったバックドアを通じて、厚生労働省の統合ネットワークに侵入することも可能だったのではないか?と恐ろしくなり、その点を厚生労働副大臣に対して突きつけたのですが、「(今回については)厚生労働省のシステムへの侵入は認められていない」という答弁に終始し、「今回は幸い侵入がなかったとしても、システム構成上、その危険があった可能性は否定できないのではないか?」との重ねての追及には、明確に答弁がありませんでした(出来なかった?)。この点は大事なところなので、引き続き、確認しておきたいと思います。
3)年金機構の個人情報管理の実態について
今回の最大の問題は、日本年金機構の職員が、外部(インターネット)とつながったネットワーク上にある「共有ファイルサーバー」に、国民の大切な年金個人情報を基幹システムから移して、日常の業務を行っていたことにあります。そのことを、日本年金機構の水島理事長に対し、なぜそんなことを許していたのか、ずっと以前からそのような運用が常態していたのか追及したところ、水島理事長は「ルール上は禁止されている。しかし、例外的に認められていて、条件としてパスワードの設定などが要求されていた」と非常に苦しい説明。これまで漏れた年金情報のうち、55万件にはパスワードがかけられていなかったことが分かっており、恐らくは相当に杜撰な個人情報管理をしていたのだと思います。そして、もうずっとこういう運用がされてきたことも否定されませんでした。
日本年金機構に対する監督責任がある厚生労働省年金局も、日本年金機構の情報セキュリティガイドラインの内容については把握していたものの、そのガイドラインが規定通り運用されているのかどうかについては一度も現場のチェックを行っていなかったことも判明しました。この点、厚生労働省大臣の責任も追及されなければなりません。
4)漏えいした個人情報の全容について
現時点で漏洩した年金個人情報は、125万件とされています。これがいかにして確認をされたのか、これ以上件数が増えることはないのか、これまでに漏洩が明らかになっている四情報(基礎年金番号、氏名、生年月日、住所)以外に個人情報が漏れている可能性はないのかを質しました。
すでに報道されている通り、125万件の漏洩とその中身が確認されたのは、警察庁が年金機構システムのログを解析した結果、都内のある会社のサーバーと不審なやり取りがあったことを発見。その会社のサーバーを押さえたところ、年金機構から漏れたと思われるファイルが一部、残っていたため、そのファイルを年金機構側と照合したところ、漏洩ファイルであることが確認されたわけです。サーバーに残っていたのが漏洩したファイル群の「一部」であるならば、流出したのはそれ以上である可能性が高いわけですね。
また、そのファイルが、年金機構の共有ファイルサーバーのどこから抜かれたのか(どの物理セクター、どのツリー、どのディレクトリー?)、どの端末を経由して抜かれたのかも質しました。漏洩したファイルと同じツリーやディレクトリーにあるファイル(フォルダー)で、侵入されたPCの権限で入り込めるレベルのところまでは、当然、漏洩の恐れが否定できないわけで、その点を確認したかったわけです。
しかし水島理事長は、再三、答弁に窮しながらも、結局は「未だ調査中」「捜査中なので明らかにできない」を繰り返し、明確な回答は得られませんでした。しかし、すでにログの解析は相当程度に行われているはずで、漏洩の可能性がどこまで広がる恐れがあるのか(ないのか)は、ある程度分かってきていると思うのです。恐れがあるのであれば、早く国民に周知して、備えをしなければ、被害が拡大してしまう可能性があります。全く責任意識に欠けた姿勢で、これでは国民の懸念は払拭できませんね。
5)外部との遮断をなぜ5月8日の時点で行わなかったのか?
次に深刻な問題は、なぜ日本年金機構が、ウィルスへの感染を最初に検知した5月8日に、または100歩譲って、大量のウィルスメールが届いて2台目の感染が確認された5月18日頃に、外部との接続を遮断しなかったのか、ということです。
今日の質疑でも、NISCが5月22日に再び、厚生労働省統合ネットワークからの不正アクセスを検知して、年金機構にも伝えられています。にもかかわらず、年金機構が外部ネットワークとの全面的な遮断を行ったのは5月29日で、その前に、九州ブロックの遮断を5月22日、東京本部の遮断を5月23日と、部分的な対応だけを行っていたのです。一部報道でも、5月22日〜23日に機構のネットワークから外部への大量のデータ通信があったことが伝えられています。つまり、5月19日の時点で外部ネットワークへの遮断を行っていれば、今回の流出は防げたのです。
外部ネットワークとの接続を遮断したら業務に支障が出るのではないか、と思われるかも知れませんね。今日、そのことを水島理事長に確認しましたが、支障は全くないわけではないが、基本業務への支障はないとの答弁でした。であればなおさら、不正アクセスが判明した時点で遮断しなかった責任は重大です。そしてやはり、そのことを指示できなかった厚生労働省、及び政府全体の危機管理のあり方も問われなければなりません。
以上、今日の質疑のハイライトです。
今回の年金情報の漏えい問題は、システムの問題というよりは、日本年金機構の組織としての個人情報管理・保護の問題であり、政府のサイバーセキュリティの体制の問題なのではないでしょうか。であれば、同様の問題は、マイナンバーでも起こり得るのではないかと国民の多くが思うのも当然と言わざるを得ません。
やはり、この問題の全容解明と再発防止策の検討を最優先すべきです。私が所属している参議院厚生労働委員会でも、この問題についての集中審議が来週、予定されています。また、民主党としても「漏れた年金情報調査対策本部」を設置して、連日、対策会議を開催して党を挙げての取り組みを行っています。引き続きこの問題に私も全力で取り組んでいきます。