190-参-内閣委員会-10号 平成28年04月14日
○山田太郎君 日本を元気にする会の山田太郎でございます。
今日は、いろんな多岐にわたるセキュリティーの話がありました。大野議員の方からかなり軍事上のところで詳しいやり取りがありまして、私はそこまで専門の分野は分からないんでありますが、ただ、私も、実は元々米国外資の三次元CADの本社の副社長をやっておりまして、千六百社の日本のお客さんがいまして、CAD情報が漏れれば会社は吹っ飛んでしまいますので、半端ないほど世界中からアタックがあった会社でありまして、セキュリティー対策、当時、極東責任者として頭を痛めていました。
また、私が上場企業をつくったときも、製造業のコンサルティングをやっていましたので、設計情報、原価情報、それから取引情報、お客様三百社預かっておりまして、これまたいろいろ大変でありまして、セキュリティー上でそういうところのお客様情報が漏れなかったのでよかったんですが、ただ、私も苦い経験がありまして、IRで、実は私の部下というかIR担当が転送しなきゃいけないところを返信してしまいまして、それが魚拓になって炎上しまして、役員会で私は一年間三〇%も減俸という憂き目に遭いました。いや、逆に言うと、セキュリティー、社長まで上る、極めてリスクの高い、これがもしお客様情報だったらば、これはもう我が社は飛んでいたということであります。
そういう意味で、人の問題というのがやっぱり大きいんだなということは、私は実は民間ではあったんですけれども、セキュリティーに関する責任を持ってやっておりまして、それに比べてちょっと国の在り方はアマチュアじゃないかなというような、今日は苦言も含めていろいろ質疑させていただければというふうに思っております。
まず、この法律の元々のスタートになったのは、厚労省さん配下の年金機構の流出事件をきっかけにしております。やっぱり反省点から始めないといけないと思いますので、今日は厚労副大臣にも来ていただいていると思いますが、なぜこの流出事件が起こってしまったのか。今回、厚労省さんの方からも資料をいただきながら、お手元に皆さんの方お配りしているんですけれども、本当に簡単で結構でございます、概要を全部言い出すと多分質疑終わらなくなってしまいますので、ポイントだけ絞って教えていただければと思います。
○副大臣(とかしきなおみ君) まずは、質問にお答えする前に、昨年の五月、百二十五万件の情報流出をしてしまったことをおわびを申し上げたいと思います。
それに当たりまして、厚生労働省におきましては、昨年の九月に再発防止を取りまとめさせていただきまして、厚生労働省及び所管の法人等における情報セキュリティー対策の強化に向けて、組織、そして先ほど委員御指摘の人的、そして業務運営、技術的対策、それぞれの観点から取組を進めさせていただいております。今日お配りいただきました資料に結構きちっとまとまっておりますので、これを見ていただければ、防止対策の方はまとめさせていただいております。
具体的に言いますと、専門性や即効性の向上の観点から、外部専門員の人材の確保、CSIRTの体制強化、あと、次は標的型メールの攻撃を始め職員の危機管理及びリテラシーの向上のための教育訓練、そして厚生労働省の所管法人等においてインシデント等が発生した場合の担当部局から速やかな幹部等への報告、連絡体制の構築、情報セキュリティポリシー等の改定、そして個人情報の重要性を、インターネットから分離するなど必要なシステム上の措置、これらに取り組んできたところであります。
○山田太郎君 質問は、取組の前に、何が問題だったかということだったんですが、紙にまとめてあるということで、これを見ていただいたということなんですが、やっぱり私、この中でもいろいろ問題だなと思うのは、この三番の四月二十二日の標的型攻撃についての厚労省の対応ということで、これは四月二十二日に攻撃されていまして、五月の八日、一番流出したんですけれども、これはもう分かっていたというか、このときの二十二日に対処していれば五月の八日はもう完全に防げたわけでありまして、ここはもう本当に人的としか言いようがないのかなというふうに思うんですね。
それ以外、厚労省さんと話をしていまして、置いてはいけないサーバー上に個人情報を置いていたとか、メールを受信しても怪しいと思っても無視すればよかったものをわざわざURLにアクセスまでして見てみたとか、いろんな人に依存する問題が多かったんじゃないかなというふうに思っています。
実はセキュリティーの問題で有名な話がありまして、ある会社のセキュリティーを監査するときに、一番簡単にその会社のセキュリティーを破る方法は何かというと、超簡単でありまして、その会社の駐車場にウイルス入りの、入ったUSBメモリーを置いておくことなんですね。ばらまいておくことなんです。そうすると、人というのは興味がありまして、差してみて中に何が入っているんだろうと開けた瞬間に終わってしまうと。実はこれ、単純ではあるんですが、この手でかつてかなり多くの会社がセキュリティーを破られたという事実もありまして、つまり、どんなにハード面で頑張ったところで、やっぱり人が情報を持っていますので、その人が開けてしまえばもう仕方ないんですよね。どんなに鍵を立派にしても、泥棒がピンポン押して、何か興味がある人がドアを開けちゃえば入ってくるわけでありまして、やっぱり何だかんだ言って人の問題なのかなと、こういうふうに思っているわけであります。
そんな観点で、今厚労省さんの方からもいろいろ今後やるということをおっしゃっていましたし、問題点も、今回はもう本当にこれはマスコミでも相当たたかれた問題なので明らかだと思いますが、さて、この法案が本当に通ることによって今後年金流出事件のようなことが起こらないのかどうか。私は必ずしも、ちょっとこの程度では厳しいのではないかなとも思っているんですが、その辺り、遠藤大臣の御見解をまず聞きたいと思います。
○国務大臣(遠藤利明君) 今回の改正案、日本年金機構のような一部特殊法人等について指定法人と位置付け、国による不正な通信の監視及び監査等の対象に加えようとするものであります。これにより、指定法人においては、セキュリティー確保のために政府と同様の取組が義務付けられるとともに、十分なインシデント対応体制の整備がなされることとなり、結果として不正な通信の検知に対して迅速かつ適切な対応を行うことが可能となります。加えて、重大事象の場合は戦略本部による原因究明調査の対象となります。
また、指定法人に対して政府統一基準群が適用されるため、これを踏まえた監査等が行われることにより十分なサイバーセキュリティー対策が取られているかを評価し、必要な措置を講ずるよう求めることも可能となっております。
サイバー攻撃は質量共に深刻さを増しており、予断を許さない厳しい状況でありますが、これらの対策を着実に実施することにより、日本年金機構の個人情報流出事案のようなサイバー攻撃事案の再発防止、被害最小化に向けて政府一丸となって対策を強化してまいりたいと考えております。
○山田太郎君 もう一つ資料を、二枚目を見ていただきたいんですが、NISCのガイドラインというのがありまして、最低年一回の研修を義務付けているということでありますが、一方で、着任、異動後も三か月以内に受講せよということで、きちっとセキュリティーの勉強をしなさいということなんです。
ちょっと済みません、遠藤大臣に、余りクイズみたいなことはしたくないんですが、例えばウイルスに感染したときに実は二つすぐやらなきゃいけないというふうに決まっていることがございまして、その二つを実は大臣自身が御存じなのかどうか。余り私クイズみたいなことはしたくはないんですが、念のためお聞きしたいと思いますが、いかがでしょうか。
○国務大臣(遠藤利明君) 詳細について、二つ、詳しく存じてはおりませんが、一つはネットワークを切るということかと思います。
○山田太郎君 ありがとうございます。まずそれをやっていただければ漏れませんので。済みません、本当に大臣にクイズなんか出して申し訳なかったんですけれども、まさにLANケーブルを抜くということなんです。それから、セキュリティー本部に連絡をすると。二次被害、つまり年金機構の件はこれだったんですよね。一回目攻撃されて、二回目が本格的に出ましたので。ということで、遠藤大臣の下では大丈夫だと。常識的に考えればそうだよねということなんですが、そうやっていなかったというのが今回の流出だったというふうに思っています。
ただ、教育の方もしっかりやられているかということで、もう一枚目の紙を見ていただきたいと思っているんですが、先ほど厚労副大臣の方からは徹底的にやっているということで、確かにこれだけ年金機構大きな問題になりました。対処としてはe—ラーニングとかその他の受講とか教育ということなんですが、e—ラーニングも九八%、大臣を含めた階級別研修を実施ということで、しっかり大臣も受けていますよということをレクの段階ではお聞きしたんですが、実は問題は、済みません、そういう意味で今日は世耕副長官に来ていただいたんですけれども、内閣官房さんでございまして、e—ラーニングの受講も、内閣官房は一千八百六十人中僅か三十八名、二%しか受けていないと。内閣総務官室の方でセキュリティーに関する資料は作っているんですが、それを職員に送っているだけで、特にその後のフォローもしていないということを実はレクで聞きました。
やっぱり国家の中枢、機密を担うところでもありますし、そもそもNISCは内閣官房にあるわけですから、そのNISCさんがある内閣官房自身がもっとしっかりきちっと教育をしていただきたいなと。本来であれば、私は、世耕官房副長官の部屋にお伺いしたときも、かなりITまでお詳しいということは知ってはいるんですけれども、足下こんな状態になっておりますので、e—ラーニングだけではなくて集合教育も含めてきちっとやっていただきたい。第二の年金流出、まさか官邸からこんなことがあれば日本政府に対する信頼は全く失ってしまいますので、この辺り、世耕副長官の方、よろしくお願いします。
○内閣官房副長官(世耕弘成君) 内閣官房そして官邸は、やはり情報セキュリティーは徹底的にやっていかなければいけないと。そういう意味では、ハードとかシステムといった面では、逆に、私も毎日使っていて、はっきり言って使い勝手が悪いぐらいがちがちのセキュリティーが組まれているわけであります。
ただ、一方で、やはりそれを使う人がきちっとした知識を、リテラシーを持っていなければいけないというのは当然のことであります。ですから、今日、山田委員から質問通告をいただきまして、私もチェックをしましたが、NISCの勉強会への参加ですとかあるいは総務省が用意をしているe—ラーニングの受講者数、これ本当にお寒い内容であって、これは私は問題だと思っております。早速、今朝、私の方から事務方に対して、NISCや総務省が実施をしている既存の研修の受講、あるいはe—ラーニングの実施、こういったことをできるものから直ちに徹底をして取り組むように指示をしたところであります。
今後とも、こういった人の教育といった面を情報セキュリティーの面で徹底してまいりたいというふうに思います。
○山田太郎君 ありがとうございます。さすが世耕官房副長官だというふうに思っております。
対処が早いというのが最もセキュリティーでは重要でございますので、この政府であれば大丈夫だなというふうに思いたいんですが、もう一つありまして、ただ、やっぱり現場の方、なかなか言い訳をいろいろされるんですね。一つは、出入りが激しいというのが官房の宿命だということですが、出入りが激しくてもこれやっぱりきちっと、着任三か月以内というふうに書いてあるわけですから、それをお願いしたいということと、もう一つちょっと気になるのは、標的型メール訓練をやられたということで、一斉に十月二十八、十一月十六日、十一月三十日、去年やったということなんですが、確かにそれでいわゆる仮想感染したのが一五%から三%弱まで減ったということで胸を張られて説明をされていたんですが、実はゼロ%にしないとこれもう終わりなんですね。
私の先ほど言った会社の常識では、たった一人でも漏れればもうそれは会社が飛んでしまうし、そこから全部漏れてしまいますので、ほぼ一桁台だから大丈夫だろうというのがやっぱりまだ認識なのかなと。この辺りが特に教育というか認識なんだと思います。民間であれば当然もう減俸ということになりますが、国はなかなかそういうことでそれに対する罰だとかマイナスのインセンティブだとかということは付けにくいと思いますが、民間レベルはもう徹底して今常識ではそこまでやっている状態でありますから、私が感じた観点ですね。
つまり、言い訳はいろいろあると思います。大変なんだとも思います。ただ、それだからといっても、やっぱり本当に実際のテロでミサイルが飛んでくる危機よりも、まずその前に必ずサイバーテロされるというのが当然なわけでありまして、これだけ防衛省でお金と手間といろいろ使ってやっている割には確かに本当に国のセキュリティー大丈夫なのかということになりますが、それは先ほど言ったやっぱり意識の問題だと思いますので、もう一度この辺り、世耕副長官、それから遠藤大臣にも改めて、全省庁同じ状況でございますので、お伺いしたいと思います。よろしくお願いします。
○内閣官房副長官(世耕弘成君) 標的型メール攻撃訓練というのを最近実施をしておりまして、そういう意味で、これをうっかり開けてしまおうとした、一回開けて注意をされるわけですから徐々に減ってきております。ただ、やっぱりおっしゃるようにゼロにならないと意味がないというふうに思いますので、これからもこういう訓練を徹底していくとともに、一方で、先ほど申し上げたように、講習をちゃんと受けて、標的型メールにはこういうパターンがあるんだと、こういうふうに信用できそうに見えるけど危ないものもあるんだということを徹底をしていくことで、この数字をゼロにするよう目指していきたいというふうに思います。
○国務大臣(遠藤利明君) 今、世耕副長官から話がありましたが、一番の課題はやっぱり意識を高めるということだと思います。それだけ民間は、それですぐ企業は潰れる。しかし、ここはやっぱりお役人意識というものがあるんだろうと。そういうことを含めて、しっかりと訓練、教育等について意識を高めていきたいと思っております。
○山田太郎君 最後の質問をしたいと思いますが、このセキュリティーの裏にある表現の自由といったところもちょっとしっかり見ておく必要があると思いますが、この法律によって表現の自由が侵されないようにしなきゃいけないと。特にインターネット上の自由というんですか、逆に萎縮してしまっても、要は情報を発信していくということも一つの官それから我々国の仕事でもありますので。もちろんセキュリティーは、何もしない、何もやらない、何も足さないというのが一番いいんですが、それでは仕事にはなりません。
だから、自由との駆け引きになるんですが、その辺りを配慮していただきたいのと、もう一つはサイバー空間の分断。よく、セキュリティー分野で強化をし出すと、私も会社で経験があるんですけれども、実は切ってきちっと管理した方が確かにいいんだということになりますと、いわゆる元々、今国の方でももう一つ進めようとしているネットワークの統合というんですかね、ITによるやっぱり我が国の再武装というんですか、あるいは、私も実は今回、IoTという形でもって、実際のインダストリー四・〇みたいな形での話を随分積極的にやらせていただいたんですけれども、そういった社会インフラのIT化にも、逆に萎縮してしまってはこれは意味がないと思いますので、その辺りも観点として是非とどめていただきたい。
逆に言うと、今私も国会へ来て、一つ、新人議員としてもう、三年やっとなりまして、慣れちゃったのであれですけど、ファクスが当たり前みたいな、確かにファクスだと漏れにくいんですけれども、今どき民間企業はファクスもうありませんので、というようなものに回帰してしまってもやはりよろしくないと思います。そういった意味で、この辺の通信の自由というか表現の自由というか、この辺りの配慮、遠藤大臣の方からよろしくお願いします。
○国務大臣(遠藤利明君) 今回の改正案につきまして、内容の中で、とりわけ情報の自由な流通の確保、そして法の支配、開放性、自律性、あるいは多様な主体の連携という政策の立案等に当たっての基本原則を踏まえたものであり、表現の自由等について影響を及ぼすものとは考えておりません。
また同時に、今委員御指摘ありました、統合化と分断という話がありましたが、そこについても十分配慮して進めていきたいと思っております。
○山田太郎君 これで終わりにしたいと思います。ありがとうございました。
○山本太郎君 ありがとうございます。生活の党と山本太郎となかまたち共同代表、山本太郎です。
サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案の、主にサイバーテロ対策について質問いたします。
この法案の担当大臣は遠藤大臣なんですね。遠藤大臣といえば、東京オリンピック・パラリンピックの担当大臣でもあられます。しかし、今回はオリンピック担当大臣としてお越しではないので、残念ながらその件については大臣に質問をすることはできません。これ、お伝えしたいということだけで、オリンピックへのサイバーセキュリティー問題と併せて是非力を入れていただきたいことについて三十秒ほどでお伝えした後、本法案の質問に入っていきたいと思います。うそと利権と人権侵害のオリンピックになりつつあるという点だけです。
東京オリンピックがなぜ人権侵害か。新国立競技場建設のために、オリンピック憲章に明記された人間の尊厳保持、人種、宗教、性別、政治、そのほかの理由に基づく国や個人に対する差別は、いかなる形であれオリンピックムーブメントに属することとは相入れないというオリンピック根本原則を無視し、長年、東京都の明治公園で野宿生活をしていた人たちに対し、話合いをするという約束を破り、仮処分を申し立てて、今まさに権力で強制排除しようとしている重大問題が存在します。
安倍総理も沖縄の辺野古新基地問題で和解、話合いに応じました。JSCは話合いにも和解にも全く応じようとしないんですよね。私は、オリンピック憲章に反するJSCには東京オリンピック・パラリンピック推進する資格はないと思うんです。遠藤大臣、是非JSCに対して話合いと和解に応じるよう指示をしていただきたいと思います。
改めまして、本法案について遠藤大臣にお伺いをしたいと思います。
遠藤大臣は政府のサイバーセキュリティー対策の責任者であり、担当大臣なのでしょうか。基本的なことで申し訳ございません。そして、違うのであれば、誰がサイバーセキュリティー対策の責任者、担当大臣なのでしょうか。また、サイバーセキュリティー対策の政府の事務方の責任者は誰なのか。さらに、サイバーテロ対策の政府の責任者、担当大臣は誰なのか。また、サイバーテロ対策の政府の事務方の責任者は誰なのか。教えていただけますか、大臣。
○国務大臣(遠藤利明君) 政府におけるサイバーセキュリティー対策については、サイバーセキュリティー政策の取りまとめを行うサイバーセキュリティ戦略本部長であります内閣官房長官が政府の責任者となります。また、サイバーセキュリティ戦略本部の事務は内閣サイバーセキュリティ担当において行うこととされており、事務方の責任者は内閣官房内閣サイバーセキュリティセンターのセンター長であります高見澤内閣官房副長官補が当たります。
〔委員長退席、理事相原久美子君着席〕
サイバーテロ対策についても、サイバーセキュリティー対策の一環として、内閣官房においてサイバーセキュリティ戦略の取りまとめ等の全体的な施策の総合調整を行っており、その責任者についてはそれぞれ同様であります。具体的な取組につきましては、情報収集や捜査を行う警察を始めとして関係省庁が連携して取り組んでいるところであります。
○山本太郎君 ありがとうございます。
マイナンバー制度に対するサイバーテロ対策の責任者、担当大臣って誰なんですかね。また、事務方の責任者は誰になりますか。そして、マイナンバー制度がサイバーテロの対象となる可能性はあると認識をされているのか。お答えいただけますか。
○政府参考人(向井治紀君) お答えいたします。
マイナンバー制度につきましては、所管は内閣府と総務省、このようになってございます。そういう中で、現在、マイナンバーの具体的な実施、例えば広報とかシステム・体制整備の進捗管理、セキュリティーの確保対策など、実施に伴う事務を担うのは高市国務大臣と承知してございます。
その上で、事務方につきましても、総務省、内閣府、それぞれ所掌がございますけれども、内閣も内閣官房がございます。
それで、内閣官房の立場は、マイナンバー制度を企画立案して法案を通させていただいたわけでございますけれども、法案成立後につきましては、総合的な内閣官房の調整機能を使いまして、それで総合調整を行っていると。そういう意味で、事務方の責任者という点で申しますと、内閣府の所管でございますので、内閣府は、担当室長は私でございますが、その上には事務次官というのが、事務次官が事務方の最高責任者であり、総務省におきましては総務省の事務次官が事務方の責任者になろうかと思います。
○山本太郎君 ありがとうございます。お久しぶりです。マイナンバーのときにお世話になりました。
五月二十六日と二十七日の伊勢志摩サミットに対するサイバーテロ対策の責任者、担当大臣は誰なのか、また事務方の責任者は誰なのか、教えていただけますか。そして、万全の対策、もちろん講じられているということでよろしいですよね。
○政府参考人(谷脇康彦君) お答え申し上げます。
伊勢志摩サミットにおけるサイバーテロ対策を含むサイバーセキュリティー対策につきましては、サイバーセキュリティ戦略本部長であります内閣官房長官が政府としての責任者でございます。
一方、事務方についてもお尋ねがございました。サイバーテロ対策を含む伊勢志摩サミットに向けた政府の準備を検討してきております伊勢志摩サミット準備会議の中に、サイバーセキュリティー対策について、NISCのセンター長の下、NISC副センター長を座長とするワーキングチームにおいて実務的な検討をしているところでございます。
なお、サイバーテロ対策の具体的な取組につきましては、その情報収集や捜査を行う警察を始めとし、関係省庁が連携をして現在取組を進めているところでございます。
○山本太郎君 一体さっきから何を聞いているんだろうと思われた方もいらっしゃるかもしれませんけれども、有事に混乱が起こる原因の一つとして、誰が何の責任者なのか曖昧というケースがありますよね。例えば三・一一を思い出していただきたいんです。東電福島第一原発事故のとき、政府の事故担当責任者、司令塔は、原子力安全・保安院の寺坂院長なのか、原子力安全委員会の班目委員長なのか、伊藤内閣危機管理監だったのか、何かはっきりしないなみたいな、何かそういう状態があったと思うんですね。
〔理事相原久美子君退席、委員長着席〕
そこで、今後のサイバーテロ対策について、責任者、担当大臣は誰で、事務方の責任者は誰なのか、これはっきりさせておくべきだと。もちろん厚労省、年金の問題、もう大問題でしたから、年金情報流出事件の後ですし、そこら辺はしっかり決まっているだろうと思いましたけれども、一応念のために確認したんですよね。
三日前、月曜日にお聞きしたときには、NISCは、サイバーセキュリティーの責任者は菅官房長官であると、事務方の責任者はNISC、すなわち高見澤センター長、サイバーテロ対策の責任者は国家公安委員長で、事務方の責任者は警察庁ということだったんですけれども、昨日聞いたときには、サイバーテロ対策の責任者は国家公安委員長ではなく菅官房長官で、事務方の責任者は警察庁ではなくてNISCの高見澤センター長であると。そして、伊勢志摩サミットのサイバーテロ対策の責任者も菅官房長官で、事務方の責任者は谷脇NISC副センター長ということになったんですよね。聞く度にこれ答えが二転三転するという、混乱されているんだなとちょっと心配したんですけれども、この質疑をきっかけにそういうはっきりとしたことというのがこの後決まっていくようでよかったです。
サイバーに関する事象が起これば、結局警察のお世話になるしかないんですよね、結局警察に最後それを伝えて捜査してもらうという、そういう段階になるわけですから。サイバーテロ、これ明らかに犯罪なんだから、もうこの責任者、国家公安委員長でいいんじゃないのって、事務方の責任者は警察庁長官とすべきなんじゃないかなと思うんですよ。
警察のこれ警察白書というのを見てみたんですけれども、特集として、サイバー空間の脅威への対処というような内容で、もう初めからこれ特集としてサイバー問題が組まれているんですけれども、すごいですね、警察。サイバー攻撃対策官、サイバーフォースセンター長というのを置いて、サイバー攻撃分析センターというのをトップに、そこに技術情報の提供というのが上がってくると。それと併せて、横で連携して捜査、捜査の成果も上がってくると。捜査の方で置かれているのがサイバー攻撃特別捜査隊、十三都道府県警察の公安部、警備部に設置と。サイバーフォース、これ情報通信部門、本庁、七管区、五十一都道府県、方面の情報通信部に設置って、もう完璧じゃないか、もう既にあるじゃないかという話なんですよね。
これ、NISCがここに関わっていくという意味合いがどれぐらいこのサイバーセキュリティーという問題に対して効果をもたらすのかという部分も考えなきゃいけないなと。もう既にあるんだから、ここをもっと拡大していけばいいじゃないかって、何かワンクッションつくる必要があるのかなというふうにも思っちゃうんですけれども。
先ほど私が言った、サイバーテロに関してはもう明らかに犯罪なわけですから、責任者は国家公安委員長、事務方の責任者は警察庁長官ということじゃまずいんですかね、大臣。遠藤大臣、いかが思われますか。
○政府参考人(谷脇康彦君) お答え申し上げます。
サイバーテロを含むサイバー犯罪に関して、これを捜査をし検挙をしていく、これは当然警察庁が行うべき責務であるというふうに考えております。ただ、広い意味でサイバーテロ対策を考えました場合に、重要インフラ、鉄道、通信等に対するサイバー攻撃が生じた場合、あるいはそれを予防するための対策というものは重要インフラを所管している省庁でそれぞれ行っているところでございます。そして、こうした取組を政府一体として行っていくために私ども内閣官房が全体の政策調整を行っているわけでございまして、それぞれの役目に応じて、かつ責任分担を明確にしながら、政府の中でサイバーセキュリティー対策を講じているところでございます。
○山本太郎君 そうですか。
日本の原発に対するサイバーテロ対策の政府の責任者、担当大臣、誰になりますか。また、事務方の責任者は誰でしょうか。そして、原発に対するサイバーテロ対策というのはあるんですか、教えてください。
○山本太郎君 なるほど、サイバーテロ対策というのはもうされているんだよというお話なんですよね。確かにそうなんですよね、防護措置規定九十一条の規定というのもあるんだと。何かあったときには電気通信回線というのは遮断されるようになっているんですよねというような話ですよね。
でも、世界見てみたら、回線遮断するなどでは原発へのサイバー攻撃というのは防げない話というふうになっているのは御存じですよね。だから、新たに何かが必要だということはもう明らかなんですよね。防護措置規定九十一条で回線遮断するんだということが可能だからそれでオーケーだという話ではなく、サイバー攻撃というのはもっともっと進化していくものなんじゃないんですか。一秒ごとにというような話だと思うんですけれども。
チャタムハウス、英王立国際問題研究所は、原発を標的とした重大なサイバー攻撃のリスクは増大していると警告をしています。世界中の多数の専門家は大規模なサイバー攻撃の脅威の危険性は低いと考えている、なぜならば原子力施設の重要なコンポーネントは空間的に隔離されているからだと問題を指摘し、チャタムハウスは世界中の多数の専門家の考えは間違いだと明言しています。このチャタムハウスの指摘を受けてBBCは、一般的なインターネットと原子力システムのいわゆるエアギャップは単なるフラッシュドライブを用いて容易に突破できる、破壊的なコンピューターウイルスはこのルートからイランの原子力施設を感染させたということに着目してほしいと、そのように報じたそうです。
サイバーセキュリティー、サイバーテロに関して、新たに新規制基準では対策をどの程度まで求めているんでしょうか。規則に不正アクセス行為を防止すると書いてあるだけじゃないですか。何かもっと先にもあるんですかね、これ見ていけば。でも、文章上書かれているのはそれだけだったんですけどね。サイバーセキュリティー、サイバーテロ問題に原子力規制庁は付いていけているのかなと。
今回の法案でも原子力事業者は対象になっていません。旧来の手法で大丈夫ですか。日本の原発を保有するほかの先進国とでは、危機意識のレベル、余りにもちょっと違い過ぎないかと。特にアメリカ、原子力施設に対するサイバーテロ、十分に想定をしている。武力攻撃の対象だとまで言及していると。原発へのサイバーテロについて、現在エール大学教授のハロルド・コーは、国務省法律顧問だった二〇一二年当時、直接的に死者、負傷者、重大な破壊行為を引き起こすサイバー攻撃は武力行使となり得るとした上で、原子力関連施設のメルトダウンを引き起こす攻撃を武力攻撃相当として挙げている。
アメリカは、二〇一六年二月九日、サイバーセキュリティー・ナショナル・アクション・プランを発表、二〇一七年度予算案では対前年度比三五%アップ、百九十億ドル、約二兆円のサイバーセキュリティー関連費用を盛り込んだ。日本はどうだ。かなり増額されましたよね。平成二十八年度当初予算で四百九十九・三億円、平成二十七年度補正予算で五百十三・八億円、合わせて一千億円程度だと。これ足りるのかなって。原発のサイバーセキュリティー、セイバーテロを真剣に考えるとすると、この予算で守り切れますかっていう話なんですけどね。結局、原発は廃炉を急いだ方が経済的にも安全保障上も正解なんじゃないのっていうことだと思うんですよ。
原発に対しても当然サイバー攻撃の危険性を十分に認識する国が存在している一方で、原発が存在するのにそれに対するリスクヘッジは最低限の国が存在している。政治の無策で犠牲になるのはその国に生きる人々であると。核施設が列島を取り囲むこの国でそれをターゲットにされてしまえば、現在収束不能な東電原発に加え、もう一か所事故原発を抱える余力というのはこの国にはあるんですかね。もうミスれないぞって。
日本年金機構の情報漏えい問題での対応を思い出すと、五月十九日に年金機構が警視庁へ通報したことをNISCが知ったのは十日後の五月二十九日だった。これが原子力発電を狙ったサイバー攻撃だったらと考えると背筋凍りませんか。NISCでワンクッション置く必要あるのかなって。もう警察にあるんだから、警察のこの部分をもっと強化して力を入れた方がいいんじゃないのって、ワンクッションつくる意味あるかなって。この十日間の空白って恐ろしいですよね。
国家の存亡に関わるほどの威力を持った施設が日本には山ほどあるわけですから、せっかく法改正するんだったらもっと危機感を持った権限拡大を目指してほしいよなと思うんですよね。なので、修正案を準備させていただいたので、詳細は後ほどお話ししたいと思います。
話を戻します。
サイバーテロについては、私は、日本壊滅のリスクがある原発へのサイバーテロへの対策は非常に重大で、今回の法案においても特に原子力事業所については政府の責任で監視等を行うべきだと思うんです。遠藤大臣、見解はいかがでしょうか。
○国務大臣(遠藤利明君) サイバーセキュリティーの確保を含む原子力事業所における安全の確保については、核原料物質、核燃料物質及び原子炉の規制に関する法律に基づき原子力規制委員会が対応しているものと承知をしております。サイバーセキュリティ戦略本部及びその事務局である内閣サイバーセキュリティセンターは、現行の基本法の枠組みの中において、原子力規制委員会等の関係行政機関との間において情報共有を行ってきており、必要に応じて助言等を行っております。
したがって、お尋ねの原子力事業所のサイバーセキュリティーの確保については、現行の法令の枠組みの中において対応することが適当であると思っております。
○山本太郎君 サイバーセキュリティー、サイバーテロを本気で防ぐんだったら本法案では不十分であるのはよく分かることだと思うんですけれども、車の両輪、これがそろっていなきゃいけない。もう片方、余り具体的にならない部分が改善されなきゃサイバーセキュリティー、サイバーテロを防げないと思うんです。どういうことか。政府、公共機関に働く非正規職員の皆さんの厳しい労働環境の話です。年金機構の問題、そこで働く人々のヒューマンセキュリティーがしっかりと守られなければならないということを教えてくれた事案だったと思うんですよね。
例えば年金機構、平成二十八年四月現在で、正規の職員数一万一千九百五十二人、非正規職員数は九千八百三十五人。現在の時給の平均、千百八十二円だそうです。上がったんですって、賃金。でも、一日八時間、二十日間働いたとしたら幾らでしょうか、十八万九千百二十円。余裕で官製ワーキングプアのままなんですよ。
同一価値労働同一賃金の原則に反する人権無視の労働環境を押し付けて、守秘義務だけは正規職員と同じ、厳しい罰則まである。年金機構法二十五条秘密保持義務、五十七条罰則、一年以下の懲役又は百万円以下の罰金。サイバーセキュリティーを担っているのは人間だと。サイバーセキュリティーは実はヒューマンセキュリティーなんだと。人間の安全保障の問題であると私は思うんです。
年金機構など、非正規の人たちを正規職員にしていく必要があると思います。同一労働同一賃金を宣言した政府を挙げてこれに取り組むことがヒューマンセキュリティーのレベルを上げていく、サイバーセキュリティーのレベルを上げていくことになると思うんですけれども、厚労省、いかがですかということが一点。
そして、本法案を急ぐように、いや、それ以上にだと、もっと急いで職員の待遇改善が行われなきゃ、サイバーテロを防ぐ下準備というのがまだできていないんだよと。遠藤大臣、その厚生労働省の答えを受けた上で、この問題について厚生労働大臣にその件を提案していただけますかという、この二点についてそれぞれお答えいただけますか。お願いします。
○委員長(神本美恵子君) 時間が来ておりますので、答弁は簡潔にお願いします。
○大臣政務官(三ッ林裕巳君) お答えいたします。
日本年金機構の職員体制については、正規職員のほか、効率的に業務を実施するという観点から、正規職員の指揮の下、年金相談や入力など業務の補助を行う職員として有期雇用職員を雇用しております。これらの職員は補助的業務であることから、賃金等は正規職員とは異なったものとなっております。
日本年金機構は、今般の情報流出事案を踏まえて業務改善計画を策定し、情報セキュリティー対策はもとより、人事制度の改革にも取り組むこととしており、その中では有期雇用職員についても、活性化の観点から、無期化制度の活用、評価の導入と意欲、成果に応じた処遇といった項目が盛り込まれていると承知しております。機構において今後これらの具体化に取り組んでいくこととなりますが、厚生労働省としても必要な助言、指導を行ってまいる所存でございます。
○国務大臣(遠藤利明君) 今厚労省から話がありましたが、御指摘のとおり、処遇面での配慮が必要だと認識をしております。引き続き待遇の改善等について努めていきたいと思っております。
○山本太郎君 是非、厚生労働大臣にそのことを伝えてください。サイバーセキュリティーに一番大事な部分です。
ありがとうございました。
○山田太郎君 日本を元気にする会の山田太郎でございます。
今日は、いろんな多岐にわたるセキュリティーの話がありました。大野議員の方からかなり軍事上のところで詳しいやり取りがありまして、私はそこまで専門の分野は分からないんでありますが、ただ、私も、実は元々米国外資の三次元CADの本社の副社長をやっておりまして、千六百社の日本のお客さんがいまして、CAD情報が漏れれば会社は吹っ飛んでしまいますので、半端ないほど世界中からアタックがあった会社でありまして、セキュリティー対策、当時、極東責任者として頭を痛めていました。
また、私が上場企業をつくったときも、製造業のコンサルティングをやっていましたので、設計情報、原価情報、それから取引情報、お客様三百社預かっておりまして、これまたいろいろ大変でありまして、セキュリティー上でそういうところのお客様情報が漏れなかったのでよかったんですが、ただ、私も苦い経験がありまして、IRで、実は私の部下というかIR担当が転送しなきゃいけないところを返信してしまいまして、それが魚拓になって炎上しまして、役員会で私は一年間三〇%も減俸という憂き目に遭いました。いや、逆に言うと、セキュリティー、社長まで上る、極めてリスクの高い、これがもしお客様情報だったらば、これはもう我が社は飛んでいたということであります。
そういう意味で、人の問題というのがやっぱり大きいんだなということは、私は実は民間ではあったんですけれども、セキュリティーに関する責任を持ってやっておりまして、それに比べてちょっと国の在り方はアマチュアじゃないかなというような、今日は苦言も含めていろいろ質疑させていただければというふうに思っております。
まず、この法律の元々のスタートになったのは、厚労省さん配下の年金機構の流出事件をきっかけにしております。やっぱり反省点から始めないといけないと思いますので、今日は厚労副大臣にも来ていただいていると思いますが、なぜこの流出事件が起こってしまったのか。今回、厚労省さんの方からも資料をいただきながら、お手元に皆さんの方お配りしているんですけれども、本当に簡単で結構でございます、概要を全部言い出すと多分質疑終わらなくなってしまいますので、ポイントだけ絞って教えていただければと思います。
○副大臣(とかしきなおみ君) まずは、質問にお答えする前に、昨年の五月、百二十五万件の情報流出をしてしまったことをおわびを申し上げたいと思います。
それに当たりまして、厚生労働省におきましては、昨年の九月に再発防止を取りまとめさせていただきまして、厚生労働省及び所管の法人等における情報セキュリティー対策の強化に向けて、組織、そして先ほど委員御指摘の人的、そして業務運営、技術的対策、それぞれの観点から取組を進めさせていただいております。今日お配りいただきました資料に結構きちっとまとまっておりますので、これを見ていただければ、防止対策の方はまとめさせていただいております。
具体的に言いますと、専門性や即効性の向上の観点から、外部専門員の人材の確保、CSIRTの体制強化、あと、次は標的型メールの攻撃を始め職員の危機管理及びリテラシーの向上のための教育訓練、そして厚生労働省の所管法人等においてインシデント等が発生した場合の担当部局から速やかな幹部等への報告、連絡体制の構築、情報セキュリティポリシー等の改定、そして個人情報の重要性を、インターネットから分離するなど必要なシステム上の措置、これらに取り組んできたところであります。
○山田太郎君 質問は、取組の前に、何が問題だったかということだったんですが、紙にまとめてあるということで、これを見ていただいたということなんですが、やっぱり私、この中でもいろいろ問題だなと思うのは、この三番の四月二十二日の標的型攻撃についての厚労省の対応ということで、これは四月二十二日に攻撃されていまして、五月の八日、一番流出したんですけれども、これはもう分かっていたというか、このときの二十二日に対処していれば五月の八日はもう完全に防げたわけでありまして、ここはもう本当に人的としか言いようがないのかなというふうに思うんですね。
それ以外、厚労省さんと話をしていまして、置いてはいけないサーバー上に個人情報を置いていたとか、メールを受信しても怪しいと思っても無視すればよかったものをわざわざURLにアクセスまでして見てみたとか、いろんな人に依存する問題が多かったんじゃないかなというふうに思っています。
実はセキュリティーの問題で有名な話がありまして、ある会社のセキュリティーを監査するときに、一番簡単にその会社のセキュリティーを破る方法は何かというと、超簡単でありまして、その会社の駐車場にウイルス入りの、入ったUSBメモリーを置いておくことなんですね。ばらまいておくことなんです。そうすると、人というのは興味がありまして、差してみて中に何が入っているんだろうと開けた瞬間に終わってしまうと。実はこれ、単純ではあるんですが、この手でかつてかなり多くの会社がセキュリティーを破られたという事実もありまして、つまり、どんなにハード面で頑張ったところで、やっぱり人が情報を持っていますので、その人が開けてしまえばもう仕方ないんですよね。どんなに鍵を立派にしても、泥棒がピンポン押して、何か興味がある人がドアを開けちゃえば入ってくるわけでありまして、やっぱり何だかんだ言って人の問題なのかなと、こういうふうに思っているわけであります。
そんな観点で、今厚労省さんの方からもいろいろ今後やるということをおっしゃっていましたし、問題点も、今回はもう本当にこれはマスコミでも相当たたかれた問題なので明らかだと思いますが、さて、この法案が本当に通ることによって今後年金流出事件のようなことが起こらないのかどうか。私は必ずしも、ちょっとこの程度では厳しいのではないかなとも思っているんですが、その辺り、遠藤大臣の御見解をまず聞きたいと思います。
○国務大臣(遠藤利明君) 今回の改正案、日本年金機構のような一部特殊法人等について指定法人と位置付け、国による不正な通信の監視及び監査等の対象に加えようとするものであります。これにより、指定法人においては、セキュリティー確保のために政府と同様の取組が義務付けられるとともに、十分なインシデント対応体制の整備がなされることとなり、結果として不正な通信の検知に対して迅速かつ適切な対応を行うことが可能となります。加えて、重大事象の場合は戦略本部による原因究明調査の対象となります。
また、指定法人に対して政府統一基準群が適用されるため、これを踏まえた監査等が行われることにより十分なサイバーセキュリティー対策が取られているかを評価し、必要な措置を講ずるよう求めることも可能となっております。
サイバー攻撃は質量共に深刻さを増しており、予断を許さない厳しい状況でありますが、これらの対策を着実に実施することにより、日本年金機構の個人情報流出事案のようなサイバー攻撃事案の再発防止、被害最小化に向けて政府一丸となって対策を強化してまいりたいと考えております。
○山田太郎君 もう一つ資料を、二枚目を見ていただきたいんですが、NISCのガイドラインというのがありまして、最低年一回の研修を義務付けているということでありますが、一方で、着任、異動後も三か月以内に受講せよということで、きちっとセキュリティーの勉強をしなさいということなんです。
ちょっと済みません、遠藤大臣に、余りクイズみたいなことはしたくないんですが、例えばウイルスに感染したときに実は二つすぐやらなきゃいけないというふうに決まっていることがございまして、その二つを実は大臣自身が御存じなのかどうか。余り私クイズみたいなことはしたくはないんですが、念のためお聞きしたいと思いますが、いかがでしょうか。
○国務大臣(遠藤利明君) 詳細について、二つ、詳しく存じてはおりませんが、一つはネットワークを切るということかと思います。
○山田太郎君 ありがとうございます。まずそれをやっていただければ漏れませんので。済みません、本当に大臣にクイズなんか出して申し訳なかったんですけれども、まさにLANケーブルを抜くということなんです。それから、セキュリティー本部に連絡をすると。二次被害、つまり年金機構の件はこれだったんですよね。一回目攻撃されて、二回目が本格的に出ましたので。ということで、遠藤大臣の下では大丈夫だと。常識的に考えればそうだよねということなんですが、そうやっていなかったというのが今回の流出だったというふうに思っています。
ただ、教育の方もしっかりやられているかということで、もう一枚目の紙を見ていただきたいと思っているんですが、先ほど厚労副大臣の方からは徹底的にやっているということで、確かにこれだけ年金機構大きな問題になりました。対処としてはe—ラーニングとかその他の受講とか教育ということなんですが、e—ラーニングも九八%、大臣を含めた階級別研修を実施ということで、しっかり大臣も受けていますよということをレクの段階ではお聞きしたんですが、実は問題は、済みません、そういう意味で今日は世耕副長官に来ていただいたんですけれども、内閣官房さんでございまして、e—ラーニングの受講も、内閣官房は一千八百六十人中僅か三十八名、二%しか受けていないと。内閣総務官室の方でセキュリティーに関する資料は作っているんですが、それを職員に送っているだけで、特にその後のフォローもしていないということを実はレクで聞きました。
やっぱり国家の中枢、機密を担うところでもありますし、そもそもNISCは内閣官房にあるわけですから、そのNISCさんがある内閣官房自身がもっとしっかりきちっと教育をしていただきたいなと。本来であれば、私は、世耕官房副長官の部屋にお伺いしたときも、かなりITまでお詳しいということは知ってはいるんですけれども、足下こんな状態になっておりますので、e—ラーニングだけではなくて集合教育も含めてきちっとやっていただきたい。第二の年金流出、まさか官邸からこんなことがあれば日本政府に対する信頼は全く失ってしまいますので、この辺り、世耕副長官の方、よろしくお願いします。
○内閣官房副長官(世耕弘成君) 内閣官房そして官邸は、やはり情報セキュリティーは徹底的にやっていかなければいけないと。そういう意味では、ハードとかシステムといった面では、逆に、私も毎日使っていて、はっきり言って使い勝手が悪いぐらいがちがちのセキュリティーが組まれているわけであります。
ただ、一方で、やはりそれを使う人がきちっとした知識を、リテラシーを持っていなければいけないというのは当然のことであります。ですから、今日、山田委員から質問通告をいただきまして、私もチェックをしましたが、NISCの勉強会への参加ですとかあるいは総務省が用意をしているe—ラーニングの受講者数、これ本当にお寒い内容であって、これは私は問題だと思っております。早速、今朝、私の方から事務方に対して、NISCや総務省が実施をしている既存の研修の受講、あるいはe—ラーニングの実施、こういったことをできるものから直ちに徹底をして取り組むように指示をしたところであります。
今後とも、こういった人の教育といった面を情報セキュリティーの面で徹底してまいりたいというふうに思います。
○山田太郎君 ありがとうございます。さすが世耕官房副長官だというふうに思っております。
対処が早いというのが最もセキュリティーでは重要でございますので、この政府であれば大丈夫だなというふうに思いたいんですが、もう一つありまして、ただ、やっぱり現場の方、なかなか言い訳をいろいろされるんですね。一つは、出入りが激しいというのが官房の宿命だということですが、出入りが激しくてもこれやっぱりきちっと、着任三か月以内というふうに書いてあるわけですから、それをお願いしたいということと、もう一つちょっと気になるのは、標的型メール訓練をやられたということで、一斉に十月二十八、十一月十六日、十一月三十日、去年やったということなんですが、確かにそれでいわゆる仮想感染したのが一五%から三%弱まで減ったということで胸を張られて説明をされていたんですが、実はゼロ%にしないとこれもう終わりなんですね。
私の先ほど言った会社の常識では、たった一人でも漏れればもうそれは会社が飛んでしまうし、そこから全部漏れてしまいますので、ほぼ一桁台だから大丈夫だろうというのがやっぱりまだ認識なのかなと。この辺りが特に教育というか認識なんだと思います。民間であれば当然もう減俸ということになりますが、国はなかなかそういうことでそれに対する罰だとかマイナスのインセンティブだとかということは付けにくいと思いますが、民間レベルはもう徹底して今常識ではそこまでやっている状態でありますから、私が感じた観点ですね。
つまり、言い訳はいろいろあると思います。大変なんだとも思います。ただ、それだからといっても、やっぱり本当に実際のテロでミサイルが飛んでくる危機よりも、まずその前に必ずサイバーテロされるというのが当然なわけでありまして、これだけ防衛省でお金と手間といろいろ使ってやっている割には確かに本当に国のセキュリティー大丈夫なのかということになりますが、それは先ほど言ったやっぱり意識の問題だと思いますので、もう一度この辺り、世耕副長官、それから遠藤大臣にも改めて、全省庁同じ状況でございますので、お伺いしたいと思います。よろしくお願いします。
○内閣官房副長官(世耕弘成君) 標的型メール攻撃訓練というのを最近実施をしておりまして、そういう意味で、これをうっかり開けてしまおうとした、一回開けて注意をされるわけですから徐々に減ってきております。ただ、やっぱりおっしゃるようにゼロにならないと意味がないというふうに思いますので、これからもこういう訓練を徹底していくとともに、一方で、先ほど申し上げたように、講習をちゃんと受けて、標的型メールにはこういうパターンがあるんだと、こういうふうに信用できそうに見えるけど危ないものもあるんだということを徹底をしていくことで、この数字をゼロにするよう目指していきたいというふうに思います。
○国務大臣(遠藤利明君) 今、世耕副長官から話がありましたが、一番の課題はやっぱり意識を高めるということだと思います。それだけ民間は、それですぐ企業は潰れる。しかし、ここはやっぱりお役人意識というものがあるんだろうと。そういうことを含めて、しっかりと訓練、教育等について意識を高めていきたいと思っております。
○山田太郎君 最後の質問をしたいと思いますが、このセキュリティーの裏にある表現の自由といったところもちょっとしっかり見ておく必要があると思いますが、この法律によって表現の自由が侵されないようにしなきゃいけないと。特にインターネット上の自由というんですか、逆に萎縮してしまっても、要は情報を発信していくということも一つの官それから我々国の仕事でもありますので。もちろんセキュリティーは、何もしない、何もやらない、何も足さないというのが一番いいんですが、それでは仕事にはなりません。
だから、自由との駆け引きになるんですが、その辺りを配慮していただきたいのと、もう一つはサイバー空間の分断。よく、セキュリティー分野で強化をし出すと、私も会社で経験があるんですけれども、実は切ってきちっと管理した方が確かにいいんだということになりますと、いわゆる元々、今国の方でももう一つ進めようとしているネットワークの統合というんですかね、ITによるやっぱり我が国の再武装というんですか、あるいは、私も実は今回、IoTという形でもって、実際のインダストリー四・〇みたいな形での話を随分積極的にやらせていただいたんですけれども、そういった社会インフラのIT化にも、逆に萎縮してしまってはこれは意味がないと思いますので、その辺りも観点として是非とどめていただきたい。
逆に言うと、今私も国会へ来て、一つ、新人議員としてもう、三年やっとなりまして、慣れちゃったのであれですけど、ファクスが当たり前みたいな、確かにファクスだと漏れにくいんですけれども、今どき民間企業はファクスもうありませんので、というようなものに回帰してしまってもやはりよろしくないと思います。そういった意味で、この辺の通信の自由というか表現の自由というか、この辺りの配慮、遠藤大臣の方からよろしくお願いします。
○国務大臣(遠藤利明君) 今回の改正案につきまして、内容の中で、とりわけ情報の自由な流通の確保、そして法の支配、開放性、自律性、あるいは多様な主体の連携という政策の立案等に当たっての基本原則を踏まえたものであり、表現の自由等について影響を及ぼすものとは考えておりません。
また同時に、今委員御指摘ありました、統合化と分断という話がありましたが、そこについても十分配慮して進めていきたいと思っております。
○山田太郎君 これで終わりにしたいと思います。ありがとうございました。
○山本太郎君 ありがとうございます。生活の党と山本太郎となかまたち共同代表、山本太郎です。
サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案の、主にサイバーテロ対策について質問いたします。
この法案の担当大臣は遠藤大臣なんですね。遠藤大臣といえば、東京オリンピック・パラリンピックの担当大臣でもあられます。しかし、今回はオリンピック担当大臣としてお越しではないので、残念ながらその件については大臣に質問をすることはできません。これ、お伝えしたいということだけで、オリンピックへのサイバーセキュリティー問題と併せて是非力を入れていただきたいことについて三十秒ほどでお伝えした後、本法案の質問に入っていきたいと思います。うそと利権と人権侵害のオリンピックになりつつあるという点だけです。
東京オリンピックがなぜ人権侵害か。新国立競技場建設のために、オリンピック憲章に明記された人間の尊厳保持、人種、宗教、性別、政治、そのほかの理由に基づく国や個人に対する差別は、いかなる形であれオリンピックムーブメントに属することとは相入れないというオリンピック根本原則を無視し、長年、東京都の明治公園で野宿生活をしていた人たちに対し、話合いをするという約束を破り、仮処分を申し立てて、今まさに権力で強制排除しようとしている重大問題が存在します。
安倍総理も沖縄の辺野古新基地問題で和解、話合いに応じました。JSCは話合いにも和解にも全く応じようとしないんですよね。私は、オリンピック憲章に反するJSCには東京オリンピック・パラリンピック推進する資格はないと思うんです。遠藤大臣、是非JSCに対して話合いと和解に応じるよう指示をしていただきたいと思います。
改めまして、本法案について遠藤大臣にお伺いをしたいと思います。
遠藤大臣は政府のサイバーセキュリティー対策の責任者であり、担当大臣なのでしょうか。基本的なことで申し訳ございません。そして、違うのであれば、誰がサイバーセキュリティー対策の責任者、担当大臣なのでしょうか。また、サイバーセキュリティー対策の政府の事務方の責任者は誰なのか。さらに、サイバーテロ対策の政府の責任者、担当大臣は誰なのか。また、サイバーテロ対策の政府の事務方の責任者は誰なのか。教えていただけますか、大臣。
○国務大臣(遠藤利明君) 政府におけるサイバーセキュリティー対策については、サイバーセキュリティー政策の取りまとめを行うサイバーセキュリティ戦略本部長であります内閣官房長官が政府の責任者となります。また、サイバーセキュリティ戦略本部の事務は内閣サイバーセキュリティ担当において行うこととされており、事務方の責任者は内閣官房内閣サイバーセキュリティセンターのセンター長であります高見澤内閣官房副長官補が当たります。
〔委員長退席、理事相原久美子君着席〕
サイバーテロ対策についても、サイバーセキュリティー対策の一環として、内閣官房においてサイバーセキュリティ戦略の取りまとめ等の全体的な施策の総合調整を行っており、その責任者についてはそれぞれ同様であります。具体的な取組につきましては、情報収集や捜査を行う警察を始めとして関係省庁が連携して取り組んでいるところであります。
○山本太郎君 ありがとうございます。
マイナンバー制度に対するサイバーテロ対策の責任者、担当大臣って誰なんですかね。また、事務方の責任者は誰になりますか。そして、マイナンバー制度がサイバーテロの対象となる可能性はあると認識をされているのか。お答えいただけますか。
○政府参考人(向井治紀君) お答えいたします。
マイナンバー制度につきましては、所管は内閣府と総務省、このようになってございます。そういう中で、現在、マイナンバーの具体的な実施、例えば広報とかシステム・体制整備の進捗管理、セキュリティーの確保対策など、実施に伴う事務を担うのは高市国務大臣と承知してございます。
その上で、事務方につきましても、総務省、内閣府、それぞれ所掌がございますけれども、内閣も内閣官房がございます。
それで、内閣官房の立場は、マイナンバー制度を企画立案して法案を通させていただいたわけでございますけれども、法案成立後につきましては、総合的な内閣官房の調整機能を使いまして、それで総合調整を行っていると。そういう意味で、事務方の責任者という点で申しますと、内閣府の所管でございますので、内閣府は、担当室長は私でございますが、その上には事務次官というのが、事務次官が事務方の最高責任者であり、総務省におきましては総務省の事務次官が事務方の責任者になろうかと思います。
○山本太郎君 ありがとうございます。お久しぶりです。マイナンバーのときにお世話になりました。
五月二十六日と二十七日の伊勢志摩サミットに対するサイバーテロ対策の責任者、担当大臣は誰なのか、また事務方の責任者は誰なのか、教えていただけますか。そして、万全の対策、もちろん講じられているということでよろしいですよね。
○政府参考人(谷脇康彦君) お答え申し上げます。
伊勢志摩サミットにおけるサイバーテロ対策を含むサイバーセキュリティー対策につきましては、サイバーセキュリティ戦略本部長であります内閣官房長官が政府としての責任者でございます。
一方、事務方についてもお尋ねがございました。サイバーテロ対策を含む伊勢志摩サミットに向けた政府の準備を検討してきております伊勢志摩サミット準備会議の中に、サイバーセキュリティー対策について、NISCのセンター長の下、NISC副センター長を座長とするワーキングチームにおいて実務的な検討をしているところでございます。
なお、サイバーテロ対策の具体的な取組につきましては、その情報収集や捜査を行う警察を始めとし、関係省庁が連携をして現在取組を進めているところでございます。
○山本太郎君 一体さっきから何を聞いているんだろうと思われた方もいらっしゃるかもしれませんけれども、有事に混乱が起こる原因の一つとして、誰が何の責任者なのか曖昧というケースがありますよね。例えば三・一一を思い出していただきたいんです。東電福島第一原発事故のとき、政府の事故担当責任者、司令塔は、原子力安全・保安院の寺坂院長なのか、原子力安全委員会の班目委員長なのか、伊藤内閣危機管理監だったのか、何かはっきりしないなみたいな、何かそういう状態があったと思うんですね。
〔理事相原久美子君退席、委員長着席〕
そこで、今後のサイバーテロ対策について、責任者、担当大臣は誰で、事務方の責任者は誰なのか、これはっきりさせておくべきだと。もちろん厚労省、年金の問題、もう大問題でしたから、年金情報流出事件の後ですし、そこら辺はしっかり決まっているだろうと思いましたけれども、一応念のために確認したんですよね。
三日前、月曜日にお聞きしたときには、NISCは、サイバーセキュリティーの責任者は菅官房長官であると、事務方の責任者はNISC、すなわち高見澤センター長、サイバーテロ対策の責任者は国家公安委員長で、事務方の責任者は警察庁ということだったんですけれども、昨日聞いたときには、サイバーテロ対策の責任者は国家公安委員長ではなく菅官房長官で、事務方の責任者は警察庁ではなくてNISCの高見澤センター長であると。そして、伊勢志摩サミットのサイバーテロ対策の責任者も菅官房長官で、事務方の責任者は谷脇NISC副センター長ということになったんですよね。聞く度にこれ答えが二転三転するという、混乱されているんだなとちょっと心配したんですけれども、この質疑をきっかけにそういうはっきりとしたことというのがこの後決まっていくようでよかったです。
サイバーに関する事象が起これば、結局警察のお世話になるしかないんですよね、結局警察に最後それを伝えて捜査してもらうという、そういう段階になるわけですから。サイバーテロ、これ明らかに犯罪なんだから、もうこの責任者、国家公安委員長でいいんじゃないのって、事務方の責任者は警察庁長官とすべきなんじゃないかなと思うんですよ。
警察のこれ警察白書というのを見てみたんですけれども、特集として、サイバー空間の脅威への対処というような内容で、もう初めからこれ特集としてサイバー問題が組まれているんですけれども、すごいですね、警察。サイバー攻撃対策官、サイバーフォースセンター長というのを置いて、サイバー攻撃分析センターというのをトップに、そこに技術情報の提供というのが上がってくると。それと併せて、横で連携して捜査、捜査の成果も上がってくると。捜査の方で置かれているのがサイバー攻撃特別捜査隊、十三都道府県警察の公安部、警備部に設置と。サイバーフォース、これ情報通信部門、本庁、七管区、五十一都道府県、方面の情報通信部に設置って、もう完璧じゃないか、もう既にあるじゃないかという話なんですよね。
これ、NISCがここに関わっていくという意味合いがどれぐらいこのサイバーセキュリティーという問題に対して効果をもたらすのかという部分も考えなきゃいけないなと。もう既にあるんだから、ここをもっと拡大していけばいいじゃないかって、何かワンクッションつくる必要があるのかなというふうにも思っちゃうんですけれども。
先ほど私が言った、サイバーテロに関してはもう明らかに犯罪なわけですから、責任者は国家公安委員長、事務方の責任者は警察庁長官ということじゃまずいんですかね、大臣。遠藤大臣、いかが思われますか。
○政府参考人(谷脇康彦君) お答え申し上げます。
サイバーテロを含むサイバー犯罪に関して、これを捜査をし検挙をしていく、これは当然警察庁が行うべき責務であるというふうに考えております。ただ、広い意味でサイバーテロ対策を考えました場合に、重要インフラ、鉄道、通信等に対するサイバー攻撃が生じた場合、あるいはそれを予防するための対策というものは重要インフラを所管している省庁でそれぞれ行っているところでございます。そして、こうした取組を政府一体として行っていくために私ども内閣官房が全体の政策調整を行っているわけでございまして、それぞれの役目に応じて、かつ責任分担を明確にしながら、政府の中でサイバーセキュリティー対策を講じているところでございます。
○山本太郎君 そうですか。
日本の原発に対するサイバーテロ対策の政府の責任者、担当大臣、誰になりますか。また、事務方の責任者は誰でしょうか。そして、原発に対するサイバーテロ対策というのはあるんですか、教えてください。
○山本太郎君 なるほど、サイバーテロ対策というのはもうされているんだよというお話なんですよね。確かにそうなんですよね、防護措置規定九十一条の規定というのもあるんだと。何かあったときには電気通信回線というのは遮断されるようになっているんですよねというような話ですよね。
でも、世界見てみたら、回線遮断するなどでは原発へのサイバー攻撃というのは防げない話というふうになっているのは御存じですよね。だから、新たに何かが必要だということはもう明らかなんですよね。防護措置規定九十一条で回線遮断するんだということが可能だからそれでオーケーだという話ではなく、サイバー攻撃というのはもっともっと進化していくものなんじゃないんですか。一秒ごとにというような話だと思うんですけれども。
チャタムハウス、英王立国際問題研究所は、原発を標的とした重大なサイバー攻撃のリスクは増大していると警告をしています。世界中の多数の専門家は大規模なサイバー攻撃の脅威の危険性は低いと考えている、なぜならば原子力施設の重要なコンポーネントは空間的に隔離されているからだと問題を指摘し、チャタムハウスは世界中の多数の専門家の考えは間違いだと明言しています。このチャタムハウスの指摘を受けてBBCは、一般的なインターネットと原子力システムのいわゆるエアギャップは単なるフラッシュドライブを用いて容易に突破できる、破壊的なコンピューターウイルスはこのルートからイランの原子力施設を感染させたということに着目してほしいと、そのように報じたそうです。
サイバーセキュリティー、サイバーテロに関して、新たに新規制基準では対策をどの程度まで求めているんでしょうか。規則に不正アクセス行為を防止すると書いてあるだけじゃないですか。何かもっと先にもあるんですかね、これ見ていけば。でも、文章上書かれているのはそれだけだったんですけどね。サイバーセキュリティー、サイバーテロ問題に原子力規制庁は付いていけているのかなと。
今回の法案でも原子力事業者は対象になっていません。旧来の手法で大丈夫ですか。日本の原発を保有するほかの先進国とでは、危機意識のレベル、余りにもちょっと違い過ぎないかと。特にアメリカ、原子力施設に対するサイバーテロ、十分に想定をしている。武力攻撃の対象だとまで言及していると。原発へのサイバーテロについて、現在エール大学教授のハロルド・コーは、国務省法律顧問だった二〇一二年当時、直接的に死者、負傷者、重大な破壊行為を引き起こすサイバー攻撃は武力行使となり得るとした上で、原子力関連施設のメルトダウンを引き起こす攻撃を武力攻撃相当として挙げている。
アメリカは、二〇一六年二月九日、サイバーセキュリティー・ナショナル・アクション・プランを発表、二〇一七年度予算案では対前年度比三五%アップ、百九十億ドル、約二兆円のサイバーセキュリティー関連費用を盛り込んだ。日本はどうだ。かなり増額されましたよね。平成二十八年度当初予算で四百九十九・三億円、平成二十七年度補正予算で五百十三・八億円、合わせて一千億円程度だと。これ足りるのかなって。原発のサイバーセキュリティー、セイバーテロを真剣に考えるとすると、この予算で守り切れますかっていう話なんですけどね。結局、原発は廃炉を急いだ方が経済的にも安全保障上も正解なんじゃないのっていうことだと思うんですよ。
原発に対しても当然サイバー攻撃の危険性を十分に認識する国が存在している一方で、原発が存在するのにそれに対するリスクヘッジは最低限の国が存在している。政治の無策で犠牲になるのはその国に生きる人々であると。核施設が列島を取り囲むこの国でそれをターゲットにされてしまえば、現在収束不能な東電原発に加え、もう一か所事故原発を抱える余力というのはこの国にはあるんですかね。もうミスれないぞって。
日本年金機構の情報漏えい問題での対応を思い出すと、五月十九日に年金機構が警視庁へ通報したことをNISCが知ったのは十日後の五月二十九日だった。これが原子力発電を狙ったサイバー攻撃だったらと考えると背筋凍りませんか。NISCでワンクッション置く必要あるのかなって。もう警察にあるんだから、警察のこの部分をもっと強化して力を入れた方がいいんじゃないのって、ワンクッションつくる意味あるかなって。この十日間の空白って恐ろしいですよね。
国家の存亡に関わるほどの威力を持った施設が日本には山ほどあるわけですから、せっかく法改正するんだったらもっと危機感を持った権限拡大を目指してほしいよなと思うんですよね。なので、修正案を準備させていただいたので、詳細は後ほどお話ししたいと思います。
話を戻します。
サイバーテロについては、私は、日本壊滅のリスクがある原発へのサイバーテロへの対策は非常に重大で、今回の法案においても特に原子力事業所については政府の責任で監視等を行うべきだと思うんです。遠藤大臣、見解はいかがでしょうか。
○国務大臣(遠藤利明君) サイバーセキュリティーの確保を含む原子力事業所における安全の確保については、核原料物質、核燃料物質及び原子炉の規制に関する法律に基づき原子力規制委員会が対応しているものと承知をしております。サイバーセキュリティ戦略本部及びその事務局である内閣サイバーセキュリティセンターは、現行の基本法の枠組みの中において、原子力規制委員会等の関係行政機関との間において情報共有を行ってきており、必要に応じて助言等を行っております。
したがって、お尋ねの原子力事業所のサイバーセキュリティーの確保については、現行の法令の枠組みの中において対応することが適当であると思っております。
○山本太郎君 サイバーセキュリティー、サイバーテロを本気で防ぐんだったら本法案では不十分であるのはよく分かることだと思うんですけれども、車の両輪、これがそろっていなきゃいけない。もう片方、余り具体的にならない部分が改善されなきゃサイバーセキュリティー、サイバーテロを防げないと思うんです。どういうことか。政府、公共機関に働く非正規職員の皆さんの厳しい労働環境の話です。年金機構の問題、そこで働く人々のヒューマンセキュリティーがしっかりと守られなければならないということを教えてくれた事案だったと思うんですよね。
例えば年金機構、平成二十八年四月現在で、正規の職員数一万一千九百五十二人、非正規職員数は九千八百三十五人。現在の時給の平均、千百八十二円だそうです。上がったんですって、賃金。でも、一日八時間、二十日間働いたとしたら幾らでしょうか、十八万九千百二十円。余裕で官製ワーキングプアのままなんですよ。
同一価値労働同一賃金の原則に反する人権無視の労働環境を押し付けて、守秘義務だけは正規職員と同じ、厳しい罰則まである。年金機構法二十五条秘密保持義務、五十七条罰則、一年以下の懲役又は百万円以下の罰金。サイバーセキュリティーを担っているのは人間だと。サイバーセキュリティーは実はヒューマンセキュリティーなんだと。人間の安全保障の問題であると私は思うんです。
年金機構など、非正規の人たちを正規職員にしていく必要があると思います。同一労働同一賃金を宣言した政府を挙げてこれに取り組むことがヒューマンセキュリティーのレベルを上げていく、サイバーセキュリティーのレベルを上げていくことになると思うんですけれども、厚労省、いかがですかということが一点。
そして、本法案を急ぐように、いや、それ以上にだと、もっと急いで職員の待遇改善が行われなきゃ、サイバーテロを防ぐ下準備というのがまだできていないんだよと。遠藤大臣、その厚生労働省の答えを受けた上で、この問題について厚生労働大臣にその件を提案していただけますかという、この二点についてそれぞれお答えいただけますか。お願いします。
○委員長(神本美恵子君) 時間が来ておりますので、答弁は簡潔にお願いします。
○大臣政務官(三ッ林裕巳君) お答えいたします。
日本年金機構の職員体制については、正規職員のほか、効率的に業務を実施するという観点から、正規職員の指揮の下、年金相談や入力など業務の補助を行う職員として有期雇用職員を雇用しております。これらの職員は補助的業務であることから、賃金等は正規職員とは異なったものとなっております。
日本年金機構は、今般の情報流出事案を踏まえて業務改善計画を策定し、情報セキュリティー対策はもとより、人事制度の改革にも取り組むこととしており、その中では有期雇用職員についても、活性化の観点から、無期化制度の活用、評価の導入と意欲、成果に応じた処遇といった項目が盛り込まれていると承知しております。機構において今後これらの具体化に取り組んでいくこととなりますが、厚生労働省としても必要な助言、指導を行ってまいる所存でございます。
○国務大臣(遠藤利明君) 今厚労省から話がありましたが、御指摘のとおり、処遇面での配慮が必要だと認識をしております。引き続き待遇の改善等について努めていきたいと思っております。
○山本太郎君 是非、厚生労働大臣にそのことを伝えてください。サイバーセキュリティーに一番大事な部分です。
ありがとうございました。
