国と地方の情報連携をひかえ新たな段階を迎えるマイナンバー(個人番号)制度について、個人情報保護対策がなおざりにされ、データ流出などを頻繁に起こし重大な問題になっています。この問題を日本共産党の梅村さえこ議員は重大視し、情報連携が強まれば個人情報漏えいのリスクは高まるとして、制度の廃止を求めました。
4月18日の衆院総務委員会で、梅村氏は4月に起こった総務省統計局サイトへのサイバー攻撃による情報流出を理由にサイトを停止させていることを指摘し、「システムに脆弱(ぜいじゃく)さがあった」との言い訳を繰り返す政府を批判。マイナンバーの元になる番号を生成して市町村に通知するなどのマイナンバー制度の基幹的役割を担う「地方公共団体情報システム機構」でも「別人に同一のマイナンバーを付番」などの問題が相次ぎ、カード発行障害の際の同機構の代表者会議も「(問題発生時に)原因究明に時間を要するのは容易に想像できない」などと指摘していることを紹介し、「大変あぶない、綱渡りの状況だ。個人情報漏えいのリスクにどう対応するのか」と質問しました。
高市早苗総務相は「適切な管理に必要な措置が義務付けられている」と答えました。
梅村氏は、マイナンバー制度が個人情報の守備が法的前提になっていることを強調し、プライバシーの侵害や際限なき連携強化につながる制度の廃止を求めました。
【「しんぶん赤旗」2017年5月9日付】
-会議録ー
○梅村委員 日本共産党の梅村さえこです。
システム機構法改正案について質問いたします。
最初に、この改正案は、マイナンバー制度が、国の行政機関同士、さらには国と地方公共団体や、地方公共団体相互で情報連携が開始されるという新たな段階を迎える中で行われるものです。大きな情報連携の開始を前に、本当にマイナンバー制度が安全かつ安心な仕組みとされるのか、どんなリスクがあるのか、きちんと想定して対策されているのかをまず伺いたいと思います。
〔委員長退席、坂本(哲)委員長代理着席〕
○あかま副大臣 お答えいたします。
情報連携に係る総合運用テストは、本年七月から情報提供ネットワークシステムに接続する全機関が参加をして、昨年九月からことし六月までの期間を確保して実施をしております。
総務省では、総合運用テストについて、地方公共団体の適切な実施を促すとともに、地方公共団体のシステムで発生したエラー等の対処についての助言を行うなど、システム上の課題の抽出と修正に向けて対応をしておるところでございます。
また、四月から五月にかけてでございますけれども、国の行政機関等と地方公共団体との総合運用テストを本格的に実施することとしており、総務省において、適切にテストの実行管理と課題への対応を行うこととしております。
さらには、本年七月からの試行運用期間においては、総務省において、情報連携を行う機関から問題が発生した場合の報告を集約し、本格運用に向けた検証を行うこととしております。
総務省といたしましては、こうした対応によって、情報連携の円滑な開始に向けて取り組んでまいりたいと考えております。
○梅村委員 今、取り組み状況を御答弁いただきました。
ただ、国民の中では、個人情報が本当に守れるのか、プライバシーがこの制度の中で守られているのか、そういうやはり疑念の声が引き続き大きくあるのだと思います。
繰り返し国会で指摘されていることですが、中間サーバーにおいては常時、個人情報のコピーが保存され、全国二カ所に共同化、集約化がされるようになっており、ここがサイバー攻撃を受けたら大量の情報が一気に漏れるのではないか。
また、符号や数字の羅列で、漏れても何の情報もわからないというようなQアンドAがあるかと思いますが、人間がつくり、運営する以上、一〇〇%大丈夫などないというふうに思います。
また、今後、役所だけでなく、民間事業者にも広げるなら、個人情報が流出するリスクは格段に増すことになるのではないでしょうか。
さらに、マイナンバーが何者かに抜き取られ、複数の機関から取り出された情報をマッチングし、個人情報が集積されていく危険もあり、マイナポータルも、ICカードとパスワードさえあれば、特定の個人情報を一覧できるものとなっているかと思います。
そこで、こうした不安の中で、先日、四月十一日、総務省の統計局のサイトへのサイバー攻撃で登録者名などの流出のおそれがあり、現在停止されているというふうに聞く問題であります。
ネットなどやいろいろな声を拾ってきますと、総務省ともあろう組織が、本来セキュリティー対策を旗振りする立場なのに被害に遭うとはとか、だからマイナンバーを使わないようにしているとか、脆弱さがあったでは済まされないという意見が上がっていると思いますが、このような声をどのように受けとめていらっしゃいますでしょうか。
○会田政府参考人 お答えいたします。
政府統計の総合窓口e―Statの一つの機能であります、地図による小地域分析、jSTATMAPと呼んでおりますが、これが第三者による不正アクセスを受け、同機能における情報が抜き取られたことが判明いたしました。
現時点では、不正アクセスにより抜き取られた情報に個人情報が含まれていることは確認されておりません。
個人情報を抜き取るには、限られた者しか知り得ないパスワードなどを入手した上で、個人情報を格納した別のサーバーを乗っ取る必要があることから、その可能性は極めて低いと考えております。
情報流出発覚後、e―Statを構成しますシステム全てに対して点検を行い、脆弱性がないことを確認しております。
さらに、特別なファイアウオールの導入によるシステム監視の強化や、セキュリティー監査の強化など、e―Stat全体の再発防止措置を講じることとしております。
このような対策を講じ、今後、不正アクセスによる情報流出が生じないよう、しっかりと対応してまいります。
○梅村委員 信頼にかかわる大変重要な、重大な問題だというふうに思います。
こういう問題が起こってからではなくて、事前に防ぐことはできなかったんでしょうか。
○会田政府参考人 いろいろ対策は講じてきておりますけれども、どうしても、脆弱性というのは新たに徐々に発見されていることがある。新たな脆弱性が発見されてくる、それに対しての対応がちょっと今回は手おくれになったという面があるかと思います。
今後、しっかりと対応してまいりたいと思います。
○梅村委員 今回の原因として聞くのは、システムに脆弱さがあったという御答弁だというふうに思います。これは何度も聞く答弁になってきているというふうに思います。
本法案の提出のきっかけとされる、システム機構、いわゆるJ―LISのマイナンバーカード作成作業におけるトラブル、これも、機構が発注した五社コンソーシアムによるシステム上のミスが重なったということが挙げられているかというふうに思います。
システム上の脆弱さだとかシステム上問題があった、こういうことがJ―LISのマイナンバーカードの発行システムのときにも言われたわけですけれども、では、今回、万全の対策をJ―LISにおいてとられているのか、そのことについて御答弁をお願いします。
○安田政府参考人 委員御指摘のように、昨年、システムトラブルがございまして、特に中継サーバーを中心にシステムの障害があったということでございました。
それを受けまして、J―LISにおきましても、ガバナンスの強化ということで、さまざまな取り組みをしておりますけれども、これに加えまして、今回、法改正を行いまして、法律の改正によって対応できるものについて対応しているということでございます。
具体的に言いますと、まず、今回の改正によりまして、新たに内部統制に関する事項を業務方法書の記載事項とすることによりまして、例えば、想定されるリスクを特定し、リスクを回避するための方策や体制をあらかじめ定めることで、障害発生の予防効果が期待されるというふうに考えております。
また、仮に一連のカード管理システムの障害のような事案が生じた場合に、どう対応できるかというのはなかなか予見が難しいわけでございますけれども、今回の改正によりまして、J―LISみずからのガバナンスの強化策といたしまして、J―LIS法以外の法令違反等の場合にも、代表者会議の理事長に対する是正措置命令が可能になるということ、それから、機構処理事務の適正な実施を確保するため必要があると認めるときは、総務大臣のJ―LISに対する監督命令が可能となること、こういうことが規定されることになっております。
こういう規定を背景にいたしまして、J―LISにおいて速やかに適切な対応をとることが期待されるものと考えているところでございまして、今後も総務省として必要な助言を引き続き行ってまいりたいと考えております。
〔坂本(哲)委員長代理退席、委員長着席〕
○梅村委員 今御答弁があったように、そういうもとで今後ガバナンスの強化や大臣の権限を強化するという法改正が今回提案されているということでした。
ただ、J―LISにかかわる問題は、このカードの発行をめぐるトラブルだけではなくて、通知カードの送付トラブル、別人に同一のマイナンバーが付番されたトラブル、また二〇一七年二月十三日はコンビニ交付が三時間停止する、こういうような関連の事例が続いているかというふうに思います。
それで、私、トラブルを受けた後の地方公共団体情報システム機構代表者会議の議事録を読ませていただきましたが、そこには大変リアルな報告がありました。
今回出た弱みに対しては、今後も持ち続けないといけない弱みとなっている。二〇一七年度に予定されている情報連携においてはプレーヤーがふえる。国や地方公共団体等のさまざまなシステムが連携することになる。国や地方公共団体等のさまざまなシステムが連携することになれば、何かが起こったときに、どちらのシステムの原因で起こっているのかというのが問題になるが、その原因究明に時間を要することは容易に想像できる。
ということで、その時点でのトラブルと同時に、新たに連携強化をする際に、そうしたリスクというか不安というか、そうした問題もさまざま当時から提起をされていて、率直に言って、大変、本当に危なっかしい中で、綱渡りをしながらやっておられる状況もあるのかなというふうに思いました。
今回、七月開始だった情報連携が、運用試験期間を三カ月置き、本格運用を秋にしたのも、そういう事情を踏まえてのものもあるのかなというふうにも思うわけであります。
そこで、次に聞きますけれども、昨年六月三十日のJ―LISの総点検結果については、こうしたシステム上のトラブルと同時に、カード管理システムの能力以上の利用があったということで、当初計画年千万枚から、三カ月千万枚と大幅に多くなったと。こうした交付計画に対する考慮が不十分だった、そういう分析もあろうと思いますが、そうした分析があったということも事実でしょうか。
○安田政府参考人 昨年のシステムトラブル等を受けまして、その背景でございますとか時間がかかった要因などが、逐次J―LISにおいて分析されてございます。
その中で、一番の要因というのは、やはり中継サーバーに起こったシステム障害、これが非常に大きな影響だったということが分析されております。
ただ、さらに、その能力の問題といたしまして、特に三月末、転入転出が多い時期にかなりの量のアクセス数かつ利用があったということがその一定の発行の遅延等につながった、こういうような分析もされているということを承知しております。
○梅村委員 おっしゃるとおりで、今御紹介させていただきましたけれども、当初、年千万枚の計画だったのが、三カ月で千万枚というような発行が求められるもとでのトラブルというのも、事実、総括、指摘をされているかというふうに思うわけですね。
そういうことを踏まえますと、やはり、システムに脆弱さがあったということと同時に、予算的にも、カードの発行枚数を、補正予算で千五百万枚を追加し、二千五百万枚の交付を予算措置する流れとなっていったこともありますが、そういうふうにあおるような、進めようというような流れも、自治体の準備やシステム上しっかりと準備が整っていないのに、突き進んでいってしまった原因もあるのではないか。
ですから、現場や、本当に個人情報がしっかりと確保されているのかというのを時々チェックしながら、危ないときにはやはりその進行をとめるような対策も、私は、この間の経過を踏まえれば、大きく言えるのではないかなというふうに思います。
こうした経過を踏まえ、また、三木浩平総務省自治行政地域情報政策企画官が昨年十二月の「時評」の中で、最近、自治体をターゲットとしたサイバー攻撃は年々増加している、攻撃も刻々と変化していますと述べられております。そうしたサイバー攻撃から、地方公共団体が本当に住民の個人情報をまた守れるのかという問題もあると思います。
そこで、総務大臣にお伺いします。
本法案によって、機構のガバナンス強化、総務大臣の機構に対する監督権限等の強化を行うとありますが、やはり、情報連携システムの本格稼働が始まれば、想定しない障害が発生する可能性は否定できないと思いますし、個人情報漏えいのリスクはさらに大きくなるのではないかと思います。
そうしたときに、監督権限の強化、どんなふうに対応していくのかということを伺いたいと思います。
○高市国務大臣 J―LISは、機構処理事務を実施する中で、特定個人情報を含むプライバシー性の高い情報を大量に取り扱うこととなります。ですから、これらの情報の漏えいなどを防止して、適切かつ安全に管理する必要がございます。
このため、今回御審議をお願いしている改正法案においては、これらの情報について、適切な管理のために必要な措置をとることをJ―LISに対して義務づけることとしております。
また、これらの情報の保護に関する事項を調査審議し、理事長に対して意見を述べることができる第三者組織として、機構処理事務特定個人情報等保護委員会を新たに設置することとしております。
なお、現行法の規定においても、機構処理事務に従事するJ―LISの役職員には、マイナンバー法などにより、秘密保持義務や秘密を漏らしたときの罰則がかかっております。
これらを踏まえまして、J―LISにおいては、適切な情報保護体制を構築していただくべきだと考えております。
総務省としても、責任を持って、今回マイナンバー法に関しても大臣の監督権限をお与えいただきましたら、しっかりと監督責任を果たしてまいりたいと思っております。
○梅村委員 漏えいを防ぐ、安全、安心を守る、そういう御答弁だったというふうに思いますが、しっかりと個人情報の保護をやっていただきたいというふうに思います。
そこで、最後に伺いますが、本法案は、本人確認情報について、マイナンバー法の規定による機構処理事務のうち総務省令で定めるものに使用できるとしています。
どんな内容を想定しているのか、御答弁をお願いします。
○安田政府参考人 お答えいたします。
今回の改正法案のうち、住民基本台帳法の改正に係る部分でございますけれども、今回の改正によりまして、機構処理事務のうちの通知カードやマイナンバーカードの発行事務に、本人確認情報、これは住基ネットで保有している情報でございますが、これを利用することを可能にするということを考えているわけでございます。
これによりまして、市町村の事務負担の軽減、正確な事務の実施を可能とするということを念頭に置いているということでございます。
○梅村委員 確認ですけれども、初めて顔写真が加わる可能性もあるということになりますでしょうか、マイナンバーカード。
○安田政府参考人 お答えいたします。
本人確認情報の中には、顔写真は入っておりません。いわゆる四情報と住基コード、それからマイナンバー、こういうものが入っているということでございます。
御指摘ございましたのは、今回新たに保護の対象といたします機構処理事務特定個人情報等という概念をつくるということにいたしているのでございますが、これには、特定個人情報、これは、マイナンバー、マイナンバーとともに取り扱われる氏名、性別、生年月日、住所等のほかに、顔写真などマイナンバーカードを申請する際の個人情報、こういうものも含まれるというふうに考えております。ただ、これは、こういうものを保護の対象にしようという考え方でこういう概念を設けているということでございます。
○梅村委員 こういう今御答弁があったとおりだというふうに思いますし、保護をしていくということですけれども、ただ、今まで対応する保護委員会がなかったから、新しく今回つくるということでありますね。
では、今までの保護委員会を調べてみますと、ある二つ、年に一回ぐらいしか開いていなかったということですけれども、今までも、マイナンバーカードを扱いながら、年一回それでフォローしていたということだったと思いますけれども、年一回ぐらいしか開いていなかったということでしょうか。問題点はなかったんでしょうか。
○安田政府参考人 お答えいたします。
今回、マイナンバー法に基づく個人情報を保護するための機構処理事務特定個人情報等保護委員会というものを設けていただこうという法改正の内容になっております。
ただ、同様の保護委員会につきまして、住民基本台帳法に基づく本人確認情報と公的個人認証法に基づく委員会ということで、既に二つの委員会が存在してございます。これらの委員会の開催状況につきましては、御指摘ございましたように、年一回程度ということでございました。
今後、新しく特定個人情報保護委員会、これを立ち上げるとともに、この活性化についてもJ―LISに対して助言をしてまいりたいというふうに考えております。
○梅村委員 マイナンバーは、本来、個人情報がしっかりと守られることが前提だという法のたてつけになっているかというふうに思います。
情報連携の強化ではなく、マイナンバー制度の廃止こそ求めて、質問を終わります。