国会論戦・提案

2015年06月03日
国会論戦・提案
,

年金機構「情報流出問題」と「業務委託で違法派遣」を追及

 

年金機構 業務委託で違法派遣

 衆院厚労委 堀内氏、中止を要求 

 日本共産党の堀内照文議員は3日の衆院厚生労働委員会で、日本年金機構の個人情報流出問題に関して、同機構が委託した年金データ入力業務で違法派遣が行われていた実態を示し、個人情報を扱う業務の外部委託はやめるべきだと主張しました。塩崎恭久厚労相は、業務委託について「調べていきたい」と答えました。

 堀内氏は、同機構から年金データ入力業務を請け負った会社が、労働者派遣法に基づく許可・届出のない別会社に社員を派遣させて、業務に従事させていたことを指摘。この派遣会社の住所に実体はなく、従業員に給与も支払わないなど、個人情報をまともに扱える事業者に委託されていないとただしました。

 日本年金機構の水島藤一郎理事長は「(作業スタッフが)派遣であったとは把握していなかった」と述べ、外部委託した業務の実態をつかんでいなかったことを認めました。

 堀内氏は、社会保険庁を解体・分割し、大切な個人情報を扱う体制になっていないと批判。「不正常な状態を見抜けない。業務委託のあり方そのものに無理がある」と述べ、外部委託を中止するよう求めました。

 堀内氏は、「今回の問題でマイナンバー(共通番号制度)の危険性が改めて浮き彫りになった」として、「ひとたび流出したら、致命的な被害になる。それを回避するにはリスク分散をするしかない」と強調。審議中の番号制度の対象拡大法案は廃案にして、原因究明や再発防止策が定まるまでは、10月からの番号通知や来年1月からの利用開始は見送るべきだと強調しました。

 2015年6月4日(木)しんぶん赤旗より

年金機構の情報流出問題

年金機構について、情報流出問題についても追及しました。

※詳細は動画・議事録にて

 

 

 

 ◆議事録 2015年6月3日 衆議院厚生労働委員会 

○堀内(照)委員 日本共産党の堀内照文です。

  質問の中で通告していた内容に既に答弁があったものもありますので、若干違うものもあることを御容赦ください。

  きのうの新聞各社の一面に、この百二十五万件にも及ぶ年金情報が流出したという見出しが躍りました。五月八日及び十八日に電子メールで届いたウイルス感染をした添付ファイルを開いたことで二台の端末が感染したことを契機に数十台感染をし、情報が流出したということであります。年金機構は年金支給に支障はないとしていますが、流出した個人情報がどのように悪用されるかはわからず、不安の声が広がっています。

  最初に、ちょっと基本的なことなんですが、この流出した情報というのは、受給者のものなのか、受給者以外の加入者のものなのか、それとも両方含まれるのか、可能であれば教えていただきたいと思います。

○水島参考人 それは両方含まれております。

○堀内(照)委員 ですから、まさに本当に全国民的な不安が広がっているんだというふうに思います。

  そういう不安の声に応えるためにも、これはちょっと通告していないんですけれども、厚労省に伺いたいと思っています。

  早急に対象者へ連絡をとって番号変更などの措置を行う、これは年金機構が努力されることだと思うんですが、それは当然なんですが、同時に、今回の問題による被害が生じた場合、補償をという声もあるわけですが、これにはどう応えていただけるでしょうか。

○樽見政府参考人 補償というのは、結局、まさにその被害というのがどういう形でどういうふうに起こるのかということとあわせて、慎重によく考えていかなければいけないことだというふうに考えております。

○堀内(照)委員 検討するということだと受けとめたいと思います。

  過去にない規模での個人情報の流出であります。まず、こうした問題が起きたことについての厚生労働省としての責任をどう考えているのか、大臣の認識を伺いたいと思います。

  ちょっとこれは、済みません、通告では、問題解決に向けての大臣の責任はどうかということで通告したんですが、そうじゃなくて、問題が起きたことについての厚労省としての責任ですね、この認識をちょっと伺いたいと思います。

○塩崎国務大臣 今回、年金機構から、悪意を持ったウイルスの攻撃というものがあったということを、これを防げなかったということは大変遺憾なことであって、我々としては、監督する立場で、厚生労働省としてこれはおわびを申し上げなければいけません。そして、私も、厚生労働大臣でございますので、その責任を大きく感じるわけであります。

  したがって、今やるべきことは、何を最優先するかといえば、それは年金を、今回の個人情報の流出によっても、悪用されて支払われたり、間違ってされたりしないようにする、つまり年金を守るということを最優先にするということがまず第一で、今指示を出しているところでございまして、さらに、原因をきちっと解明して、二度と同じことが起きないようにするということが私の最大の責任の果たし方ではないかというふうに思うところでございます。

○堀内(照)委員 それでは、具体的に幾つかお聞きしたいと思います。

  既にもうこれも質疑の中で明らかになりました。きっかけは、五月八日、内閣サイバーセキュリティセンターが異常な情報の流れに気がついて厚労省に通報をしたということであります。つまり、五月八日時点では、内閣サイバーセキュリティセンターや厚労省は、問題があるということは認識をされていたわけです。しかし、情報流出が判明するのが二十八日と、なぜ二十日もかかったのかということであります。その二十日間のNISCと厚労省のそれぞれ対応はどうだったのかということをお聞きしたいと思っています。

  ただ、厚労省については、先ほど大臣からも答弁がございました。問題の端末を接続から外して解析に回して、ワクチンソフトを、開発ができたらそれをインストールするという対応だったということで、それは年金機構の仕事じゃないかという批判もありましたけれども、つまり、それは一緒にそういう作業をしてきたのかなというふうに受けとめましたが、厚労省としては、年金機構のそういう作業を見守っていたのか、電話でいろいろ相談していただけなのか、出向いて一緒になって汗を流したのか、その辺をちょっと厚労省には聞きたいと思っています。

  NISCと厚労省と、それぞれ、この二十日間ですね。

○塩崎国務大臣 これは、先ほど御答弁申し上げたように、NISCから連絡が来て、そのことを伝えたのが年金局でございます。担当係長が機構とも協議をして、インターネットからパソコンを外すというようなことを協議の上で指示もし、そして、最終的にはもちろん機構の判断でやっているわけでありますし、十八日のことについてもその間ずっと意見を交わしながら指示もしてきたということでございまして、年金局も機構とともにそこは考えていたということでございます。

○水島参考人 若干繰り返しになりますが、五月八日に発生して以来、機構といたしましては厚生労働省と常に協議をしながら進めてきたところでございます。

  節目節目で御指導もいただきながら、かつ、それをもとに自主的な判断も行いながら進めてきたということでございます。

○三角政府参考人 お答えいたします。

  NISCにおきましては、政府機関に対するサイバー攻撃等の不審な通信を監視、分析し、これを感知した場合には関係府省に通知し、所要の対策を講じるように求める、そういう対応をしているところでございます。

  一方、各府省庁におきましては、自組織におけるサイバー攻撃に対する障害が発生した場合、これをNISCに報告するとともに、緊急対処方針の決定、被害拡大の防止、早期復旧のための措置を講じていただいています。

  今回、五月八日の事案におきましては、NISCにおきましては、五月八日に不審な通信が行われていることを感知いたしましたことから、厚生労働省に対しましてその旨通知いたしますとともに、厚生労働省における対応について必要な助言を行ったものでございます。

  その助言の内容につきましては、例えば標的型メール及び不正なプログラムの分析、サイバー攻撃などに関します最新の情報が含まれているところでございますが、より具体的内容につきましては、当方の対処能力を明らかにするなど攻撃者を利することとなるものでございますから、お答えを控えさせていただきたいと存じます。よろしくお願いします。

○堀内(照)委員 つまり、NISCの場合は助言ということで、やはり厚労省が果たす責任というのは大きいものがあると思うんですね。

  今いろいろ言われましたけれども、これまでの質疑の中でも、なぜ情報流出をそもそも疑わなかったのかとか、本当に、問題点というのはまだまだあるというふうに思っております。

  作業のあり方についても少し伺いたいと思っています。

  年金受給額などを管理する基幹システムである社会保険オンラインシステムとは切り離されているとはいえ、そこの情報を、職員が作業する端末機を結ぶLANシステムに移して作業していた、その共有サーバーから情報が流出したということなんですが、大切な個人情報が、電子メールのやりとりができるような、外部とLANでつながっているということ自体がセキュリティーとしてはあり得ないと思うんですが、こういう作業のあり方というのが、通常の業務規程といいますか、マニュアルどおりなんでしょうか。

○水島参考人 機構LANシステムにつきましては、さまざまなセキュリティー対策を施しまして、基本的には、外部環境とのつながりという点に関して厳重な対応を行ってきているところではあります。

  インターネット環境に接続をしております機構LANシステムに個人情報を保存していたこと、そして、その情報が外部に流出したことにつきましては、大変申しわけなく、事態を重く受けとめているところでございます。

  今後でございますが、この機構LANシステム内の共有フォルダに個人情報をどのように保有していくのか、あるいは保有しないのか、あるいはこのような情報系のシステムを個人情報とどのように切り離していくのかという点について、検討を進めてまいりたいというふうに考えております。

○堀内(照)委員 つまりは、それが通常の業務のあり方だったということなんですね。

  流出した百二十五万件のうち、パスワードがかかっていないのが五十五万件だと。複数の人がLANでつながれている端末で作業をしているわけですから、不要な人が情報にアクセスできないようにパスワードを当然かけるものだというふうに思うんですが、なぜ一方でかかっていないものがあったのか、理由についてお聞かせください。

○水島参考人 機構の規程では、LANシステム内のデータ共有サーバーには個人情報は原則として保有をしないということがまず基本的なルールでございますが、業務上必要なデータについて、社会保険オンラインシステムから抽出をして共有ファイルに保存する場合に限り、アクセス制限あるいはパスワードの設定などセキュリティー対策を講じた上で保存することになっております。

  御指摘のとおり、一部の情報についてパスワードの設定がないということが今回判明をいたしました。そういう意味では、セキュリティー対策が極めて不足をしていたということについては極めて遺憾であるというふうに申し上げざるを得ないというふうに思っております。

  先ほど申し上げましたが、このリスクを遮断するために、職員の教育や意識にまつのか、あるいはシステムによるのか、あるいは業務のやり方によるのか、これらについて検討を進めてまいりたいというふうに考えております。

○堀内(照)委員 今の答弁ですと、アクセス制限をかける、もしくはパスワードをかけるということで、これまで、内部規程ではパスワードをかけるものだという答弁が続いていたんですが、必ずしもそうじゃないということですか。アクセス制限をかけるかパスワード、つまり、アクセス制限をかけているものについてはパスワードがなくてもいいということですか。

○水島参考人 個人情報を保有する場合には、両方ということでございます。

○堀内(照)委員 にもかかわらず、パスワードがかかっていなかったということがあるということなんですね。

  いずれにしても、LANで外部とつながっている、しかも複数の人が作業をする環境で個人情報が扱われていたということは、やはり非常に重大だというふうに思います。

  それから、年金機構の職場は非正規雇用も広がっています。今回問題になったような共有サーバーは、そういった非正規の職員も扱うような例があるんでしょうか。

○水島参考人 非正規雇用の職員につきましても、業務の必要に応じまして、正規職員と同様に共有サーバーを扱えるアクセス権限を与えておる場合がございます。これに関しましては、規程に沿って適切に管理を実施しているという状況にございます。なお、業務に関して知り得た秘密については、職員同様、守秘義務を課しているということでございます。

○堀内(照)委員 非正規だから一概にだめだということを言うつもりはないんですが、重要な個人情報を扱う人が有期、非正規で、いわば入れかわり立ちかわりということもあり得るわけなんですね。これでは幾ら研修しても、そのそばから新しい人にかわるということで本当にいいんだろうかというふうに思うわけであります。ちょっとこの非正規の問題、後でまたやりたいと思っています。

  ほかにもいろいろ問題があると思うんですが、素人目に見ても、余りにもずさんな対応ではなかったか。大臣は、報道によりますと、職員の基本動作ができていないと語ったそうでありますが、それに対しては他人事だという批判もあるわけですが、これは、個々の職員の問題というよりもシステムの問題ではないか、個人情報を扱う機関として本当にこれでいいのかということが問われていると思います。

  厚労省として、こういう実態があったということは把握をされていたんでしょうか。

○樽見政府参考人 私どもとしては、日本年金機構において、日本年金機構セキュリティポリシーというものをつくっておられる、これに基づきまして、情報の作成、入手、利用、保存、移送、提供、消去といったことについてセキュリティー対策を行うこととなっておりますので、これに基づいた運用がなされているものというふうに考えていたところでございます。

  したがいまして、今回の事態はまことに遺憾でございまして、LANシステムのあり方という点も含めまして、厚生労働省に設置する第三者による検証委員会において、原因について究明し、再発防止策を検討するという中で検討していただくべき問題というふうに考えております。

○堀内(照)委員 今の答弁でいいんだろうかと思うんですね。

  先ほどもありましたけれども、厚労省自身の審議会部会による評価で、年金機構の個人情報保護の取り組みについては、五段階で下から二番目、C評価、五年連続だと。厚労省自身が、年金機構の個人情報保護のあり方が必ずしも万全ではないという認識がやはりあるはずなんですよね。だとすれば、今の答弁というのはおかしくなるわけであります。

  年金は国民の大切な老後の財産であります。年金機構のものではもちろんありません。本来、国が責任を持って管理すべきで、そういう立場にしっかりと立つべきだということを厳しく指摘したいというふうに思います。

  それで、先ほど非正規の雇用ということを言いましたけれども、年金業務を扱う職場で、今、本当に非正規が広がっております。その中で、私、本当に大変だなと思いましたのは、業務委託の実態なんです。四月二十六日付読売新聞が報道しました、「年金入力で「違法派遣」 無届けの下請けが作業」という見出しであります。

  年金機構が外部委託をしていた福島県、和歌山県、大分県、三県の年金データ入力業務をめぐり、業務を請け負った会社が昨年十月以降、つまり十月からの一年契約ですから今期、業務を請け負った会社が、労働者派遣法に基づく許可、届け出のない別会社から社員派遣を受け、働かせていた。業務を請け負ったのに、また派遣に丸投げするというようなことになっているわけなんですね。

  入力データには、氏名、住所、生年月日などの情報が含まれます。これは当然、業務を請け負う会社との関係では、漏えい防止の誓約書の提出が求められます。ですから、業務を請け負った会社、業務委託した会社は当然そういう誓約書を提出しているわけですが、実際に作業した会社からはそういうようなものは一切出ていないわけであります。なぜこうしたことが判明したかというと、この会社が、三月、四月の給与未払いが生じて、結果的にバンザイしちゃったということなんです。

  新聞報道の前に、私、和歌山の方から相談も受けておりましたが、見ましたら、従業員の方の給与明細は派遣会社のものなんですが、当然です、派遣会社で雇われているわけですから。ところが、その給与を計算する勤怠の管理表というのは業務を委託された会社のものなんですよね。一体これはどないなっているのかという事態であります。

  その和歌山の方が富山県の、社員を派遣した会社は福井県にあるんですが、連携しまして、富山にある会社を訪ねてみると、ポストには名札がなく、その一階下には、業務委託を受けた、これは本社は福井にあるんですが、その会社の名札があったんだと。実に不可解なことになっているわけであります。

  こういった実態というのは把握をされているんでしょうか。

○水島参考人 日本年金機構におきましては、平成二十六年十月一日から平成二十七年九月三十日まで、福島、和歌山、大分の各事務センターにおける届け書の入力業務あるいは書類の封入、封緘業務などにつきまして外部委託をいたしておりましたが、受託事業者から三月下旬に、四月以降の業務ができない旨申し出がございまして、平成二十七年三月三十一日付で委託契約を解除いたしました。

  当該受託事業者の業務委託員につきましては、受託事業者の名刺を持ちまして名札をつけておりましたこと、また、その会社との契約は請負契約でございまして、職員に関しましては機構の職員の指揮命令下にはなかったということでございまして、機構としては、同社の職員が業務に当たっていたと認識をしており、派遣労働による派遣であったということは把握をしていなかったということでございます。

○堀内(照)委員 把握していなかったということなんですけれども、年金機構の内部統制システム構築の取組方針には、「適切な外部委託管理」という項目がありまして、「外部委託管理体制を整備し、委託業者の業務内容を適正に管理・監視して、機構の業務全体の適正性を確保する。」とあるんですね。本部にそういう責任者を置くと同時に、外部委託したその部署ごとに、それぞれの所管部署において、外部委託ごとに外部委託業務責任者、ですから、そこで働いている労働者の足元にそういう管理者がいるはずなんですよね。それでもわからなかったということで本当にいいんだろうかというふうに思うんですね。

  年金事務センターというのは全国に四十四カ所ありますが、四十四カ所全てで十一事業者に委託をしているわけであります。

  厚労省に伺いたいんですけれども、こういう実態、年金機構の業務委託の実態、これは調査すべきではないですか、適正に行われているかどうか。

○樽見政府参考人 年金機構に対する私どもの指導監督あるいは監査ということをいろいろやってございます。そういう中で、こういう契約の実態といったものについてもある程度見ていると思いますけれども、こうした事態が起きたということを受けとめて検討していきたいというふうに思います。

○堀内(照)委員 これは全国、ぜひ調査をしていただきたいと思います。

  大臣に伺いたいんですけれども、業務委託が全国で当たり前に今広がっております。

  和歌山は、不正常な実態から、この件を受けて、次の契約の十月までは労働者を直雇用として雇って、業務と雇用を継続させています。やはり個人情報を扱う重要な部署については直雇用、正規雇用を基本とすべきだと思うんですが、いかがでしょうか。

○塩崎国務大臣 今先生御指摘の年金機構の人員配置を見てみますと、これは二十七年度でありますが、定員ベースでいきますと、全体で二万一千九百七十四人、その中で正規が一万八百八十人という定員になっていて、正規は半分弱、こういうことになっているわけであります。

  そんな中で、今先生御指摘のような業務委託の話が出ておりまして、この点については、やはり勤務実態ということで調べていくべきだというふうに思っております。

  さっきお話があったように、今回の情報の流出に関しては、個人情報の取り扱いについては、正規であろうと非正規であろうとそれは関係なく、国民に対する責任ということで、関係法律と内部規程によって守秘義務が課せられているということは変わりませんので、そこのところははっきりしておきたいと思いますけれども、職場環境という観点からも、今先生御指摘のような調査については、年金機構の職場環境がどうなっているのかという一環で調べていきたいというふうに思います。

○堀内(照)委員 守秘義務が課せられているというのは当然なんですが、しかし、短期で、有期で入れかわる可能性が高い労働者を、大事な個人情報を扱う業務で本当にいいのかということを指摘しておきたいというふうに思います。

  今回の問題で、マイナンバー制度の危険性も改めて浮き彫りになりました。

  きのうの東京新聞では、白鴎大学の石村耕治教授が、「パスワードを定期的に変える時代に、同じ番号を生涯にわたって使うような制度は無謀だ。今回のような漏えいが起きるのだから、マイナンバーではあらゆる情報が漏れる」と述べていることが紹介されています。私、そのとおりだというふうに思います。

  そして、この年金情報流出が公表される間に、問題がありながら公表される間に、この問題、衆議院ではマイナンバーの法案はもう通過をしているわけであります。

  参議院での審議の動向もありますが、政府の方で、ここはきちんと立ちどまって、この法案は廃案にすべきだと思うんですが、いかがでしょうか。

○向井政府参考人 お答えいたします。

  マイナンバー制度は、より公平公正な社会保障制度や税制の基盤として、また情報社会のインフラとして、五年前に、民主党政権時代に検討が始まり、その後、翌年度、民主党政権で一度法案が出て、その間、三党協議が行われ、一旦廃案になった法案が政権交代した後再度提出され、二年前に国会で可決、成立しているところでございます。

  その間の議論におきまして、マイナンバー制度を導入することによりふえるリスクを最小限にとどめるような制度上あるいはシステム上の措置が講じられておるところでございます。

  今回の事件を受けまして、そういうふうなリスクにつきましては再度総点検をしたいとは思っておりますが、現時点におきまして、今年十月の番号通知、来年一月からの番号利用という全体スケジュールの影響は現時点では考えておりません。

  しかしながら、年金分野のマイナンバーの利用開始時期の影響につきましては、本件の原因究明、再発防止策の検討結果を見きわめて判断する必要があるものと考えております。

○堀内(照)委員 ちょっと今の答弁は、きのうの参議院の我が党の大門実紀史議員の質問への答弁と大分食い違っているように思うわけでありますが、サイバー攻撃を絶対に防げると言い切れるのか。防ぐ努力を最大限に行うのは当然ですけれども、一たび破られたら、これは致命的な被害になるわけであります。それを回避するには、やはりリスク分散するしかないわけです。

  少なくとも、この問題については、検証委員会をそれぞれ立ち上げるということですので、責任ある検証結果、事実の究明ですとか原因の究明、確かな再発防止策ができるまでは、これは十月の通知や一月からの利用開始、それから年金につなげるようなことなんかはやはり見送るべきだと思うんですが、改めていかがですか。きのうの答弁との関係で、ちょっと。

○向井政府参考人 おっしゃるとおり、リスク分散が必要でございます。

  したがいまして、リスクがゼロではございませんが、先ほど申しましたように、マイナンバーが導入されることによるリスクを最小限にとどめるような工夫、例えば、データベースにつきましては、一元管理とせずに分散管理としている、また、情報連携につきましては、マイナンバーを使わず、機関別に別の情報連携符号を使っている、また、マイナンバーのみでは本人確認せず、マイナンバーのみがわかったとしても何もできないように、厳格な本人確認をしてマイナンバーを問うような仕組みにしてございます。

  したがいまして、そういうリスク分散化は制度上十分に図られているものと考えております。

○堀内(照)委員 きのうの山口IT担当大臣の答弁は、もう少ししっかり調査をして、原因究明を図った上で判断することになると言っているんですよ。これは間違いないですね。確認できますか。

○向井政府参考人 お答えいたします。

  現時点におきましては影響は考えておりませんが、当然、検討の結果において、別の判断をそこからすることも可能性はあるとは考えております。

○堀内(照)委員 きのうの大臣答弁もしっかり踏まえてということだと受けとめたいと思います。

  こんな事態の中でマイナンバー制度の導入なんてあり得ないですし、この年金情報流出問題も引き続くこの委員会での究明が必要だということを最後に述べて、終わりたいと思います。

  ありがとうございました。