第189回国会 内閣委員会 第21号
平成二十七年八月二十七日(木曜日)
   午前十時二分開会
    ─────────────
   委員の異動
 八月二十五日
    辞任         補欠選任
     太田 房江君     石井 準一君
     島田 三郎君     世耕 弘成君
     長峯  誠君     山東 昭子君
     安井美沙子君     蓮   舫君
     浜田 和幸君     江口 克彦君
 八月二十六日
    辞任         補欠選任
     井原  巧君     岡田 直樹君
     田村 智子君     山下 芳生君
     江口 克彦君     浜田 和幸君
 八月二十七日
    辞任         補欠選任
     世耕 弘成君     堀内 恒夫君
     浜田 和幸君     江口 克彦君
    ─────────────
  出席者は左のとおり。
    委員長         大島九州男君
    理 事
                上野 通子君
                上月 良祐君
                藤本 祐司君
                山下 芳生君
    委 員
                石井 準一君
                岡田 直樹君
                岡田  広君
                岸  宏一君
                山東 昭子君
                世耕 弘成君
                堀内 恒夫君
                松下 新平君
                山崎  力君
                相原久美子君
                芝  博一君
                蓮   舫君
                若松 謙維君
                井上 義行君
                江口 克彦君
                浜田 和幸君
                山本 太郎君
   国務大臣
       国務大臣     山口 俊一君
   副大臣
       内閣府副大臣   平  将明君
   大臣政務官
       内閣府大臣政務
       官        松本 洋平君
       内閣府大臣政務
       官        小泉進次郎君
       厚生労働大臣政
       務官       橋本  岳君
   事務局側
       常任委員会専門
       員        藤田 昌三君
   政府参考人
       内閣官房内閣審
       議官       谷脇 康彦君
       内閣官房内閣審
       議官       向井 治紀君
       警察庁生活安全
       局長       種谷 良二君
       警察庁情報通信
       局長       川邉 俊一君
       特定個人情報保
       護委員会事務局
       長        其田 真理君
       総務大臣官房審
       議官       宮地  毅君
       総務大臣官房審
       議官       猿渡 知之君
       厚生労働大臣官
       房情報政策・政
       策評価審議官   安藤 英作君
       厚生労働大臣官
       房年金管理審議
       官        樽見 英樹君
       防衛大臣官房審
       議官       笠原 俊彦君
    ─────────────
  本日の会議に付した案件
○理事補欠選任の件
○政府参考人の出席要求に関する件
○個人情報の保護に関する法律及び行政手続にお
 ける特定の個人を識別するための番号の利用等
 に関する法律の一部を改正する法律案(内閣提
 出、衆議院送付)
    ─────────────
○委員長(大島九州男君) ただいまから内閣委員会を開会いたします。
 委員の異動について御報告いたします。
 昨日までに、安井美沙子君、太田房江君、長峯誠君、島田三郎君、田村智子君及び井原巧君が委員を辞任され、その補欠として蓮舫君、石井準一君、山東昭子君、世耕弘成君、山下芳生君及び岡田直樹君が選任されました。
    ─────────────
○委員長(大島九州男君) 理事の補欠選任を行います。
 去る四日及び二十五日の本委員会におきまして、一名の理事につきましては、後日、委員長が指名することとなっておりましたので、本日、理事に山下芳生君を指名いたします。
    ─────────────
○委員長(大島九州男君) 政府参考人の出席要求に関する件についてお諮りいたします。
 個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案の審査のため、本日の委員会に、理事会協議のとおり、政府参考人として内閣官房内閣審議官谷脇康彦君外九名の出席を求め、その説明を聴取することに御異議ございませんか。
   〔「異議なし」と呼ぶ者あり〕
○委員長(大島九州男君) 御異議ないと認め、さよう決定いたします。
    ─────────────
○委員長(大島九州男君) 個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案を議題とし、質疑を行います。
 質疑のある方は順次御発言願います。
○上野通子君 自由民主党の上野通子でございます。
 本日は質問の機会をいただきまして、ありがとうございます。
 既に本委員会におきましては本法案について十五時間以上の審議時間を重ねてきたところでございますが、御承知のように、日本年金機構への外部からの不正アクセスによる情報の流出事案が発生しまして、審議の方もストップしてしまいました。しかしながら、他党の皆さんの御協力により本日こうやって審議再開することができましたこと、私からも本当によかったなと感謝申し上げます。
 そこで、本日は、かなり間が空いてしまったので、改めてこの改正法案の必要性、重要性等についてからまずお答えいただきたいと思います。
 本来、マイナンバー制度は、より公平公正な社会の実現と行政の効率化、そして国民の利便性の向上を実現する上で不可欠なインフラであるという考えの下、今年の十月には国民へのマイナンバーの通知が始まって、来年一月一日からはその運用もスタートするわけでございます。しかしながら、今回の年金問題の漏えいによって、多くの国民の皆さんは、マイナンバーの個人情報は本当に保護されるのか、そして大丈夫なのかという不安が大変広まっておるところでございます。
 そこで、本法案の重要性、必要性、そして国民の皆様にとって安心できる制度設計となっていることについて、改めて再度しっかりと、そして丁寧な政府から国民の皆さんに対しての御説明をいただけないでしょうか。小泉政務官、よろしくお願いいたします。
○大臣政務官(小泉進次郎君) 上野先生から御指摘をいただいたように、マイナンバーの制度は、まず、より公平な社会保障制度や税制の基盤であるとともに、情報社会のインフラとして、行政の効率化、そして国民の利便性の向上に資するものであります。
 例えば、マイナンバー制度の導入によって、マイナンバーによる個人情報の名寄せや、情報提供ネットワークシステムを活用した役所間の情報連携により行政の効率化が図れること、そして、社会保障給付の請求の際に提出する課税証明書や住民票など、給付等の申請時に必要とされる添付書類を省略することができるようになって国民の皆さんの負担が軽減されます。
 また、無料で取得できる個人番号カードは、マイナンバーを提供する際の本人確認書類として利用できるほか、様々な場面で利用することも可能な本人確認のインフラとして、パソコン、そしてスマホなど、官民のオンラインサービスを利用するための認証キーとしても利用できます。年金保険料のワンクリック免除申請や医療費控除手続の簡素化などを実施していきたいと考えています。
 なお、本法案でマイナンバーを利用したメタボ健診情報の管理や預貯金付番などを可能にする規定の追加を行うこととしていますが、いずれも、より公平公正な社会保障制度や税制の実現、行政の効率化や国民の利便性向上に資することが期待できるものであります。
 他方、個人情報の保護への国民の御懸念があることは承知しています。それに対しては、マイナンバーの利用範囲や情報連携の範囲は法律で限定すること、そして、独立性を有する第三者機関である特定個人情報保護委員会がマイナンバーの取扱いを監視、監督すること、官民の不当行為を抑止するため罰則を強化すること、マイナンバー付きの個人情報については、一元的に管理するのではなく、今までどおりそれぞれの役所で分散して管理すること、情報連携を行う際の連携キーにはマイナンバーを用いることなく符号を利用すること、このことなどによって制度面とシステム面の両方から万全を期しているところでありますが、今般の日本年金機構の情報漏えい事件を受け、さらに特定個人情報保護委員会においても必要なガイドラインの見直しを行うなど、国民の御理解を得られるように適切に対応していきたいと考えております。
○上野通子君 小泉政務官、大変丁寧に詳しく御説明いただきまして、ありがとうございました。
 しかしながら、今回起こったこともありまして、個人情報のセキュリティーは本当に大丈夫なのかという国民の不安はすぐには拭い切れないと思います。
 そして、もう一つ、国民の皆様が現在疑問に思っていることの中にこのようなことがありますので、ちょっと大臣にお伺いしたいと思うのですが、それは、今回、なぜ個人情報保護法とマイナンバー法を一体で改正するのかということでございます。
 マイナンバー制度が始まるのは、先ほども質問の中でお話ししましたが、十月からで、運用は来年の一月一日からとなっております。つまり、まだマイナンバー法が施行されていないにもかかわらず、今回マイナンバー法の改正を行う必要があるのはどうしてなのかという、大変単純ではございますが、こういう疑問が国民の中で起こっているのは事実でございます。
 例えば、個人情報を一定のルールで匿名加工したものを個人情報ではないものとして取り扱えるようにすること、そして個人情報の保護を図りつつ利活用を推進する、それだけであれば、個人情報保護法だけで、マイナンバー法を改正することもなくいけると私は思っていたのですが。ただ、ここで、日本年金機構における情報流出事案が発生したにもかかわらず、マイナンバーの運用が適切に行われるのかという国民の不安も、先ほどもお話ししましたが、これほど続く中で、この法案の改正については、何で今なの、何でそんなに急ぐのという疑問が多くあります。
 そこで、大臣、今日お見えですので、これについても詳しく御説明をお願いしたいと思います。よろしくお願いいたします。
○国務大臣(山口俊一君) まず、いろいろ御心配をお掛けをしておりましたが、こうしてまた審議をお進めいただくというふうなことで、改めて委員長を始め皆様方には心から感謝を申し上げたいと思います。
 今の御質問でございますが、御質問のとおりで、今回、個人情報保護法の改正というふうなことがあるわけでありますが、これまで個人情報保護に関しては主務大臣制、それぞれの各府省ということでやっておったわけでありますが、これは、個人情報取扱事業者の監督権限、これを一元化をして新たな組織を設置をするというふうなことにいたしておるところでありまして、この組織につきましては、現在、マイナンバー法に基づいて設置をされております特定個人情報保護委員会、これを改組して設置をするというふうなことにしておりますので、個人情報保護法の改正と併せてマイナンバー法の改正を一括して行う必要があるというふうなことであります。
 また、あわせまして、今、小泉政務官の方からも答弁がございましたが、マイナンバーを利用したメタボ健診情報の管理とか、あるいは預貯金付番などを可能にする規定の追加、これも行うわけであります。
 いずれも、より公平公正な社会保障制度とかあるいは税制の実現、行政の効率化や国民の皆様方の利便性向上、これに資することが大いに期待できるものでございまして、国民の皆様方に御理解いただけると思っておりますし、同時に、これからも御理解いただけるようにしっかりと努力をしてまいりたいと思っております。
○上野通子君 大臣、御丁寧な答弁ありがとうございます。
 続いて、今日は厚労政務官に来ていただいておりますので、日本年金機構における不正アクセスによる情報流出事案についてお尋ね申し上げます。
 先週、日本年金機構と厚生労働省に設置された第三者機関がそれぞれ本事案について一定の報告を行いました。年金に関する国民の皆様の不安が高まっている中で、これからその信頼を取り戻すことができるよう、政府と日本年金機構が一丸となって真摯に取組を進めていかなければいけないと考えております。
 そこで、日本年金機構を監督する厚生労働省として、今回のこのような事案が二度と起こらないようどのように対応していくのか、その御決意を橋本政務官からお伺いしたいと思います。よろしくお願いいたします。
○大臣政務官(橋本岳君) 今回の事案が起こりました。改めて、先ほど御指摘をいただきましたように、検証の報告が出たわけでございますけれども、厚生労働省及び日本年金機構の情報セキュリティーの体制あるいはその運用に基本的な問題があったと思っております。その御指摘をいただいたと思っております。
 結果といたしまして、日本年金機構に対して、その前に厚労省もあったわけですけれども、サイバー攻撃があり、それに当たり情報流出を防ぐことができず、国民の皆様方に多大な御迷惑をお掛けをしたこと、そしてまた、そのことにより、この委員会におきまして法案の審議をいただいているわけでございますけれども、この審議にも影響を及ぼしてしまったこと、大変申し訳なく思っております。誠に申し訳ありませんでした。おわびを申し上げます。
 検証委報告書で具体的にどのような御指摘をいただいたかというと、その情報流出という事態につながった要因として、事前の備えが不十分であったこと、また組織として一体感が欠如していたことなど御指摘をいただいた上で、再発防止策として、機構の人的体制の整備、厚生労働省の情報セキュリティーの体制の整備など様々な御提言をいただいたところでありますし、厚生労働省といたしましても、そうした検証を受けて、私たちの省としての今再発防止策の取りまとめも最後の詰めを行っているところであります。
 こうした点を踏まえまして、厚生労働省といたしましても深く反省し、改善をしなければならないと考えておりまして、今後、公的年金制度に責任を持ちます厚生労働省と日本年金機構が車の両輪として一層連携し、再発防止と国民の皆様からの信頼回復に取り組んでいくことが大切だと考えておりますし、また、これは年金だけの問題ではございません。厚生労働省はそのほかにも様々な国民生活に直結をする分野の所管をしております。単に年金の問題だけではなくて、省として、この情報セキュリティーの対策というものは、改めてその重要性を認識をし、このようなことを再び起こさないようにしっかりと取り組んでいくことが大事だと考えております。
 以上でございます。
○上野通子君 政務官、ありがとうございました。
 日本年金機構でも、もう二度とこのような事案が起こらないようにお願いしたいと。
 あわせて、このマイナンバー制度は、先ほど政務官からもお話がありましたように、広く様々な分野でこれから使われていくわけで、この情報漏えいばかりでなく、他人の番号を盗む成り済ましや不正利用なども相次いで発生してはいけないと思いますので、是非ともこのようなことが二度と起こらないように、情報管理、セキュリティーシステム、これの充実強化対策をくれぐれもよろしくお願いいたします。
 続きまして、先ほどから何回もお話ししていますが、いよいよ十月からマイナンバーが記載された通知カード、まずは通知カードが全国の全ての国民に配られるわけですが、このカードは住民基本台帳に記載されている住民票の住所に簡易書留で送られるようでございます。
 これについては総務省の方で今いろいろお骨折りをいただいているようですが、具体的に、例えばやむを得ない理由により住所地において通知カードの送付が受けられない、こういう方が出てくる可能性がある。それについての取組を総務省の方でも行ってくださっているらしいのですが、そのグループとして、例えばDVやストーカー行為、児童虐待等の被害者でシェルターやほかの施設等に避難されている方、また東日本大震災の被災者で住民票の住所以外の場所に避難している方、さらには、独り暮らしで長期間、医療機関又は施設等に入院、入所している人など、このような方々はなかなかそのお住まい、住民票のあるところでは受け取ることができない。
 そういうところに対しては、行政として連絡が取り合える状態のところにはきちんと配送するようですが、なかなかその連絡も取れないという方々も出てくるわけで、特に社会的弱者と言われる方々、こうした方々の手元にも必ず通知カードが届くよう、今回の居所登録の手続について十分な周知が図られているのかどうか、これをまず一つお聞きしたい。
 あわせて、このマイナンバーカード、これが通知カードの次にそれぞれの個人カードとして手元に届くわけですが、このカードについてはマイナンバーそのもののような法的な規制はありません。でも、やはりマイナンバーと同様に大切に取り扱うことが求められている重要なカードと思いますので、例えば紛失した場合の再発行、これも安易に再発行できるものでよいのかどうか。また、今使われている住基カードの運用に比べてより厳格に行う必要があるのかどうか。しかしながら、余りにも厳格にし過ぎてしまって、例えば手続が厳し過ぎて、複雑過ぎて、高齢者などが再発行が不可能なような難しいものになってしまってもいけないと思うので、この辺の取組をどのようにしていくのか。
 この両方ですね、個人番号の運用に当たってもどのような配慮がなされているのか。併せて両方、総務省の取組の現状を教えていただきたいと思います。
○政府参考人(宮地毅君) お答え申し上げます。
 まず、通知カードにつきましては、御指摘のとおり、やむを得ない理由により住民票の住所地で通知カードを受け取ることのできない方につきましては、居所を登録をしてもらうことで当該居所に通知カードを送付することとしております。
 具体的な居所登録の方法につきましては、該当の方に八月二十四日から九月二十五日までの間に申請書に居所情報ややむを得ない理由などを記載していただくなどしまして、住民票のある市区町村に申請していただくことが原則となっておりますが、それぞれの方の事情も勘案をいたしまして、郵送による申請や代理人による申請も可能としております。
 今回の居所登録の申請につきましては、広く周知をするということが必要であると認識をしております。総務省のホームページへの居所情報の登録手続の方法や申請書、QアンドA等の掲載、マイナンバーコールセンターでの問合せの対応、そして新聞広告での居所情報の登録申請の呼びかけなどを行っているところでございまして、地方公共団体に対しましても、問合せ対応や情報発信等につきまして協力を依頼しております。
 加えまして、DV等の被害者の相談機関等であります配偶者暴力相談支援センターや警察、法テラス、総務省の行政相談窓口、法務局等の人権相談窓口、また厚生労働省を通じまして医療機関や施設等に対しましても、リーフレットや申請書の提供、ホームページでの情報発信、相談等への対応など、可能な限りの対応を依頼し、実施をいただいているところでございます。
 今週から居所登録の申請受付、スタートしております。今後も住民への周知等に努めてまいりたいと考えております。
 次に、個人番号カードの関係でございます。
 個人番号カードは、大切に取り扱うことが求められる重要なカードでございます。万が一紛失をしたときの対応としましては、二十四時間三百六十五日体制のコールセンターを設置をいたしまして、コールセンターにおいて紛失の連絡を受け付け次第、速やかにカード機能の一時停止の処置を行うこととしております。
 また、紛失時の再交付の際には交付時と同様に本人確認を厳格に行うこととしておりますが、紛失した事実を疎明するに足りる書類としまして遺失届を届け出た警察署の連絡先や遺失届受理番号が記載をされた紛失届を提出をしていただきまして、市区町村におきまして紛失届に記載された警察署に連絡をして確認を取るなど、厳格な手続を取ることとしたいと考えているところでございます。
○上野通子君 御丁寧な答弁ありがとうございます。
 私の地元の栃木の介護施設の施設長などからも、代理人となるわけで、もし施設で預かっていて紛失したらどうしよう、通知カードですが、どうしようという大変な不安とか、また、連絡が付かない、本来、預かってそれを家族に手渡すのに、その連絡が付かないような方、また遠方にいらっしゃる方の手に届かないということをどうしようなどという不安や疑問もありますので、これらの方も丁寧にいろいろ説明していただけると有り難いと思いますので、どうぞよろしくお願いいたします。
 今日は時間が余りないので再質はできませんでしたが、最後に政府にお願いしたいことがございます。
 マイナンバー制度は、国民の理解がなくてはいけないと思います。これが不可欠だと思いますので、是非とも、更にこれからも国民の理解ができるような広報活動の充実を、これをよろしくお願いいたします。
 また、やっぱり情報の漏えい等のセキュリティーシステムについては大変国民の皆さんも敏感になっておりますので、二度と日本年金機構のようなことが起こらないように、関係機関の皆様方、また政府関係者の皆様方、よろしくお願いいたします。
 さらには、もう既に、国の行政のみならず、地方では民間の企業もマイナンバー制度の導入に向けた対策を進めているところでございますので、全体の導入スケジュールに影響がないようにしっかりと準備を進めていただきたいと思います。どうぞよろしくお願いいたします。
 親切でしかも御丁寧な答弁、誠にありがとうございました。以上でございます。
○藤本祐司君 民主党・新緑風会の藤本でございます。
 まず最初に、山口大臣にちょっと御認識をお伺いしたいと思っているんですが、この法案は衆議院の本会議では五月二十一日に通過をしているというふうに認識をしております。その後、参議院におきましても、質疑をして参考人質疑をして質疑をして、通常であればこの辺りで採決と、これ六月の二日ないし四日、四日かな、だというふうに認識をしているんですが、ここまでこの法案が採決あるいは質疑が延びてきたその基本的な理由といいますか根本的な理由、これは何だというふうに山口大臣としてはお考えになっていらっしゃるでしょうか。
○国務大臣(山口俊一君) 藤本先生御指摘のとおり、もう三か月近くになるわけでありますが、国会における法案の審議日程等につきましては私の方から申し上げる立場ではないわけでありますが、ただ、この法案につきましては、さっきも御指摘ございました、参議院においてもう十五時間を超えて活発な御審議をいただいておったわけでありますが、しかし、日本年金機構への外部からの不正アクセスによる情報流出事案の発生、これがありました。公表もされたわけでありますが、その後、御審議をいただけなかったというふうなことでありますが、当時、やはり国民の皆様方の間にも大きな不安が広がったということもあったろうと思います。
 いずれにしても、この日本年金機構の事案が起因をしておるというふうに理解をいたしております。
○藤本祐司君 直接的な原因というのは日本年金機構の年金情報が流出をしたと。
 これ、六月二日にこの委員会では参考人質疑を予定をして、それは実施したんですが、報道で日本年金機構からの情報が流出したというのは六月一日に分かったものですから、二日の参考人、これは参考人の方々にワークして、お呼びして意見を聞こうと。で、四日の質疑をやったという、そういう経緯があったんですが。
 その後、我々民主党の中でも何回か部会を開いてヒアリングをしたり、関係の方々にヒアリングをしたり、私も個別に、情報のセキュリティーの問題とかそういったことも含めて個別にヒアリングをしたということがあります。その中で、厚生労働委員会を中心に、日本年金機構の情報流出の問題というのは国会の中では審議をされ、我々党の中でも、この委員会の委員であります蓮舫さんを筆頭にかなりいろいろ頻繁にやらせていただいたと。八月二十日、二十一日に報告書が出たということを受けて、当初の予定から三か月以上たってはおりますが、ここでやはり審査を再開をするという、そういう経緯になってきております。
 このマイナンバーの問題で、厚生労働省はどのように認識されているのかなと。日本年金機構で個人情報が流出をした、この一点において実は国会の中では三か月以上の時間を要してしまったと。それに対してどのような御認識をお持ちになっているでしょうか。
○大臣政務官(橋本岳君) 御指摘の年金機構の情報流出の事案がございまして、六月一日にその公表をさせていただいたわけでございますけれども、先ほど上野委員に御答弁を申し上げましたが、そもそも、その検証等を踏まえて申し上げれば、日本年金機構及びそれを監督する厚生労働省にも様々な問題があった、それにより、サイバー攻撃に当たり情報流出を防ぐことができなかったということで、多くの国民の皆様方に御迷惑をお掛けをしておりますし、また、そのことにより、先ほど山口大臣にも御質問いただきましたように、この委員会の運営にも大きな影響を及ぼしてしまった、法案の御審議にも影響を及ぼしてしまったというふうに思っておりまして、これは誠に大変申し訳ないことだとおわびを申し上げる次第でございます。誠に申し訳ございませんでした。
 先ほど申し上げましたように、様々な御指摘を受け、再発防止の策を取れるものから講じ、また整理をして更に講じていくということで、今後二度とこのようなことがないように取り組んでまいる所存でございます。
○藤本祐司君 厚生労働委員会の方でもその件はかなりやっている、厳しくやっていると思いますけれども、国民の側からすれば、法案が三か月延びたというだけではなくて、その検証をするために、あるいは様々な手続をして迷惑を国民の方に掛けないためにも、相当のお金が、それはまさに国民の皆さんが払った分のお金が掛かっているという、そういうところをまずしっかり皆さんには認識をしてもらわないといけないし、それに対して誰に責任があるのかというところが全く分からないというところ、そこのところはやはり皆さんもきちっと、ただ謝って、申し訳ございませんで済むような話ではないということを、それをやっぱり自覚してもらいたいというふうに思うんです。
 それとあと、山口大臣から先ほど日本年金機構の情報流出の話がありましたが、私は若干そこの認識が別でして、それはそのとおりなんですが、先ほど上野委員からも指摘がありましたとおり、そのことによって、日本の公的機関、政府機関あるいは独法なんかも含めてなんですが、ここの情報セキュリティーは大丈夫なのかよということが、広く、漠然とかもしれませんが不安になった、その中でマイナンバーを利用することがいいのかどうなのかというのがあったんですよ。
 だから、日本年金機構だけの問題は、それは直接的な原因なんだけれども、それ以上に、日本の情報セキュリティー大丈夫かよと。今回、日本年金機構のこのサイバーは非常に初歩的な作戦の中でできているわけで、これは世界に向けて日本は脆弱だよということをアピールしているようなものだったんですよ。だから、これで本当にいいのかという非常に重要な、マイナンバーのことだけに限らず重要な問題だというところも認識をしてもらわないといけないなというふうに思います。
 一つ、この年金情報流出があった直後から、実はマスコミでもマイナンバー大丈夫かというのがいろんなところで報道されたんですが、中には、そうだな、ごもっともだなというのもあるけれども、一部、ちょっと誤解しているんじゃないかというようなものもあって、あるいはいろんな方々から疑問を呈されたようなところがあるので、今日はまずそこのところと、それとあと日本の情報セキュリティーどうだという話を後半でさせていただきたいと思うんですが。
 まず、マイナンバーを利用している日本年金機構が保有する個人の年金情報が流出した場合、今後ですよ、何かほかにマイナンバーを利用している税務情報とか自治体が持っている情報とか、あと住所、家族構成等々様々な情報が、十二桁のマイナンバーによって一元管理をされているので、様々な情報が一つの情報が流出することによって芋づる式に流出するんではないかという報道がなされました。
 この辺りについてはしっかりと説明をしないとなかなか分かりにくいと思うんですが、このマイナンバーの具体的な仕組みとその安全性、一つが流出したから全部流出するのかどうなのか、その辺りについては少し丁寧に説明していただきたいと思うんですが。
○国務大臣(山口俊一君) まず、先生の御指摘はもうしっかりと受け止めてまいりたいと思っております。
 それと、今お話がありましたように、当初、マスコミの方で、何か番号が漏れただけで全ての情報が漏れてしまうというふうな報道も実はございました。その都度、それは違うというふうなことで訂正を求めてきたわけでありますが、もう御案内のとおりNHKも、最初はあれっと思ったんですが、何とかちゃんと報道してくれておるなと思うんですが。
 これ、すごく誤解があると思うのが、マイナンバー制度をやることによって、よりセキュリティーの脆弱性といいますか、リスクが高まるかのようなことをおっしゃる方もおいでるわけですが、マイナンバーと関わりなく、それぞれ個々の機関が持っておる情報、これに対するリスクはもちろん同じなんですが、むしろマイナンバーをやることによって私は相当リスクを軽減をできるんではないかと思っております。
 というのも、もう御案内だと思いますが、日本は後発で今回番号制度を入れていくわけでありますが、これは集約・集中型じゃなくてあえて分散型を取った。これは、従来どおり、各行政機関の個人情報というのは各行政機関で分散をして管理をしてもらうというふうなところで、同じところで一元管理はやらないというふうなことにしております。
 また、各行政機関の間でその情報をやり取りをする際には、マイナンバーではなくて、暗号化された符号、単なる符号なんですね。もしこの暗号化が解かれても、単なる符号で意味はありません、分かりません。そういったことをやることによって、仮にマイナンバーを悪用して情報を抜き出そうとしても、個人情報が芋づる式には抜き出せない仕組みになっております。
 そのために、マイナンバー制度を導入することによって、しかも今回、個人情報保護法の改正もございます。それによって、個人情報の漏えいリスクが高まるというんではなくして、むしろこのマイナンバー付きの個人情報はマイナンバー法の規定によって新たに安全管理措置などを求められるというふうなこともございます。これまで以上に厳格な個人情報の管理がなされていくというものでありまして、決して、当初一部言われておりましたように、情報が全て抜き出されるというふうなことではないというふうに思っております。
○藤本祐司君 十二桁の一つの番号で管理するので大体一元管理というふうに言われるんですが、これは、それぞれの情報については分散して独立して管理をするんだということの理解がまだまだ進んでいないかのように思われます。報道が、いきなりそういう話が、何局か、幾つかのニュース番組で言っていましたのであれあれと思ったんですが、私としても。だから、そこのところはやはりしっかり皆さんに理解をしてもらうような努力というのはこれからも必要なんだろうというふうに思うんですが。
 こういう質問が実は来まして、先ほど上野委員からも紛失の場合が指摘されましたが、マイナンバーカード自体を紛失をしてしまった場合、その紛失した人の個人情報が流出してしまうんじゃないかという指摘があるんですね。
 私なんかも考えると、大体、今我々クレジットカードを持っていますよね。クレジットカード、これ調査会社によって一人当たり何枚持っているかというのは違うんですが、あるクレジットカード会社に言わせると、一人当たり三・三枚から三・五枚ぐらい持っていて、始終携帯しているのが二枚から二・五枚ぐらいだということで、クレジットカードを紛失したり、あるいは盗難に遭うということもあるんでしょうが、その場合はすぐにクレジットカード会社に通報して、それで何とかそれを止めるということができるのですが、このマイナンバーカードを落としてしまって例えばある程度期間がたってしまったという場合に、その人の個人情報が流出するという危険性というのはあるんでしょうか。
○政府参考人(向井治紀君) お答えいたします。
 まず、マイナンバーカードにおきましても、二十四時間三百六十五日対応のコールセンターを設けておりまして、紛失、盗難があった場合の連絡に対応いたしまして、この個人番号カードを使ったオンライン上のアクセスにつきましては遮断するなど、被害が生じないような対策を講じております。
 さらに、個人番号カードにおきます本人確認というのは、対面の場合とインターネットの場合と両方あろうかと思います。対面の場合は顔写真、それからオンライン上は公的個人認証の認証キーと本人が設定したパスワードにより行うことが基本となってございます。
 したがいまして、例えば顔写真を貼り替えるなど個人番号カードを偽造しようといたしましても顔写真の貼り替えが直ちに分かるなど、数多くの偽造防止措置を個人番号カードに施しておりますし、またオンライン上におきましては、パスワードを抜かない限りはアクセスできない仕組みとなってございます。
○藤本祐司君 それともう一つは、ちょっと後でまたお聞きしますけど、カードを紛失していないけれども十二桁の番号が他人に知られてしまったといった場合に何か問題というのは生じるんでしょうか。
○政府参考人(向井治紀君) お答えいたします。
 マイナンバー制度そのものが、設計上、数多くの企業その他に、他人に知られ得るという、そういう構造になってございます。したがいまして、またアメリカなどではソーシャル・セキュリティー・ナンバーの成り済ましというのがかなり数多く起こっております。そういう反省を踏まえまして、マイナンバー制度を設計する際には、マイナンバーだけでは何もできないようなつくりにしてございます。
 必ず、マイナンバーを取得するときには本人確認をすること、またインターネットの場合には公的個人認証で認証すること、そういうふうにしてございますので、マイナンバーのみでは特に被害が起こらないような設計となってございます。
○藤本祐司君 先ほど、インターネットでパスワードを管理をするんだという話がありました。
 でも、多分皆さん、パスワードと言われても、パスワードを一人で幾つ持っているんだという話になって、覚えられない。覚えられないので一個にまとめてしまって、ほとんど全てのことは同じパスワードでやってしまうとか、手帳に自分のパスワードを全部書いてしまうとか、そういうことが現実にあるんだと思うんですよね。
 それで、実際に例えばキャッシュカードなんかでも、暗証番号を入れますよといったときに、分からなくなってメモにしておくとか、キャッシュカードの裏に番号を書いちゃうというような、これ、笑い話のような多分現実的な話があるんだと思うんです。
 マイナンバーカードも、じゃ、保管しておきますよ、あるいは自分で持っていますよといったときに、そんなにパスワードなんかは覚えられないから裏に書いてしまうとか、そういうことは幾らでもある。そうなったときに、さっきはパスワード管理だから大丈夫ですよとおっしゃいましたけど、マイナンバーカードとパスワードをセットで盗まれてしまうということも十分考えられるんだろうというふうに思っているんですね。
 これは、今年の二月にアメリカで開催されたあるコンベンションでは、オバマ大統領なんかも、もうパスワード管理の時代じゃないだろうというような話が出てきていまして、そのとき、やはり生体認証を高く評価していると。クレジットカード会社、マスターカードなんかも生体認証の組合せを利用したテストプログラムを行うというふうに聞いておるんですが、そろそろ、パスワードと先ほどから言っていますが、パスワードじゃなくて生体認証などの別の認証方式があります。生体認証といってもいろんな方式があるので、また後でお聞きしますけれども、そういう何か別の、パスワードと別な管理の方法というのは考えておいた方がいいと思うんですが、現在、それについては何か検討あるいは研究されているんでしょうか。
○政府参考人(向井治紀君) まず、パスワードをカードとかその近くに置かないということは周知広報したいと思いますが、いずれにいたしましても、ただ、先生御指摘のとおり、生体認証につきまして、元々は、例えば指紋情報なんかを国とか市町村が持つのはよろしくないんではないかというふうな御懸念もあったんですが、最近特に指紋認証、指紋とかそういう生体情報をデバイス側に持つそういうシステムが急速に世界で標準化されつつある状態になっておるというふうに認識しております。
 そういうふうになってきますと、生体情報の公的な管理という問題も解決できますので、そういう動きとともに、生体認証等につきましても積極的に検討してまいりたいというふうに思っております。
○藤本祐司君 生体認証といってもいろいろあるというお話をさせてもらいましたが、指紋であったり虹彩であったり静脈認証であったり顔認証であったり網膜認証であるとかいろいろあって、いろいろ長所と短所というのがあるんだろうと思います。
 ただ、このマイナンバーを利用する公的な機関であるとか、日本年金機構もそうなんですが、地方公共団体とか、今後様々なサービスをしていく金融機関なりあるいはほかの機関なりも、その認証システムがばらばらですと、ここは指紋だけ受け付けますよとか、ここは虹彩だけ受け付けますよみたいな話になると、非常に利便性という点では多くの問題があるのではないかなと。そうなってくると、生体認証システムを統一するか、あるいはシステム間でこれをネットワークで利用できるかというようなことも考えないといけないんだろうと思っています。
 私もこの専門家ではないので詳しいことは分かりませんが、いわゆるFIDO、ファースト・アイデンティティー・オンライン、FIDOアライアンスという仕組みがあって、日本の自治体でも多分佐賀県が割と先駆的に取り入れられているというふうに思うんですが、このFIDOという仕組み、これをやると生体認証が非常に利便性が高まるというふうに聞いているんですが、これについて研究されているのか。研究されているとしたら、そのFIDOというのは具体的にどういうシステムなのか、分かれば教えていただきたいと思います。
○政府参考人(向井治紀君) お答えいたします。
 FIDOにつきましては、IT戦略本部の下にありますマイナンバー活用の分科会におきまして一度検討をしたことございます。
 それで、簡単に申し上げれば、デバイスの中に生体情報を入れた上で、その生体情報と実際の指紋なら指紋が同一かを確認することを確実に外部から認証する手段というふうなイメージでございますので、FIDOのいい点というのは、その認証手段が指紋であろうが虹彩であろうが、何であろうが外部と認証する際のやり取りは同じなので、デバイスとその認証手段というのをかなり柔軟に選べるというところに特徴があるのではないかと思っております。
 その上で、さらにアメリカ、日本におきましてもかなり大手の企業がどんどん参加していくという状態にありますので、これらの状況を見ながらこういうふうなものについても具体的に検討する必要があるのではないかと思っております。
 なお、ちょっとお答え忘れましたけれども、今回のマイナンバーカードを配付する際に、マイナンバーカードには券面情報が全部ICチップに入っておりますので、顔写真の情報もICチップには入っております、市町村が持っているわけではございませんが。そのICチップに入っております顔写真の情報と実際の顔とを顔認証で確認するというふうなことも現在検討しているところでございます。
○藤本祐司君 そうすると、今までの説明でいくと、例えばマイナポータルで自分の個人情報であるとかアクセス履歴が見れるようになります。そのときは、カードリーダーを置いて、マイナンバーカードを入れ込んでパスワードを入れてという説明がこれまではあったんですが、生体認証になっていわゆるデバイスでそこで読み取ることになれば、むしろカードリーダーも要らない、パスワードも要らない、そういうような仕組みになっていくのでしょうか。
○政府参考人(向井治紀君) 通常の場合、やはりカードリーダーは、カードリーダーというかカードを読み取る機能というのはやっぱり必要になりますので、ただ、暗証番号の代わりに指紋を、今は指紋を読み取るのはかなり標準化されてきておりますけれども、場合によってはパソコンにどういう生体認証機能を搭載するかということになろうかとは思いますけれども、そういう時代がそう遠からず来るのではないかというふうに思っております。
○藤本祐司君 分かりました。
 次に、情報セキュリティーの話にちょっと移りたいと思うんですが、今回の採決棚上げした理由は、日本年金機構のことが直接的な原因ではあったけれども、公的機関の情報セキュリティーの度合いが非常に不安じゃないかという声がいろいろ上がって、先ほど上野委員からも指摘されたんだろうというふうに思います。
 二十一日に提示されました今回の検証委員会の報告書によりますと、やはり日本年金機構のみならず、まさに厚生労働省の意識の欠如、あるいはガバナンスというか内部統制というか、そこのところの不備というのが指摘されたと私も認識をしています。
 この意識やガバナンスということ、これはもちろん大事なことなんですが、高度なセキュリティーシステムというのを今後考えていかなければいけないというふうに思っておりますが、厚生労働省としては、この辺りについては、日本年金機構のことだけではなくて厚生労働省全体として、それで、隠蔽体質がどうだという話はありますが、このセキュリティーのシステムについてはどのようにお考えになりますでしょうか。
○大臣政務官(橋本岳君) 今システムについてというお問いだったと理解されますが、よろしいでしょうか。
 御指摘をいただきましたように、第三者の検証委員会を行い、そこで日本年金機構のみならず厚生労働省にも様々な不備があったという御指摘はいただいているところでございまして、例えば情報セキュリティー体制も、厚生労働省において官房長をトップにしたCSIRT体制であったわけですけれども、実働の人がいなかったとか、そうしたことも指摘をされておるわけでございます。
 また、システムのことということでございますけれども、これは、例えばNISCの報告書、サイバーセキュリティ戦略本部が八月二十日に出した日本年金機構における個人情報流出事案に関する原因究明調査結果というものの中で、「厚労省においては、厚労省統合ネットワークにおける標的型攻撃に対する多重防御の取組を進めていたが、」というような形でお認めをいただいているように、政府統一の基準に基づいたセキュリティー対策は実施はさせていただいているところではございます。
 ただ、やはり今回の事案を受け、なお反省する点多々ありと考えておりまして、必要な対策を更に講じてまいりたいと考えているところでございます。
○藤本祐司君 また時間があればちょっと後で細かくお聞きしたいと思うんですが。
 情報セキュリティーの脅威というのはいろんなところがあると思うんですが、独立行政法人の情報処理推進機構なんかが出されているセキュリティー脅威の中でやはり高いのは、内部不正による情報漏えいというのが高い、公的機関に限ってということにしておきたいと思いますが。あと、標的型攻撃による諜報活動、あるいはハッカー集団によるサイバーテロ、あるいは脆弱性を公表することに伴った攻撃というものが挙げられているわけで、これらをどういうふうに対応していくのかということがセキュリティーを高めていくことにつながってくるんだろうと思うんですが。
 その中に、公的機関におけるセキュリティー対策の課題、これいろいろある中の一つにリスクアセスメント、このリスクアセスメントが日本の公的機関はできていない、あるいは各省庁によってばらつきがあるというふうに言われることが度々あります。
 その前に、そのリスクアセスメント、リスク評価といいますかね、リスクアセスメントというのはどういうことを指しているんでしょうか。
○政府参考人(谷脇康彦君) お答え申し上げます。
 今委員御指摘のとおり、標的型攻撃によりまして情報システム内部に攻撃者が侵入するという事案が多発しておるわけでございますけれども、言わば、その攻撃を入口で防ぐというだけではなくて、内部に侵入されたということを前提にして、その侵入の範囲を広げない、あるいはいかに早くこれを感知するかということが重要でございます。
 そのためには、いわゆる内部対策と呼ばれておりますけれども、入口対策に加えまして、いかに早く気付くか、侵入範囲をどのように最小化するかといったような内部対策が必要でございます。ただ、この内部対策の投資には一定のまたお金も掛かってくるわけでございます。
 したがいまして、重要な情報がどの情報システムにあるのか、また、そのシステムを特定した上で多重防御の投資を行っていく、こういう仕組みづくりが必要でございまして、これがいわゆるリスク評価と言われるものでございます。
 政府といたしましても、昨年五月に策定をいたしました統一基準に基づきまして、現在、各省庁におきましてこのリスク評価を行い、そして多重防御の取組を進めているという状況でございます。
○藤本祐司君 今、谷脇審議官から大変重要なといいますか、分かりやすい御答弁をいただいたんですが、守るべき情報、要するに重要な情報と、逆に言うとそうでない情報というのを各省庁で持っていると。だから、リスクアセスメントをやるためには、まずは各省庁の中で、これは大変重要な情報であると、もしこの情報が漏れるとどういう影響まで及ぼすのかというところまでを分かった上で、あるいはこれは、こういうことはあってはいけないんでしょうけれども、漏れても大した影響はないよねというのを、多分これを区別、選定するんだと思うんですよ。選定が条件で、前提となって恐らくリスクアセスメントができる。
 これが、今御説明いただいたように、統一基準に基づいてというお話があったわけなんですが、この統一基準に基づいてやっているというのは、現時点ではですよ、現時点では、各省庁、例えば厚生労働省なら、厚生労働省はそれでやっています、やっていません、統一基準に基づいてやっておりますとさっき橋本政務官もおっしゃっていましたが、それって単なる自己評価、自己管理であって、他人の目が入っているものではないというふうに捉えてよろしいんでしょうか。現状はどうかということなんです。
○政府参考人(谷脇康彦君) お答え申し上げます。
 政府全体といたしまして情報セキュリティーポリシーのベースラインとなる統一基準を定めまして、各府省におきまして情報セキュリティーのガイドラインを定めているわけでございます。
 委員御指摘の点でございますけれども、じゃ、このセキュリティーポリシーをどのように守っているのか、あるいは改善しているのかという点については、委員御指摘のとおり、現時点におきましては各府省が自ら検証を行うという仕組みになっているところでございます。
○藤本祐司君 要するに、先ほど、ばらつきがあるかもしれません、確かに統一基準というのがあって、統一基準は恐らくやってもらわなければいけない最低基準というのが、最低水準というんでしょうかね、それが統一基準になってやられている。でも、その最低水準を本当に守っているかどうかというのは、自分で守っていますと言えば守っているということになってしまっているんだと思うんです。
 だから、そういう意味では、各省庁によって取組が全然異なっているかもしれないし、異なっていないかもしれないし、そこのところって誰も評価が今の段階ではできないんだろうと、そこが非常に私は問題なんだろうなと思ってはいるんですが、その辺についての問題意識というのは、これは大臣がいいのか谷脇審議官がいいのか分かりませんが、異なっていて、誰もそれは、大丈夫だ、絶対これは水準どおりうまくいっているんだということを分からない状態というのは正しいのかどうかというのをお答えいただけますか。
○政府参考人(谷脇康彦君) お答え申し上げます。
 委員御指摘の点は私どもも課題として認識をしているところでございまして、今年の一月に全面施行されましたサイバーセキュリティ基本法の規定に基づきまして、私どもNISCが各府省の情報セキュリティーのポリシーの運用状況、あるいはどのようにPDCAサイクルが回っているのかという点について、第三者的な監査を今年度から実施をし、開始をしたところでございます。このような監査を通じまして、遵守がされていないという事態があった場合には勧告を行うといったような仕組みもございます。
 こういった仕組みによりまして、情報セキュリティーポリシーの凸凹感をなくしていく、最低限守るべきことはきちんと守っていただく、こういったことを政府全体として取り組んでまいりたいというふうに考えてございます。
○藤本祐司君 今年度からスタートしているということで、厚生労働省には監査は入っているんでしょうか。
○政府参考人(谷脇康彦君) お答え申し上げます。
 現時点におきましては、厚生労働省に対してはまだ監査は行っておりません。今後、厚生労働省におきまして、今回の事案を受けて様々な改善策が講じられる予定というふうに認識をしておりますので、この状況をよく見ながら、私どもとしては監査をきちんと行ってまいりたいというふうに考えております。
○藤本祐司君 日本年金機構、これは特殊法人だと思いますが、これに監査に入ることは今の法律上できるんでしょうか。
○政府参考人(谷脇康彦君) お答え申し上げます。
 現在の法律の規定におきましては、監査の対象は政府機関及び独立行政法人に限定をされております。
○藤本祐司君 ということは、厚生労働省本体には入れるけれども、日本年金機構に入る法的根拠はないと。こういうこともやっぱり非常に問題なんだろうと思うんですが、これについてはしっかり検討して、特殊法人にも入れるような法的根拠を作っていくということが私大事だと思いますが、これは多分大臣だと思いますが、大臣、いかがでしょうか。
○国務大臣(山口俊一君) これは私どもも同じ問題意識を持っておりまして、そこら辺は法改正も視野に入れながらしっかり対応していきたいと思います。
○藤本祐司君 こういうことを一つずつ積み重ねていかないと、なかなか信頼感というのは取り戻すことができないと思いますので、しっかりそれは情報セキュリティーの在り方を考えていかなければいけないと思います。
 セキュリティーポリシーという言葉が先ほど来何度か出てきていますが、その中でどういうセキュリティープラットフォームを作っているのか、これも非常に重要なことなんだろうというふうに思っていまして、我々がパソコンを持つときにファイアウオールぐらいは掛けますよね、これはもう初期段階なんだろうと思うんですが、ファイアウオールだけじゃなくて、いわゆる不正侵入を検知する機能であるとか、もっと高度な話があると思うんですが、厚生労働省は、このセキュリティープラットフォームという観点からいった場合、どの程度までの機能は入っているということを今この場で言っていただけますでしょうか。
○大臣政務官(橋本岳君) 御案内のとおり、今なお厚生労働省もネットワークにつながっておりますので、これとこれとこれがありましてこれがありませんというようなことをつまびらかに申し上げることは、セキュリティーの状況を攻撃者にも知らせるということになりますので、余りつまびらかな答弁は差し控えさせていただきたいと思っておりますけれども、NISCにおいて定められております政府機関の情報セキュリティ対策のための統一基準で提示されておりますようなセキュリティー対策について実行しておりますし、これも先ほど御答弁申し上げましたが、今回の事案に関する報告書におきましても、「厚労省においては、厚労省統合ネットワークにおける標的型攻撃に対する多重防御の取組を進めていたが、」という御評価をいただけるような状況であるということは申し上げさせていただきたいと思います。
○藤本祐司君 分かりました。
 先ほど、いろいろ発生する情報セキュリティーの脅威の中で、脆弱性を公表してしまうとそれが攻撃されるということがあるので、全てを公表できないということは理解をしております。
 これはNISCにお願いをすることになるのかもしれませんが、その統一基準というのは今最低限の水準を何とかしましょうと。
 ただ、このサイバーアタックというのは、日進月歩、どんどんどんどん高度になっていくわけですから、例えばATDであるとかSIEMであるとか、これは高度標的型攻撃の検知であるとか、いわゆるセキュリティー環境の監視、これを高度に監視していくと、こういうことも併せて、水準をここでいいからというふうに終わるわけではなくて、日進月歩進化しているので、水準をどんどんどんどん上げて統一基準をつくって、それに対してしっかりやっているかどうかという監査をしていく必要性があるんだろうというふうに思っていますので、是非今後の取組を期待をしたいと思うんですが。
 最後の質問になろうかと思います。
 日本年金機構の年金情報の流出で分かったこととしては、厚生労働省の内部統制といいますかガバナンスが非常にずさんだったということが一つ挙げられるんだろうと思いますが、サイバー攻撃をいかに防いでいくかということも重要なんですけれども、攻撃された際にいかに対応するかという、そこのところが非常に厚生労働省の対応は後手後手に回る、あるいは隠蔽体質ではないかと思われるような中身があったんだろうというふうに、私はあの報告書を読んで思いました。
 メール開けるなと、不審メールがあるから開けるなといっても、開けるように開けるように相手はやってくるので、開けてしまうということがある意味仕方がないときもあるんだと思うんです。ただ、そのときに、さあどうするかというところの対応、これがやはり重要なわけでありまして、もし何か不審な動きがあった、あるいは個人情報が流出してしまったということが分かったときには、各省庁は、本法律案が成立した後ということになるんだろうと思いますが、個人情報保護委員会に対しては、各省庁でもしこういうことが起きたよといったら、個人情報保護委員会とはどういう対応になっていくのか、それとNISCとの連携というのはどうなっていくのかということを教えていただきたいと思います。
○政府参考人(向井治紀君) お答えいたします。
 現行の法律には書いてはございませんが、基本は、やはりインシデントが起こった場合には当然のことながらそういう個人情報保護委員会には報告するということにすべきだと思いますし、そういうふうになるんだろうと思っております。
 その上で、現行の特定個人情報保護委員会を個人情報保護委員会に改組することとしておりますけれども、やはり民間でも払底をしておりますけれども、政府としましてもセキュリティー人材というのは不足しておりますので、そういうセキュリティーのことに関しては特に各機関が連携することが大事だと思っております。
 したがいまして、特定個人情報保護委員会及びこの法案が通った後の個人情報保護委員会におきましても、あらゆる点で、そういうふうなインシデントが起こったり、そういう場合にどういうふうな対策を取るかについてはNISCと密接に協議して決めていく必要があるのではないかというふうに考えております。
○藤本祐司君 ありがとうございます。
 今後、様々な情報が、あるいは利用が、このマイナンバーを利用することになっていくんだろうと思います。
 マイナンバーの導入ということについて様々な心配あるいは様々な考え方があるんだろうと思います。例えば、今後のこととして、個人個人の病歴であるとか体質、どういう体質があるのかとか、服用している薬はどうなのか、それをどうするのかという非常にセンシティブな情報が、マイナンバーを利用するべきかするべきでないか、任意にするのか強制にするのか、これはいろいろなところで意見が出てくるんだろうと思うんですが、個人的に申し上げますと、外出中に突然の事故に遭ったり病気になったりするようなときに、マイナンバーで病歴なりあるいは注意事項なりが全部分かれば素早い対応ができる、処置ができるということにもつながっていくのかもしれないなというふうに私は思っています。
 命をなげうって個人情報を守るのか、どっちが大事かということを考えたときには、いざというときにはやっぱり命を守るということを私は取りたいなというふうに思うんですが、ただ、この問題についてはやはり個人個人の考え方というのがあると思いますので、民間でいういわゆるプライバシーデザインというような考え方も含めて、国民の意見を聞きながら、任意にするのか強制的にするのかということは考えていってもらいたいなと思います。
 いずれにしても、このマイナンバーの信頼性を高めていく、不安を取り除いていくためには、公的機関がそれぞれの高い意識を持って情報セキュリティーの重要性を共有して、専門家を確保して、あるいは育てていって適材適所に配置するということと内部ガバナンス、これが非常に重要だというふうに思っておりますので、そのことをしっかり頭に入れながら、各省庁、今日は厚生労働省に来ていただきましたが、ほかの省庁も同じだと思いますし、独法、特殊法人も同じだと思います、そこのところをやはりこれからの情報社会に向けてしっかり取り組んでいただきたいし、指導していただきたいと思います。
 終わります。以上です。
○若松謙維君 公明党の若松謙維です。
 先ほど既に質問された委員の方々のを聞いて、ちょっと一つ関心があるので、質問通告していないんですけれども、谷脇内閣審議官、分かればですが。
 先ほど、NISCから各省庁に第三者監査というんですかをやっていらっしゃるということで、例えば具体的にどういった、監査法人なのか、いわゆるソフト会社のベンダーなのか、又は研究機関なのか、どんなところがこの第三者監査に関わっていますか。
○政府参考人(谷脇康彦君) お答え申し上げます。
 私どもNISCが行います監査につきましては、今年度からサイバーセキュリティ基本法の規定に基づいて開始をしているところでございますけれども、各省庁に対する監査は、基本的にはNISCのスタッフが契約をしました監査法人の協力を得ながら行っているものでございます。
 具体的には二つの中身がございます。一つは、各省庁のセキュリティーポリシー、PDCAがきちんと回っているかどうかというマネジメント監査というものを行ってまいります。それからもう一つは、ペネトレーションテスト、侵入実験というものを行います。これは、各省の情報システムに対しまして侵入を試みることを行いまして脆弱性の有無をあぶり出していく、こういった二つの柱で私ども監査をこれから実施をしているという状況でございます。
○若松謙維君 これ、監査は必ず監査計画という一つの目標を決めていつまでにやるかということが大事だと思いますので、先ほどの各省庁のばらつきですか、特に厚労省は非常に重要な情報を持っていますので、それも優先順位も含めてしっかりやっていただきたいと思います。
 次に、質問なんですが、まず最初、マイナンバーと今回の基礎年金番号の連結延期ですか、これが結果的に延びるわけでありますけれども、延びることによってのいわゆる弊害ですか、どんなものがあるか、これを厚労省にお伺いいたします。
○政府参考人(樽見英樹君) お答え申し上げます。
 日本年金機構におきます個人番号の利用につきましては、当初の予定では、今年十月のマイナンバー制度の施行に伴う番号通知に併せまして、十二月までに被保険者等について住民票コードを基にマイナンバーを年金機構で収録すると。来年の一月からは、被保険者の方々、受給者の方々等からの相談あるいは照会業務についてマイナンバーを言っていただければそれで相談ができるというふうにすることにしていたわけでございます。これが延期ということになりますると、現在の状況がそうなんですが、基礎年金番号を申し出ていただいて相談、照会業務を行うということになるわけでございます。
 それからさらに、予定としては、二十九年一月からは、年金の手続で出していただく各書類に基礎年金番号に代えてマイナンバーを書いていただくということにする予定としておりましたし、二十九年七月からは自治体との情報連携などもスタートいたしますので、住民票あるいは所得の情報等の情報を年金機構で直接取得するということで、被保険者の方々からの届出の際の添付書類の一部を省略するといったような利便性の向上を図るということにしていたところでございます。これらの予定についても、今後、状況によりまして調整が必要となる可能性があるということだろうというふうに考えております。
 いずれにいたしましても、今回の日本年金機構における不正アクセスによる情報流出事案、大変御迷惑と御心配をお掛けいたしまして申し訳ございません。再発防止策をしっかりと講じまして、再発防止を進め、国民の皆様からの信頼回復ということにしっかりと取り組んでまいりたいというふうに考えているところでございます。
○若松謙維君 お伺いしたところでは、そんな大きな弊害はないのかなと実感いたしまして、隣の委員も何か賛同いただきました。
 次の質問ですが、情報の安全性についてということでお伺いいたします。
 今月の二十日に、先ほども議論になりましたNISCが日本年金機構における個人情報流出事項に関する原因究明結果、これが公表されまして、現在マイナンバー制度の実施に向けていろんな準備をしていると思いますが、NISCとして年金機構の個人情報流出問題をどのように総括して、マイナンバー制度の実施に当たり、こうした事態が繰り返されないよう、どのような措置、安全策をいわゆる政府全体としてやっていくのか、改めて内閣官房にお伺いいたします。
○政府参考人(谷脇康彦君) お答え申し上げます。
 今回の年金事案の教訓を踏まえまして、先週、八月の二十日でございますけれども、サイバーセキュリティ戦略本部を開催をいたしまして、その場で、今回の事案の教訓を踏まえた新たなサイバーセキュリティ戦略案を決定をしているところでございます。
 その中では、私ども各省庁を監視をしておりますGSOCシステムの一層の強化、あるいは監視・監査業務の対象範囲につきまして、政府機関に加えて、重要業務を行う独立行政法人、あるいは政府機関と一体となって公的業務を行う特殊法人までその対象範囲を拡大すること、さらには、大量の個人情報等の重要情報を取り扱います情報システムについて、インターネットからの分離を含む攻撃リスク低減のための対策強化、また、御審議になっておりますマイナンバー制度の円滑な導入に向けまして、総合行政ネットワーク、LGWANについて集中監視機能を設けるなど、GSOCとの連携による国、地方を俯瞰した監視・検知体制の整備などを盛り込んだところでございます。
 政府としては、この戦略に基づきまして、政府全体としてサイバーセキュリティー対策の強化を図ってまいりたいというふうに考えているところでございます。
○若松謙維君 これはちょっと抽象的な質問だと思うんですが、審議官、先ほど、特にLGWANですか、集中的に監視すると。御存じのように、今回の流出事件は大変な事件なんですが、やっぱりアメリカとか隣の韓国とかエストニアでも、御存じのように、いわゆる銀行ですか、システムダウンしたと、過去の事例ですけど。大変な事件が起きている中で、我が国は、私は頑張っている面はあると思うんですが、そういう意味で今取り組もうとしているところが世界の、政府のセキュリティーレベルというんですかね、五段階レベルでどのぐらいなんですかね。そんな質問をしてちょっと、お答えられたらで結構ですので。
○政府参考人(谷脇康彦君) お答え申し上げます。
 セキュリティーのレベルにつきましては、情報システムそのもののセキュリティーの強度、あるいはそれをどのように運用するのかといった多角的な観点がございますので、一概には申し上げにくいところがございますが、当然のことながら、私どもとしては、今回の戦略を実施することによって最先端クラスのセキュリティーレベルを実現するという心意気で当然取り組んでいくべきものと考えております。
○若松謙維君 是非頑張ってください。そのために私たちも応援いたします。
 あわせて、このマイナンバー制度の実施なんですけど、これ総務省にお伺いいたしますが、住民の世帯情報、また税務情報の提供等、地方公共団体の担う役割は非常に大きいわけでありますが、地方公共団体が関連するシステム整備、これの準備につきまして、当然政府としても支援はしていると思うんですが、この制度の実施に間に合わせる必要があります一方で、万全のセキュリティー体制を構築する必要もあるわけでありますので、情報を絶対に流出させないために、セキュリティー面でどのような指導、支援をしているか。先ほど、集中監視とかとありますけれども、そういうところも含めて説明をお願いいたします。
○政府参考人(猿渡知之君) お答え申し上げます。
 自治体の情報セキュリティー対策につきましては、本年三月に、標的型攻撃に対する対策等を加えまして、地方公共団体における情報セキュリティーポリシーに関するガイドラインを改定し、その強化を図ったところでございますが、今般の日本年金機構における事案は自治体にとりましても改めて重大な警鐘となりまして、直ちに緊急時の対応体制やシステムネットワークの総点検等をお願いしているところであります。
 総務省におきましても、自治体の情報セキュリティーに係る抜本的な対策を検討するために、NISCの協力をいただきまして、専門家や実務家から構成される自治体情報セキュリティ対策検討チームを立ち上げまして、この八月十二日には中間報告をいただいたところでございます。
 これを受けまして、現在、インシデント発生時におけるNISCまでの連絡ルートの強化や、自治体の緊急時対応計画の見直し、それと訓練の徹底等を図りますとともに、インシデント情報の共有や情報セキュリティー専門人材のノウハウを自治体の対策に生かす仕組みづくりなど、様々な手法を組み合わせた多角的な取組を鋭意推進しているところでございます。
 今後とも、対策検討チーム及びNISCを始めとする関係機関との密接な連携の下、自治体における情報セキュリティー対策の更なる充実に努めてまいります。
○若松謙維君 先ほどの各省庁のセキュリティーに対する凸凹というんですか、やはり自治体も千八百ありますので、そこをどう共通的に高めていくかということと併せて、特に弱いところ、セキュリティーの弱い自治体から入っていって中央に侵入するような可能性等も含めて、自治体のばらつきというのはどういうふうに今後されていこうとされていますか。
○政府参考人(猿渡知之君) 今いろいろやっていることと検討中のものがあるわけでありますが、一つはやはり、不正監視、不正通信の防止対策等々につきまして、ある程度ノウハウあるいは設備投資が必要なものというものについては、共同化というような方向も含めて検討チームの方からいただいておりますし、そういう形でやっていくとともに、あと、それぞれの段階、まずやるべきこと、あと二年先までにやるべきこと、そういうことを、時間軸を含めまして、その中で全部一定の水準が保てるように我々としても頑張っていきたいというふうに思っております。
○若松謙維君 大変なこれも作業ですけど、千八百ありますから、頑張ってください。
 それと併せて、セキュリティー人材の育成、これも今回の附帯決議にも付されておりますけれども、基本的に、ハッキング行為というんですか、これもイタチごっこでありますけれども、そうはいってもやっぱり国民の個人情報はしっかり守らなくちゃいけない、かつ今回のような事件は二度と起こしてはならないと、そういうことで、セキュリティー対策のスペシャリストの、セキュリティー人材ですか、この確保というのははっきり言って大変だと思うんですね。
 特に、行政機関のセキュリティー人材は特に高度な知識と技術が求められますので、どういうふうにしたらこの人材の育成確保ができるか。それは山口大臣にお伺いいたします。
○国務大臣(山口俊一君) 御指摘のとおり、これは一番大事な話でございますが、独立行政法人情報処理推進機構、IPAの試算によりますと、国内の情報セキュリティー技術者約二十六・五万人おいでるわけでありますが、約十六万人が必要な能力を満たしておらず、潜在的には約八万人不足というふうなことにされております。こうした中で、御指摘のとおり、行政機関のセキュリティー人材の育成確保、これはもう喫緊の課題でございます。
 これまでも、各府省庁の職員から成ります情報セキュリティ緊急支援チーム、CYMATと言っておりますが、この要員向けの研修、訓練、あるいは各省庁対抗のサイバーセキュリティーの訓練等、これを実施をするとともに、内閣サイバーセキュリティセンターが、外部の高度な人材を登用するために、諸外国のサイバー政策とか、あるいはサイバー攻撃をめぐる情勢分析等を行う任期付職員の採用を今年度から開始をいたしました。
 先般、八月の二十日にサイバーセキュリティ戦略本部でも決定をされましたサイバーセキュリティ戦略案でありますが、におきましても、政府において専門性にふさわしい処遇等によって高度なセキュリティー人材を登用する等、実行可能なものは直ちに実施をするという方針を示しておるところでございまして、しっかりと、行政機関のセキュリティー人材、この確保また育成には努めてまいりたいと考えております。
○若松謙維君 是非、今回、NISCですか、関係者、もちろん職員のOBも含めて、いわゆるシビアインシデントですかね、そういった場合の緊急対応の恐らく採用方法というのもまた法的にも課題があると思います。ですから、そういう人材確保のためのやっぱり法整備も是非検討していただきたいと思うのですが、それいかがですか。
○国務大臣(山口俊一君) これはもう世界的に、あるいは国内でも、サイバーセキュリティーの人材はある意味もう取り合いといいますか、私もあるセキュリティーのコンテストに見に行ったことがあるのですが、もう各企業から来ているわけですね。優秀なのを是非ともというふうなこともございました。
 そういったことも踏まえて、例えば、そのスキルにふさわしい人材をどういうふうに任用するか。これ、恐らく法的な話にも関わってくることもあろうかと思います。そこら辺も視野に入れながら、しっかりと、どうやれば優秀な人材を確保することができるか、これからも進めてまいりたいと思います。
○若松謙維君 最後に、小泉政務官、東北被災地へ何度もお越しいただいて、本当に御苦労さまでございます。
 是非とも、今回のマイナンバー制度、いよいよ実施されるわけでありますが、もう絶対に情報を流出しない、円滑に制度を実施していくと、そういう決意を是非お伺いしたいと思います。
○委員長(大島九州男君) 簡潔にお願いします。時間です。
○大臣政務官(小泉進次郎君) 簡潔にお話しさせていただきます。
 プライバシーの侵害が起きないように徹底して対策をやらなければいけないと、そのための適切な準備を進めていきたいと思います。他方、絶対はないと、そういったことも考えておかなければいけませんので、マイナンバーのみでの本人確認を法律で禁止する、そしてマイナンバーの提示を行う際には必ず本人確認を実施をする、異なる役所の間でシステムを使って情報のやり取りをする際にマイナンバーとは別の符号を用いて情報連携をするなど、制度面そしてシステム面、両面から様々な安全対策を講じているところであります。
 ITとサイバーセキュリティーの世界というのは大臣がおっしゃったとおり日進月歩の進化をしておりますので、国民に安心していただけるマイナンバー制度の運用を継続するべく、不断に努めていきたいと思います。
 ありがとうございました。
○若松謙維君 終わります。
○井上義行君 日本を元気にする会の井上義行でございます。
 昨日も私、地元でミニ集会とか意見交換をしていますと、このマイナンバー、あれはいつから実施だっけというのがいろいろあるんですね。あるいは、この夏、私もマイナンバーについていろいろ住民の人とも意見交換をさせていただきました。やっぱりマイナンバーの普及に当たってはきちっとした説明をする必要があるんではないか。特に高齢者でありますとか、あるいは障害者ですね。以前、同じような質問をしたときに、六月十一日の内閣委員会で甘利大臣から、制度を広く周知する必要があるというお答えをいただきました。
 今回のこのマイナンバーに当たって、年金の流出で審議が大分掛かりました。今日採決が行われて、その結果に基づいてそれぞれ市町村が動いていくと思うんですが、商工会議所であれ、あるいはJCであれ、様々な自治会を使ったり、いろんなことが考えられると思うんですが、具体的な広報の実施の範囲、あるいはどのぐらい期間を掛けて住民に説明していくのか、大臣のお考えをお伺いしたいと思います。
○国務大臣(山口俊一君) 若干具体的ということでありますのでお話をさせていただきたいと思いますが、これは、今先生も御指摘いただきましたように、もう全ての国民の皆さん方、全ての事業者に関係するものでありまして、しっかりと広く周知広報を徹底していく必要があると考えておりますが、実は今年の三月には、広く一般の方に制度を認知をしていただけるよう、テレビコマーシャルあるいは新聞広告なども活用した集中的な広報を実施をいたしました。また、それ以降も、幅広い年代の方々にお知らせをする観点から、ラジオとか雑誌とかインターネットのバナー広告、様々な媒体を用いて広報をしてきております。
 また、地方自治体による広報紙、あるいは住民説明会での周知も行われておりますし、実は私も地元に帰る機会があるたびにいろんな場所で言っておりますし、ついこの間、先生も御案内と思うんですが、阿波踊りが徳島でございました。先頭を切ってマイナちゃんが踊ってくれまして、マイナンバーのことを書いたうちわをずっと配っておりました。そういった、いろいろやらせていただいております。
 また、障害者の方々に対しましては、厚生労働省の方から障害者団体を通して周知に努めるとともに、視覚障害者向けの広報媒体、これは点字等ですけれども、これを作成をしたり、あるいは聴覚障害者向けの相談対応、これはファクスになっておりますが、そういった対応に努めておるところであります。
 また、事業者向けでありますが、これは経済団体と連携をしながら説明会を重点的に今開催をしております。特に中小零細企業に対しましては、どういった点に気を付ける必要があるのか分かりやすく説明をしたリーフレットとか、あるいは動画を作成をしてホームページに掲載をしたりしておるわけでございます。様々な説明会で周知徹底に努めておるところでございます。
 今後も、十月五日からマイナンバーカードの通知が始まるわけでありますが、実は集中的に、またこれを機に来年一月からの利用開始に向けて、テレビ、新聞、ラジオ等々様々な媒体を用いた広報をきめ細かく実施をしていくと同時に、地方公共団体とか中小企業団体など各経済団体とも連携をしながら、マイナンバー制度が広く周知徹底をされますように広報を行ってまいりたい。
 やはり十月五日ということで、ある意味大変関心を呼ぶというふうなこともありますし、同時に、下手をしますと、マイナンバーカードの通知が来たんだけれども、これ何ですかと分からない方が出たら困りますので、集中的に広報を徹底してまいりたいと考えております。
○井上義行君 マイナンバー、いろんな議論の中で情報の流出というところに焦点が当たってしまったんですが、私は一方で、マイナンバーというのは非常に経済効果があるんではないかというふうに思っております。このマイナンバーを使って様々なアイデアでやりたいという人も、私もいろんな方から聞かれます。やはりこうしたマイナンバーの経済効果というのはどのぐらいを見込んでいますでしょうか。
○国務大臣(山口俊一君) これはマイナンバー制度の導入のメリットに関する民間の試算、いろいろ出ておりますが、これによりますと年間数兆円の導入効果があるというふうなことも言われておりまして、定量化をするのが大変困難な多くの定性的な効果も含めて、このマイナンバー制度の導入には十分な費用対効果が見込まれるというふうに考えております。
 政府としても、多額の税金を投資をして制度導入に必要なシステム開発等、これを行っていくわけでありますので、国民の皆様方に対して費用対効果をしっかりと示していく必要があると考えておりまして、昨年の六月には一定の前提を置きましたが粗い試算をお示しをいたしておりますが、その後、制度やシステムの詳細がより具体的になってきておりますので、より正確で国民の皆さん方に分かりやすい費用対効果の示し方につきまして、これは参考人の御指摘もありましたけれども、専門家に相談をすることも含めて検討してまいります。
○井上義行君 そして、マイナンバーの普及に伴って銀行の将来口座にも活用していくということを聞いておりますが、今銀行に行きますと、一銀行につき大体一口座とかいう形で、反社の関係もあって非常に厳しくなっているわけですね。
 マイナンバーをしっかり登録していけば、口座の数も私は柔軟に増やしていいんではないかというふうに考えておりますが、このような考え方を大臣、どう考えますでしょうか。
○国務大臣(山口俊一君) これは、現在御審議をいただいております法案によりまして、マイナンバーを預貯金口座にひも付けをして管理をすることが可能となるわけでありますが、ただ、これはあくまで任意であります。ですから、このマイナンバー、口座にマイナンバーをひも付けをすることで多くの皆さん方にそうやってやっていただくためには、やっぱり相当なメリットというか恩典というのも今後必要になってくるんだろうと思っておりますが、この改正法の附則の第十二条第四項の規定がございますが、預貯金付番の規定の施行後三年を目途として、金融機関が預貯金者から適切にマイナンバーの提供を受ける方策及び施行状況についての検討を加えて、必要があると認めるときは、その結果に基づいて国民の理解を得ながら所要の措置を講ずるものとされております。この規定にも基づきまして、これはしっかりとそういった策を取っていきたいと思っております。
○井上義行君 そして、マイナンバーの導入によって、まず年金のような情報流出はマイナンバーはないということで、いろんな対策をしていると思いますが、一つは、そういうサイバーテロ的なことが来てもきちんとこういうような対策をしていますよというのがあると思いますので、やはりPRをするときも、そのようなPRも必要だと思います。
 その中身と、そしてもう一つは、例えば情報を、マイナンバーを扱う例えば公務員が自爆テロ的に、要は自分でその情報をばらまいちゃったといった場合に、被害が出るという場合の救済措置としてどのようなものがあるかをお伺いしたいと思います。
○国務大臣(山口俊一君) これは、マイナンバーの漏えい等防止をするために、マイナンバー法に基づきまして、マイナンバーを取り扱う者に対して安全管理措置、これを講ずることが義務付けをされておりますと同時に、独立した第三者機関である特定個人情報保護委員会がマイナンバーの取扱いに関する監視、監督を行うというふうなことにされております。
 そして、マイナンバーが漏えいをした場合は、特定個人情報保護委員会は指導、助言あるいは報告を求めることができまして、当該の指導、助言に従わなかった場合には勧告、命令を行う場合がございますが、その命令にも違反した者には罰則が科せられるというふうなことになっております。
 また、マイナンバーが漏えいをして不正に利用されるおそれがあるというふうなことが認められるときには、マイナンバー法第七条第二項に基づきまして、本人からの請求又は職権によって、市町村長はマイナンバーを変更して速やかにその者に対して変更後の新しいマイナンバーを通知カードにより通知をしなくてはならないというふうなことにされておりまして、仮にマイナンバーの漏えい事案が発生した場合にはこの規定に従って適切な対応を行っていくというふうなことになるわけでございます。
○井上義行君 最後に聞きたいのは、司法取引とマイナンバーの関係です。
 司法取引に応じた場合には、例えばDVの関係で市役所から情報が漏れてしまったために殺人が起きたりするわけですね。特に、司法取引に応じる人は更に厳しい状況に追い込まれる。だからこそ、しっかり国があるいは公共団体が守っていく必要があるというふうに思います。
 そのときに、本人がマイナンバーを変えたいというときに、当然、住所を移した、そしてその住所で名前とあれを変えたいという場合に、分かってしまう場合もあるわけですね。こうした、職員にも、あるいは国でも、要は限定をして、この人だったら身分が突合ができる、もう本当に広く行政機関が知り得ない世界というのをつくっておく必要があるんじゃないかと思うんですね、仕組み的に。こうした仕組みは私は必要だというふうに思っております。
 紙とか電話でやり取りというのもあるんでしょうけれども、これは本当に情報が漏れただけで狙われてしまうというような危険も伴うので、やはりマイナンバーのときに、個人情報ですから、ほかの一般の人にも、通常の場合でも漏れないような万全な対策をしておりますが、更に、超漏れない、いわゆるシェアができない、そういうようなものも必要になってくるんではないかというふうに思いますが、最後に大臣の見解をお聞かせ願いたいと思います。
○国務大臣(山口俊一君) これは既にいろんな形で、DVの被害者の方の住所が漏れてしまって殺人事件に至るとか、様々な事件が頻発をしております。ある意味、今回のマイナンバー導入を機にして、そこら辺をしっかり守ることができるようにしていくというふうなことも非常に大事なことなんだろうと思います。
 これは、ですから、例えば住所を変更しておるにもかかわらず元の住所の方にマイナンバーの通知が行ってしまう、これでは困ります。そこら辺もやはり警察等々ともしっかり連携をしながらやっていく必要があると思いますし、同時に、今先生御指摘いただきましたように、そこら辺の情報を見ることができる者ということは当然限定をしていく必要がありますし、これはもう慎重に運用していくように、これも検討しながら、またしっかりと対応策を取っていきたいと思います。
○井上義行君 終わります。
○浜田和幸君 次世代の党の浜田和幸です。
 マイナンバー、いろんな経済的な効果もあるし、利便性が高まると同時に、様々な情報漏えいに対するリスク対策ということも欠かせないと思っています。
 そういう観点で、いわゆるICカードですよね、マイナンバーの、これ一枚発行するのに大体千円ぐらいということを聞いているんですけれども、紛失したり漏えいした場合に再発行する場合のコスト、これは、ただ単に千円掛けて新しいICカードを発行するだけではなくて、再発行に伴う輸送費あるいは様々な通信費、人件費、そういうものを勘案しますと、一枚再発行するのに三千円ぐらい、数千円掛かるというような気がするんですけれども、その辺りのコスト計算、コストパフォーマンスについては今どういうような考えで取り組もうとされているのか、まずその点について、本当にどれくらいのコストが掛かるのかということを含めて、状況をお聞かせいただきたいと思います。
○政府参考人(向井治紀君) カードの発行、交付、新規の場合、再交付の場合もあろうかと思いますが、カードを作って交付する事務というのは新規も再交付も基本的にはほとんど同じでございますので、そういうことを考えますと、人件費等につきましては、カードの関係の業務とその他の業務とでなかなか切り分けは難しいところもございますので、簡単に計算できませんが、個人番号カードの製造、発行、それから本人への交付通知の郵送等に要する費用は一枚およそ千円ぐらいになっていると。それ以外の人件費についても、それほど高くないのではないかというふうに見積もってはおります。
 これらにつきましては、できるだけコストが掛からないように今後とも努力してまいりたいと思います。
○浜田和幸君 先般の年金情報の漏えいに関しましては、様々な再発行などの手続で五十億円以上のコストが掛かっているという報告も受けております。
 ですから、今回は全国民に配付するカードですから、もちろんそれが数人という程度であれば問題はないでしょうけれども、大規模な漏えい問題が起こったときには何億、何十億という再発行のコストも掛かる、そういう事態も想定されると思いますので、その辺りのいわゆる予算的な対応、万が一大きな問題が起こったときの予算措置、そういうことが国民にまた負担が覆いかぶさるのか、その辺りの考えはどうなっているんでしょうか。
○政府参考人(向井治紀君) まず、マイナンバーが漏えいしてマイナンバーが変わった場合に、前のマイナンバーカードをどうするかということがございます。必ずしも一律にマイナンバーカードを全部発行し直すということにはならないとは考えておりますが、それらにつきましては、まず、そもそもマイナンバーそのものがそう大量に漏れないようにするというのが基本だとは思っております。一方で、そういうふうなことが仮に起こったシミュレーションというのも重要ではないかと思っておりますので、先生の御指摘も踏まえて、ちょっと検討してまいりたいというふうに思います。
○浜田和幸君 先般、アメリカでは政府の人事局のデータが二千二百万人分漏えいしたと。もし同じようなことが日本で起これば、二千万人、三千万人分のマイナンバーの再発行というような状況も全く起こらないとは限りませんよね。アメリカの政府機関の個人データベースが簡単にハッキングされてしまって情報が漏れるということがあるわけですから、その点の万全のセキュリティー対策、これを講じていただきたいと思います。
 それで、今シミュレーションをやりたいということをおっしゃいましたけれども、これまでのところはどうなんですか。そういう問題発生の可能性についてのシミュレーション、またそれが起こったときの対策についてどのような、言ってみれば訓練というのか、シミュレーションをやってこられたのか、その辺りについてお聞かせください。
○政府参考人(向井治紀君) まず、日本の場合ですと、個人情報を持っている機関というのは比較的限られておりまして、国の機関で申しますと国税と年金ということになろうかと思っております。それから、医療保険につきましては協会けんぽが多分一番大きなものだろうと。一千万単位であるものというのはその程度かなと思うんですが。
 それらにつきましては、今回年金のこともございましたけれども、それらを踏まえまして、特にリスクマネジメントという観点から、やはり情報量とそのリスクというのは比例していくと思いますので、そういうふうな情報量の多いところをどういうふうにしていくのかという点につきましてもう一度確認をしてまいりまして、それで、国税は比較的、委員会の答弁でもありましたように、分離がしっかりしているというところがございます。一方で、年金につきましては、今回いろんな報告が出ておりますので、年金、それから協会けんぽにつきましても、その辺を確認の上、今後ちゃんとセキュリティーを、安全を確認した上でマイナンバーを開始したいと思っております。
○浜田和幸君 万が一そういう事故やトラブルが起こって再発行の必要が出てきた、当然ありますよね、そのときの再発行に伴うコスト、これは誰がどういう形で負担するのか。
 要するに、個人が自分の過失でなくなったような場合には個人の負担でよろしいでしょうけれども、何らかの外からのサイバー攻撃のような形が起こって、自治体であるいは政府でそういう問題が起こったときには、その場合の再発行のコストというのは、それは自治体が持つんですか、それとも政府が持つんでしょうか。
○政府参考人(向井治紀君) お答えいたします。
 まず、個人が自分の過失ないし、まあ故意ということは余りないかもしれませんが、そういう場合は当然個人の負担になろうかと思います。
 それからあと、一つは、マイナンバーがなくなったという話とマイナンバーカードがなくなったという話と二つあろうかと思っております。マイナンバーそのものにつきましては、多分、そういう事務費につきまして誰々の負担ということは、個人の負担ということは出てこないと思いますので、国が負担するのか地方が負担するのかという問題であろうと思っております。これらにつきましてはケース・バイ・ケースというふうになるのではないかと思いますが、そこは国と地方とで適切に分担すると。
 それから、カードにつきましては、今回、最初に発行するカードにつきましては無料ということにさせていただいておりますが、この再発行費用につきましても、本人の過失とかでなくした場合には当然有料ということになろうかと思うんですが、例えば天災とかでの場合はやっぱりさすがに有料というわけにはいかないだろうというふうに考えております。
 その上で、地方とかあるいは国とかの責任で、何らかの形でそういうマイナンバーカードの再発行が必要になった場合につきましても、それはもう、責任というよりは、本来どこが負担すべきかという、行政としての負担のあるべき姿から考えるべき問題ではないかというふうに考えております。
○浜田和幸君 ということは、司法上の問題が起こったときに誰がどういう形で発生した損害の責任を取るのか、これはまだケース・バイ・ケースで、これからだという状況ということですよね。
 また、成り済まし等様々な問題が起こったときにそれを防止するような、言ってみれば偽造防止法ですとか処罰、罰金、そういうところも一体化しないとこの制度の安全性というものが担保されないと思うんですけれども、その辺りの関連する法律との整合性、これはどういう具合に今捉えておるんでしょうか。
○政府参考人(向井治紀君) 今先生のお話しになった話というのは、多分、個人情報が漏れた場合に損害賠償が発生するとかいうことだろうと思います。
 それで、特に民間の会社が持っておりますマイナンバー付きの個人情報が、例えばサイバーアタックで漏えいした場合の司法関係はどうなるのかというふうなことは十分考えられるところでございます。一義的には、そういうサイバーアタックを掛けた人間、まあ見付かるか見付からないかは別といたしまして、に損害賠償責任があるというのは普通でございますが、更にややこしいのは、その会社の方に何か過失があった場合はどうなるのかと。そこまで行きますと、過失の度合いにもよるかとは思いますが、最終的には司法でございますので裁判所で決めることになろうかとは思います。
 ただ、将来的な課題としましては、そうした場合にどういうふうな、その被害者の補償のための、何といいますか、資力を担保するかみたいな話というのは、また保険というふうな話もあろうかと思いますので、そういうことも将来的な課題として検討していく必要があるのではないかと思っております。
○浜田和幸君 いろんなケースで問題が発生することも当然想定されていると思うんですけれども、再発行のカードの場合、それは通知カードが本人のところに行って再発行の手続を取るというさっきの説明がありましたけれども、そういう場合、新しいカードが届いたと、自分のマイナンバーは変わるわけですから、そのことを関係先には個人がみんな役所に通知をする必要があるのか。何か自動的に、マイナンバーが変わったときの連絡の仕方、通知の仕方、これはどういう方法が考えられるのか。また、再発行に伴う時間ですよね、どれくらいのタイムで再発行ができるのか。その辺りの体制はどうなっているんでしょうか。
○政府参考人(向井治紀君) 再発行の時間については総務省の方からお答えさせていただきます。
 ちなみに、マイナンバーが変わった場合につきまして現在のソリューションは、基本的には変わった時点から、後に出すいわゆるマイナンバーの記載の必要な例えば源泉徴収票とかそういう調書に新しいマイナンバーを書いて出していただくと。それにつきまして、国税の方では前とマイナンバーが変わっておりますのでおかしいと思うわけですが、その場合にはJ―LISの方に問い合わせいたしまして、そこでマイナンバーが変わったことを確認するという、そういうスタイルになっております。
 ただ、将来的には何らかのプッシュ型のこともできるかとは思いますが、今現在ではそのマイナンバーを管理しておりますJ―LISの方でマイナンバーがどこの機関に入ったということは把握できない仕組みになっておりますので、その辺をどういうふうな、何というか、コストを掛けずにそういうふうなことができるかというのを検討する必要があるのかなと考えております。
○政府参考人(宮地毅君) 個人番号カードの再発行に要する期間の点でございますが、現行の住民基本台帳カードが参考になるかと思います。現在、地方公共団体情報システム機構に委託発行をしている住民基本台帳カードの場合には、申請を受け付けてから市区町村にカードが届くまでにおおむね二週間掛かっております。それが目安になるかと考えております。
 ただし、来年一月からのカードの交付開始時期のように短期的に大量に交付申請が集中するような場合は通常期よりも時間が掛かるのではないかと考えられますが、そのような場合でもできるだけ早期に発行できるように取り組んでまいりたいと考えております。
○浜田和幸君 それと、将来の電子政府、これを進めるに当たって参考にする例として、よくエストニアの例が紹介されていますよね。二〇〇七年には世界で初めての電子投票も行われた。行く行くは日本でもそういう電子投票への準備が進んでいると思うんですけれども、気を付けなければいけないのは、このエストニアの場合も、世界初の電子投票はよかったんだけれども、ロシアからのサイバー攻撃で電子投票そのものが信用性を失ってしまうというような事態も発生しているわけであります。
 そういった点についての、デジタル化、これは必要な方向性だと思うんですけれども、エストニアで成功しているから日本でも、海外でこうやっているから日本でもというのは少し、日本独自のやっぱり方策というものを考えた上でじっくりと制度設計が必要かと思うんですけれども、エストニアの成功例というものだけが何かオーバーにちょっと宣伝されているような気がするんですけれども、実態についてはどの程度把握されているんでしょうか。
○政府参考人(向井治紀君) エストニアは結構日本に友好的でございまして、結構国会の委員会でも視察に行ったり、あるいは日本政府も行ったり、あるいは向こうから来たりして、いろいろ実態は調べております。
 そういう中で、御指摘のとおり、ロシアに近く、かつロシアとの緊張関係がある国でございますので、やはりサイバー攻撃というのは非常に大変だというふうな話は聞いております。そういうこともありまして、また、エストニアの、何でも一つの番号から全てがつながっているようなシステムというのは、やはり人口がある程度少ないところから可能な部分と、あと一つ、何といいますか、そういうロシアとの関係から来ている部分もあるんではないかというふうに分析してございます。
 そういう観点から考えますと、やはり日本は、エストニアのように全てのものを一つの番号でつながるような制度というのは必ずしも望ましくないのではないかというふうに考えておりまして、そういう意味で、マイナンバー制度というのは住基コードとは別の番号を使ってマイナンバーを構築した上で分野を法律で限っていると、そういうふうな作りになっておりますし、さらに、電子的な世界の中では符号を使ってやり取りしているというふうに、一種、何といいますか、セクトラル方式的な情報連携の仕方をしていると、そういうふうな取組になってございます。
○浜田和幸君 是非、海外のそういう問題の発生した事例も参考にしていただきたいと思います。
 それと、実際のマイナンバーのカード作成に係る入力データ作業、日本年金機構の場合も、海外、特に中国の現地法人に入力データを外注している日本の企業がたくさんいたという報道がされているんですけれども、今回のマイナンバーは全国民のデータを扱うわけですから、委託する企業がどこの外国企業にアウトソーシングしているのか、その辺りのやはりしっかりとした背景というものを検索というか、しっかりチェックしておく必要があると思うんですけれども、その辺りの対策はどうなっているんでしょうか。
○委員長(大島九州男君) 時間ですから簡潔に。
○政府参考人(向井治紀君) 今回の自治体の関係のマイナンバーに関しましては、再委託先も含めまして全部国内で行うというふうにしてございます。
○浜田和幸君 以上で終わります。ありがとうございました。
○委員長(大島九州男君) 午後一時に再開することとし、休憩いたします。
   午前十一時五十一分休憩
     ─────・─────
   午後一時開会
○委員長(大島九州男君) ただいまから内閣委員会を再開いたします。
 委員の異動について御報告いたします。
 本日、浜田和幸君及び世耕弘成君が委員を辞任され、その補欠として江口克彦君及び堀内恒夫君が選任されました。
    ─────────────
○委員長(大島九州男君) 休憩前に引き続き、個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案を議題とし、質疑を行います。
 質疑のある方は順次御発言願います。
○山下芳生君 日本共産党の山下芳生です。
 今問題になっている日本年金機構だけではなくて、各国の政府機関あるいは民間企業などで個人情報の漏えい事件が相次いで起こっております。私は、一連の事件から四つの教訓を酌み取る必要があると考えております。
 一点、情報漏えいを一〇〇%防ぐシステムを構築することは不可能である。この点は、参考人質疑でも専門家三人の先生の意見が一致をいたしました。実際、サイバー攻撃に対する防御が進んでいると言われている米国政府で、二千万人を超える個人情報が流出をいたしました。
 二点目、仮に完璧に近いシステムを構築したとしても、それを扱う人間の問題があります。意図的に情報を盗んだり売ったりする人間が一人でも入れば、そこから大量の個人情報が流出する。実際、ベネッセも韓国のクレジット会社の情報漏えいもそうして起こりました。
 三点目、一度漏れた情報は取り返しが付かない、流通し、売買されると。実際、多くの事件で流出した個人情報が名簿屋などを通じて情報を求める関係企業に渡っておりました。
 四点目、情報が集まれば集まるほど攻撃されるリスクが高くなる。巨大企業だとか行政機構など、たくさんの個人情報が集まっているところほど攻撃されやすい。なぜなら、その方が利用価値が高くなるからであります。
 以上四つの教訓は、当委員会で私、菅官房長官に尋ねましたところ、共通の認識に立っておられるということが確認できました。
 そこで、山口IT政策担当大臣の認識はいかがでしょうか。
○国務大臣(山口俊一君) 私も先生の御指摘のとおりだろうと思っております。
 集積ということでありますが、このマイナンバー制度では、マイナンバー付きの情報は一元管理をすることなく従来どおり分散をして管理をするということとともに、通信や保有データの暗号化、あるいは情報連携の際にはマイナンバーではなくて単なる符号を用いる等、サイバー攻撃のリスクを念頭に置いた対応や情報漏えいをした場合に当該情報が悪用されないような対応を考えておるところでございます。
 しかし一方で、ITの世界やマイナンバー制度の運用の世界に限らず、御指摘のとおり、絶対とか一〇〇%とかいうことはあり得ないわけであります。さらに、ヒューマンエラーとか悪意を持った人は必ず出てくるんだろうと思いますし、そういった意識をしっかり持ちながら臨んでいくというふうなことが危機管理としては大変重要であろうと考えております。
 ですから、一つは、そういったいろいろ技術が進展をする中でやはり不断の努力、今回実は私の方で、科学技術の方も担当しておりますが、SIPという研究テーマの中にサイバーセキュリティーも入れさせていただきました。あるいは、沖縄でもサイバーセキュリティーに関する世界会議を開催する等々、いろいろと不断の努力を重ねていくということと、やはり多重防御ということが大変大事なんだろうと思っておりますので、そういった御指摘の観点から運用を行っていく必要があろうと思っております。
○山下芳生君 私は、そもそも各分野の個人情報に共通番号を付ける、これ自体がリスクを高めるものだと言わなければなりません。これまでは、それぞれ流出した個人情報が幾つかの分野から出たとしても、それを突合したり名寄せしたりするのはなかなか困難でした。しかし、共通番号が付けられることによってそれがぐんとやりやすくなるわけですから、これはプライバシーの侵害だとかあるいは成り済ましの危険がうんと高くなると言わなければなりません。
 もうマイナンバー制度というのは、私がさっき言った、大臣もお認めになった四つの教訓に照らせば、全ての点で個人情報流出のリスクを大きく高めることにならざるを得ないと思うんです。だから国民の不安は大きいんだと思うんですね。
 報道機関による世論調査でも、マイナンバー制度の導入に不安はないか、不安だ七三%、不安はない二二%、分からない六%、国による個人情報の管理を信頼するかしないか、信頼する二〇%、信頼しない七五%、分からない六%となっております。これはJNNの六月六日、七日の調査ですから、年金の流出が発覚した直後ですから、そこは少しそういう傾向が強めに出るというふうに見ないといけないかもしれませんが、しかし、多くの方がマイナンバー制度に大変大きな不安をお抱えであります。
 山口大臣、このマイナンバー制度に対する国民の不安についてどう受け止めておられますか。
○国務大臣(山口俊一君) これは午前中にもお答えをいたしましたが、当初、やはりいかにも芋づる式に全ての情報が抜き取られるかのような一部報道もあったわけで、そこら辺と今回の年金機構の情報漏えい事案ということが相まって、大変御不安を抱いておられるというのはよく分かります。
 ですから、そこら辺を、そうじゃないんだということをしっかりと御説明をすると同時に、今回の事案を機にやはり全てを見直していくというふうなこともしっかりやっていきたいと思っておりますが、同時に、マイナンバー自体が、この制度をやることによってよりリスクが高まるというのではなくして、やはり個々のそれぞれ個人情報を保有しておるところが弱かったというところが今回出てきたわけでありまして、そこら辺を、NISC等を中心に、あるいはサイバーセキュリティ基本法を成立をさせていただいたわけでありますから、これにのっとって、本部もつくり、また戦略も作り、その中でしっかりと今回も位置付けをさせていただいておりますので、少しでも国民の皆さん方の不安を取り除くようにこれからも努力をしていきたいと思っております。
○山下芳生君 幾らそう言われても、各分野の個人情報に共通の番号を付けることになるんですから、これはやはり個人情報、プライバシー侵害のリスクは高まると言わざるを得ません。国民の不安もだから大きいんだと思うんですね。
 私は、本来だったら、こういう事件が起こった以上、十月からのマイナンバー制度の実施は中止すべきだと思います。しかし、政府は、日本年金機構のマイナンバーの利用、それから連携を遅らせるだけで、予定どおりスタートさせようとしております。これでいいのかということが今問われていると思うんですね。
 そこで今日は、日本年金機構の個人情報流出の教訓が果たしてマイナンバー制度に生かされているのかどうか、ただしたいと思います。
 まず、山口大臣に基本的認識を伺いますが、日本年金機構からの約百二十五万件の個人情報の流出は国民に大きな衝撃を与えました。第三者機関、日本年金機構における不正アクセスによる情報流出事案検証委員会が先日報告書を発表いたしましたけれども、もちろん、今回の事件というのはサイバー攻撃を受けたもので、非難の対象はまず第一にサイバー攻撃を行った側であることは疑いありませんが、その一方で、年金機構の側にも、大切な個人情報を管理する者として、サイバー攻撃に対してプロフェッショナルとしての備えが求められているのは当然だったと思います。ところが、この報告書を読みますと、年金機構には、サイバー攻撃、とりわけ標的型攻撃に対して当然求められていた備えが取られていなかった、極めて不十分だったと思わざるを得ません。
 私自身はもう個人情報を扱う機関としての資格すら問われる事態だったと考えますが、大臣の御認識、いかがでしょうか。
○国務大臣(山口俊一君) この情報漏えい事案が発生をして最初に開かれた当委員会におきましても、実は私の方から、余りにずさんだというふうなお話をさせていただきました。
 これは、そういった事案を受けて、日本年金機構内部の調査委員会とか、あるいは厚生労働省の検証委員会及びサイバーセキュリティ戦略本部からも、それぞれ報告とか今後に向けた指摘がなされておるというふうなことでありますが、それらを受けて、実はサイバーセキュリティーの戦略にしても、あるいは法律にしても、やはり見直しも含めて今しっかり検討しておる最中でありますけれども、そういった報告書を見る限りにおきましては、日本年金機構においては、人的体制の整備とか、あるいは情報管理の在り方などの面で十分対応がなされていたとは言えないというふうなことも認識はいたしております。
 日本年金機構におきましては、これらの報告書を受けて、しっかりとそれこそ真摯に対応していただきたいと思っております。
○山下芳生君 特定個人情報を保有する機関は、とりわけサイバー攻撃に対する対策を取らなければならない、日本年金機構はその点が極めて不十分だったという点では大臣も認識が一致しているということでありました。
 では、年金機構以外の機関の対策は大丈夫か、万全なのかということになりますが、私、非常に心配なのは地方自治体であります。
 五月二十八日の当委員会で地方自治体のセキュリティーの問題を私取り上げましたが、マイナンバーのセキュリティー対策の柱の一つである特定個人情報保護評価、この評価の進行状況は、私が質問した五月二十八日時点で全自治体の三分の一程度でした。自治体の現場では、少ない職員の体制で、全てに手が回らずに、ベンダー任せになっているという実態を告発いたしました。千七百余りある自治体全てで年金機構と同じような事態が起こらないのか、対策は十分か、しっかり検証する必要があると思います。
 今、各自治体では、十月の番号通知に向けて、そのために必要となる住民基本台帳のシステムの改修を行ってきております。そして、この改修が特定個人情報を保護するものになっているのか事前にチェックする、先ほど言いました特定個人情報保護評価が行われてきております。
 内閣府の担当者に伺いますが、住民基本台帳のシステムの特定個人情報保護評価はそもそもいつまでに終わらせることが求められていたのか、そして、現在、全ての自治体でこれ終わっているのか、御報告ください。
○政府参考人(其田真理君) お答え申し上げます。
 特定個人情報保護評価の実施時期につきましては、番号法におきまして、マイナンバーを保有する前までに評価を実施することとなっております。特定個人情報保護指針におきましては、システム改修を効率的に行う観点から、プログラミングの開始前に評価を終えることとしておりますけれども、経過措置といたしまして、平成二十六年十月までにプログラミングを開始している場合はマイナンバーを保有する前までに完了するということになっております。
 先生が御指摘いただきました住民基本台帳に関する事務についての評価でございますけれども、これが義務付けられている地方公共団体の評価書につきましては、七月末までに全て公表されております。
○山下芳生君 住民基本台帳に関する事務について、システムの改修をいつまでに行う必要がありますか、住民基本台帳について。
○政府参考人(其田真理君) これは、マイナンバーを実際に保有する前までであるというふうに思います。
○山下芳生君 四月十七日の保護委員会と総務省の通知というものがありますけれども、そこには何と書いてありますか。
○政府参考人(其田真理君) 申し訳ありません。今直ちに、ちょっと手元に事務連絡がございません。(発言する者あり)
○委員長(大島九州男君) 速記を止めてください。
   〔速記中止〕
○委員長(大島九州男君) 速記を起こしてください。
○政府参考人(其田真理君) 四月十七日の、大変失礼いたしました、でございますが、特定個人情報保護評価書の委員会への提出及び公表については、マイナンバー保護評価システムを使用して行うことから、マイナンバー保護評価システムの担当者の登録、あっ、済みません、これではない。申し訳ありません。(発言する者あり)
○委員長(大島九州男君) 速記を止めてください。
   〔速記中止〕
○委員長(大島九州男君) 速記を起こしてください。
○政府参考人(其田真理君) 大変申し訳ありませんでした。
 住民基本台帳に関する事務については、個人番号とすべき番号の保有が平成二十七年六月の予定とされていることから、遅くともそれまでに特定個人情報保護評価を実施し、既存住基システムの改修を終える必要があるとされております。
○山下芳生君 今正確に答弁ありました、六月までに実施する必要があるというんです。なぜなら、十月五日に通知されるわけですが、そのときに付番するんじゃないんですね。もう仮付番が六月の段階からされているということなんです。仮付番というのは本ナンバーと同じものなんです。それがもう既に六月までに付番されるから、それまでにちゃんと評価制度を終わりなさいよということですね。それがもう全ての自治体で終わったという報告でありました。
 そこで、山口大臣に伺いますが、この評価制度の評価が済んでいるということは、十月からの番号通知を控えて、年金機構の事件から求められるリスク対策、これは自治体では万全だというふうに御認識されていますか。
○国務大臣(山口俊一君) 正直申し上げて、大変心配も実は一方にしております。そういったこともありまして、自治体の既存住基システム等、これにつきましては、今回の年金個人情報の流出事案の発生を受けて、総務省において、状況の確認をまずしっかり行うと同時に、必要な対策を講じていただくように各自治体の方に要請を行っておられるというふうに承知をいたしておるところであります。
○山下芳生君 なおそれでも心配な点があるから、総務省から確認しているということでしたけれども、今、住基台帳のシステムについて、特定個人情報保護評価は終えて、改修も終えているということなんですが、この年金機構の情報漏えい事件が起こった後、総務省は、その評価制度が終わっているかどうかにかかわらず、六月十二日に年金機構の事件を受けて各自治体に、社会保障・税番号制度の準備に伴う既存住基システム及び団体内統合宛名システムにおける個人情報の標的型攻撃対策の徹底についてという通知を出しております。
 まず、担当者に聞きますけれども、この通知では、年金機構の事案はこういう教訓があると考えられると述べていますが、そこ、どういうことが書いてあるか報告してください。
○政府参考人(宮地毅君) お答えを申し上げます。
 マイナンバー制度の施行を控えました地方公共団体におきましても、日本年金機構の個人情報の流出事案は重大な警鐘であると認識をしたところでございます。
 日本年金機構では、インターネットに接続をされたネットワークと業務用のネットワークを分離をしていたところではありましたが、業務用ネットワークから情報系ネットワークへ個人情報を移動、保管する等の不適切な運用を行っていたため、個人情報の流出につながったと考えられるところでございます。
 こうしたことから、先ほど御指摘のございました通知におきましては、地方公共団体における対策といたしまして、インターネットから影響を受けないよう、十月の施行時にまずマイナンバーが記録をされます既存の住基システム等と接続されたネットワークと情報系ネットワークとの間の通信を不可能な状態にすることなどを求める通知を発出をしたところでございます。
○山下芳生君 まず、年金機構の教訓として、総務省は、いわゆる個人情報が入っている基幹系ネットワーク、内系ネットワークと、それからインターネットにつながっている情報ネットワーク、外系ネットワークは分離されていたと、年金機構では、しかしそれをコピーして情報系ネットワークで使っちゃったことが一つの大きな原因だったと考えていると。
 そこで、総務省としては、各市町村に対してはそういうことがないような対策を取るようにということがされているわけですが、いつまでに十分な対策を実施していただきたいというふうにその六月十二日の通知では書いていますか。
○政府参考人(宮地毅君) マイナンバーの最初の施行が十月五日でございますので、この十月からのマイナンバーの制度の施行までに既存住基システム等に更なる情報セキュリティーの対策を求めているところでございます。
○山下芳生君 そんな事実と違う答弁してもらったら困りますよ。それはね、何でそこを答えるんですか。
 今の通知、こう書いていますよ。仮付番開始までに個人情報の流出防止のための十分な対策を実施していただくようお願いしますと書いてあるじゃないですか。何でこれを読まないんですか。
○政府参考人(宮地毅君) 失礼しました。
 十月と申し上げましたが、六月の通知の段階ではそうした対策を仮付番の開始までにということで求めたところでございますが、さらに八月の七日に通知を発出をしておりまして、その中におきましてマイナンバーの制度の施行の開始時期である十月までにということで対応を求めているところでございます。
○山下芳生君 まず、期限が延びているというのは重大問題なんですよ。仮付番がされるまでに対策を自治体として取りなさいと言っていたのが、今度はもうマイナンバーの実施、十月五日までにしなさいよというふうに延びちゃっているんですよ。これは、やっぱり対策が取られていない自治体があるにもかかわらず仮付番がされているということを示しているわけですね。
 今、自治体の中で分離ができている自治体、どのぐらいありますか。できていない自治体、どのぐらいありますか。
○政府参考人(宮地毅君) 総務省では、先ほどお答え申し上げました通知と併せまして、この既存住基システム等における個人情報の標的型攻撃対策の徹底についての通知と併せまして現状の確認と対応方針に関する調査を行っているところでございます。
 ただ、この本調査につきましては、各自治体にシステムの点検を促して、そして総務省といたしましても自治体に更に働きかけるなどの対策を講じていくための資料とするために行ったものでございまして、自治体との関係でも公開を前提に行ったものではございません。また、公開をすることにより標的型攻撃等を誘発するおそれもございますので、団体の割合、個別団体等の公表は差し控えたいと存じます。
 いずれにいたしましても、この調査を踏まえまして、各地方公共団体が適切にマイナンバー制度の導入に取り組めるように、引き続き総務省としても対策を講じてまいりたいと考えております。
○山下芳生君 全然おかしいですよ。
 年金機構の教訓を踏まえて対策を取ろうとしているわけでしょう。そういう通知を出しながら、その対策がどこまで行っているのか、なぜ言えないんですか。個々の自治体名を言えと言っているんじゃないですよ。千七百余りある自治体の中で、どのぐらいちゃんと外系と内系のシステムが分離されているのか、まだされていないのがどのぐらい残っているのか、それ言わないと、ここで審議できないじゃないですか。言ってください。
○政府参考人(宮地毅君) やはり具体的なところにつきましては、自治体との関係もございますので……(発言する者あり)
○委員長(大島九州男君) 速記を止めてください。
   〔速記中止〕
○委員長(大島九州男君) 速記を起こしてください。
○政府参考人(宮地毅君) こちらで調査をしておりますのが、それぞれのシステムの状況が自治体によっていろいろ異なりますので、なかなか正確に確認できないところもございます。それで今も調査のやり取りもしているところでございまして、正確にお答えを申し上げることができないとともに、数字がまだ動く可能性もございますが、大まかつかんでいるところで、その分離等の対策のできていない見通しのあるところは一割から二割程度ございます。
○山下芳生君 それはいつの時点ですか。
○政府参考人(宮地毅君) 八月の中頃、十八日時点の調査でございます。
○山下芳生君 ということは、その時点で分離ができていない自治体、一割から二割ある自治体は仮付番はやめたんですね。
○政府参考人(宮地毅君) 仮付番につきましては事前の準備でございますので、その点につきましては仮付番の作業を行っているところでございます。
○山下芳生君 何でそんなことが勝手にできるんですか。六月の通知では仮付番までにやりなさいと書いてあるじゃないですか。仮付番後、これらの個人番号とすべき番号を含む個人情報を狙った新種のマルウエアによる標的型攻撃を受ける可能性があることから早急な対策が必要ですと、六月には書いてあるじゃないですか。
 何で仮付番を認めちゃうんですか、対策ができていないのに。攻撃にさらされてもいいんですか、そういう自治体は。
○政府参考人(宮地毅君) 六月の時点では最も理想的な形で考えられる対策を求めたところでございますが、その後の自治体の対策の状況を更に確認をして、少なくとも十月の五日までには対応していただくようにお願いをしたところでございます。
○山下芳生君 理想的じゃなかったと、ない状況を自分でつくったわけですか。これだけ個人情報の流出が問題になっているときに、もう二度としないようにというふうに対策を求めながら、それができなかったら、仮付番であっても本付番と一緒なナンバーなんですよ。漏れるかもしれないから仮付番までにちゃんとやりなさいよと、自ら出した通知を何で自らほごにするんですか。そんなものなんですか、個人情報の扱いは。
○政府参考人(宮地毅君) 法律的に申し上げますと、十月五日の施行時点で住民基本台帳に記載をされまして、その時点から特定個人情報にも使われるようになる情報になりますので、この十月五日の時点からきっちり対策を取るように対応していきたいと考えております。
○山下芳生君 じゃ、仮付番をしたけれども、システムの改修が終わっていないところの個人情報は漏れないという保証がどこにあるんですか。
○政府参考人(猿渡知之君) お答え申し上げます。
 この対策は様々な多角的な対策が必要でございますので、日本年金機構の事案を受けた後、まずはマルウエア等の疑いがある場合はインターネットを直ちに遮断するようにというような形の新しいルールも入れましたし、人的なセキュリティー対策も取っておりますし、そういう一連の対策の中の一つとして、念のために既存住基が外の不特定と通信をしないような確認をしてくださいということをその一つとしてお願いして、今申し上げましたのは、その最終的な確認が取れていない、まだ今ちょっと、要は、各自治体は庁舎の形とか組織、機構でいろいろネットワークの形態は違いますので、最終的な確認が取れていないというのが先ほど御答弁した数でございますので、そういう意味では、対策は進めておるということで御理解賜りたいと思います。(発言する者あり)
○委員長(大島九州男君) 速記を止めてください。
   〔速記中止〕
○委員長(大島九州男君) 速記を起こしてください。
○政府参考人(宮地毅君) もう一度六月十二日の通知について御説明を申し上げますと、特に本年六月末から七月にかけて仮付番を実施することになりますが、仮付番後にそういう攻撃を受ける可能性があることから早急な対策が必要でありますということは言っておりますが、その点、いつまでにという形では求めていないところでございまして、その後も仮付番開始までに十分な対策を実施してくれるようにお願いしますということではありますが、そこはお願いをした形にはなっておりますが、明示的に、仮付番の作業の過程で取り組んでいただくということをお願いしているところでございます。
○山下芳生君 極めて無責任ですよ。何のためにこの通知出したんですか。年金機構の教訓を生かすために分離が必要だ、コピーはやらないようにしろと、そのために出した通知で、それを仮付番までにやらなければ、仮付番が本ナンバーですから、漏れる可能性があるんだといって自分で出しておいて、後から、それは理想的な形だとか、お願いしただけだと。こんないいかげんな姿勢で本当に個人情報守れるんですか。
 大臣、どうですか。こんなこと許していいんですか。
○国務大臣(山口俊一君) 先ほど申し上げましたように、私も、実は本当に地方自治体大丈夫だろうか、年金機構の問題以降思いまして、どういうふうに、ただ、地方自治の一つの考え方の中で、どこまでいろいろお手伝いをできるのか、どこまでお願いをできるのか、そこら辺の絡みもございます。
 今、実は相当突っ込んだやり方ができないかということで検討はしておりますが、しかし、実はこれ、元々それぞれシステムをやり直していただいておったわけでありますが、例の年金機構の漏えいによって更なる対策をしてほしいというふうなことを総務省の方から要請をさせていただいたということでありまして、それについてはまだ一割から二割程度ということでありますが、しかし、これがなければ全く駄目よという話では実は一方においてないんであって、元々、年金機構の教訓を生かすために、更に多重防御といいますか、更なる対策をしてほしいというふうな御要請をさせていただいておる。
 同時に、申し上げましたように、いかに、例えば国の方であるいはNISCの方で様々なそういったセキュリティーに関する問題のお手助けをできるだろうかということは、これも今後検討して遺漏のないようにやっていくように努めていきたいというところでございます。
○山下芳生君 大臣まで姿勢を低めちゃ駄目ですよ。自分でそういう形で年金機構の教訓が自治体に生かされているかちょっと心配だとおっしゃいながら、心配なことが今起こっているということを私提起しているのに、それはいろいろあるんだと、ほかにも手だて取るんだと。それじゃ大臣の役割がないじゃないですか。大臣、この今の状態で仮付番が流出するというようなことが起こるかもしれないから対策取れと言っているのに、起こらない保証はありませんよ、これは。
 もう一つ聞きましょう。もう何ぼ聞いても同じ答えしか返ってきそうにないので。
 実は、自治体が保有している個人情報は住基ネットだけでは、住民基本台帳だけではありません。地方税、国民健康保険など幾つもあるわけですね。それぞれで年金機構と同じような分離がされていたのか、コピーがされていないのか、そういうことをちゃんと把握する必要がありますけれども、これは誰がその把握しているんですか。
○国務大臣(山口俊一君) 自治体の状況については基本的には総務省というふうなことでありますが、先ほども申し上げましたけれども、基本的には地方自治という大原則があるわけで、どこまで国の方がコミットできるか、いわゆる内部のシステムの問題ですから。ただ、マイナンバーに絡む部分に関しては、御協力を願いたいということで様々な要請もさせていただいておるようでありますし、あるいはまた様々な相談にも乗らせていただきたい、そういう体制も今、国の方でも取りつつあるわけでありまして。
 ただ、例えば、じゃ、仮付番だからといってないがしろにというか軽く見ておるわけではありません。先ほども、午前中も答弁をしたんですが、マイナンバーによってよりリスクが大きくなるということではなくして、元々その組織内の一つのシステムの問題、あるいは体制の問題、人の問題というのが非常に大きくあるわけです。
 年金機構の事案が起こるまでは少なくとも順調に進んでおったというふうなことで、しかし、年金機構のような例があるので、更に多重防御という意味でこういったことも努力目標として是非ともやっていただきたいというふうな御要請をさせていただいておるんだろうと思っております。
○山下芳生君 大臣、全く説得力ないですよ。
 そもそも、このマイナンバー制度は国が決めた制度ですよ。地方自治体に丸投げしては駄目ですよ。責任持たなきゃ、国が、政府が。その担当大臣なんですから、大臣は。
 地方自治体でそれが心配な点が起こっている、仮付番が対策が取られていない自治体でもやられちゃっていると、一割、二割、こういう事態が起こっているということ、初めて明らかになったんですよ。今までそんな数字出ていなかったですよ。そういう事態が明らかに今なったのに、それを是認するんですか、大臣。そんなことで大臣として責任果たせるのかということを私は問うているんですよ。
○国務大臣(山口俊一君) そこら辺はしっかり対応していきたいと思いますが、ただ、今お話、いわゆる業務系とネットワーク系を分離をして、まだそれが十分できておらないという数字が一割ないしは二割というふうなことですね。これは、実は元々必ずしもそうじゃない状況でやっておったという現実も実はあります。しかし、年金機構の例を受けて、更にこれもしっかりやってほしいと、それでよりセキュリティーを高めていこうというふうなことでありますから、これは各自治体に総務省の方から要請をさせていただいて、その自治体の方からの報告というかいろんなお話を聞いて、また整理をして対策を練っていくということだろうと思います。
○山下芳生君 内系と外系、基幹系ネットワークシステムと、外に、インターネットにつながっている情報ネットワークシステムが年金機構は分離されていたんですよ。年金機構は分離されていたけど、あれだけの情報が漏れたんですよ。
 ところが、自治体は分離もされていない。一緒につながっているところがまだ一割から二割あるんですよ。それなのに仮付番がされちゃったんですよ。これ、年金機構以前の問題が自治体では起こっているということじゃないですか。それが今明らかになったのに、それを是認するんですか、大臣。何のための大臣ですか。もう一度お答えください。それでいいんですね。
○国務大臣(山口俊一君) 本来、これは実は所管は総務省ですし、マイナンバーにつきましても実は甘利大臣でありますが、ただ、政府というふうなこともあります、当然責任があるということでしっかり対応していきたいということですが、別に是認をしておるということではありませんが、ただ、これまで住基ネットというのはあくまでクローズなネットワークの中でやってきておりました。そういった中で、やはり情報漏えいの事案もありませんし、それはそれでセキュリティーは守られておったんだろうというふうなことでありますが、しかし、年金機構等の問題を受けて、更に上乗せをしてほしいという要請をしておるところです。
○政府参考人(猿渡知之君) お答え申し上げます。
 総務省といたしましては、年金機構の事案の後に再度抜本的に対策を検討しようということで、有識者の方々、専門家の方、実務家の方を集めまして検討対策チームをつくりました。八月十二日の日に、当面必要なことということで緊急に中間報告を出していただいたわけでございます。
 先ほど山口大臣の方からも御答弁ありましたように、多角的な対策ということで、まずは組織体制の再検討、内部犯罪をなくすということで職員の訓練等の徹底、そして、万々が一のときのためのインシデント対応体制ということと並んで、三番目に、インターネットのリスクへの対応ということで、念のためにということで安全性の確認ということも有識者や専門家の方からお願いされたわけでございます。
 それは、仮付番の場合は、大変失礼でございますが、何かあった場合は仮付番は変えられる。しかしながら、マイナンバー制度が施行されたらそういうわけにいきませんので、マイナンバー制度が施行されるまでに、庁内の住民基本台帳システムがインターネットを介して不特定の外部と通信を行うことができないようになっているということを再度確認して、その安全性の確認を念のために自治体に行って、最終的にまだ確認が取れていないというところが先ほどの数字でございますので、そういう方向で今、もう一回省内、セキュリティー対策立て直しまして進めておりますので、御理解賜れればと思います。(発言する者あり)
○委員長(大島九州男君) ちょっと速記止めてください。
   〔速記中止〕
○委員長(大島九州男君) 速記を起こしてください。
○国務大臣(山口俊一君) 先ほど所管は総務省というふうなことを申し上げましたが、地方自治体に対する要請等々は総務省を窓口にしてやっていただいておるわけで、当然国として、私ども担当大臣として最終的に責任があるというふうなことでしっかりと取り組まさせていただきたい。
 実は、先ほど一割から二割というふうなことでありますが、今まだ報告の上がっておらないところがございます。順次数字は目に見えて良くなってきておるというふうな話も聞きました。そういうことで、必ずや、十月五日ですか、施行に向けて、全てそういった状況が、セキュリティーの体制が整うようにしっかりと努めてまいりたいと思います。
○山下芳生君 その保証がどこにあるのか、私は聞いても分かりません。だって、仮ナンバーを付番するまでに終わらせなさいということでやってきて、終わらなかったんですよ。それでもう付番しちゃったんですよ。今度、本ナンバーを十月五日までにやるといったって保証ないじゃないですか。そのときできなかった自治体は、今度はマイナンバー制度、実施はさせないんですね。
○国務大臣(山口俊一君) 施行までにしっかり間に合わせるというふうなことで頑張ってまいりますが、当然その都度検証といいますか、状況は把握をしながらやるわけでありますので、そこら辺は状況を見て、これは危ないということであれば考えざるを得ないと思いますが、そこら辺はしっかりと対応ができるように……(発言する者あり)いやいや、しっかりと対応ができるように我々としては全力を挙げてまいりたいというふうなことです。(発言する者あり)
○委員長(大島九州男君) 速記を止めてください。
   〔速記中止〕
○委員長(大島九州男君) 速記を起こしてください。
○国務大臣(山口俊一君) 先ほど来申し上げておりますように、ともかく施行に向けて全力を挙げてまいりたい。当然その都度検証等々してまいります。どうしてもできない自治体ということに関しては、住基ネットも御案内のとおり全ての一〇〇%の自治体でスタートしたわけではありません。ですから、そういった意味で、やはりそういった自治体に関しては我々としたら考えざるを得ない。結局、住民の皆さん方の不便につながるわけでありますから、そこら辺は省を挙げて、自治体を挙げて頑張っていただきたい。それに向けて我々も全力を尽くしてまいります。(発言する者あり)
○委員長(大島九州男君) ちょっと速記止めて。
   〔速記中止〕
○委員長(大島九州男君) 速記を起こしてください。
○国務大臣(山口俊一君) 再度お答えをさせていただきますが、そこら辺ができておらない自治体に関しては、その自治体にいわゆるマイナンバーのネットワークに入ってもらうということはやめさせていただきたいというか、そういったことはしないということであります。
○山下芳生君 この一点だけでも、私、非常に問題が発生しているということが明らかになったので、これはもうきちっと、住基問題だけではなくて、いろんな分野で自治体はこういうことが起こっている可能性がある、十月からの実施は中止すべきだということを改めて申し上げて、終わります。
○山本太郎君 生活の党と山本太郎となかまたち共同代表、山本太郎です。
 マイナンバー法案について質問させていただきます。
   〔委員長退席、理事藤本祐司君着席〕
 今回の日本年金機構の情報漏えいは、年金機構だけを切り離したり、お手盛りの検証やマイナンバーとのひも付けを年金機構だけ遅らせるという話で終わった、解決したと曖昧にできる話ではないと考えます。国の機関がハッキングされちゃったわけですよね。ここまで法案の成立を急ぐんですから、国に関係する機関全て、有事に備えた、セキュリティー体制は万全だ、問題ないという理解でよろしいのでしょうか。
○政府参考人(向井治紀君) 年金機構につきましては残念ながらこのような事件が起こったわけでございますけれども、マイナンバーが関係する機関それぞれ、特定個人情報保護委員会、あるいは元々の法律等によりましてそれなりの安全管理措置が義務付けられております。
 私どもとしましては、十月五日に向けましてそういうふうな体制が整っているものと考えております。
○山本太郎君 なるほど、もう万全に統一の基準をもってそれを定めていると、大丈夫だというお答えですよね。ごめんなさい、ちょっと顔を見てもらっていいですか、やり取りした方がいいですものね。ということですよね。統一の基準をもってやっているし、ちゃんとそれは万全の備えはできているんだよということを今お答えいただいたんですよね。政府統一基準のお話ですか、今のは。そうじゃなく……。
○政府参考人(向井治紀君) セキュリティーにつきましては、国の機関につきましてはNISCの定めております政府統一基準がございます。それから、マイナンバーそのものにつきましては特定個人情報保護委員会が定めておりますガイドラインがございます。
 これらの基準に沿ってやるとともに、今回の年金事故を踏まえまして更にNISCの方でも対策を考えておられますが、今回の年金機構の事件を受けまして、国の機関の利用事務につきましては先ほどもございました分離を行うというふうなことも出ておりまして、それらを併せまして、準備は少なくとも十月の五日までには万全に整うものと考えております。
○山本太郎君 問題は年金機構だけではないと。情報の伝達体制という点では、すぐに理事長まで伝達された年金機構と比べて、厚生労働省、担当係長一人が知っていて誰にも連絡していない。全く信じられない話でしたよね。
 情報担当参事官室長によると、五月十九日、またちょっと話戻っちゃいますけど、五月十九日に年金機構が警視庁高井戸署に通報、捜査依頼した事実を五月十九日当日に年金機構から情報参事官室にメールで連絡したが、そのことを情報参事官室長が知ったのは六日後、五月二十五日だったというんです。直属の上司に伝わるのにも六日も掛かっていたって、すごい話ですね、これ。厚生労働省のセキュリティーポリシーなど全くないのと同じですよね、これ。CSIRTなんて、言葉だけで実態というのは全くないんだなという。厚生労働省、いかがですか。
   〔理事藤本祐司君退席、委員長着席〕
○政府参考人(安藤英作君) 今先生に御指摘をいただいた事実関係につきましては、おっしゃるとおりでございます。
 CSIRTの問題等、NISCからも、あるいは甲斐中先生にお願いをいたしました検証委員会でも報告をいただいておりまして、多くの御指摘をいただいているところでございます。
○山本太郎君 肝腎の内閣情報セキュリティセンター、NISC、全くお粗末で機能していないと言ってもいいと思います。
 NISCの谷脇副センター長、六月十一日、本委員会で私の質問に対し、五月十九日の年金機構の警視庁への通報は、五月二十九日に初めて知った、五月二十一日の官邸でのサイバーセキュリティ対策推進会議、五月二十五日の同じく官邸でのサイバーセキュリティ戦略本部の会合で報告できなかったことについて、真摯に反省をし、今後の改善策を考える必要があると答弁されました。
 谷脇さん、NISCこそ第三者委員会での検証というのが必要なんじゃないかなと思うんですけど、いかがですか。
○政府参考人(谷脇康彦君) お答え申し上げます。
 今委員御指摘のとおり、本件事案につきまして、年金機構が警察へ相談したということに、五月十九日でございますけれども、私どもNISCが承知をしたのは五月二十九日ということでございます。
 当然のことながら、私どもとしても政府全体のセキュリティー対策の強化を図っていく必要があるというふうに考えておりまして、先週八月二十日に開催をいたしましたサイバーセキュリティ戦略本部におきまして新たなサイバーセキュリティ戦略の案を決定をし、その推進を図っていこうとしているところでございます。
○山本太郎君 第三者機関による検証が必要だと思いませんかという質問だったんですよ。必要じゃないですか。検証した方がいいんじゃないですか、一回。
○政府参考人(谷脇康彦君) 私どもNISCの機能の在り方等につきましては、当然この国会の場でもいろいろと御議論を賜る機会もあろうと思いますし、また、行政評価等、政府部内におけるシステムについても、これを活用していくという機会は当然あり得ようかというふうに考えております。
○山本太郎君 ちょっと話変わるんですけれども、別の立場からNISCの方にコメントをしていただきたいと思うんです。教えてください。
 セキュリティーが先進的なんだと、一番高いセキュリティーレベルだと言えるのはどこの省庁なんですか、幾つかあれば教えていただければ。ここはすごいぞ、あそこはすごいぞというのがあれば。
○政府参考人(谷脇康彦君) お答え申し上げます。
 各府省庁のセキュリティーのレベルでございますけれども、どの情報システムを対象に評価するのか、それから、物理的なシステムのありようのみならず、そのシステムがどのように運用されているのか、あるいは業務手順等々様々な要素が絡んでまいりますので、一概にレベルということでお答えすることは困難である点は御理解をいただきたいと思います。
○山本太郎君 とはいっても、国防に関わっている防衛省なんかはもう鉄壁なわけでしょう。防衛省完璧ですと言わないと、みんな狙っちゃうんじゃないですか。それ、まずいんじゃないですか、言えないのって。防衛省はさすがに鉄壁の守りだと言ってくださいよ。
○政府参考人(谷脇康彦君) お答え申し上げます。
 どの省庁が一番守りが堅いのかということを評価する上では、逆に言いますと、どの省庁が弱いのかということにもつながってまいりますので、そういった意味では、私どもから個別の省庁のシステムのセキュリティーレベルについてお答えをすることは差し控えさせていただきたいと存じます。
○山本太郎君 そうですか。残念です。
 昨日の質問レクのときには、警察とか防衛省とかじゃないですかねというようなことは教えてくださっていました。
 だとすると、じゃ、この世に存在するそのようなセキュリティーシステムといいますか、その強固な、鉄壁な守りを持っているぞというような機関ってどういうところがあるんだろうと思ったら、どこなんですかね。例えば、日本でいえば防衛省だったり警察だったりというんだったら、例えばアメリカの国防総省とか、多分、すごい強固なイメージありますよね、強そうなイメージがありますけど。
 じゃ、お聞きしたいと思います。厚労省のセキュリティーレベルというのはアメリカの国防総省並みと言えますか。NISCの目から見てどうでしょう。
○政府参考人(谷脇康彦君) お答え申し上げます。
 私どもといたしましては、他国である米国の国防総省のセキュリティーレベルについてコメントを申し上げる立場にはないと考えております。
○山本太郎君 そうか、残念やな。
 じゃ、例えば、一般論で結構なんですけど、ごめんなさい、ちょっと話外れましょう、我が国からは外れましょう。
 例えば、僕が今例えで言ったアメリカの国防総省のそのセキュリティーレベルというものの高さというのは、多分こういうところが違うんじゃないかな、こういうところが守りが堅そうだなと思うところ、何か挙げてもらってもいいですか。いろんなことを御存じだと思うんですよ、いろんなセキュリティーのことに関して。教えてください。
○政府参考人(谷脇康彦君) お答え申し上げます。
 繰り返しでございますけれども、他国の政府機関の情報システムのセキュリティーレベルについて具体的なコメントをすることは政府としては差し控えさせていただきたいと思います。
○山本太郎君 済みませんね、差し控えさせていただくというお答えばかりさせるような質問をして。
 でも、昨日の質問レクでは答えてくださったんですね。一般論では答えてくださったんです。これはNISCとしてではなく、一般論ですよという前置きをして、世間話、お茶飲み話として教えてくださいました。インシデントが起きた後の対応が異なっていたかもしれないねと、アメリカも日本も感染自体は防ぎようがないということは同じであろうと、でも、インシデントが起きた後の対応が違うという点はひょっとしたらあるのかもしれないということをおっしゃっていました。リテラシーは高いだろうと、事故が起きたときの一人一人の備えは高いんじゃないかというような見通しというようなことは何かぽろっとおっしゃっていました。
 もう一度お聞きします。
 現在、年金機構や厚生労働省を除く日本国に関係する機関のセキュリティーレベルはアメリカの国防総省並みのセキュリティーレベルだというふうに言えますか。
○政府参考人(谷脇康彦君) お答え申し上げます。
 繰り返しでございますけれども、他国の米国である政府機関の情報システムについてのコメントは差し控えさせていただきます。したがいまして、それとの比較において、日本の政府機関におけるレベルがどういう状況にあるのかということについてもコメントは差し控えさせていただきます。
○山本太郎君 分かりました。
 アメリカ国防総省が、職員番号について、アメリカの共通番号制度である社会保障番号の使用をやめた、独自番号に切り替えたという詳細は把握されていますか。御存じの方がいらっしゃったら。
○政府参考人(谷脇康彦君) お答え申し上げます。
 報道等で承知をしております。
○山本太郎君 共通番号制度だったアメリカがなぜ共通ではなく、番号を分けようという話になったか。一九三六年に社会保障番号が導入された共通番号制導入の先駆者、アメリカ合衆国、成り済まし被害が多過ぎたんですって。国防総省が独自の限定番号へ転換しました。
 二〇一一年六月、独自の新たな十一桁の国防総省本人確認番号、DODIDナンバーへと全面的に移行。これは、軍票や職員番号にも共通番号が使用されていたことで、現役及び退役軍人に相当数の成り済まし被害が発生したためだと。アメリカ政府は、国民や軍人の個人情報は国防上の重要情報であると。当然ですよね。国民も軍人も個人情報は国防上の重要情報であるとの位置付けをしたからこそ、こうした措置をとったといいます。
 共通番号である社会保障番号で成り済ましの被害が年間九百万件を超え、手が付けられない状態になったとアメリカの話をよく聞きます。連邦司法省の統計によれば、二〇〇六年からの二年間、成り済まし犯罪の被害は千百七十万件。十六歳以上の全人口の約五%が被害に遭っている計算。同時期の成り済まし損害額、為替レート百十五円ぐらいで換算すると百七十三億ドル、約二兆円ぐらいに上ると。これすごい金額ですね。共通番号制をやっていた先輩がそういう目に遭ったという話を今しているんです。
 アメリカの連邦財務省の租税行政査察総監の議会公聴会での証言、議会での証言です。その証言によれば、二〇一一年にはアメリカの税務署である内国歳入庁は成り済まし還付申告を何と九十四万件も発見。そのうち、納税者が気付いて成り済まし被害を届けた件数は十一万七百五十件。そして、内国歳入庁が犯罪認定をしたのは百一万四千八百八十四件と証言がありました。
 これだけ情報漏れるって、やばくないですか。安全保障上、大問題ですよね、共通番号制度。こんな失敗例がアメリカで起こっているのにもかかわらず、共通番号制度に前のめりって、気は確かですかという話だと思うんです。
 ここで質問です。
 マイナンバーで得た情報というのはどれくらいの期間保存されることになっていますか。
○政府参考人(向井治紀君) マイナンバーにつきましては、マイナンバーで得た情報ではなくて、情報にマイナンバーを付すというふうになっておりますので、その情報の保存期間に従います。
○山本太郎君 そのとおりだと思います。それで、保存期間、どれぐらいになるんですか。
○政府参考人(向井治紀君) 例えば税の場合ですと、時効等がありまして、七年というのが普通だと思います。
○山本太郎君 昨日、総務省でしたっけ、総務省の方にレク受けましたっけ。そうですよ、聞き方が悪かった。申し訳ないです。多分今の話だと思うんですけれども、お願いします。
○政府参考人(宮地毅君) 住民基本台帳ネットワークシステムというところで、本人確認情報ということで個人番号と基本の四情報、氏名、住所、性別、生年月日の四情報の本人確認情報をマイナンバー事務のために利用するために記録して保存することになっております。
 それの期間につきましては、百五十年間は保存するということになっているところでございます。
○山本太郎君 百五十年も記録していただけるんですか。これ、百五十年というのは、百五十年が決まる前というのは何年というのはあったんですか、百五十年に決定される前の保存期間。
○政府参考人(宮地毅君) 個人番号につきましては、今回新しい制度でございますので、今回そういう形で決定をしております。
 趣旨を御説明をさせていただきますと、例えば年金事務のようにマイナンバーを利用して行う事務によりましては、その個人の方の生涯、あるいはまた子供さんの生涯も含めて一定期間にわたって各個人のマイナンバーの確認を行う必要がある、事務があることが想定されるところです。そういう意味で、長期間にわたってマイナンバーを継続的に提供するという役割を担うことになってまいったわけでありますが、そうした趣旨を踏まえますと、個人の身分関係をずっと公証する役割を担っておりますのに戸籍の除籍簿というものがございました。戸籍の除籍簿につきましては保存期間百五十年とされておりまして、そうしたことも勘案をいたしまして、今後のマイナンバーの事務の利用ということも見通しまして百五十年という形で設定をしているところでございます。
○山本太郎君 ありがとうございます。百五十年間保存しておいてくれるということなんですけれども。
 アメリカの社会保障庁、ソーシャル・セキュリティー・エージェンシーでは、死亡者名簿、死亡者のマスターファイル、これを国民が死亡した際に作成していると。そして、一九八〇年以降、この名簿の販売を始めていたと。そんな名簿を作って売ってどうするんですかという話なんですけれども、名簿の使用目的は各種給付の管理ということになっているんですけれども、死亡者の氏名、共通番号、出生日、死亡日、郵便番号が記載されているこのファイル、これを行政機関、金融機関、生命保険会社、データ会社、医学研究者などが購入していたと。それが成り済まし犯罪激増の要因の一端となっていたといいます。
 大丈夫なんですかね、これ百五十年も情報を管理し続けて。四情報と番号と言われていましたっけ、先ほどね。ほとんど同じようなものですよね、この話もね。
 二十一世紀になってからは他人の共通番号悪用の成り済まし犯罪が急増したと。その挙げ句に、二〇〇二年には、アメリカではGAO、米国会計検査院が、政府資料から共通番号を削除する勧告まで出したと。その後、二〇〇六年にジョージ・ブッシュ大統領、成り済まし対策タスクフォースつくったけれども、司法長官と連邦取引委員会長官が共同議長となって連邦の十七の機関が参加、本格的な取組を開始、消費者の共通番号の民間利用の在り方を精査するように指示した。でも、タスクフォースまでつくらなきゃならなくなったんだけれども、なかなかこれが減っていかないと。そんなものをつくったとしても、他人の共通番号を悪用した成り済まし犯罪、大きくは減らなかった。
 業を煮やして、州レベルではより厳しい対策を取るところが増えてきた。例えばカリフォルニアでは、身分証明カード、顧客に送付する会員カード、そのほか一定の文書に共通番号は使ってはいけない、記載を禁止するとし、暗号処理しないままに共通番号を電子メールで送付することを法律で禁止しているらしいです。
 共通番号をメールなんかでやり取りすることに対して、何か法律上決まりあるんですか、今。例えば、自分のマイナンバーを誰かに伝えるとかということに関して、そういうものに関して何かルール上課されていましたっけ。
○政府参考人(向井治紀君) そもそもマイナンバーを提示する場面が法律で全て規定されておりまして、基本は税、社会保障の分野で官公庁に出す書類でございますが、その場合は公的個人認証という形で出します。それから、通常の例えば企業は源泉徴収をする場合に従業員からマイナンバーを集めますが、その場合には、ガイドラインで基本的にはインターネットは使わないというふうな方向性を出しておるところでございます。
○山本太郎君 でも、個人事業主、フリーで仕事をされている方なんかはいろんな方を相手に仕事しているわけだし、結局、電話で言うかメールで送るか以外に何かやりようあるんですかね。何か、どうすればいいですか、のろし上げるとか、そういうことをすればいいですか。やりようがないですよね。結局、メール使ったりという話になりますよね。
 メールで送ったら何か罰則があるとかというのはあるんですか。
○政府参考人(向井治紀君) アメリカと違いまして、日本の場合はマイナンバーを取得するときは必ず番号とともに本人確認をする必要がございます。
 本人確認をする手段といたしましては、対面の場合は、マイナンバーカードとかあるいは免許証とかのそういう写真入りのカード、それがない場合は公的な証明書二種類以上というふうなパターンでございますし、ネットでやる場合は基本的にはマイナンバーカードの公的個人認証を使うというふうな形になってございますので、そういう意味では、マイナンバー制度の場合は、本人確認につきましては、これはもう既に民主党政権時代にマイナンバー制度を検討したときからアメリカのその事例は十分承知しておりまして、そうならないがために、番号だけではなくて本人確認を導入するとともに、できる分野を法律で縛ったということでございます。
○山本太郎君 なるほど。
 じゃ、アメリカのソーシャル・セキュリティー・ナンバー、例えばそれにもカードがあるわけですよね。そのカードに写真とかというのは付いていないんですか。
○政府参考人(向井治紀君) 写真はございません。極めてぺらぺらの、何といいますか、本当にその辺にあるような紙でございます。
○山本太郎君 ありがとうございます。勉強になります。
 アメリカでは、国レベルでもっと動こうじゃないかと。そのぺらぺらの紙が原因でそういうふうに成り済ましが増えたのかどうなのかというのは、ごめんなさい、存じ上げないんですけれども、アメリカでは、国レベルでもっと動こうと二〇〇八年頃から一部の国会議員、対策を講じるために法案提出の動きを開始したと。まず、連邦議会の下院で民主、共和党の両党議員によるメディケア成り済まし犯罪防止法を提案をしたけれども、しかし上院での議決がなかったと、法案成立しなかった。二〇一一年、内国歳入庁はらちが明かなくなって、成り済まし被害に遭った納税者に対して、別途、身元保護個人納税番号、IPPINの発行に踏み切ったと。二〇一二年には二十五万二千人に発行した。しかし、これ氷山の一角のようで、内国歳入庁は成り済まし被害の全容を把握できないと言っている。
 何が言いたいか。共通番号の大先輩アメリカでは、共通番号やばい、番号は分野別に分けた方がよくねという話になっているけれども、これ、この先大丈夫なのかなという話なんですけれども。アメリカは官民分野における共通番号制度を見直す時期にもう入ってきていますよと、一たび導入された制度を変更することには大きな負担が伴うんだと。生きた教材が太平洋の向こう側にあるのに、なぜ学ぼうとしないのか。失敗した場合、尻拭いは税金だよなって、人のお金だからって大胆に振る舞う人っているよねという話なんですけれども。
 でも、先ほどのお話を伺うと、本人確認するから大丈夫なんだと、アメリカと一緒にするなと。本人確認するから、もう鉄壁な守りだというような話になっていると思うんですけれども、これ本人確認ということが担保されれば、それは大丈夫なんですかね。だって、偽造されたりとかするわけでしょう。大丈夫なんですか、それ。その本人確認というもの以外、ほかに何か安心させてもらえる情報ないんですか。
○政府参考人(向井治紀君) まず、アメリカの場合は、ソーシャル・セキュリティー・ナンバーをほかに利用してはいけないという文言はございませんので、誰でも何にでも利用できるような形になっていたがために、元々はソーシャル・セキュリティー・ナンバーなのに、あらゆる、国の制度、連邦制度、州制度、それから民間の取引で全てソーシャル・セキュリティー・ナンバーを使うようになったということがございます。しかも、その本人確認を番号のみでやったというのがございますので、それで大量の成り済ましが起こったということでございます。
 そのため、私どもがマイナンバー制度を設計する際には、まず、マイナンバーの利用範囲を法律で、しかも、ポジティブリストでこれしか使えないというふうにしてございます。さらに、情報のやり取りにつきましても、その情報のやり取りを例えば税の所得情報を年金の減免に使えるというふうに、やれるものは限られております。したがいまして、情報のやり取りをすることにあって情報が増えるということはほとんどございません。その上で、さらに、マイナンバーを取るときは、番号の確認と本人確認をするということによって成り済ましを防いでいると。
 さらに、今おっしゃったアメリカの例で多いのは生活保護、年金ですが、生活保護、年金は役所が本人確認をいたします。それから、税の還付請求につきましては、アメリカと日本の場合は税制度が違います。日本の場合は、還付では必ず先に源泉徴収が行われているということがございまして、源泉徴収された中の一部を還付するということが大半でございますので、そういう意味で、成り済ましのそもそも起こりにくい制度になっているということもございます。
○山本太郎君 ごめんなさい、いろいろいただいたんですが、一番最初のところだけフックした感じです。ごめんなさい。
 アメリカの場合はもう何でも使えるようにしちゃったからそれが原因であると、成り済ましの拡大していったことはそれが原因であるということをさっきおっしゃったんですよね。
○政府参考人(向井治紀君) アメリカの場合は、そういう使用の規制がなかったためにいろんなものに使われておったと。一方で、日本の場合は、最初からもう税、社会保障の一定の場合にしか使えないような形になっております。
○山本太郎君 でも、それ入口だけじゃないですか。
 マイナンバー制度活用推進ロードマップって、何から何までできるようにしようとしているんじゃないんですか、このマイナンバー使って。いろんなことをやろうとしているじゃないですか。オリンピックの入場にまで、いろんなことに使えるよう、カジノの入場規制にまで、もうそれだけじゃなくて、死亡時のワンストップサービスまでそれで受けられるようにしようという話なんでしょう。
 だから、アメリカがいろんなことに使えるからどうのこうのという話にならないですよ。今、入口としては少しかもしれないけれども、後々どんどん拡大していって、それがなければ不便だというふうにしていくおつもりなんですよね。
 次に参ります。
 アメリカの例は、これだけ被害が拡大した理由、どういうことなんだって。社会の広い分野で同じ番号が使用された結果、それぞれの分野で個人番号と個人情報とがひも付けされて、膨大な個人情報の蓄積が進んだということですよね。個人番号自体に価値が出てくるようになった、そういうことですよね。
 だけど、逆に言うと、皆さんそれを利用したいんですものね、利活用というふうに。個人情報の蓄積されていったものに対して、企業に対して利活用させるということがだって書かれているじゃないですか。マイナンバーで蓄積されていったものを企業と一緒に個人情報という部分を少し緩めていって、そういうふうに使っていくというようなお話なんじゃないんですか。
 国が言う安全ですとか大丈夫ですというのは、ちょっとにわかには信じ難いというような、自分の中で何かちょっとあるのかもしれないですね、ひょっとしたら。いろんな疑わしいことが多いわけじゃないですか。食べても安全だとか、環境は大丈夫だとか、食品の汚染は大丈夫だとか、例えばリニア新幹線も大丈夫だとか、子宮頸がんワクチンもオーケーだ、食品添加物も大丈夫、農薬も大丈夫、TPPも大丈夫、そして今回の戦争法案も大丈夫だと、いろんなことが大丈夫だと言われているけど、本当に大丈夫なのかなと心配になっちゃうんですよね。
 内閣府のマイナンバー問合せ窓口に電話した人がいます。もしも番号が漏れて、成り済まされてお金が取られちゃった場合どうなるんですか、そのように電話したらしいんですよね。そうしたら、その電話の向こう側の人が、漏えいした方の責任ですというふうに言われたらしいんですけれども、ざっくりと、ちょっと短めに教えていただけますか、どういうことなのか。
○政府参考人(向井治紀君) 成り済まされてお金が取られるというのはどういうふうなシチュエーションなのか、ちょっと理解できないんですが。
○山本太郎君 まあ僕にも分からないですよ。(発言する者あり)だって、考えてみてくださいよ。やってみなきゃ分からないことを、皆さん、これ法案として話合いをずっとしているわけでしょう。成り済まされたと、もしも自分が自分の番号……(発言する者あり)矛盾でも何でもないですよ。だって、全て想定というか、全て仮定の中で話進めているわけじゃないですか。今私が言った仮定が全てですよ。
 分かるでしょう、だって。成り済まされました、分からないです、番号流出したようです、どこかから。成り済まされました、被害が出ました、これ一体誰か補償してくれるんですかという状況になったときにどうなりますかと。国で救済とかあるんですか。
○政府参考人(向井治紀君) 今の先生の御質問は、多分、民間の例えば企業が従業員のマイナンバーを管理していたのをハッカーされて盗まれた場合に、過失で盗まれたけれども、その盗まれた番号が成り済まされて被害が出た場合に、その会社に損害賠償責任があるのかというふうなお尋ねでよろしいんでしょうか。
○山本太郎君 もうそのまま言ってください。
○政府参考人(向井治紀君) その場合ですと、まず一義的にはそのハッカーをした人間、盗んだ人間が刑事上の罰則及び民事上の責任を負うということになろうかと思います。
 その上で、会社の方がどうかというと、会社がマイナンバーの管理について、特にガイドライン等を守っているような管理、過失がなければ会社に損害賠償されることはございませんが、その会社の対応によっては損害賠償が求められる可能性はゼロではないというふうに考えます。
○山本太郎君 言われていること、もっともですよね。一義的にその盗んだ者が一番悪いと。でも、盗んだ者って捕まるかって。年金機構の犯人、捕まったのかって。捕まらないですよね。じゃ、捕まえられない人たちどうなるんだという話なんですけど、泣き寝入りするしかないということですかね。そうなってきますよね。
 これ、ちょっと余りにもあり得ないんじゃないかと。だって、このマイナンバー欲しいと言っているの誰だよと。国民から頼むからマイナンバー制度にしてくださいというお願いがあった上でここで審議しているわけじゃないですよね。じゃ、マイナンバーやることに決めましたと。それによって被害者が生まれた。一義的にはもちろん盗んだ者が悪いけれども、その人は捕まらない。国の機関に対してハッキングした者でさえも捕まえられないんですから。もう目星付いているんですか。ここでは言えない。まあどっちにしても言えない話ですね。分かりました。
 元々セキュリティー対策をしているというような人たちはいいですよ、大企業だったりね。でも、中小零細企業はどうなるんでしょうか。全国商工新聞六月十五日号にも、事業者には過大な負担という記事が出ていたと。全国商工団体連合会、中小企業が入っていますよね。マイナンバーの実施延期と廃止を訴えています。中小企業者に厳格な管理体制を強要し、情報が漏れた場合の罰則を強化するなど、小規模の事業者にとってマイナンバーを管理することは大きな負担となり、経営にとっても大打撃となります。イギリスでは一旦導入を決めた国民IDカード法を人権侵害への危険があることや巨費が浪費されるおそれがあるとして廃止しました。国民監視を強め、中小企業者の営業を破壊するマイナンバー制度実施を延期し、廃止することを求めますと。
 中小企業、先ほどのケースじゃないですけれども、何か問題あった場合、国からの補償の制度みたいなものあるんですかね。
○委員長(大島九州男君) 簡潔に。時間です。
○政府参考人(向井治紀君) どういう問題が起こるのかというのはあろうかと思います。
 先ほどの場合も、成り済ましというのも、まず基本的には本人確認をしてから行うことでございますので、成り済ましでそういう被害が出るという可能性はもうほぼないというふうに考えております。
 そういう中で、何といいますか、まあ何らかの形で民事ということがゼロとは思いませんけれども、そういうふうなことがないような、やっぱり成り済ましが起こらないような運営というのをやっていく必要があるのではないかと思っております。
○山本太郎君 なるほど。ちょっと今、すごく有り難かったです。成り済ましによる被害はほぼないと言い切れると。
 大臣、本当に成り済ましの被害ないと言えますか。
○国務大臣(山口俊一君) 今回の設計からして、いわゆる例えば番号だけあってもどうしようもないわけですね。カードの場合も、お話のように本人確認あるいはパスワード等がございます。そういった中で、成り済ましの危険というのは極めて少ないと考えております。
○山本太郎君 ありがとうございました。
 もう今、いろんなセミナーが、マイナンバーのやつが行われているので、もうこれから、そこから何か悪いことしようと思っている人たち、絶対そのセミナー通っていると思うんですよね。結局、起こらないなんて保証は何もなくて、やってみるまでは分からないというお話だったと思うんです。
 この法案、本当に審議時間が足らない。これだけ大きなハッキングというものがあったのにもかかわらず、そこに対する安全の担保というものもないままに、スケジュールどおりに進めなきゃいけないという一点でこれを通さなきゃいけないということに、本当に憤りを感じます。
 質問を終わります。
○委員長(大島九州男君) 他に御発言もないようですから、質疑は終局したものと認めます。
 本案の修正について藤本君から発言を求められておりますので、この際、これを許します。藤本祐司君。
○藤本祐司君 私は、個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案に対し、自由民主党、民主党・新緑風会、公明党及び次世代の党を代表して、修正の動議を提出いたします。その内容は、お手元に配付されております案文のとおりです。
 これより、その趣旨を説明いたします。
 本年五月、日本年金機構において、外部から送付された不審メールに起因する不正アクセスにより、約百二十五万件もの個人情報が外部に流出したことが判明しました。今回の事案は、いわゆる標的型攻撃により個人情報が大量に流出したことが現実に確認された初めてのものです。
 厚生労働省の検証委員会が取りまとめた報告書では、今回の情報流出の根本原因は、一つには日本年金機構、厚生労働省共に標的型攻撃の危険性に対する意識が不足しており、事前の人的体制と技術的な対応が不十分であったことにあります。また、本事案が発生した後においては、現場と幹部の間、関連する組織間に情報や危機感の共有がなく、組織が一体として危機に当たる体制になっていませんでした。その結果、組織内の専門知識を持つ者の動員ができず、担当者が幹部の明確な指揮を受けることもできないままに場当たり的に対応し、迅速かつ的確な対処ができなかったことにあるとされております。
 十月からの住民への個人番号の通知、来年一月の個人番号の利用開始を控えたこの時期に、個人番号を利用して事務を処理することとなる日本年金機構においてこのような事案が発生したことについて、政府は重く受け止めるべきであり、マイナンバー制度の導入、運用に遺漏なきようにするため、本修正案を提出いたしました。
 修正の要旨は、次のとおりであります。
 第一に、行政機関の長等は、特定個人情報ファイルの取扱事務の従事者に対して、特定個人情報の適正な取扱いを確保するために必要なサイバーセキュリティーの確保に関する事項等に関する研修を行うものとしております。
 第二に、特定個人情報ファイルに記録された特定個人情報の取扱いの状況について、行政機関、独立行政法人等及び地方公共団体情報システム機構は、個人情報保護委員会による定期検査を受けるものとし、地方公共団体及び地方独立行政法人は、個人情報保護委員会に対して定期報告をするものとしております。
 第三に、個人番号利用事務等実施者は、特定個人情報ファイルに記録された特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態が生じたときは、個人情報保護委員会に報告するものとしております。
 第四に、個人情報保護委員会は、特定個人情報の保護を図るため、内閣サイバーセキュリティセンターと情報を共有すること等により相互に連携を図りながら協力するものとしております。
 第五に、日本年金機構については、一定の期間、個人番号の利用並びに特定個人情報の照会及び提供を行わないものとしております。
 第六に、政府は、国の行政機関等におけるサイバーセキュリティーに関する基準に基づく対策の策定及び実施に係る体制の整備等について検討を加え、その結果に基づいて所要の措置を講ずるものとしております。
 以上です。
 何とぞ、委員各位の御賛同をお願いいたします。
○委員長(大島九州男君) それでは、ただいまの修正案に対し、質疑のある方は順次御発言願います。
○山下芳生君 修正案の提案者の皆さんに質問します。
 まず、日本年金機構に係る経過措置を設けた理由は何でしょうか。
○藤本祐司君 先ほど、私の実は質疑席からの質問でもあったとおり、日本年金機構の情報流出というのが六月の一日に報道等で発覚をしまして、この法律案につきましては質疑の後の採決を棚上げにしてきた、その直接的原因が日本年金機構であったということがまずございます。
 そして、その年金情報の流出事案においては、個人情報を保護する体制、体制といいますか内部監査あるいはガバナンスということも含めてだと思いますが、その辺りが非常に不十分であったということ、あるいは個人情報の保護のための意識、リテラシーが職員に不足しているということが指摘をされているところです。
 そこで、日本年金機構、このまま予定どおり一月一日に利用するようなこととなると、やはり参議院、我々としても、そのことを知っていて何も策を講じないということについてはやはり大きな問題があるだろうということを考えて、日本年金機構が個人番号を利用することを一定期間停止をして、その間に日本年金機構において、先ほど指摘された特定個人情報を保護する体制、ガバナンス、内部統制、これを十分に整備し、かつ特定個人情報を保護するためのリテラシー確保を職員に徹底して、ルールに従った特定個人情報の取扱いがなされるようにするための措置を講ずる、そのための経過措置を設けたものでございます。
○山下芳生君 ちょっと重なるかもしれませんが、その年金機構の経過措置、いわゆる利用停止、情報連携の停止、これは日本年金機構がどのような対策を講じた場合にその停止を解除する条件となるのでしょうか。
○藤本祐司君 今回の日本年金機構の年金情報の流出事案に関するいわゆる第三者によりますと、検証報告にも書かれていると思いますが、実効性のある体制整備、あるいは職員のリテラシーの向上ということが指摘をされているわけでございます。
 そこで、この停止期間におきましては、今回の問題を踏まえれば、例えば、今申し上げた特定個人情報を保護する体制、ガバナンス、内部統制、ここをしっかりと整備するということ、そして、特定個人情報の取扱いに関するリテラシーの確保が職員に徹底されて、ルールにのっとって特定個人情報を適切に取り扱うことができるようにする、こういう措置を講じることが必要だと。ですから、その辺りの条件が整ったときには番号の利用を開始できるようにするということを考えております。
 ただ、これは一月一日から一定期間延ばすということになりますので、これは政府だけに任せるのではなくて、やはり国会の場においても適宜、その辺りの進捗状況であるとか、それはしっかりと我々としてもただしていく必要もあるだろうと思いますし、午前中の質問の中にもありましたとおり、NISCもこの特殊法人の方に監査が入れるような法整備を考えているという山口大臣からの答弁もありましたので、その午前中の答弁を踏まえまして、その辺り、監査がしっかりできる体制が整っているかどうかというのは、我々も常に監視をしていく必要があろうかと思います。
○山下芳生君 ありがとうございました。
 日本年金機構以外の番号利用機関について、年金機構と同様の経過措置を必要とする機関はないという御認識でしょうか。先ほど私、地方自治体で見切り発車的なことがやられようとしているんじゃないかという問題提起もさせていただきました。また、そういうことを考えるならば、マイナンバー制度の実施そのものを中止すべきではないかと考えないでしょうか。
○藤本祐司君 やはり今回の直接的な原因、理由が日本年金機構にあったということで、まずは日本年金機構に係る経過措置について、きちっと特別に修正案でそこはうたっていかなければいけないというふうに思っております。ただ、そのため、マイナンバー制度実施そのものを中止すべきというところまでは考えておらず、そのための修正案は、そこの部分については出しておりません。
 また、日本年金機構以外ですね、日本年金機構以外の機関についてはこの経過措置というのを設けておりませんけれども、これは、今回を一つの教訓として、マイナンバー制度の本格導入までに特定個人情報の保護体制整備を十分に行っていただかなければいけないというふうに我々も思っておりますので、その監視はし続けた上で、政府に十分に行ってもらえるものと考えております。
○山下芳生君 個人情報保護委員会において検査等を行うということになっておりますけれども、地方自治体は同委員会による定期検査ではなくて定期報告としている理由は何でしょうか。
○藤本祐司君 これも、実は修正案を考えるときに、正直言いまして、どこまでの範囲をどうしようかというのは考えなかったわけではありません。簡単に言えば考えました。考えたんですが、地方公共団体及び地方独立行政法人の数の問題として、都道府県が四十七、市町村が千七百十八あるんでしょうか、それから地方独立行政法人も百二十二という、合わせて千八百八十七、もう千九百に近い数字になるということがございまして、やはり今回は現実的な対応の中で修正案を考えようということで、検査ということまでは実際上難しいのかな、その代わり、その分を定期報告という形で修正案に盛り込ませていただいたという理由でございます。
○山下芳生君 ただ、自治体の管理する、保有する個人情報も相当膨大ですから、定期報告だけでチェックできるのかという点はいかがでしょうか。
○藤本祐司君 なかなかそこも難しい判断だというふうに私は思っておりますが、個人情報保護委員会には、地方公共団体並びに地方独立行政法人については定期報告を最低限やってもらうということの中で、特定個人情報の取扱状況をチェックをして、監視して、問題の発生防止、被害の拡大防止に生かしてもらわなければいけないというふうに考えております。
 なお、定期報告において何らかの問題が発見されるということになれば、これは現行法の第五十二条、この報告、検査というのがあって、そこにきちっと深掘りをしてもらって、深掘りをして、現行法第五十条による個人情報保護委員会からの指導、助言ということで是正が図られるという、そういう法体系になっておりますので、当面は定期報告ということで地方自治体には考えておこうということでの修正案でございます。
 以上です。
○山下芳生君 ありがとうございました。質問を終わります。
○委員長(大島九州男君) 他に御発言もないようですから、これより原案及び修正案について討論に入ります。
 御意見のある方は賛否を明らかにしてお述べ願います。
○山下芳生君 私は、日本共産党を代表して、個人情報保護法及び番号法改定案に対し、反対の討論を行います。
 反対する理由の第一は、番号法を改定し、プライバシー性が高い個人の預貯金や特定健診情報に番号を付番し、マイナンバー制度の利用範囲を拡大するものだからであります。
 我が党は、二〇一三年の番号法案そのものに対して、国民一人一人に原則不変の個人番号を付番し、国民の個人情報をこれによって容易に照合できる仕組みをつくることは、プライバシー侵害や成り済ましなどの犯罪を常態化させるおそれがあることを一番の理由として反対しました。
 今回の改正は、預貯金情報、特定健診結果など、個人の暮らしや医療情報にも個人番号を使った情報管理、情報連携の仕組みを広げていくものであり、より深刻なプライバシー侵害や犯罪を招くおそれを増加させることは明らかです。
 第二に、個人情報保護法の改定では、法律の目的の中に、配慮事項として、新たな産業の創出並びに活力ある経済社会等の実現に資することを書き込むなど、個人の権利利益の保護を後退させかねないものとなっているからです。改定案では、実際の規制内容は多くの政令や規則に委ねています。その際、新たな産業創出等への配慮規定を足掛かりに、個人のプライバシーよりも企業にとって使いやすい保護規定に緩められる懸念が拭い切れません。
 個人情報保護委員会の新設や一定の名簿屋対策など、個人情報を保護する上での前進面もありますが、法律の根本と今後の運用をゆがめかねない重大な問題を含んでおり、容認できません。
 さらに、本案審議中の六月一日、日本年金機構から百二十五万件もの年金情報の流出が発覚しました。日本でも世界でも情報漏えい事件は後を絶たず、防ぐことができていません。IT先進国と言われるアメリカや韓国でも、政府機関から二千万人分、クレジット会社から合計一億人分など、個人情報が盗まれる事件が相次いでいます。
 こうした一連の事件からは、情報漏えいを完全に防ぐシステムを構築することはできないこと、完璧に近いシステムができたとしても、内部に悪意を持つ人間が入れば大量の情報流出が起きてしまうこと、一度漏れた情報は流通し売買され取り返しが付かないこと、そして、情報の質と量が集まれば集まるほど利用価値が高まり、攻撃される危険も高まります。一つの番号で国民の個人情報を照合させるマイナンバーは、情報漏えいや悪用の危険を高めます。十月から実施予定のマイナンバー制度は中止することを求めます。
 なお、民主党等提案の修正案については、現在日本年金機構がマイナンバーを取り扱う能力がないという認識は共有しますが、その他の機関は政府の計画どおり実施しても大丈夫という考え方には賛成できません。
 審議でも、日本年金機構での事件を教訓にした自治体が取るべき対策が不完全にもかかわらず、既に付番を始めている実態が明らかになりました。民間事業者においては現状把握すらされていません。
 制度全体の実施を中止し、廃止すべきであることを重ねて申し上げ、反対討論を終わります。
○山本太郎君 私は、本法案に反対の立場から反対討論を行います。
 IDカードにより、五十もの細かい個人情報があなたのプライベートなコントロールから飛び出し、国のコントロール下に移されてしまいます。名前だけじゃない、住所や生まれた場所、そしてそれだけじゃない、あなたのイメージや署名、指紋も、多分、目の虹彩や顔の輪郭も。国家に自分たちをコントロールすることをやめさせたいならば、我々はこの監視国家に立ち向かわなくてはなりません。我々は、IDカード計画を廃止します。これは、イギリスの首相になる一年前、ロンドン大学で演説したキャメロンさん。
 無実の人々にもDNA関連検査を行おうとした前政権を批判。当時、イギリス内務大臣テレサ・メイさんは、はっきりさせておきたいことは、DNA調査は実際に犯罪を犯してデータベースに出た人だけに適用していこうということだと言いました。
 使わない、目的外使用なんてしないと言ったって、持っていれば使いたくなるんですよね。だから、イギリスでもこのような間違ったことが起こった。
 本法案の今回の改正では、メタボ情報などをデータベースに蓄積されるというようなお話ですけれども、その未来にあるのは、イギリスが踏み違えた究極の個人情報、DNA情報をも国家が収集する方向に向かっていくのではないでしょうか。
 本法案附帯決議の十二に記されております。「個人番号カードの公的個人認証機能の利用時における本人認証方法について、生体認証の導入を含め、」とあります。人のプライバシーを盗み見、蓄積した情報を企業に利活用という名の横流し、マイナンバーによってこの国の生きる人々のプライバシーは侵害され、完全監視国家への道を進むに十分な材料がそろうことになります。
 イギリスの生体認証付きIDカード制の廃止関連法案を議会に提出されるとき、イギリス女王が演説を行いました。法案は、法律の成立、施行に伴いIDカードを廃止し、かつ、国家身分登録台帳を廃止することにより、カード保有者から収集した全ての個人情報を廃棄するものである。政府は、市民に関しては必要最小限度の情報を保有すべきであり、かつ、可能な限り国家による人権侵害状況を元に戻すべきである。これによって、むしばまれた市民的自由、人権を回復することができると演説されました。
 国家としてのイギリスは歴史も長く、間違いがあったとしても自浄作用があるようで、軌道修正もこのようにできました。現在の我が国にそれを期待することはできません。
 君子危うきに近寄らず、世界の失敗から学び、同じ過ちを繰り返さない選択をするのが政治の仕事ではないでしょうかと申し上げまして、私の反対討論とさせていただきます。
 ありがとうございます。
○委員長(大島九州男君) 他に御意見もないようですから、討論は終局したものと認めます。
 それでは、これより個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案について採決に入ります。
 まず、藤本君提出の修正案の採決を行います。
 本修正案に賛成の方の挙手を願います。
   〔賛成者挙手〕
○委員長(大島九州男君) 多数と認めます。よって、藤本君提出の修正案は可決されました。
 次に、ただいま可決されました修正部分を除いた原案全部の採決を行います。
 修正部分を除いた原案に賛成の方の挙手を願います。
   〔賛成者挙手〕
○委員長(大島九州男君) 多数と認めます。よって、修正部分を除いた原案は可決されました。
 以上の結果、本案は多数をもって修正議決すべきものと決定いたしました。
 この際、藤本君から発言を求められておりますので、これを許します。藤本祐司君。
○藤本祐司君 私は、ただいま可決されました個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案に対し、自由民主党、民主党・新緑風会、公明党、日本を元気にする会・無所属会及び次世代の党の各派共同提案による附帯決議案を提出いたします。
 案文を朗読いたします。
    個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案に対する附帯決議(案)
  政府は、本法の施行に当たり、次の諸点について適切な措置を講ずべきである。
 一 個人情報の定義等を政令等で定めるに当たっては、国民に分かりやすいものとなるよう、消費者や事業者等多様な主体から広く丁寧に意見を聴取し、保護対象を可能な限り明確化する等の措置を講ずること。
 二 匿名加工情報の規定の趣旨が個人情報の利活用を促進するものであることに鑑み、個人情報取扱事業者が匿名加工情報を作成する際に必要となる基準を個人情報保護委員会規則で定めるに当たっては、その趣旨について十分に配慮すること。
 三 国境を越えた個人情報の移転は、合理的で安全なサービスの提供を可能にし、社会に役立つものであることを踏まえ、海外における個人情報の保護を図りつつ、個人情報の移転を不当に阻害しないよう必要な措置を講ずること。
 四 第三者提供に係る記録の作成等の義務については、その目的と実効性を確保しつつ、事業者に過度な負担とならないよう十分に配慮すること。
 五 情報通信技術の進展、事業者の事業規模、財政状況等に応じた影響等を考慮した必要な措置を講ずることが重要であることから、個人情報保護委員会の委員、専門委員及び事務局については、民間における個人情報の利活用の実務について十分な知見と経験を持つ者、消費者保護に精通する者等をバランスよく登用するとともに、情報システム、情報セキュリティ等に関する高い識見を有する人材についても確保すること。また、同委員会が十全にその権限を行使し、その機能を発揮することができる体制を確保するため、事務局職員の定員の確保、高度な専門性を有する人材に対する処遇の充実、職場環境の整備等に特に努めること。
 六 我が国の個人情報の保護水準が国際的に十分なものであることを諸外国に積極的に周知し、相互理解を深めるよう努めること。
 七 情報通信技術の進展により、漏えいした個人情報の拡散が容易になるなどの環境変化の中で、個人の権利利益侵害を未然に防ぐことが一層重要になっていることから、民間におけるプライバシーを扱うあらゆる側面で情報が適切に取り扱われる環境をあらかじめ作り込むという考え方(プライバシー・バイ・デザイン)に基づく取組を支援し、さらなる個人情報の適正な取扱いの確保を図ること。
 八 情報セキュリティ対策が個人情報の保護の実効性の確保にとって重要であることから、個人情報取扱事業者等が講ずべき情報セキュリティ対策の在り方について検討し、必要な支援に努めること。
 九 個人情報の漏えい等の防止その他の個人情報の安全管理が徹底されるよう、公的機関における個人情報の取扱いに係るセキュリティ環境の高度な監視を行う等システムの安全性を確保するとともに、情報セキュリティ対策を着実に実施するために必要かつ十分な人員・予算の継続的な確保その他必要な措置を講ずること。
 十 平成二十七年五月に発生した日本年金機構の個人の年金情報流出事案により国民の不安が拡大したことに鑑み、日本年金機構のみならず国及び地方の行政機関、独立行政法人その他の個人情報を取り扱う公的機関において、個人情報を取り扱う業務に従事する者のICTの知識とモラルの向上、法令・情報セキュリティポリシーの遵守の徹底を図るため、研修の実施など継続的な人材育成に必要な措置を講ずることにより、個人情報の保護に万全の内部統制を構築すること。また、特定個人情報を取り扱う公務に従事する者又は従事していた者について、守秘義務違反に対する厳罰化等の措置を検討すること。
 十一 マイナンバー制度に係る地方公共団体のシステム整備及び情報セキュリティ対策の実施について、地方公共団体の財政負担並びに当該システム整備及び情報セキュリティ対策に従事する職員の業務負担を軽減するため、地方公共団体からの意見を十分に考慮し、必要な措置を検討すること。
 十二 個人番号カードの公的個人認証機能の利用時における本人認証方法について、生体認証の導入を含め、より安全かつ簡易な方法を検討すること。
 十三 高度サイバー攻撃が大きな脅威となっていること、サイバー攻撃の技術が日進月歩進化していることに鑑み、特に政府機関においてはサイバー攻撃の標的とされる蓋然性が高い業務領域を選定し、当該業務領域に係るリスク評価に基づく情報セキュリティ対策を徹底的に実施すること。併せて政府機関が統一的で効率的な運用を行えるよう体制を整備すること。
 十四 ビッグデータ時代の科学技術研究及び産業界のイノベーションを先導する役割を果たすデータ分析官の育成を促進するため、専門教育組織の設置など、必要な基盤の整備に努めること。
 十五 本法の施行後も継続的に教育、広報その他の活動を通じて、個人情報及び匿名加工情報の適正な取扱いの下での利活用の推進に関する国民の理解と信頼を深めるよう努めること。また、番号利用法の施行までに、マイナンバー制度の趣旨及び内容について国民に周知徹底を図り、その理解と協力が得られるよう、所要の措置を講ずるとともに、番号利用法の施行後も必要に応じ広報啓発に努めること。
   右決議する。
 以上でございます。
 何とぞ委員各位の御賛同をお願い申し上げます。
○委員長(大島九州男君) ただいま藤本君から提出されました附帯決議案を議題とし、採決を行います。
 本附帯決議案に賛成の方の挙手を願います。
   〔賛成者挙手〕
○委員長(大島九州男君) 多数と認めます。よって、藤本君提出の附帯決議案は多数をもって本委員会の決議とすることに決定いたしました。
 ただいまの決議に対し、山口国務大臣から発言を求められておりますので、この際、これを許します。山口国務大臣。
○国務大臣(山口俊一君) ただいま御決議がございました事項につきましては、その御趣旨を十分尊重してまいりたいと存じております。
 ありがとうございました。
○委員長(大島九州男君) なお、審査報告書の作成につきましては、これを委員長に御一任願いたいと存じますが、御異議ございませんか。
   〔「異議なし」と呼ぶ者あり〕
○委員長(大島九州男君) 御異議ないと認め、さよう決定いたします。
 本日はこれにて散会いたします。
   午後二時五十分散会