希望日本研究所

「もう一度理事長にお伺いしますが、これから想定される被害の総額ですね、それは今の時点でわからないというお答えでしたよね。私、これは逆から聞きますけれども、ということは、日本年金機構は、どういったセキュリティー上のリスクにさらされていて、最大限、情報が漏れてしまったときの被害額、あるいはその対応に係る予算がどれぐらいかかるのかという事前のアナリシス、事前の評価というのはしていなかったということですか。」 「つまり、どういうことかというと、今、今回もそうなんですが、メールの内容が極めてその受信者の仕事に関係するような、例えばセミナーが開かれますというようなことを書いて出すと、あけてしまうんですね。今、セキュリティーの最前線は、あけることを前提に、情報をとられるまでの対策をいかにきちんとやるかということに移っています。そのことを政府としても認識してこういうことを政府機関には求めているんですけれども、このＮＩＳＣが出している高度サイバー攻撃対処のためのリスク評価等のガイドライン、これに基づいて機構も対応されていましたか。イエス、ノーで答えてください。」 「これは内閣官房にお聞きした方がいいんでしょうか。日本年金機構がこのリスク評価のガイドラインの対象から外れているのは、なぜ外れているんですか。これは法律に基づくものなんですか。親官庁、所管官庁たる厚生労働省が入れなかったのがミスなのか。一体何に基づいて対象になっていなかったのか。これをちょっと、これからのことがあるので正確にお答えいただけますか。」 「今、推奨しているとか求めていくということをお答えになりましたけれども、これは協力を求めるものであって、義務が法的にかかっているものではない。これは、今回のことを踏まえてやるんだったら、やはり法改正をした方が明確にそこは義務がかかるという理解でよろしいんですか。努力をしますという話と法的な責任とは別だと思うので、そこをちょっともう少し正確に。」 「もう一つ聞きます。日本銀行、日銀も、これはもう日本だけではなくて世界に対して、金融システムの重要な、システムの一環を担っているわけですけれども、今おっしゃったような国の機関、独立行政法人、並べられましたけれども、今の日銀、これはどちらになるんですか。国の機関として、しっかりとしたこういう監査とかの対象になっているのか、それとも、その対象の外にあるのか。日本銀行はどちらですか、お答えください。」 「私、これは重要だと思うんです。もちろん、外交、安全保障、あるいは警察、こういったところについては高度のセキュリティーを求めていこうというのは感覚としてわかるんですが、今回の年金情報が典型ですけれども、それが漏えいした場合に国民生活あるいは経済に対して甚大な影響を与える情報、特に個人情報を大量に取り扱っている公的機関については、これは法律改正も含めて、きちんと対象に入れて、今回のようなことが行われないような、あるいはＮＩＳＣの監査、評価、勧告、こういったことの対象に明確に入れていくべきだと思うんですけれども、この点についてはいかがですか。」 「その意味では、最初の質問に戻りますけれども、やはりこの八月末を目がけて、今月末か来月の初めぐらいには一定程度の原因究明と対策、このことについて検証委員会からもらった方がいいと思うんですけれども、大臣、改めていかがですか。」