国会及び内閣に対する報告(随時報告)
厚生労働省は、健康保険、国民年金及び厚生年金保険の事業に関する事務を所掌しており、これらの事業に関する事務の一部については、日本年金機構法(平成19年法律第109号。以下「機構法」という。)に基づき、同省の監督の下に日本年金機構(以下「機構」という。)が行っている。
厚生労働省及び機構が取り扱う国民年金、厚生年金保険等の被保険者、年金受給者等の基礎年金番号、氏名、生年月日、住所、保険料の納付状況等の個人情報(以下「年金個人情報」という。)は膨大な件数に上り、また、長期にわたり取り扱われる。そこで、厚生労働省及び機構は、年金個人情報を情報システムにより管理して、業務の運営の効率化を図ることとしている(以下、この情報システムを「年金情報システム」という。)。年金情報システムは、社会保険オンラインシステム(以下「オンラインシステム」という。)、機構内のLANシステム(以下「機構LANシステム」という。)、ねんきんネットシステム(注1)等で構成されている。
年金情報システムのうち、オンラインシステムは、厚生労働省が年金個人情報を管理するために開発したもので、端末として窓口専用PCが利用されている。そして、平成22年1月に機構が発足して以降は機構がその運用を行っている。また、機構LANシステムは、機構が開発したもので、業務上必要な情報を電子ファイルで保存するための共有フォルダ、インターネットメールシステム、Web閲覧システム等で構成されており、端末としてLAN専用PCが利用されている。
一方、厚生労働省は、通信回線等の運用経費の削減等を目的として、厚生労働本省、地方支分部局等を接続する複数の通信回線を統合した厚生労働省統合ネットワーク(以下「統合ネットワーク」という。)を構築し、20年4月からその運用を開始している。そして、機構は、発足以降、オンラインシステム及び機構LANシステムを使用して業務を実施する際の機構本部及び全国に所在する機構の地方組織(以下「年金事務所等」という。)を接続する通信回線として、統合ネットワークを利用している(図表1参照)。
図表1 年金情報システムの概要
上記の年金情報システム及び統合ネットワークの開発、運用、情報セキュリティ対策等のために22年度から27年度までの間に支出した額は、図表2のとおり、厚生労働省で計2943億1116万余円、機構で計2236億2857万余円、合計5179億3973万余円となっている。
図表2 年金情報システム及び統合ネットワークの開発、運用、情報セキュリティ対策等のために厚生労働省及び機構が支出した額(平成22年度~27年度)
| 厚生労働省 | 機構 | 合計 | |||||
|---|---|---|---|---|---|---|---|
| 年金情報システム (A) |
統合ネットワーク (B) |
計 (C)=(A)+(B) |
年金情報システム (D) |
統合ネットワーク (E) |
計 (F)=(D)+(E) |
(C)+(F) | |
| 平成22年度 | 34,125,435 | 3,354,653 | 37,480,089 | 20,954,692 | 1,299,998 | 22,254,690 | 59,734,780 |
| 23年度 | 50,841,202 | 3,543,933 | 54,385,136 | 29,724,629 | 1,358,383 | 31,083,012 | 85,468,149 |
| 24年度 | 42,838,597 | 2,114,108 | 44,952,706 | 44,452,234 | 924,605 | 45,376,839 | 90,329,545 |
| 25年度 | 45,481,512 | 2,108,036 | 47,589,548 | 34,437,229 | 1,070,034 | 35,507,264 | 83,096,812 |
| 26年度 | 47,037,903 | 2,159,090 | 49,196,994 | 46,797,830 | 1,074,654 | 47,872,484 | 97,069,478 |
| 27年度 | 58,551,116 | 2,155,575 | 60,706,691 | 40,498,716 | 1,035,561 | 41,534,278 | 102,240,970 |
| 計 | 278,875,768 | 15,435,398 | 294,311,166 | 216,865,332 | 6,763,237 | 223,628,570 | 517,939,736 |
厚生労働省及び機構は、前記のような年金情報システムの開発、運用等に当たり、年金個人情報がプライバシー性の非常に高い情報であり、それが外部に漏えいするなどした場合には極めて重大な結果を招くおそれがあることなどから、年金個人情報等に関する情報セキュリティを確保するための対策等に関する規程(以下「情報セキュリティポリシー」という。)をそれぞれ定めている。
厚生労働省の情報セキュリティポリシー(以下「厚労省ポリシー」という。)は、高度情報通信ネットワーク社会推進戦略本部に設置された情報セキュリティ政策会議(27年1月9日以降はサイバーセキュリティ戦略本部)が策定した「政府機関の情報セキュリティ対策のための統一基準」(以下「統一基準」という。)等に準拠して定められたものである。そして、厚労省ポリシーは、統一基準が改正された場合には、統一基準の改正内容に準拠して改正されることとなっている。
また、機構の情報セキュリティポリシー(以下「機構ポリシー」という。)は、厚労省ポリシーに準拠して定められたものである。そして、機構ポリシーは、統一基準の改正等に伴い厚労省ポリシーが改正された場合には、厚労省ポリシーの改正内容に準拠して改正されることとなっている。
厚労省ポリシー及び機構ポリシーには、それぞれ厚生労働省又は機構における情報セキュリティの確保のために必要な年金情報システム等の認証機能やアクセス制御機能、情報セキュリティ対策を推進するための体制整備、情報セキュリティに関する内部監査の実施に関する規定等が設けられている。
そして、厚労省ポリシーによれば、情報セキュリティに関する障害、事故等(故障、インシデント(注2)、サイバー攻撃予告等を含む。)が発生した場合に対処するための具体的な手順等を定めた規程(以下「インシデント対処手順書」という。)を定めることとされている。
機構は、25年8月に機構本部内の各部署及び年金事務所等に対して、「共有フォルダの整理(指示・依頼)」(平成25年8月事務連絡。以下「共有フォルダ整理指示依頼」という。)を発している。また、27年3月には、「日本年金機構共有フォルダ運用要領」(平成27年要領第171号。以下「共有フォルダ要領」という。)を定めている。これらによれば、年金個人情報を適切に管理するために、インターネットに接続されている機構LANシステム上の共有フォルダに年金個人情報を保存することは、原則として禁止することとされている。ただし、業務上必要がある場合における一時的な措置であれば、所要のアクセス制限やパスワードの設定を行うことを前提に、これを例外的に認めることとされている。そして、共有フォルダに年金個人情報を保存する場合の所要のアクセス制限やパスワード設定については、機構における情報セキュリティ責任者(機構本部内の各部署及び年金事務所等に置かれ、その所掌する部署等の情報セキュリティ対策に関する事務を統括することとされている者。以下同じ。)とされている年金事務所長等が定期点検において確認することとされている。
機構は、外部から標的型攻撃(注3)を受けて、その結果、機構LANシステム上の共有フォルダに保存されていた約125万件(対象者約101万人分)の基礎年金番号、氏名等の年金個人情報が27年5月21日から同月23日までの間にインターネットを通じて不正に外部に流出したとしている(以下、この標的型攻撃による年金個人情報の流出を「流出事案」という。)。
流出事案の発生を踏まえて、機構は、同月29日、機構LANシステムとインターネットとの接続(インターネットメールを除く。)を遮断し、また、6月4日にはインターネットメールとの接続も遮断して、現在に至っている。
そして、流出事案の事実関係、原因の究明等は、厚生労働省に設置された検証委員会による「検証報告書」等の報告書(以下「検証報告書等」という。)に取りまとめられており、その概要については図表3のとおりとなっている。
図表3 厚生労働省に設置された検証委員会により取りまとめられた検証報告書等の概要
| 年月日 | 報告書名 | 報告書の位置付け及び委員会等名 | 主な記述事項 |
|---|---|---|---|
| 平成27年8月20日 | 日本年金機構における個人情報流出事案に関する原因究明調査結果 | サイバーセキュリティ基本法(平成26年法律第104号)第25条第1項第3号の規定に基づいて取りまとめられた報告書 |
|
| サイバーセキュリティ戦略本部 | |||
| 8月20日 | 不正アクセスによる情報流出事案に関する調査結果報告 | 機構の理事長を委員長として、役職員5名及び外部委員1名から構成された調査委員会により取りまとめられた報告書 |
|
| 不正アクセスによる情報流出事案に関する調査委員会 | |||
| 8月21日 | 検証報告書 | 流出事案に関し、原因究明、再発防止策を検討することを目的として、厚生労働大臣から委嘱された検証委員会により取りまとめられた報告書 |
|
| 日本年金機構における不正アクセスによる情報流出事案検証委員会 |
検証報告書等によれば、機構において、職員への標的型攻撃に対する注意喚起や対応方法の周知徹底が研修等で行われておらず、職員が不審なメールを受け取った場合でも、年金事務所長等の情報セキュリティ責任者に報告されていなかった。また、機構ポリシーには、標的型攻撃への対応の必要性等については記載されていたものの、実施すべき基本的な対策事項等については十分な記載がなかったとされている。そして、流出事案を発生させた直接的な要因は、標的型攻撃を受けた場合における対応については、LANケーブルの抜線以外に具体的な定めがなく、このため、メールの開封の有無や不正なプログラムへの感染の有無等の事態の確認が遅れ、有効な対策が講じられなかったことであるとされている。
また、厚生労働省は、21年9月にインシデント対処手順書を策定した上で、政府の情報セキュリティ対策推進会議においてCSIRT(注4)の体制を整備することが求められたことを受けて、25年2月にCSIRTを設置している。しかし、検証報告書等によれば、機構は、流出事案の発生当時、標的型攻撃を受けた場合の対応手順等を具体的に記載したインシデント対処手順書を策定しておらず、また、CSIRTも設置していなかったなどとされている。
さらに、検証報告書等によれば、流出事案により機構の共有フォルダから流出した年金個人情報約125万件のうち、所要のアクセス制限及びパスワードの設定を行っていたものは約68万件、所要のアクセス制限のみを行っていたものは約53万件、所要のパスワードの設定のみを行っていたものは約2万件となっていて、残りの約2万件については所要のアクセス制限もパスワードの設定も行われていなかったとされている。
厚生労働省は、検証報告書等の指摘を受けて、情報セキュリティ対策の観点からの組織内・組織間連携、リスク認識の強化等を図って流出事案の再発を防止するために、「情報セキュリティ強化等に向けた組織・業務改革」(以下「組織・業務改革報告書」という。)を取りまとめて、図表4のとおり、27年9月18日に公表している。
図表4 厚生労働省が取りまとめた組織・業務改革報告書の概要
| 年月日 | 報告書の位置付け | 再発防止の主な取組 |
|---|---|---|
| 平成27年 9月18日 |
検証委員会の報告書等の指摘を踏まえ、厚生労働省が定めた再発防止策 |
|
一方、機構は、27年9月25日に機構法第49条第1項の規定に基づく厚生労働大臣の業務改善命令を受けて、図表5のとおり、業務改善計画を策定して同年12月9日に厚生労働大臣に提出しており、再発防止に向けて機構が既に執った対策及び今後実施する取組を明らかにしているほか、監査部に関する業務を機構の理事長が直接掌理することとするなどの組織改革を実施したとしている。
図表5 機構が策定した業務改善計画の概要
| 年月日 | 計画の位置付け | 再発防止の主な取組 |
|---|---|---|
| 平成27年 12月9日 |
厚生労働大臣からの業務改善命令に基づき、機構が厚生労働省に提出した改善計画 |
|
機構は、流出事案の発生により、年金個人情報の管理に対する国民の信頼を大きく損ねたことから、順次、次のような対応を行っている。
すなわち、機構は、年金個人情報が流出した者(以下「年金個人情報流出者」という。)の基礎年金番号を変更することとし、年金個人情報流出者に対して、年金個人情報の流出に対するおわびを記した文書(以下「おわび文書」という。)、基礎年金番号の変更を通知する文書(以下「基礎年金番号変更通知」という。)等の送付を行っている。そして、これらの対応に必要な経費としては約10億円(注5)が見込まれるとしている。
また、機構は、流出事案発生以前には、国民年金保険料の納付実績を向上させることなどを目的として、国民年金保険料の未納者に対して戸別訪問、架電、電話による問合せに対する対応(以下「受電対応」という。)、文書の送付等の納付督励業務を行っていた(図表6参照)。納付督励業務には、機構が自ら実施する業務(以下「機構納付督励業務」という。)と、「競争の導入による公共サービスの改革に関する法律」(平成18年法律第51号)に基づき、機構から委託を受けた民間事業者が実施する業務(以下「市場化納付督励業務」という。)とがある。
機構納付督励業務は、国民年金保険料の未納者に対して戸別訪問、架電、受電対応、特別催告状等の文書の送付等を行うほか、強制徴収に関する一連の手続(強制徴収対象者の選定から換価・配当に至る手続。以下「強制徴収手続」という。)を行うものである。特別催告状とは、未納者の財産の差押えなどについて明記している文書である。そして、強制徴収手続においては、特別催告状の送付等を繰り返し行っても納付の意思を示さない未納者に対して、最終的な自主納付の催告を行う最終催告状が送付されることとなっており、最終催告状の送付後に納付の意思が確認できなかった者に対しては、督促状が送付されることとなっている。
また、市場化納付督励業務は、民間事業者が国民年金保険料の未納者に対して、戸別訪問、架電、受電対応、国民年金制度のお知らせなどの文書の送付等を行うものである。
図表6 納付督励業務の概要
しかし、流出事案の発生を踏まえ、機構は、年金個人情報流出者に対する対応等に集中して取り組む必要が生じたこと、電話による被保険者等に対する保険料の納付督励等が不審電話と間違えられないようにする必要があることなどを理由として、27年6月に機構本部内の各部署及び年金事務所等に対して通知を発し、通知日以降、一定期間、納付督励業務の一部を行わないこととしていた。そして、図表7のとおり、機構納付督励業務のうち、特別催告状の送付、強制徴収手続等については同年6月8日(一部については6月4日)から同年10月27日までの間、また、受電対応を除く市場化納付督励業務については同年6月2日から同年11月16日までの間、行われなかった(以下、この市場化納付督励業務を行わないこととされた期間を「業務委託中止期間」という。)。
図表7 一定期間行われなかった納付督励業務の内容等
| 業務名 | 区分 | 行われなかった期間 | 業務の詳細 | |
|---|---|---|---|---|
| 納付督励業務 | 機構納付督励業務 | 一定期間行われなかった業務 | 27年6月8日(一部については6月4日)から同年10月27日までの間 |
等 |
| 継続して実施していた業務 | / |
等 |
||
| 市場化納付督励業務 | 一定期間行われなかった業務 | 27年6月2日から同年11月16日までの間 |
等 |
|
| 継続して実施していた業務 | / | 受電対応による納付督励 | ||
そして、行わないこととしていた納付督励業務については27年11月から再開したものの、厚生労働省では、同年9月から28年2月までの間の国民年金保険料の納付率(保険料納付対象月数のうち納付された月数の割合をいう。以下同じ。)は、1年前に同様の方法で集計した同月の納付率(以下「前年同月納付率」という。)を最大で1ポイント下回ったとしている。この理由について、同省は、同年6月から11月までの約5か月間、納付督励業務の一部を行わなかったことによる影響等を挙げている。一方、同省では、27年度の最終的な納付率は、26年度の納付率63.1%を上回る63.4%になったとしている。この理由について、同省は、当該業務を再開した後、特別催告状の送付等の取組を強化したことなどを挙げている。