国会及び内閣に対する報告(随時報告)
合規性、経済性、効率性、有効性等の観点から、流出事案の発生前において、機構における年金個人情報に関する情報セキュリティ対策は適切に行われていたか、厚生労働省及び機構におけるその実効性を確保するための監査等は適切に行われていたか、また、流出事案の発生後において、機構の年金個人情報に関する情報セキュリティ対策及び流出事案への対応業務は適切に行われているか、流出事案の発生は機構の業務にどのような影響を及ぼしているか、その後の厚生労働省及び機構における再発防止に向けた取組の進捗状況はどのようになっているかなどに着眼して検査したところ、次のような状況となっていた。
(ア) 流出事案の発生前における機構ポリシーの改正の状況についてみたところ、厚労省ポリシーの改正から一定の期間、統合ネットワーク内でセキュリティ水準の異なる期間が生ずるなどしてしまうのに、機構において厚労省ポリシーの改正後速やかに機構ポリシーの改正を行っておらず、また厚生労働省及び機構において、機構ポリシーの改正に向けた連携等が十分とは認め難い状況となっていた。
(イ) 流出事案の発生前における厚生労働省の機構に対する監査及び機構の内部監査の実施状況についてみたところ、機構ではインシデント対処手順書を策定しておらず、また、CSIRTを設置していないなどしていたのに、いずれの監査においても、情報セキュリティに関する体制整備が十分でないことについて指摘したことはない状況となっていた。
また、監査部は、26年8月に内部監査の実施の要否を検討するための事前調査において、所要のアクセス制限もパスワードの設定も行われないまま年金個人情報が共有フォルダに保存されていることを把握し、経営企画部に対して改善要請を発し、経営企画部では共有フォルダ要領を制定するなどしていたのに、監査部では、この改善要請は内部監査の結果ではないなどとして機構の理事長に対して報告しておらず、また、実際の改善状況等に対する監査等を実施していなかった。そして、機構において、監査部の改善要請への対応は徹底されていなかったと認められた。
(ウ) 流出事案の発生前における厚生労働省の機構に対する情報セキュリティに関する指導等の状況についてみたところ、流出事案の発生する前月の27年4月22日に年金局等に対して流出事案と同様の標的型攻撃が行われていたのに、年金局では、統合ネットワークを使用している機構に対して、その事実を伝えておらず、所要の注意喚起等を十分に行っていなかった。
(エ) 流出事案の発生後における年金個人情報の保存等の状況についてみたところ、専用PCのハードディスクに年金個人情報が保存されていることが確認された。
そこで、会計検査院は、機構に対して、専用PCのハードディスクに保存されている年金個人情報の有無等について調査し、報告するよう求めた。これに対して、機構は、機構本部及び全国の年金事務所等の専用PCのハードディスクに保存されていた年金個人情報については、28年8月から同年9月までの間に、専用フォルダに移し替えるなどした上で全て削除したと会計検査院に報告した。以上のことから、機構本部及び全国の年金事務所等の専用PCのハードディスクに保存されていた年金個人情報の有無及びその件数については不明な状況となっている。また、その後、同年10月及び同年11月の会計実地検査において、機構は、専用フォルダに移し替えるなどした上で全て削除したとしていたのに、専用PCのハードディスクに年金個人情報等が保存されていることが確認された。
(ア) 機構の流出事案の発生に対応するための経費として見込んだ額約10億円の支出額は、27年度決算額で10億8379万余円となっており、これらの経費は、年金個人情報流出者に対するおわび、問合せ対応等に要する経費に限定されていた。
上記のほかに、共有フォルダに保存されている電子ファイル内に年金個人情報が存在しているかどうかを調査するための経費等が見受けられた。また、厚生労働省でも、流出事案が発生したことにより支出されたと考えられる経費があり、これらの経費を合算すると計9418万余円(厚生労働省分4687万余円、機構分4730万余円)となる。
また、機構が流出事案の発生に対応する経費に充てるためにねん出したとしている財源の中には、年金事務所の新築移転の延期等のため27年度には支出されないものの、28年度以降において支出する必要があるものが含まれていると認められた。
(イ) おわび文書又は基礎年金番号変更通知等が返送された年金受給者計6,988人に対する年金支給の状況についてみたところ、住基情報による確認、市区町村に対する照会や戸別訪問の実施によっても年金受給者の所在が確認できないのに、機構は、これらの者の生存等の事実について更に確認しないまま年金支給を継続していた。
機構においては、年金受給者の所在が確認できないという情報を有効に活用し、その生存等の事実を確認することなどについて検討する必要があったと認められる。
(ア) 機構は、流出事案の発生に対応するため、強制徴収手続については、最終催告状及び督促状の送付を含め、27年6月から約5か月の間、行っていなかった。
そこで、上記約5か月の間に最終催告状及び督促状を送付しなかったことにより消滅時効期間が経過した国民年金保険料の債権額等について試算すると、8,159か月分、1億2115万余円となり、このうち、仮に流出事案の影響なく督促状を送付できていれば、消滅時効が中断され、消滅時効期間の経過前に納付されたと考えられる国民年金保険料の債権額等について試算すると3,769か月分、5659万余円となる。
また、前記約5か月の間に特別催告状を送付しなかったことを踏まえ、当初の行動計画等のとおりに特別催告状を送付した場合に収納が見込まれる国民年金保険料の額等について試算すると、計759,967か月分、計118億4788万余円となる。
(イ) 委託費の支払についてみたところ、機構は、受電対応以外の市場化納付督励業務を一定期間実施しないこととした業務委託中止期間が約5か月間に及んでいたのに、業務委託中止期間を含む27年5月から28年4月までの1年間に係る委託費として計66億2112万余円を12等分して毎月支払っていた。
なお、機構は、民間事業者が業務委託中止期間中に業務を実施しなかったことによる27年度の実績の減少も踏まえて委託費の精算を行うなどとして、28年10月に、民間事業者6社のうち5社に対して、27年度分の支払済みの委託費計2億3122万余円の返還を求めている。
27年9月から28年9月までの間における厚生労働省の再発防止の取組の進捗状況についてみたところ、サイバーセキュリティについて専門的に対応するための組織改革、厚労省ポリシー等の見直し、統合ネットワーク等において高度な標的型攻撃に対応するためのシステム改修等を行うなどしていた。
また、27年12月から28年9月までの間における機構の再発防止の取組の進捗状況についてみたところ、機構は、同年4月に最高セキュリティアドバイザーを設置するとともに、年金個人情報の管理・運用を行う領域をインターネットから完全に分離した年金情報システムの構築に向けた取組を進めるなどしていた。
流出事案の発生は、年金個人情報の管理に対する国民の信頼を大きく損ねたところであり、また、機構の業務に多方面で多大な影響を及ぼしている。そして、流出事案の発生を踏まえ、厚生労働省及び機構は、前記のとおり、再発防止のための各種の取組を行っている。
ついては、厚生労働省及び機構において、会計検査院の検査により明らかとなった状況等を踏まえ、次のような点に留意して、年金個人情報の管理に関する一層の体制の整備を図るなどの必要があると認められる。
厚生労働省及び機構は、年金に関する業務の実施に当たり、今後とも膨大な年金個人情報を長期にわたり保有し、取り扱うことが見込まれる。会計検査院は、これらを踏まえて、機構において情報セキュリティ対策が適切に実施されているか、同省及び機構において実効性のある監査等が行われているか、また、流出事案の影響等を踏まえた適切な対応が行われているか、さらに、機構の再発防止の取組が着実に行われているかなどについて、引き続き検査していくこととする。