ページトップ
  • 国会及び内閣に対する報告(随時報告)
  • 会計検査院法第30条の2の規定に基づく報告書
  • 平成28年12月

年金個人情報に関する情報セキュリティ対策の実施状況及び年金個人情報の流出が日本年金機構の業務に及ぼした影響等について


前文

厚生労働省は、健康保険、国民年金及び厚生年金保険の事業に関する事務を所掌しており、これらの事業に関する事務の一部については、同省の監督の下に日本年金機構(以下「機構」という。)が行っている。そして、厚生労働省及び機構が取り扱う厚生年金保険等の被保険者、年金受給者等の年金個人情報は膨大な件数に上り、また、長期にわたり取り扱われるものである。

年金個人情報は、プライバシー性の非常に高い情報であり、外部に漏えいするなどした場合には極めて重大な結果を招くおそれがある。このため、厚生労働省及び機構は、年金個人情報の管理に当たっては様々な情報セキュリティ対策を実施している。

しかし、平成27年5月に、機構が運用する情報システムの共有フォルダに保存されていた約125万件の年金個人情報がインターネットを通じて不正に外部に流出する事案が発生し、機構における年金個人情報の管理に対する国民の信頼が大きく損なわれることとなった。同事案の発生を受けて、厚生労働省及び機構は、その対応に多額の経費を要することとなったほか、国民年金保険料の納付実績を向上させるための業務の一部を一定期間行わないこととするなどしたことから、機構の業務に様々な影響が生ずるところとなっている。

そして、厚生労働省及び機構は、同事案の再発防止のための各種の取組を行っている。

本報告書は、以上のような状況等を踏まえて、同事案の発生前における機構の年金個人情報に関する情報セキュリティ対策等の状況、同事案の発生後における機構の情報セキュリティ対策及び同事案への対応業務等の状況、同事案の発生が機構の業務に及ぼした影響等について検査を実施し、その状況を取りまとめたことから、会計検査院法(昭和22年法律第73号)第30条の2の規定に基づき、会計検査院長から衆議院議長、参議院議長及び内閣総理大臣に対して報告するものである。

平成28年12月

会計検査院


目次

1 検査の背景

(1) 日本年金機構における個人情報、情報システム及び情報セキュリティ対策の概要

ア 日本年金機構において取り扱う個人情報、情報システム等の概要
イ 年金個人情報に関する情報セキュリティ対策の概要

(2) 年金個人情報の流出とその検証の概要

(3) 流出事案の再発防止に向けた取組の概要

(4) 流出事案が機構の業務に及ぼした影響の概要

2 検査の観点、着眼点、対象及び方法

3 検査の状況

(1) 流出事案の発生前における年金個人情報に関する情報セキュリティ対策等の実施状況及び流出事案発生後における年金個人情報の保存等の状況

ア 流出事案の発生前における機構ポリシーの改正状況
イ 流出事案の発生前における厚生労働省及び機構による年金個人情報に関する情報セキュリティ監査等の実施状況
ウ 流出事案の発生前における厚生労働省の機構に対する情報セキュリティに関する指導等の状況
エ 流出事案の発生後における年金個人情報の保存等の状況

(2) 流出事案の対応に要する経費の支出、対応業務等の状況

ア 流出事案の対応に要する経費等の状況
イ 流出事案の対応に要する経費に充てるためにねん出した財源
ウ おわび文書の送付等の状況

(3) 流出事案の発生により中止した業務の影響等

ア 機構納付督励業務の一部を一定期間実施しなかったことによる影響
イ 業務委託中止期間を含む委託費の支払

(4) 再発防止の取組の進捗状況

ア 厚生労働省における再発防止の取組の進捗状況
イ 機構における再発防止の取組の進捗状況

4 所見

(1) 検査の状況の概要

(2) 所見

・本文及び図表中の数値は、表示単位未満を切り捨てている。

・上記のため、図表中の数値を集計しても計が一致しないものがある。