国会及び内閣に対する報告(随時報告)
前記のとおり、機構ポリシーは、厚労省ポリシーに準拠して定められたもので、統一基準の改正等に伴い厚労省ポリシーが改正された場合には、厚労省ポリシーの改正内容に準拠して改正されることとなっている。そして、厚労省ポリシーの27年4月28日の改正では、直近の統一基準の改正で標的型攻撃対策の強化が盛り込まれたことから、標的型攻撃に備えて実施すべき基本的な対策事項等が追加されている。
厚労省ポリシーの改正については、厚生労働省政策統括官付情報政策担当参事官室(28年6月21日以降はサイバーセキュリティ担当参事官室。以下「情報参事官室」という。)が所掌している。そして、機構は、同省所管法人であることから、従来、機構の監督部局である同省年金局(以下「年金局」という。)を通じて、厚労省ポリシーの改正に関する情報を入手している。
そこで、機構が設立された22年1月以降、流出事案の発生前の27年4月までの間における機構ポリシーの改正の状況についてみたところ、図表8のとおり、厚労省ポリシーの改正から一定の期間を要しており、厚労省ポリシーの改正後速やかに機構ポリシーが改正されない場合には統合ネットワーク内でセキュリティ水準の異なる期間が生ずるなどしてしまうのに、機構ポリシーが厚労省ポリシーの改正後速やかに改正されてきたとは言い難い状況となっていた。
図表8 流出事案の発生前における厚労省ポリシー及び機構ポリシーの改正の状況
| 厚労省ポリシーの改正年月日 | 厚労省ポリシーに準拠するための機構ポリシーの改正年月日 | 厚労省ポリシーの改正から機構ポリシーの改正までに要した期間 |
|---|---|---|
| 平成23年8月25日 | 24年4月1日 | 約7か月 |
| 25年2月28日 | 25年8月9日 | 約5か月 |
| 27年4月28日 | 27年12月28日 | 8か月(注) |
機構ポリシーが速やかに改正されてきたとは言い難い状況となっていた点について、情報参事官室は、統一基準等の改正があった場合、機構を含む各所管法人等においては、自らその統一基準等の改正内容等を確認するなどしてそれぞれの情報セキュリティポリシーの改正を行うこととしていると認識しており、機構ポリシーの改正に当たり、機構が年金局を通じて厚労省ポリシーの改正内容等に関する情報を入手して以降にその改正作業を行っているとは認識していなかったとしている。また、年金局は、機構に対して厚労省ポリシーの改正内容等に関する情報を提供していたものの、機構ポリシーの改正の時期や内容について確認することとしていなかったとしている。さらに、機構は、機構の内部規程上、機構ポリシーの改正事務について所掌が明確でなかったなどとしている。
厚生労働省は、機構法第48条第1項の規定等に基づき、年金局事業企画課監査室(以下「監査室」という。)を実施部局として、機構に対して業務監査、会計監査等の各種の監査を実施している。そして、業務監査の一環として、オンラインシステムを主な対象として、情報システムの信頼性、効率性等に関する監査(以下「システム監査」という。)及び機構における情報一般(紙媒体を含む。)の管理体制について評価する監査(以下「情報セキュリティ監査」という。)を実施している。
22年度から26年度までの間におけるシステム監査及び情報セキュリティ監査の実施状況についてみたところ、監査室は、システム監査については33回、情報セキュリティ監査については182回実施していた。そして、情報セキュリティ監査の内訳は、機構本部を対象とした全般的な監査が4回及び特定項目(磁気媒体の管理状況等。以下同じ。)の監査が8回、また、年金事務所等を対象とした特定項目の監査が170回となっていた。
上記のうち機構本部を対象とした全般的な情報セキュリティ監査は、4回とも22年度から24年度までの間に実施されたものであり、25年度以降、機構本部に対しても年金事務所等に対しても実施されていなかった。その理由について、監査室は、25年度以降に機構に対して実施したシステム監査及び情報セキュリティ監査では、機構が行ったシステム監査及び情報セキュリティ監査の有効性を確認するという監査手法を採ったためであるとしている。
また、監査室は、機構本部及び年金事務所等における共有フォルダの管理状況等に対しては、情報セキュリティ監査を実施していなかった。その理由について、監査室は、従来のシステム監査及び情報セキュリティ監査は、オンラインシステムを主な対象として実施していたためであるとしている。
さらに、前記のとおり、厚生労働省は、インシデント対処手順書を策定し、CSIRTを設置しているが、機構はこのいずれも行っていなかった。しかし、監査室は、機構ではインシデント対処手順書を策定しておらず、また、CSIRTを設置していないなど、情報セキュリティに関する体制整備が十分でないことについては、指摘していなかった。
機構の「日本年金機構内部監査規程」(平成22年規程第14号)によれば、機構における内部監査については監査部が行うこととされており、内部監査の結果は機構の理事長に報告することとされている。機構の内部監査には、会計監査、業務監査、システム監査、情報セキュリティ監査等がある。
このうち、22年度から26年度までの間におけるシステム監査及び情報セキュリティ監査の実施状況をみたところ、監査部は、システム監査については7回、情報セキュリティ監査については1,457回実施していた。そして、情報セキュリティ監査の内訳としては、機構本部を対象とした全般的な監査が2回及び特定項目の監査が14回、また、年金事務所等を対象とした特定項目の監査が1,441回となっていた。
しかし、監査部は、機構ではインシデント対処手順書を策定しておらず、また、CSIRTを設置していないなど、情報セキュリティに関する体制整備が十分でないことについては、指摘していなかった。
前記のとおり、機構は、共有フォルダにおいて年金個人情報を取り扱う場合には所要のアクセス制限やパスワードの設定を行うこととし、年金事務所等の情報セキュリティ責任者はこれを定期点検において確認することとする共有フォルダ整理指示依頼を発するなどしている。
監査部は、26年8月に内部監査の実施の要否を検討するために実施した事前調査において、所要のアクセス制限もパスワードの設定も行われないまま年金個人情報が共有フォルダに1年以上保存されていることを把握しており、同月、機構の経営企画部に対して改善要請を行っていた。そして、この改善要請を受けて、経営企画部は、機構本部内の各部署及び年金事務所等に対して同年10月末までに共有フォルダの整理を確実に行うよう周知するとともに、前記のとおり27年3月に共有フォルダ要領を定めていた。
しかし、監査部は、当該改善要請については、内部監査の実施の要否を検討するために実施した事前調査に基づき行ったもので内部監査の結果ではないなどとして、当該改善要請を行ったことを機構の理事長に対して報告しておらず、また、改善要請を行った後、年金個人情報が共有フォルダに保存されている状況が実際に改善されているかなどについては監査等を実施していなかった。
そして、検証報告書等によれば、流出した年金個人情報のうち約2万件については、所要のアクセス制限もパスワードの設定も行われていなかったとされていることを踏まえると、監査部の改善要請への対応は、機構において徹底されていなかったと認められる。
情報参事官室は、従来、省内の職員に対して、不審メールが送付されてきた場合の対処等について注意喚起等を行っていたほか、独立行政法人等を所管する部局に対しては、所管法人に対しても同様の注意喚起を行うよう依頼していたとしている。
しかし、年金局は、前記のとおり厚生労働省と同じく統合ネットワークを利用している機構に対して、不審メールが送付されてきた場合の対処等についての注意喚起等を十分に行っていなかった。
そして、検証報告書等によれば、同省は、流出事案の発生する前月の27年4月22日、年金局等において流出事案と類似の標的型攻撃を受けていたのに、機構に対してその情報を伝えておらず、機構に対しても同様の標的型攻撃が行われる可能性があるなどの注意喚起等を行っていなかったとされている。
前記のとおり、共有フォルダ要領によれば、年金個人情報については、共有フォルダに保存することが原則として禁止されており、年金個人情報を共有フォルダに保存することができるのは、業務上の必要がある場合の例外的な措置とされている。また、機構が職員に対して実施しているリスク・コンプライアンス研修の配布資料(27年4月版)によれば、機構LANシステムに接続するLAN専用PC等(以下「専用PC」という。)のハードディスクには個人情報を保存しないこととされていることなどから、年金個人情報についてもハードディスクには保存しないこととなっていると認められる。
しかし、流出事案発生後の機構における年金個人情報の保存状況等についてみたところ、27年12月から28年6月までの間に会計実地検査を実施した8年金事務所等(注8)において、専用PCのハードディスクに年金個人情報が保存されていることが確認された。このうち、大手前年金事務所においては、計22ファイル、3,790件の年金個人情報が専用PCのハードディスクに保存されていたことから、これらの年金個人情報の保存履歴等について確認したところ、計16ファイル、2,464件については、流出事案の発生前(25年8月等)から28年6月の会計実地検査時まで継続して専用PCのハードディスクに保存されていた。専用PCは、流出事案発生時点までインターネットに接続されており、そのハードディスクに保存されていた年金個人情報が外部に流出する危険性は、共有フォルダに保存されている年金個人情報と同様であったと認められる。
そこで、28年6月に会計検査院は、機構に対して、機構本部及びこれらの8年金事務所等を含む全国の年金事務所等において同様に専用PCのハードディスクに保存されている年金個人情報の有無、及び年金個人情報が保存されている場合にはその件数について調査し、報告するよう求めた。これに対して、機構は、機構本部及び全国の年金事務所等の専用PCのハードディスクに保存されていた年金個人情報については、同年8月から同年9月までの間に、今後とも業務上保有する必要があるものを年金個人情報を保存するために新たに設置した共有フォルダ(以下「専用フォルダ」という。)に移し替えるなどした上で全て削除したと会計検査院に報告した。以上のことから、機構本部及び全国の年金事務所等の専用PCのハードディスクに保存されていた年金個人情報の有無及びその件数については不明な状況となっている。
その後、28年10月及び同年11月にそれぞれ実施した機構本部及び高崎広域事務センターに対する会計実地検査において、上記のとおり、機構は、専用フォルダに移し替えるなどした上で全て削除したとしていたのに、専用PCのハードディスクに年金個人情報等が保存されていることが確認された。
これらを踏まえて、機構は、28年8月当時に専用PCのハードディスクに保存されていた年金個人情報の有無等について現時点で可能な調査を行うとともに、専用PCのハードディスクに保存されている年金個人情報等の状況についても調査するなどとしている。
前記のとおり、機構は、流出事案の発生に対応するための新たな業務の実施に要する経費として約10億円が見込まれるとしている。
そして、機構において取りまとめた当該経費の支出額は、図表9のとおり計10億8379万余円となっており、これらの経費は、年金個人情報流出者に対するおわび、問合せ対応等に要する経費に限定されている。
図表9 機構が流出事案の対応に要する経費としたものの支出額(平成27年度決算額)
| 費目 | 金額(千円) |
|---|---|
| 専用コールセンター対応経費 | 367,612 |
| お知らせ・おわび文書の作成・送付経費 | 138,475 |
| チラシ等の作成、配布経費 | 20,208 |
| 基礎年金番号の変更に要する経費 | 505,287 |
| なりすまし防止対策経費 | 37,152 |
| 休日相談に係るオンラインシステムの稼働経費等 | 15,057 |
| 計 | 1,083,793 |
そこで、流出事案が発生したことにより支出されたと考えられる経費及びその支出額についてみたところ、図表10のとおり、上記以外の経費も見受けられ、支出額は計4730万余円となる。
図表10 流出事案が発生したことにより支出されたと考えられる経費(平成27年度末現在)
| 費目 | 金額(千円) |
|---|---|
| 機構LANシステム上の共有フォルダに保存されている電子ファイル内に年金個人情報等が存在しているかどうかなどについて調査するための経費 | 34,550 |
| 共有フォルダに保存されている電子ファイル内の年金個人情報等に関するデータに対するアクセス権の設定状況について調査するための経費 | 11,873 |
| 「不正アクセスによる流出事案に関する調査結果報告」の作成経費 | 885 |
| 計 | 47,309 |
また、厚生労働省においても、年金個人情報の流出を口実とする犯罪の発生を防止するためのチラシの配布等のために2738万余円、流出事案の発生を踏まえて同省に設置された検証委員会の委員手当等として1949万余円、計4687万余円を支出しており、上記の機構による支出額と合算すると計9418万余円となる。
機構は、図表11のとおり、流出事案の発生の対応に要する経費に充てるために各種の経費を削減した結果、計11億0276万円の財源をねん出したとしている。
しかし、ねん出したとしている財源の中には、年金事務所の新築移転の延期等のため27年度には支出されないものの、28年度以降において支出する必要があるものが含まれていると認められた。
図表11 機構が流出事案に対応する経費に充てるためにねん出したとする財源の状況(平成27年度末時点)
| 費目 | 金額(千円) |
|---|---|
| 年金事務所の新築移転の整備計画の見直し | 497,229 |
| 庁舎・宿舎の整備計画の見直し(整備中止)など | 410,926 |
| 事務経費の節減 | 194,605 |
| 計 | 1,102,760 |
おわび文書、基礎年金番号変更通知等の送付状況等についてみたところ、次のような状況となっていた。
機構は、27年6月以降、年金個人情報流出者1,014,653人を対象として、おわび文書を普通郵便により送付している。そして、宛て先不明等により返送された場合には、住基情報(住民基本台帳ネットワークにおける住所変更の有無等の情報。以下同じ。)、市区町村への照会等により現住所を確認していて、新たな住所が判明した場合には、改めておわび文書の再送付等を行っている。また、同年8月には、これらのおわび文書が返送されてこなかった者や戸別訪問等によりおわび文書を届けることができた者等の計972,539人を対象として、基礎年金番号の変更処理を行い、その処理結果については順次、基礎年金番号変更通知等を簡易書留郵便で送付している。そして、宛て先不明等の場合には、上記と同様に、住基情報を確認するなどして再送付している。
また、おわび文書又は基礎年金番号変更通知等が返送された者等の計62,554人(うち年金受給者計6,988人)については、今後、年金事務所等に来訪したときに、流出事案について説明した上、基礎年金番号変更通知等を直接手渡すなどして対応することとしている。
一方、機構は、年金支給を適切に行うため、年金受給者の生存又は死亡の事実(以下「生存等の事実」という。)について、住基情報等により確認している。また、年金受給者が施設に入所していることなどによりその所在を確認できず、住基情報等によっても生存等の事実が確認できない場合には、毎年、現況届の提出を受けて確認している。
そして、機構は、25年8月に、住民票上は死亡しているのに親族から年金受給者が生存しているとする現況届が提出され、年金の不正受給が行われていた事案があったことを踏まえ、26年2月から、現況届の提出により生存等の事実を確認している一定年齢以上の年金受給者については、住民票の住所、実際に住んでいる住所等を記載する年金受給権者現況申告書の提出、戸別訪問の実施等により改めてその生存等の事実を確認している。そして、死亡を確認した者又は戸別訪問を実施しても生存の事実を確認できなかった者については、年金支給の差止めを行い、過払いが判明した場合は債務者に対してその返還を求めるなどしていて、その取組状況を27年12月に公表している。
しかし、前記のおわび文書又は基礎年金番号変更通知等が返送された者のうち年金受給者計6,988人に対する年金支給の状況についてみたところ、おわび文書及び基礎年金番号変更通知等の返送後の住基情報による確認、市区町村に対する照会や戸別訪問の実施によっても年金受給者の所在が確認できないのに、機構は、これらの者の生存等の事実について更に確認しないまま年金支給を継続していた。
機構においては、年金支給を適切に行うために、おわび文書等が返送されていて年金受給者の所在が確認できないという情報を有効に活用し、その生存等の事実を確認することなどについて検討する必要があったと認められる。
前記のとおり、機構は、27年6月2日から同年11月16日までの間、機構納付督励業務の一部及び受電対応以外の市場化納付督励業務を中止していた。
そこで、両業務の中止が機構の業務に及ぼした影響等についてそれぞれみたところ、次のような状況となっていた。
国民年金保険料を徴収する国の権利は、国民年金法(昭和34年法律第141号)第102条第4項の規定により、納付期限から2年の期間を経過したときは時効により消滅することとされているが(以下、この期間を「消滅時効期間」という。)、当該消滅時効の進行は、同条第5項の規定によれば、督促状の送付により中断されることとされている。
機構は、国民年金保険料の収納対策として、毎年度、行動計画策定手順書(以下「行動計画」という。)を定めており、27年度の行動計画によれば、26年の所得控除後の所得が400万円以上であり、かつ国民年金保険料の未納月数が7か月以上の者については、強制徴収手続を確実に実施することなどとされている。
しかし、前記のとおり、機構は、27年6月から約5か月の間は、強制徴収手続を行っていなかった。そこで、27年度において送付した43,757件の督促状のうち、10都府県(注9)下の77年金事務所が送付した15,812件について、会計検査院において、上記約5か月の間に最終催告状及び督促状を送付しなかったため消滅時効期間が経過した国民年金保険料の債権額等を試算した。
試算に当たっては、上記15,812件のうち、強制徴収手続を行わないこととした27年6月8日以前の一定期間内(同年4月1日以降)に最終催告状を送付したものについては、行動計画等に基づき最終催告状を送付した翌々月に督促状を送付したと仮定し、行動計画等によれば強制徴収手続を行わないこととした期間に最終催告状を送付する予定となっていたものについては、最終催告状を送付する月の翌々月に督促状を送付したと仮定するなどした。その結果、図表12のとおり、計4,372名に対する国民年金保険料の債権8,159か月分について消滅時効期間が経過しており、当該月数に国民年金保険料の月額を乗ずるなどして、消滅時効期間が経過した国民年金保険料の債権額を試算すると、1億2115万余円となる。
図表12 消滅時効期間が経過した国民年金保険料の債権額等(会計検査院試算額)
| 都府県名 | 人数 | 消滅時効期間が経過した月数 | 左に係る国民年金保険料の債権額 |
|---|---|---|---|
| (人) | (月) | (千円) | |
| 宮城 | 214 | 376 | 5,527 |
| 埼玉 | 454 | 645 | 9,640 |
| 千葉 | 724 | 1,392 | 20,777 |
| 東京 | 842 | 1,469 | 22,052 |
| 神奈川 | 379 | 983 | 14,697 |
| 静岡 | 510 | 988 | 14,460 |
| 愛知 | 302 | 471 | 6,952 |
| 大阪 | 362 | 604 | 8,937 |
| 兵庫 | 130 | 392 | 5,801 |
| 福岡 | 455 | 839 | 12,306 |
| 計 | 4,372 | 8,159 | 121,154 |
そして、上記計4,372名のうち2,164名については、督促対象期間における国民年金保険料を完納しており、仮に流出事案の影響を受けることなく督促状を送付できていれば、消滅時効が中断され、消滅時効期間の経過前に国民年金保険料を納付したと考えられることから、この2,164名分について消滅時効期間が経過した国民年金保険料の債権額等を試算すると、図表13のとおり、3,769か月分、5659万余円となる。
図表13 流出事案の影響を受けることなく督促状を送付できていれば消滅時効が中断され消滅時効期間の経過前に納付されたと考えられる国民年金保険料の債権額等(会計検査院試算額)
| 都府県名 | 人数 | 消滅時効期間が経過した月数 | 左に係る国民年金保険料の債権額 |
|---|---|---|---|
| (人) | (月) | (千円) | |
| 宮城 | 80 | 138 | 2,075 |
| 埼玉 | 285 | 419 | 6,301 |
| 千葉 | 328 | 599 | 8,997 |
| 東京 | 447 | 703 | 10,561 |
| 神奈川 | 160 | 380 | 5,715 |
| 静岡 | 286 | 527 | 7,873 |
| 愛知 | 144 | 213 | 3,203 |
| 大阪 | 184 | 283 | 4,256 |
| 兵庫 | 59 | 186 | 2,797 |
| 福岡 | 191 | 321 | 4,812 |
| 計 | 2,164 | 3,769 | 56,595 |
機構は、特別催告状の送付が国民年金保険料の納付実績の向上に与える影響を適切に把握するために、特別催告状を送付した未納者からその後何か月分の国民年金保険料の納付があったかについて調査しており、その実績については特別催告状1件当たりの「効果率」として、未納者の控除後の所得、未納月数等の属性別に算出している。そして、27年度における効果率は、未納者の属性別に0.36月から2.79月までとなっている。
特別催告状が送付された者に対しては、その他の納付督励業務も実施されており、機構は、未納者が国民年金保険料を納付した直接の契機が特別催告状であるのか、その他の納付督励業務の実施によるものかについては区別していないとしている。また、前記のとおり、厚生労働省では、納付督励業務を再開した後、特別催告状の送付等の取組を強化したことなどにより、27年度の納付率は、26年度の納付率を上回ったとしている。
しかし、27年度当初の行動計画等によれば、未納者の属性別に計9,053,175件の特別催告状を送付することとされていたのに、前記のとおり、27年6月から約5か月の間については特別催告状の送付が行われなかったことから、同年度の送付実績は、計8,281,538件となっていた。
そこで、会計検査院において、27年度の特別催告状の当初の送付計画数と送付実績数の差にそれぞれの属性別の効果率を乗ずることにより、特別催告状が当初の行動計画等のとおり送付された場合には収納されたことが見込まれる国民年金保険料の額等について試算したところ、図表14のとおり、計759,967か月分、計118億4788万余円となる。
図表14 収納されたことが見込まれる国民年金保険料の額等(会計検査院試算額)
| 属性 | 当初計画数(件) | 実績数(件) | 差引(件) | 効果率(月) | 収納されたことが見込まれる国民年金保険料の月数(月) | 左に係る国民年金保険料の額(千円) |
|---|---|---|---|---|---|---|
| (A) | (B) | (C)=(A)-(B) | (D) | (E)=(C)×(D) | (E)×27年度の1月当たりの保険料(15,590円) | |
| 平成27年度の強制徴収対象者の選定において、免除等の申請を行った場合に承認されると見込まれ、最終催告状の送付対象から除かれた者で、免除等の申請を勧奨しても申請のない者 | 49,537 | 34,826 | 14,711 | 1.96 | 28,833 | 449,506 |
| 市場化納付督励業務によっても、納付の意思を示さない、控除後所得400万円以上かつ未納月数4月以上6月以下の者 | 78,153 | 57,418 | 20,735 | 2.79 | 57,850 | 901,881 |
| 市場化納付督励業務によっても、納付の意思を示さない、控除後所得350万円以上400万円未満かつ未納月数7月以上の者 | 787,049 | 470,680 | 316,369 | 1.11 | 351,169 | 5,474,724 |
| 市場化納付督励業務によっても、納付の意思を示さない、控除後所得200万円以上350万円未満かつ未納月数7月以上の者 | ||||||
| 控除前所得57万円以下の未納者に対する免除等の申請を勧奨した後、市場化納付督励業務によっても申請のない者 | 900,832 | 822,916 | 77,916 | 0.36 | 28,049 | 437,283 |
| 20歳以上23歳未満の3月以上の未納期間を有する者 | 750,184 | 784,150 | △33,966 | 0.50 | △16,983 | △264,764 |
| 23歳以上30歳未満の3月以上の未納期間を有する者 | 1,513,233 | 1,615,255 | △102,022 | 0.65 | △66,315 | △1,033,850 |
| 控除前所得57万円以上の未納期間を有する者 | 457,004 | 449,787 | 7,217 | 0.49 | 3,536 | 55,126 |
| 30歳以上の10月以上16月以下の未納期間を有する者 | 906,417 | 724,141 | 182,276 | 0.96 | 174,984 | 2,728,000 |
| 30歳以上の17月以上の未納期間を有する者 | 1,661,436 | 1,452,866 | 208,570 | 0.54 | 112,627 | 1,755,854 |
| 30歳以上の4月以上9月以下の未納期間を有する者 | 1,949,330 | 1,869,499 | 79,831 | 1.08 | 86,217 | 1,344,123 |
| 計 | 9,053,175 | 8,281,538 | 771,637 | / | 759,967 | 11,847,885 |
機構は、図表15のとおり、26年度に、6民間事業者との間で26年10月から29年9月までを委託期間とする契約10件、27年5月から30年9月までを委託期間とする契約13件、計23件の市場化納付督励業務に関する委託契約(以下「市場化納付督励業務委託契約」という。)を締結しており、その契約金額については計215億0390万余円となっている。
図表15 市場化納付督励業務委託契約の締結状況
| 民間事業者名 | 件数 | 契約金額(千円) |
|---|---|---|
| 株式会社アイヴィジット | 6 | 6,597,720 |
| 日立トリプルウィン株式会社 | 8 | 6,390,014 |
| 株式会社バックスグループ | 5 | 6,069,540 |
| キャリアリンク株式会社 | 1 | 966,600 |
| アイティフォーシー・ヴィ・シー共同企業体 | 2 | 958,392 |
| 東京ソフト株式会社 | 1 | 521,640 |
| 計 | 23 | 21,503,906 |
27年度分の委託費の支払状況等についてみたところ、前記のとおり、流出事案の発生を踏まえて、機構は、27年6月2日に民間事業者に対して受電対応以外の市場化納付督励業務を行わないよう求めていて、業務委託中止期間がその後の約5か月間に及んでいたのに、委託費の支払に当たっては、従前どおり、市場化納付督励業務委託契約に係る委託契約書(以下「委託契約書」という。)の第27条の約定に基づき、業務委託中止期間を含む27年5月から28年4月までの1年間に係る委託費計66億2112万余円を12等分して、民間事業者に対して毎月、当該額を支払っていた。
なお、機構は、委託費については市場化納付督励業務の実績(国民年金の被保険者に係る国民年金保険料が実際に納付された月数等の合計)に応じた増減を行うものとする委託契約書第7条の約定に基づき、民間事業者が業務委託中止期間中に業務を実施しなかったことによる27年度の実績の減少も踏まえて委託費の精算を行うなどとして、28年10月に、民間事業者6社のうち5社に対して、27年度分の支払済みの委託費計2億3122万余円の返還を求めている。
前記のとおり、厚生労働省は組織・業務改革報告書を取りまとめて27年9月に公表し、また、機構は業務改善計画を策定し同年12月に厚生労働大臣に提出しており、それぞれ情報セキュリティ対策等を強化し、流出事案の再発を防止するための取組を行っている。
そこで、これらの厚生労働省及び機構における再発防止の取組の進捗状況についてみたところ、次のとおりとなっていた。
27年9月に組織・業務改革報告書が公表されてから28年9月までの間における再発防止の取組の進捗状況についてみたところ、図表16のとおり、厚生労働省は、同省の情報セキュリティ対策を向上するために、サイバーセキュリティについて専門的に対応するための組織改革、厚労省ポリシー等の見直し、統合ネットワーク等において高度な標的型攻撃に対応するための改修等を行うなどしていた。
また、厚生労働省は、機構への指導等の強化について、27年10月から機構の経営企画部に職員を常駐させ、業務についてのモニタリングを実施しているほか、機構ポリシー等の情報セキュリティに関する諸規程等の整備を一元的に所掌している情報管理対策室に、28年7月から年金局の職員を常駐させ、これらの規程やインシデント対処手順書の整備状況や改正内容についての確認を行うなどしていた。
そして、厚生労働省は、機構への監査の強化について、監査室が行う監査の範囲を機構の全ての情報システムとする見直しを行い、27年11月から監査を行うとともに、28年9月に厚生労働省及び機構の職員によって構成される連絡会議を設置し、双方の監査で把握した情報セキュリティに関する課題の確認やその改善計画の進捗状況のフォローアップを行うこととした。
図表16 厚生労働省における再発防止の取組の進捗状況
| 組織名 | 主な項目名 | 左の進捗状況 | |
|---|---|---|---|
| 厚生労働省 | ○厚生労働省における情報セキュリティ対策の強化 | 組織的対策(体制強化、情報共有) | インシデント対応を含む情報セキュリティ対策の実務部門を強化するため、平成27年10月に情報セキュリティ対策室(室長は企画官級)を設置した。 その後、サイバーセキュリティについて専門的に対応する体制を強化するため、28年6月に同室を廃止して、新たにサイバーセキュリティ担当参事官(課長級)を設置するとともに、サイバーセキュリティ・情報化審議官を設置していた。 |
| 人的対策(意識改革、人材育成) | インシデント発生時に即時に技術的な助言ができるよう、28年3月から、順次、外部専門家を常勤として雇用(計4名)し、うち1名を同年4月から最高セキュリティアドバイザーに任命していた。 | ||
| 業務運営対策(ルールの見直し、徹底) | 27年10月及び12月に、厚労省ポリシー及びインシデント対処手順書の見直しを行っていた。 | ||
| 技術的対策(情報システムの強化) | 統合ネットワーク等のセキュリティを強化するため、27年度補正予算で4.1億円、28年度当初予算で22.3億円を計上し、高度な標的型攻撃に対する多重防御対策のためのシステム改修を順次実施するなどしていた。 | ||
| ○厚生労働省と機構の関係の強化 |
|
||
| ○厚生労働省所管法人等に対する監督と情報セキュリティ対策の強化・教育訓練の実施 | 27年度補正予算で8.5億円を計上し、セキュリティ監査体制を強化して、厚生労働省が保有する情報システム及び所管法人等に対してセキュリティ監査等を実施することにしていた。 | ||
27年12月に業務改善計画が提出されてから28年9月までの間における再発防止の取組の進捗状況についてみたところ、図表17のとおり、機構は、同年4月に最高セキュリティアドバイザーを設置するとともに、年金個人情報の管理・運用を行う領域をインターネットから完全に分離した年金情報システムの構築に向けた取組を進めるなどしていた。
そして、機構は、27年10月に新設された機構ポリシー等の情報セキュリティに関する諸規程等の整備を情報管理対策室が一元的に所掌した上で、厚労省ポリシーに準拠した機構ポリシーの改正を同時期に実施するとともに、28年2月にインシデント対処手順書を策定していた。また、機構は、情報セキュリティ対策に関する各種ルールに対する職員の理解を深め、確実に遵守させるため、同年8月に、職員が業務上守るべき主な事項やインシデント発生時の対応等が記載された手引を策定して配布するとともに、同年9月に全職員の受講を必須とした情報セキュリティ研修を開催した。
機構は、28年4月に情報セキュリティ監査の専門チームを設置し、情報セキュリティ監査の監査体制を整備していた。
図表17 機構における再発防止の取組の進捗状況
| 組織名 | 主な項目名 | 左の進捗状況 | |
|---|---|---|---|
| 機構 |
|
最高情報セキュリティアドバイザーの設置 | 平成28年4月に、公募により専門的知識・経験を有する外部専門家1名を設置していた。 |
|
オンラインシステム | 28年度当初予算において17.1億円を計上し、年金個人情報を管理・運用する領域をインターネットから完全に分離した情報システムの構築に向けた取組を進めるなどしていた。 | |
| 機構LANシステム | |||
| インターネット環境 | |||
| ねんきんネットシステム | |||
|
情報セキュリティポリシーの改正等 | 27年10月に新設された機構ポリシー等の情報セキュリティに関する諸規程等の整備を情報管理対策室が一元的に所掌した上で、厚労省ポリシーへの準拠性や機構の実態への整合性を確認するなどし、流出事案の発生を受けて27年12月に実施された厚労省ポリシーの改正に準拠して、同月機構ポリシーを改正していた。 また、28年2月、インシデント発生時の具体的な手順を明確に規定したインシデント対処手順書等を策定していた。 |
|
| 情報セキュリティ研修等の実施 | 情報セキュリティ対策に関する各種ルールに対する職員の理解を深め、確実に遵守させるため、28年8月に、職員が業務上守るべき主な事項やインシデント発生時の対応等が記載された手引を策定して配布するとともに、同年9月に全職員の受講を必須とした情報セキュリティ研修を開催した。 | ||
| 監査体制の整備 | 28年4月に、情報セキュリティ監査の専門チームを設置し、監査体制を強化していた。 | ||