委託 情報漏えいの危険
NICT法改定案可決 宮本岳志氏が反対
衆院総務委
(写真)質問する宮本岳志議員=9日、衆院総務委 |
日本共産党の宮本岳志議員は9日の衆院総務委員会で、情報通信研究機構(NICT)法改定案について質問し、通信履歴等の電磁記録作成業務の外部委託を可能とすれば、「データの漏えいの危険性を拡大しかねない」と批判しました。
NICTはインターネットに接続された機器のパスワードなどの設定にぜい弱性があるかを調べ、改善を事業者に求める業務を担っています。同改定案は、NICTが実施する調査業務を「特定アクセス行為」と「通信履歴等の電磁記録の作成」に分け、後者の記録作成に限り委託を可能とする仕組みを導入します。宮本氏は、人員確保が課題とされていることに触れ、「NICTの職員を増員するのが筋だ。なぜ委託を可能とするのか」とただしました。総務省の山内智生サイバーセキュリティ統括官は「厳格な条件のもと、体制確保のための委託可能な範囲を示した」と答弁。宮本氏は委託ありきだと指摘しました。
宮本氏は、ルールがあってもNTT西日本の元派遣社員が約10年で900万件の顧客情報を流出させた情報漏えい事案を例示。また、「NICTの研究者や職員が委託業者の社員に指図できるのか。指図すれば偽装請負になるのではないか」と迫りました。山内統括官は「法律に定められた行為に基づいて、さまざまなことを行う。計画に合わない行動をすれば、実施計画に違反する」と述べ、実施中の管理がどのように行われるか示しませんでした。
質疑後、同改定案が採決され、自民、公明、立民、維新、国民民主の各党の賛成多数で可決されました。日本共産党は反対しました。
(しんぶん赤旗 2023年11月10日)
動画 https://youtu.be/DoT5E4P4FPI?si=AGpHpktEoa6Hy7r6
議事録
○宮本(岳)委員 日本共産党の宮本岳志です。
我が党は、サイバーセキュリティー対策の重要性についていささかも軽視するつもりはなく、ID、パスワードに脆弱性がある機器を調査し、ユーザーに警告する制度は必要だと考えております。しかし、それを進める上で、この法案には大きな問題があると指摘せざるを得ません。
法案は、これまでNICTが五年間に限って行うこととされてきたID、パスワードに脆弱性があるIoT機器の調査、特定アクセス行為の業務について、本則の恒常的な業務の範囲に規定し、継続的に実施することとするものであります。
そこで、まず、特定アクセス行為というものについて政府参考人に確認しますけれども、これをNICTではなく一般の人が行ったらどういうことになりますか。
○山内政府参考人 お答え申し上げます。
今NICTが行っておりますID、パスワードに脆弱性のあるIoT機器調査、これは御指摘のあった特定アクセス行為になりますが、実際にID、パスワードを入力してログインを試みる必要がございます。これは、通常、不正アクセス禁止法で禁止をされている不正アクセス行為に該当するというものでございます。
したがいまして、NICTが実施計画において認められた範囲によって実施を可能とするもので、不正アクセス禁止法の適用除外として、NICT法において行為者がNICTとして実施をするという形になってございますので、仮にNICT以外の者が行った場合には、先ほど申し上げた不正アクセス禁止法の禁止行為に該当することになりまして、同法の罰則の適用を受けることになります。
○宮本(岳)委員 要するに、外形的、形式的には不正アクセスなんですね。それを、NICTがこの法律に基づいて実施する特定アクセス行為である限りにおいて認められているということになるわけですね。
今後のNOTICEの取組の方向性等について議論を行った総務省の有識者会議である情報通信ネットワークにおけるサイバーセキュリティ対策分科会、第一回の分科会では、NICTの井上大介サイバーセキュリティ研究所サイバーセキュリティネクサス長が、調査実施機関のNICTとしては調査体制の維持、人員確保も大きな課題となっていると発言されたことが議事録に残っております。
NICTが特別に五年間に限って行うこととされてきた特定アクセス行為を恒常的な業務の範囲に規定し、継続的に実施することとするならば、人的リソースの確保が課題であることは想像に難くありません。調査を行うための体制や人員確保はどうするつもりなのか、お答えいただけますか。
○山内政府参考人 お答え申し上げます。
今御指摘のありましたとおり、私どもの関係する会合の中でNICTの方から、人員、体制について強化する必要があるということを申し上げたのはまず事実でございます。
その上で、実際に、先ほど来の答弁の中にもちょっと出てまいりましたが、体制を強化するということが必要であり、これはNICTだけではなくて、実際の対策を立てるためには、通信事業者、先ほどの協会、ICT―ISACといった幅広い方々の取組が必要になります。こういうものを含めて体制の強化を行うことによって、これからの取組を強化するということを考えてございます。
○宮本(岳)委員 先日、私もNICTの関係者から直接話を聞きました。特定アクセス行為というこの業務について、研究員が、兼務で、限られた人しか入れない場所で厳格にやっておられます。そもそも、NICTにおけるこの業務の位置づけですけれども、これは研究なんですか、それとも研究ではないのか。これも、政府参考人、答えていただけますか。
○山内政府参考人 お答え申し上げます。
研究に付随をする業務として、NICTは研究開発法人でございますので、御指摘のとおり、研究開発を主とする業務でございます。ただ、今回のID、パスワードの調査に関しましては、技術的な知見を必要といたしますので、今までの研究開発に付随する行為としてNICTは行っております。
○宮本(岳)委員 付随する行為ということは、研究そのものではないということですよね。
現場の方は、研究とは厳格に区別してやっている、こうはっきり言っておられました。研究者がリーダーとなり、調査は企業から出向していただいた方を職員採用して進めているが区別している、これは言っておかなければなりません。研究者の方は誇りを持ってこの業務にちゃんと当たっておられます。そういう大事な仕事だということをおっしゃっていました。
ただ、それが研究の重荷になりはしないだろうかという危惧も感じるわけですね。現在、この業務をNICTでは何人の体制で行っておられるのか、また、この業務がこの改正により恒常的な業務の範囲となって継続的に実施することになればどれだけの職員採用が必要になるのか、政府参考人、お答えできますか。
○山内政府参考人 お答え申し上げます。
現状、特定アクセス行為に係る調査に関わっているNICTの方は全部で十一名でございます。(宮本(岳)委員「十一名」と呼ぶ)はい。
この上で、これからの業務の拡大につきましては、今いろいろと見積りを行っているところでございます。恐らく何らかの形で増強は要るかと思いますが、まだ具体的な人数の算定に至っておりませんが、恐らく何らかの形で体制の強化は必要になるというふうに考えております。
○宮本(岳)委員 体制の強化は必要だということでございます。
当然、人員確保が課題というなら、NICTの恒常的な業務の範囲としていくためには、職員をきちんと増員する、これが筋だと思うんですね、大臣もうなずいておられますけれども。ところが、NICTが実施する業務を特定アクセス行為と通信履歴等の電磁的記録の作成に定義分けして、特定アクセス行為は委託しないものの、後者の記録の作成に限って委託も可能とする仕組みを導入する、ここが問題だと思うんですね。なぜ委託を可能とする仕組みを入れるのか、お答えをいただけますか。
○山内政府参考人 お答え申し上げます。
現行法におきまして、特定アクセス行為に係る業務に関しましては、通信事業者への通知業務以外に外部委託に関する規定が特段ありませんでした。したがいまして、実行上、NICTにおいても外部委託を行ってまいりませんでした。
今般、NOTICEの調査対象の拡大が行われまして、体制の強化も必要になるということがございます。特定アクセス行為による調査が引き続き厳格な条件に基づいて適切に実施されるということを確保しながら、NICTにおいて体制の確保をするために、外部委託が可能な範囲や要件について新たに定めるということにしております。
具体的には、今委員御指摘のとおり、特定アクセス行為自体については委託は不可といたします。その上で、得られた情報の処理、分析に係る業務については、総務大臣の認可事項に係る実施計画の中で、委託先の選定基準が定められていることですとか、情報の安全管理措置が委託先においても適切に講じられているということが確認できた場合に限って委託するということを考えてございます。
○宮本(岳)委員 いやいや、これまではしていなかったわけです。少なくとも通信履歴等の電磁的記録の作成も委託はしていなかった。そもそも、特定アクセス行為の中に両方含んでいたものをわざわざ切り分けて、これはできるというふうにするわけですね。だから、元々そういう規定がなかったと冒頭おっしゃったけれども、規定はなかったけれどもしていなかったんですよ。
二〇一八年の前回の法案審議の際、特定アクセス行為に関わる業務について、我が党の本村伸子議員の質問に対して当時の野田聖子総務大臣は、NICTが行う特定アクセス行為について外部委託することは想定しませんと答弁されました。この特定アクセス行為というのは今回の特定アクセス行為だけでなくて、当然その当時は含まれていた通信履歴等の電磁的記録の作成についても外部委託はしません、こういうふうに答弁された。このとき、総務省はどういう認識でこうした判断をしたのか。これはひとつ大臣からお答えいただけますか。
○山内政府参考人 お答え申し上げます。
先ほど御説明をいたしましたが、当時、まず、特定アクセス行為、実際にID、パスワードを入力して調査を行った結果を得ること、それから、その結果に基づいて電気通信事業者に対して通知を行うこと、大きく、御指摘のとおり、二つの行為がございます。
これに関して明確な切り分けが、まだ当時、始める前の状態で、そこまで認識ができていないこともあって、当時の関係者の方からの御答弁があったと認識をしてございますが、この度、先ほど御質問もいただいたとおり、体制の強化をする必要がある、業務を拡充するといった観点で、それぞれ、法律との整合性を考えながら、委託ができる範囲、委託がやはり不可能ではないかと考える場合を分けて対応するということを考えているところでございます。
○宮本(岳)委員 だから、体制の強化は必要だと言っているじゃないですか。体制の強化が必要なのに、職員の強化ではなくて委託にしようとするからそういう話になるんですね。
はっきりしているのは、これまで外部委託していなかった行為の中に通信履歴等の電磁的記録の作成は含まれておりましたね、参考人。
○山内政府参考人 お答え申し上げます。
先ほどお答えを申し上げておりますが、まず、特定アクセス行為そのものというのは、実際にID、パスワードを入力して結果を得ることというのが特定アクセス行為でございます。実際にそれを通知することというのがNICTの法律の中でも決まっていて、ここの部分については明確な定めが見えていなかったことがございますので、これに関して私どもの中でも議論をした上で、そこの部分を委託が可能ではないかということで、規定を切り分けて今作っているという形になってございます。
○宮本(岳)委員 通信履歴等の電磁的記録の作成という業務はどのようなものか。これは、つまりは、セキュリティーが脆弱で容易に不正アクセスができるIPアドレスの一覧表を抽出して作るという業務なんですよ。だから、これは、委託なんかできないということで、NICT本体でやってきたわけですね。
もしも作成されたセキュリティーが脆弱で容易に不正アクセスができるIPアドレスの一覧が悪意ある第三者に渡った場合には、どのようなことが起こると予想されますか、参考人。
○山内政府参考人 お答え申し上げます。
仮に委託をした者が悪意を持って漏えいするようなことがあった場合には、御指摘のとおり、非常に大きな問題が生じるというふうに認識をしてございます。
したがいまして、NICTが仮に委託を行う場合には、NICTが行っている情報の安全管理措置と同様の措置が講じられるということを実施計画において定めた上で、総務大臣は委託先における当該情報の適切な取扱いの確保の措置の内容の妥当性を判断した上で実施計画の認可を行うということを考えてございます。
さらに、特定アクセス行為で得られた情報の処理、分析に係る業務の委託に従事する者については、NICT職員と同等の秘密保持義務が課されるとともに、違反した場合の罰則規定も設けられるということになります。
本法案の制度的な枠組みの中で外部委託が行われる場合でも、情報が厳格に管理をされ、適切に業務が行われるというふうに考えているところでございます。
○宮本(岳)委員 この資料が流出すると、とんでもないんですね。セキュリティーが脆弱で容易に不正アクセスができるIPアドレスの一覧なんですから、最も効率的に悪意ある不正アクセスが可能となるわけです。だからこそ、これまでは当然のことながら外部委託を避けてきたんですね。これを委託して、絶対に悪意ある第三者にこのような情報が漏えいしないと断言できるかどうか。これはひとつ大臣にお答えいただきたい。大丈夫ですか。
○鈴木(淳)国務大臣 その辺りをしっかりと厳格に切り分けた上での判断でありますので、御理解を賜りますようお願いします。
○宮本(岳)委員 私はそうは思わないんですね。発注書や契約書に明記しようが、罰則や賠償責任をかけようが、それだけでは防げないんです。
最近も、企業や自治体が業務委託していたNTT西日本の子会社で働いていた元派遣社員が、サーバーに不正アクセスして、USBに顧客情報を保存し、十年近くで九百万件の顧客情報を流出させたという事件が発生しております。
十一月七日の会見でNTTの島田社長が語っておりますが、記録媒体は持ち込んではいけない、振る舞い検知のソフトを入れないといけない、ログをしっかり残さないといけないなどのルールはできていたが、実際のガバナンスが利いていなかったのは非常に反省していると述べております。
これらの情報漏えい事案が示しているのは、当然、守秘義務がかかり、ルールはあっても、それだけでは決して漏えいは防げないということなんですね。
では、聞きますが、新たに外部委託が可能となる通信履歴等の電磁的記録の作成、これはNICTの中でやるのか、外でやるのか、はっきりお答えをいただきたい。
○山内政府参考人 お答え申し上げます。
今委員御指摘のとおり、情報をしっかり管理するということが非常に大切でございます。したがいまして、当該情報の管理はNICT内で行うということを想定しております。
○宮本(岳)委員 これは、外でやるわけにいかない業務だと思うんですね。厳格な管理が必要で、中で行う。
では、重ねて聞きますけれども、外部委託をした場合に、NICTの研究員や職員がその委託業者の社員に指図できるのか。NICTの内部で指示をしたら、偽装請負になりませんか。
○山内政府参考人 お答え申し上げます。
今の関係が生じるのは、特定アクセス行為を行っているNICTから実際にその情報を活用して通信事業者に対する提供を行う委託事業者に対する関係というふうに認識しておりますが、この関係に関しましては、実施計画の中で何を指図するかということを決めることになりますので、それ以外は、逆に言うと、法律に定められた行為に基づいて様々なことを行うということと認識してございます。
逆に、それ以外のことを、もし何らかの形で計画に外れたことをやるのであれば、計画と合わない、整合しないということになりますので、これは実施計画に違反をすることになります。
○宮本(岳)委員 もう一つだけ更問いしたいんですけれども、特定アクセスをやる場所と今の電磁的記録の作成をする場所とは同じですか、違うんですか。
○山内政府参考人 お答え申し上げます。
現状でここまで正確な区分ができておりませんが、外部委託を行う場合に当たっては、外部委託業者についてはNICTの職員とはまず異なります。特定アクセス行為自体ができないということを考えますと、NICTで具体的な安全管理措置を今後検討いたしますが、恐らくは異なる、同じ場所には置くことが困難でございますので、安全管理措置を異なるところで行うということになるかというふうに想定してございます。
○宮本(岳)委員 当然、そういう管理でないとうまくいかないと思うんですね。
本来なら、採決前にNICTを現地視察して、確かに情報漏えいが起こらないかどうか、現に特定アクセスを行っている場所や、今回外部委託も可能にしようとしている通信履歴等の電磁的記録の作成の現場を見極めたいところでありますが、どうやら後になってしまうようであります。
しかし、十四日に予定されていると聞いているNICTの視察では、その場所、すなわち特定アクセスを行っている場所や電磁的記録の作成を行うことになる場所を私たちが見ることは可能なんですね。
○山内政府参考人 お答え申し上げます。
今の御希望は、この後の議論によるかというふうに思っておりますが、まず、私どもの定めに基づいてお話をいたしますと、実施計画に記載された極めて限られた職員を除いて、調査を実施する区画への入退室は禁じられているという形になってございます。これがNICTにおける極めて厳格な安全管理措置の内容でございますので、私ども総務省の職員も含めて、ここの中の所在、それから、そこがどうなっているかということは承知をしていない状況でございます。こういう安全管理措置を実際には行っているところでございます。
○宮本(岳)委員 いやいや、どうしても、外部委託の可能性があるところは見せていただく必要があります。国権の最高機関であり、まさに本法案の審議を行っている国会に見せないということは通りません。外部委託はするが国会には見せないという話は認められない。国会議員にも見せられないような業務なら、外部委託などやめるべきであります。外部委託が可能なものなら、当然、我々を受け入れて、しっかり説明責任を果たさなければなりません。
委員長、是非ともお取り計らい願いたいと思います。
○古屋委員長 後刻、理事会で協議をいたします。
○宮本(岳)委員 しっかりと私たちのチェック、行政監視に応えていただけるように要求して、私の質問を終わります。
。
―――――――――――――
討論
○宮本(岳)委員 私は、日本共産党を代表して、国立研究開発法人情報通信研究機構法の一部改正案に反対の討論を行います。
ID、パスワードに脆弱性がある機器を調査し、ユーザーに警告する制度は必要です。
しかし、本法案は、これまでNICTが実施してきた特定アクセス行為を本来の業務とした上で、通信履歴等の電磁的記録の作成を切り出して定義分けし、この全部又は一部は委託を可能とするものです。
そもそも、特定アクセス行為は、不正アクセス禁止法が禁じた権限を持たない者が通信機器にアクセスする行為であり、NICTが行う特定アクセス行為は、ID、パスワードに脆弱性のあるIoT機器を調査する目的に限り、大臣認可の実施計画に基づき実施する例外行為です。厳格な運用が求められています。
ところが、法案は、委託を可能にしたばかりか、委託先における情報の適正な取扱いについては、実施計画の大臣認可の際に確認するものの、実施過程の中での適正な取扱いを検証する仕組みは確保されておりません。また、委託事業者との契約について縛る仕組みはなく、通信履歴等の電磁的記録やその加工データの漏えいの危険性を拡大しかねないものとなっています。
厳格な運営のための担保は極めて不十分であり、反対です。
総務省は、外部委託規定の新設について、NICTからの人的リソースの確保が課題との意見などがあると説明していますが、そうであるなら、NICTの事業を実施するための人員増、体制確保こそ取り組むべきであることを指摘して、討論を終わります。
