山本隆一
内閣委員会
山本隆一の発言 (内閣委員会)
⚠️ コピーしたテキストを転載する際は、転載元URL(kokkai-data.com)および原典URL(kokkai.ndl.go.jp)を必ず残してください。発言内容の改変・出典削除は禁止です。 詳細は利用規約をご確認ください。
○参考人(山本隆一君) 今回の事件は非常に残念な事件ですし、私もがっかりしているところであります。
ただ、マイナンバー制度との関連でいいますと、日本のマイナンバー制度の場合は、データを収集するだけではなくて、必要に応じて結び付ける、しかも個人番号と言われる十二桁の番号ではなくて、機関別符号とそれから情報提供ネットワークのコアシステムを通じて結び付けるということで、今回起こったシステムのセキュリティー上の問題とは直接は関係ないんだろうと思います。
ただ、それぞれの例えば番号法で結び付けられる自治体でありますとか年金基金でありますとか、そういったところのそれぞれのデータホルダーといいますか、それも一定のセキュリティーが求められることは当然でありまして、そのために個人情報保護影響評価とか、PIAと言っておりますけれども、それが特定個人情報保護委員会から基準が作られて、今、各自治体がそのPIAの、PIAというのは要するに情報システムを入れるときにどれだけ守ればいいのかということをあらかじめ評価するということで、使う前にそのセキュリティー対策、プライバシー対策を図るものですから、それによって、番号法の導入によって、私はそれぞれのデータホルダーのセキュリティーも高まるのではないかと期待をしておりました。
今、社会保険機構がPIAをしていたかどうかは分かりませんけれども、ちょっと私は知らないんですけれども、そういう意味では、せっかく番号法導入に向けてみんなで情報の安全性を考えていこうと言っているときにああいう事故が起こったのは非常に残念だというふうに思っています。
セキュリティーですけれども、確かに今回も、これから調査が行われて、それなりにいろんな原因とかなんとかが明らかになってくるだろうとは思いますけれども、少なくとも今明確になっているのは、いわゆる基幹システムではなくて、そこからデータをコピーをした共有フォルダにあるデータが流出したというふうに聞いております。
私の立場から考えると、これは基幹システムが使いにくいんだと思うんですね。基幹システムが使いにくいので、一旦データをコピーして、自分のPCから操作をしやすい形にしないと仕事がはかどらなかった。そのためにコピーをして、なおかつパスワードを掛けるとそれなりに手間なので、パスワードを外してしまったというところが今私の知っている限りのところなんですけれども。
プライバシーとかセキュリティーとかセーフティーとかというのは、最近はプライバシー・バイ・デザインとかセーフティー・バイ・デザインといいまして、これは、何か物ができてからプライバシーを考える、セキュリティーを考える、安全を考えるというのでは実は手遅れでありまして、物を設計するときに、まず安全、プライバシー、セキュリティーというのを考えておかないといけない。そうしないと、後で負荷が増えるんですね。使う側にすごく負荷が増えて、これはセキュリティー対策にとって非常に運用に依存する部分が増えてしまって、結局は守れないルールを押し付けるみたいなところになってしまって破綻を来すというのが非常に多いように思うんですね。
したがって、これは、この番号制度の導入を契機に、元々やっぱり安全性に相当配慮したシステムをつくっていくんだと、だから安全な基幹システムを本当に使って仕事ができるように本来はすべきであって、データをコピーしてやるというのがやっぱり僕は間違っていると思うんですね。そこを、そういった対策をやっぱり根本から見直さないといけないんだろうというふうに考えています。
急にはできないんですけれども、これは、その番号制度の導入がいい機会ですので、これをやっぱり進めていかないと、自治体とかそれぞれの機関でもやはり同じようなリスクはあるんだろうと思っています。
ただ、マイナンバー制度との関連でいいますと、日本のマイナンバー制度の場合は、データを収集するだけではなくて、必要に応じて結び付ける、しかも個人番号と言われる十二桁の番号ではなくて、機関別符号とそれから情報提供ネットワークのコアシステムを通じて結び付けるということで、今回起こったシステムのセキュリティー上の問題とは直接は関係ないんだろうと思います。
ただ、それぞれの例えば番号法で結び付けられる自治体でありますとか年金基金でありますとか、そういったところのそれぞれのデータホルダーといいますか、それも一定のセキュリティーが求められることは当然でありまして、そのために個人情報保護影響評価とか、PIAと言っておりますけれども、それが特定個人情報保護委員会から基準が作られて、今、各自治体がそのPIAの、PIAというのは要するに情報システムを入れるときにどれだけ守ればいいのかということをあらかじめ評価するということで、使う前にそのセキュリティー対策、プライバシー対策を図るものですから、それによって、番号法の導入によって、私はそれぞれのデータホルダーのセキュリティーも高まるのではないかと期待をしておりました。
今、社会保険機構がPIAをしていたかどうかは分かりませんけれども、ちょっと私は知らないんですけれども、そういう意味では、せっかく番号法導入に向けてみんなで情報の安全性を考えていこうと言っているときにああいう事故が起こったのは非常に残念だというふうに思っています。
セキュリティーですけれども、確かに今回も、これから調査が行われて、それなりにいろんな原因とかなんとかが明らかになってくるだろうとは思いますけれども、少なくとも今明確になっているのは、いわゆる基幹システムではなくて、そこからデータをコピーをした共有フォルダにあるデータが流出したというふうに聞いております。
私の立場から考えると、これは基幹システムが使いにくいんだと思うんですね。基幹システムが使いにくいので、一旦データをコピーして、自分のPCから操作をしやすい形にしないと仕事がはかどらなかった。そのためにコピーをして、なおかつパスワードを掛けるとそれなりに手間なので、パスワードを外してしまったというところが今私の知っている限りのところなんですけれども。
プライバシーとかセキュリティーとかセーフティーとかというのは、最近はプライバシー・バイ・デザインとかセーフティー・バイ・デザインといいまして、これは、何か物ができてからプライバシーを考える、セキュリティーを考える、安全を考えるというのでは実は手遅れでありまして、物を設計するときに、まず安全、プライバシー、セキュリティーというのを考えておかないといけない。そうしないと、後で負荷が増えるんですね。使う側にすごく負荷が増えて、これはセキュリティー対策にとって非常に運用に依存する部分が増えてしまって、結局は守れないルールを押し付けるみたいなところになってしまって破綻を来すというのが非常に多いように思うんですね。
したがって、これは、この番号制度の導入を契機に、元々やっぱり安全性に相当配慮したシステムをつくっていくんだと、だから安全な基幹システムを本当に使って仕事ができるように本来はすべきであって、データをコピーしてやるというのがやっぱり僕は間違っていると思うんですね。そこを、そういった対策をやっぱり根本から見直さないといけないんだろうというふうに考えています。
急にはできないんですけれども、これは、その番号制度の導入がいい機会ですので、これをやっぱり進めていかないと、自治体とかそれぞれの機関でもやはり同じようなリスクはあるんだろうと思っています。
発言情報
speech_id: 118914889X01120150602_024
発言者: 山本隆一
speaker_id: 22202
日付: 2015-06-02
院: 参議院
会議名: 内閣委員会