堤かなめのこれまでの質問
「211回通常国会」(2023年1月23日~6月21日)
「212回臨時国会」(2023年10月20日~12月13日)
第211回国会 衆議院 地域活性化・こども政策・デジタル社会形成に関する特別委員会 第12号 令和5年5月23日
○堤委員
おはようございます。立憲民主党の堤かなめです。
我が党は、デジタル五原則として、一、政府による国民の監視手段にしない、二、個人情報の保護の徹底、三、セキュリティーの確保、四、利便性の向上、五、誰も取り残さず、使わない人が不利にならないの下、行政のデジタルトランスフォーメーション、DXを推進すると掲げています。
四月二十五日の本特別委員会では、私は、マイナンバーカードとマイナ保険証について、この立憲DX五原則のうち、二、個人情報、五番目の、誰も取り残さないという点からの問題性を指摘した上で、従来の紙の保険証の存続を強く要望いたしました。
今回は、政府クラウドを中心に質問させていただきます。
初めに、政府クラウドに移行した場合の運用コストについてお聞きします。
資料一を御覧ください。
昨年十二月二日の日経新聞電子版でございます。見出しは、「政府クラウド、先行自治体で運用コスト「倍増」の課題」となっております。「人口約一万一千人の埼玉県美里町は十月末、全国約千七百の自治体に先駆けて政府・自治体の共通システム基盤「ガバメントクラウド」上に基幹業務システムを移行し、稼働させた。国の施策により、自治体はそれぞれの基幹業務システムを二〇二五年度末までにガバメントクラウド」、政府クラウド「上の「標準準拠システム」に移行する「自治体システム標準化」が求められている。」というふうに報道されております。
そこで、下線部一にも示しましたように、埼玉県美里町において、運用コストが移行前に比べまして一・九倍に膨らむ、つまり二倍近くに膨れ上がるとしたら、小さな、この美里町のような小規模の自治体にとっては非常に負担が大きいと思いますが、どう受け止めておられるのか、お聞きします。
○楠政府参考人
お答え申し上げます。
地方自治体の基幹業務システムの統一、標準化について、昨年十月に閣議決定をした標準化基本方針におきまして、標準準拠システムへの移行完了後に、運用経費等は、平成三十年度比で少なくとも三割の削減を目指すとしております。
中間報告は、あくまで現行システムをそのままガバメントクラウドに移行した場合の試算であり、御指摘の美里町のように複数団体で現行システムを共同利用している場合におきまして、こちら、試算においては単独でのシステム構築、運用としていることや、また、既存の回線に加えてガバメントクラウドへの接続回線を新設すること等によりましてコスト増になっているというふうに分析をしております。
ガバメントクラウドへの移行については、引き続き実証事業を進めておりますところ、デジタル庁としても、小規模団体にとって負担にならないよう、先行事業等を通じて得られる知見を踏まえまして地方公共団体におけるガバメントクラウド利用の環境整備を進めて、例えば、既存の回線とガバメントクラウドへの接続回線との二重利用の解消を図ることを始めといたしまして、システム構成の最適化等によりましてコストの削減を図ってまいりたいというふうに考えております。
○堤委員
今お答えにもありましたが、国は、自治体システム標準化によって、二〇一八年度と比較して運用コスト三割減を目指すとされています。その中で、こういった美里町のような事例もあるわけですけれども、今のお答えでは、それは、この美里町のある意味特殊な事情であって、全体としてはそうではないというようなお答えだったかと思いますが、全国約千七百の自治体がシステムを標準化した場合の運用コストについて、毎年どの程度かかるのか、そして三割減は達成できると考えているのか、お聞きいたします。
○河野国務大臣
自治体の情報システムの標準化につきましては、三月に仕様書を確定をして、今、それに基づいてシステムの開発が進んでいるところでございます。
まだ標準、移行して、しているところがないものですから、現時点で見通しを申し上げるのは困難でございますが、この運用経費の三割削減につきましては、クラウド化することによる単純なコストの削減に加えて、技術的に推奨されるシステムの構成に見直す、そのために、サーバーの機能やリソースの適切な見直しが行われる。あるいは、ガバメントクラウド事業者が提供するマネージドサービスを利用することによる、セキュリティーやバックアップの管理が自動化されることになります。また、アプリケーションなどを複数の自治体で共同利用することで費用が按分される。また、国、地方のシステムがガバメントクラウド上に構築されることで運用も効率化される。
様々コスト削減の要素がございますので、これらを勘案して三割の削減というものを目指してまいりたいと思っています。
○堤委員
現時点で見通しが困難という大臣のお答えでしたけれども、例えば、私たちが家を建てるといった場合に、見積りもなく発注するということはあり得ないわけで、もう一度お聞きします。
毎年どの程度かかるのかということにお答えいただいておりません。答弁漏れでございます。ここにつきまして、大臣にもう一度お答えいただきたいと思います。
○河野国務大臣
繰り返しになりますが、現時点で見通しを申し上げるのは困難でございます。
○堤委員
政府としてちょっと無責任ではないかと思いますので、御指摘をさせていただきます。
また、それがなぜ三割減が達成できるのか、私にはにわかには信じ難いと言わざるを得ないわけですけれども、資料一の下線部二にありますように、美里町では通信回線費も増える。以前のシステムであれば千四十万円で済むところが、政府クラウドへの移行により六千万円を超えて、六倍以上に膨らむということです。そのため、政府クラウドと自治体や事業者をつなぐ専用線については、国に対し整備や運用を求める声が出ているとのことですが、この声に応えていただけるのでしょうか。お聞きします。
○楠政府参考人
お答え申し上げます。
御指摘の美里町の例におきましては、通信回線費用が大きく増加している原因は、先ほど申し上げましたとおり、主にガバメントクラウド接続サービスを活用した接続回線に加えて、従来のデータセンターへの接続回線も維持することにより回線経費が二重となっているということが原因となっております。
これは、基幹二十業務を含むあらゆる庁内システムをガバメントクラウド上へ一度に移行することが困難であって、一時的に回線費用が二重となってコストが増大する時期が生じる可能性が高いことから、その経費と現行の回線経費とを比較することとしたものでございますけれども、先行事業における検証を進める中で、通信回線費用も含め、最適な通信回線の在り方について検討してまいります。
具体的には、デジタル社会の実現に向けた重点計画において、将来的な国、地方を通じたネットワークの在り方を見据えつつ、標準準拠システムへの本格移行における当面の接続方法の選択肢といたしましては、LGWANやガバメントクラウド接続サービスを活用した接続を想定し、引き続き具体化を進めるというふうにしておりまして、この方針に従って着実に検討を進めてまいります。
○堤委員
着実に検討を進めてまいるということで、こういった小規模自治体の負担にならないようにお願いしたいと思います。
では、政府クラウドの委託先ですが、これはお隣の福田昭夫議員からも度々質問しておりますように、米国企業四社、グーグル、アマゾンウェブサービス、マイクロソフト、オラクルであると聞いています。
政府クラウドについて、昨年度、令和四年度に米国企業四社に支払った利用料の金額と、今後、約千七百の地方自治体の二十業務等が政府クラウドを利用したと仮定した場合に発生する、毎年米国企業四社に支払う政府クラウド利用料は幾らになると見積もっているのか、お聞きします。
○二宮政府参考人
お答え申し上げます。
ガバメントクラウドサービス提供事業者へ支払う利用料に関しましては、単価契約に基づき、実際に利用した分のみを支払う従量課金制による支払いとなっております。
令和四年度は、地方公共団体のガバメントクラウド先行事業やデジタル庁のウェブページ等で利用したところ、ガバメントクラウドサービス提供事業者に支払った利用額は総額で約四・五億円となっております。
また、今後、地方公共団体の二十業務などのシステムがガバメントクラウド上の標準準拠システムへ移行したと仮定した場合の毎年の利用料についてでございますけれども、ガバメントクラウドを利用するシステムや利用開始時期は各地方公共団体が決定するものであること、また、先ほども申し上げましたとおり、ガバメントクラウドは利用実績に即して利用料が発生する従量課金制でありますので、現時点でお答えすることは困難でございます。
なお、従来、各地方公共団体が個別にシステムを調達、運用していた際に発生した費用と比較をいたしますと、国、地方の多くのシステムが利用するスケールメリットを生かし、利用料の単価がより安いものとなるべく、デジタル庁が交渉していくこと、また、クラウド仕様のシステムにいたしましてガバメントクラウドの機能を効果的に使っていくということで、トータルコストは軽減されると考えております。
○堤委員
具体的な数字はいただけませんでした。本当に幾らになるのか。そして、これは一回契約してしまうとある意味独占になってしまいますので、四社それぞれにといっても、本当に幾らになるのか。引き上げられてしまったら、従量課金制度を使っただけだということですけれども、引上げの交渉にどうやって応じるのかなど、大変懸念があるということを指摘しておきます。
次に、政府クラウドにアップされる情報の内容についてお聞きします。
政府クラウドには、外交や防衛の機密情報はアップされるのでしょうか。もしそうであるならば、外交機密や防衛機密に関するクラウドは海外の企業ではなく日本国内の企業から調達すべきと思いますが、いかがでしょうか。
○二宮政府参考人
お答えいたします。
政府情報システムは、効率性の向上、セキュリティー水準の向上などを図る観点から、クラウドサービスの利用を第一候補としてその検討を行うものとするクラウド・バイ・デフォルト原則に基づくこととしております。
そうした中、政府としては、原則として、セキュアでコスト効率が高く、利用者にとって利便性の高いサービス提供が可能となるガバメントクラウドを活用することとしているところでございます。
他方、御指摘の、安全保障等の機微な情報を扱う場合には特に強い説明責任が求められますことから、機器構成や運用体制などを利用者自らが把握できることや運用面の詳細を管理できることなど、利用者にとっての高度な自律性が重視をされるところでございます。
このため、外交や防衛に関する安全保障等の機微な情報を扱う場合には、ガバメントクラウドではなく、安全保障等の機微な情報等に係る政府情報システムの取扱いに基づきまして、利用者が適切なシステムを選択することとしております。
○堤委員
この米国四社が運営する政府クラウドではないということだと理解しました。
それでは、政府クラウド上には、年収や資産などの金融情報、病歴、処方薬などの健康情報、学歴や資格などの情報、そして、思想信条、犯罪歴などの要配慮個人情報など、他人に知られたくない情報、漏えいすれば悪用されかねない情報がアップされることになるのでしょうか。
政府クラウドにはどのような個人情報がアップされるのか、具体的にお聞かせください。
○二宮政府参考人
お答え申し上げます。
各府省庁及び地方公共団体の情報システムのガバメントクラウドの利用につきましては、順次進められるものでございます。ガバメントクラウドを利用するシステムや利用開始時期につきましては、各府省庁や地方公共団体が決定することでございます。現時点で、具体的に取り扱う情報の範囲について一概に申し上げることは難しいところでございます。
○堤委員
先ほどから、現時点では答えられないということですけれども、こういった大きな政府のプロジェクトを実際に施行していく中で、見取図もなく、試算もなく進めていかれるということについては、非常に、やり方として大きな疑問を感じざるを得ないということを指摘しておきます。
次に、情報漏えいのリスクについてです。
資料二を御覧ください。
東京商工リサーチの調査でございます。上場企業とその子会社の二〇一二年から二〇二二年までの十一年間の事故件数は、累計千九十件に達したということです。漏えい、紛失した可能性のある個人情報は、累計一億二千万人を超え、日本の人口に匹敵するスケールに広がっています。上場企業による公表分だけでこれだけの事故が発生しているというわけでございます。
このほか、上場していない企業や、米国など、先ほどの四社など、海外に拠点を置く企業、行政機関など、様々な組織で事故が起きており、流出した個人情報はまさに天文学的なボリュームに上るとの見方もあるそうです。
後述しますように、米国の企業は欧州でも数々の情報漏えいなどの事故を起こしています。そういう中、政府は、国民全員の個人情報を米国のクラウドに置こうとしているわけです。
政府クラウドの委託先である米国企業四社との契約関係につきまして、個人情報が漏えいした場合、罰金を科したり、損害賠償を請求したりできる内容になっているのでしょうか。あわせて、これら米国企業四社は、個人情報を漏えいするなどの懸念はないのか、信頼できる企業なのか、お聞きします。
○二宮政府参考人
お答え申し上げます。
ガバメントクラウドサービスを提供している事業者との契約といたしましては、通常の業務システム委託契約と同様に個人情報の適切な取扱いを規定しておりまして、正当な理由なくこの契約を履行しない場合、クラウドサービス提供事業者に対して損害賠償請求ができるものと規定をしているところでございます。
そもそも、クラウドサービス提供事業者は、クラウド上で取り扱う各府省庁や地方公共団体の情報につきまして、アクセス制御により当該情報を取り扱わないこととなっているところでございます。
その上で、万一、クラウドサービス提供事業者による不適切な漏えいがあった場合には、ガバメントクラウドサービス提供事業者に対しては、その契約上、日本法に準拠することとしておりますので、個人情報の取扱いに対しては、事案の内容に応じて、個人情報保護法などが適切に適用されるものでございます。
なお、ガバメントクラウドサービスを提供している四社に関しましては、ガバメントクラウドの運営において情報の漏えいが発生したことはございません。そして、ガバメントクラウドの調達に当たりましては、政府情報システムのためのセキュリティー評価制度であるISMAP制度の認証等を取得していることや、第三者監査人による適切な監査を受けていることなどを調達要件としておりまして、クラウドサービス提供事業者において厳格なセキュリティー対策が取られることを担保しているところでございます。
○堤委員
では、自治体のシステムが政府のクラウドに載ってくると、全国の自治体の住民の方々の情報が米国四社に持っていかれるのではないかという懸念の声も聞きます。住民の情報、国民の情報が、本人が知らない間に海外に流れたりするということはないのでしょうか。情報漏えいしないための対策はどうなっているのでしょうか。お聞きします。
○二宮政府参考人
お答えいたします。
ガバメントクラウドでは、データへのアクセス権限は、先ほども申し上げましたとおり、データを保有する行政機関がそれぞれ設定をしておりまして、それ以外の者は、米国四事業者のクラウドサービス提供事業者であってもアクセスすることはできず、各地方公共団体において適切に保全されるものでございます。また、仮に、万が一データへの不正アクセスがあったとしても、暗号化などによりまして、データをのぞき見ることができないようにすることとしております。
これらの保護措置に関しましては、これまでも各府省庁や地方公共団体などの関係者に対して、関連資料の提供や各種説明の場におきまして説明を行ってきたところでございます。各府省庁や地方公共団体の皆様にガバメントクラウドを安心して利用いただけますよう、関連資料や質疑応答集の更なる充実や丁寧な説明を引き続き行ってまいります。
○堤委員
安心して利用してもらえるようにということでございましたけれども、これは私の杞憂かもしれませんが、資料三を御覧いただきたいと思います。
政府クラウドの委託先の一つ、アマゾンウェブサービス、こちらは、アマゾンの一つのビジネスとして二〇〇六年にスタートしたクラウドサービス事業でございます。この親会社ともいうべきアマゾンが、データの取扱いの基本原則を守っていないということで、七億四千六百万ユーロ、およそ九百七十億円を超える制裁金を科すという決定を受けたという報道でございます。
政府は、信頼できるとか、データは暗号化されているというお答えですけれども、本当に大丈夫なのかと思います。恐らく、我が党の、隣の福田昭夫議員はもっと、非常に強い懸念をお持ちなのではないかと思っております。
四点目に、我が国における個人情報保護の強化についてお聞きいたします。
資料四を御覧ください。
欧州における高額の制裁金の事例トップテンのリストでございます。先ほど御紹介したアマゾンへの制裁金、これはルクセンブルクが行ったものでございます。それが制裁金の一番多い、トップでございます。それから、ほかの、アイルランド、フランス、ドイツにおいて、メタ、グーグルなどの企業に対し、多額の制裁金を科すことが決定されております。
このように、EU諸国においては、一般データ保護規則、GDPRに基づいて、それぞれのデータ保護機関が、規制に違反した企業などに対し、前年度売上げの最大四%を制裁金として科すことが可能となっており、実際に多額の制裁金を科すことを決定しています。
一方、日本のデータ保護機関である個人情報保護委員会は、これまで一度も刑事罰や罰金刑を科したことはない、日本企業に対してもと聞いていますが、間違っていないでしょうか。
○山澄政府参考人
お答え申し上げます。
先生御案内かと思いますが、罰金刑、刑事罰等々につきましては、行政機関である我々が直接科すものではございませんで、捜査機関による捜査、検察官による起訴を通じて科されるものでございますので、その適用状況について、私どもが網羅的、完全に把握する立場にございません。
その前提で、私どもが承知しておる限りということで申しますと、個人情報保護法に基づきます刑事罰や罰金刑の適用状況については承知しておりません。
○堤委員
ということですので、法制度を変えて、我が国の個人情報保護委員会においても、EU諸国と同様、やはり前年度売上げの最大四%などの強力な制裁金の制度を導入すべきだと。やはり何かあったときに責任をちゃんと取ってもらうということを担保しておかないと、きちんと我々の大切な国民の情報を守っていただけないんじゃないかと思いますけれども、いかがでしょうか。
○山澄政府参考人
お答え申し上げます。
先生今御発言がございましたEUの制度の課徴金制度というものがあると承知しております。
我が国の一般的な課徴金制度のたてつけ、例えば先行事例で独占禁止法等々ございますが、私ども理解をしておる範囲におきましては、違反行為によって得られました不当利得というものを基準にその額が算定されるというのが我が国法制度の基本的なたてつけであると認識しております。
個人情報につきましては、安全管理措置義務違反による漏えいというように、違反行為がありましても、その利益が幾ら幾らというふうに発生していない場合がございまして、その課徴金、独禁法のような課徴金というものがなじむのかどうかというものについては、よくよく検討が必要だと思っております。
他方、先ほどお答えしたのと若干関連もありますけれども、適用事例のあるないはともかく、違反事例、仮に、万一違反があったときの、その抑止の観点から、令和二年の個人情報保護法改正によりまして、一定の罰金の法定刑の引上げですとか、あるいは法人重科の導入というものを図ったところでございますし、違反事実の公表という制度についての規定を整えたところでございます。
こういうような、我が国なりの、きちっとした抑止力を持つような措置を整備いたしまして、違反する企業が万一にも現れないように実効的な制度というものを構築してきたところでございますので、引き続き、このような形も、手段も含めまして、個人情報、個人の権利利益の保護を図ってまいりたいと考えてございます。
○堤委員
是非、早急に対策を、実効性のある対策を進めていただきたいと思います。
次に、子供データの保護についてです。
資料五を御覧ください。
時間がなくなってきましたのではしょりますが、このように、いろいろなデータ、欧米だけではなくアジアでも、非常に、子供については特に厳しい、大人以上に厳しい取扱いをするようにということを法的に定めたり、規則を作ったりしているというふうに聞いています。
そこで、この子供データの保護の必要性について、政府はどのように認識しているのか、また、諸外国と同レベルにまで規制を強化すべきと考えますけれども、いかがでしょうか。
○山澄政府参考人
お答え申し上げます。
当然でございますが、我が国の個人情報保護法の目的といいます中に、個人の権利利益の保護というものが目的でございまして、子供も当然にしてその権利利益保護というのが最上の目的であります。
先生御提出された資料の中にもありますように、例えば、英国のチルドレンズコードにおきましては、子供の個人データの取扱いに当たって、利用目的等の公表や保護者のコントロールを求めており、また、EUの一般データ保護規則、GDPRでは、子供の個人データの取扱いに当たって、一定の場合には親権者による同意を求めているなど、子供の権利利益の保護を図っているものと私どもも承知しております。
我が国の個人情報保護法におきましても、個人情報取扱事業者が個人情報を取得するに際して利用目的の通知、公表を求めることですとか、子供の個人データの第三者提供等を行う際には親権者等の同意を求めておりまして、これらの規定を適切に運用することを通じて、子供を含む個人の権利利益の保護というものを図ってまいりたいと考えてございます。
○堤委員
我が国では、残念ながら、まだ子供に特化したデータ保護のガイドラインがないと聞いております。子供は、やはり社会経験ですとか知識が大人に比べて浅いので、リスクの判断がなかなか的確にはできない、ありていに言えばだまされやすいということかと思います。そのため、アメリカなどでも子供へのターゲット広告の禁止など、規制の強化も議論されていると聞いています。
また、子供は大人以上に情報漏えいに脆弱であると思います。例えば成績、出欠や健康状態などの個人情報がネット上に流出してしまった場合、進学や就職への影響もあるかもしれません。実害に至らなくとも、精神的に大きなダメージを受けてしまうかもしれません。我が国でも子供に特化したデータ保護のガイドラインを作成していただきますよう要望しておきます。
以上で質問を終わります。ありがとうございました。
当サイトについて
衆議院議員 堤かなめの公式ホームページです。