〇山田太郎君　自由民主党の山田太郎でございます。

昨日に続いて、デジタル化に関しての関連法案の質疑させていただきたいと思います。

まさに、デジタル化の光と影というところを代表質問以来、質疑等させていただいているんですが、ちょっと今日やり方を変えて、前回、二十二問用意しておいて半分も聞かなかったので、実は今日、十六問もありまして、多分最後まで行かないんですが、重要なところから少し。

言いたいことは何かということで、最初、実は結論を言いながら中身について行きたいと思いますが、まず、このデジタル化の光と影というのがあるときに、この光の部分は輝かせなきゃいけないんですが、そのためにはもうデジタル三原則重要だと。先ほど和田議員の方からも、このデジタル化成功のためのいろんな指針等についての質疑もしていただいていましたけれども、デジタルファースト、ワンスオンリー、コネクテッドというのが多分できないと駄目だということだと思っています。

まず、その意味では、一つはベースレジストリーとマスターデータというところを何としてでもやり切らなきゃいけないということで、昨日少し質疑をさせていただきました。その中でも、転出転入ってイロハのイなんですよね。これがとにかく、転出届も出す、転入届も出すということを、ずっと我が国のデジタルガバメントを放置しておいたら、このもうデジタルファーストもワンスオンリーもできないということだと思っておりますので、その辺りは昨日やりましたので、今日はもう一つ、データ利活用と個人情報です。もう一つはセキュリティーの問題と。

データ利活用とこの個人情報の話に関しては、まさにソサエティー五・〇の時代に入ってきたんですけれども、やっぱり影の部分があると。昨日の質疑の中にもありましたが、個人情報をどうやって保護していくのかということは非常に重要だということだと思います。

昨日の質疑をちょっと受けて最初に今日私が言いたいことは、実はこのデータ利活用といった場合に、元々のデータというのは基本的に全部個人情報なんですよね、スタートは。なので、じゃ、その個人がどう特定されないか、あるいは類推されて個人が特定されないか、こういったことが重要でありまして、そうなると、匿名加工情報というのをどういうふうに考えて守っていくかということがもう絶対なるわけであります。これが、結局今のデジタル化の中での評価も変わってしまう可能性があると。

例えば、防犯カメラというのがあるわけですよね。でも、これを監視カメラと言ったら嫌なものです。防犯カメラといえば、エレベーターなんかにも付いていて、防犯、痴漢とかからも守ってくれるかもしれないと。まさにこれ、肖像権の問題もあるので必ずしも個人情報だけの問題ではないんですが、そういった部分。

それから、最近ＧＰＳのアプリがあることによって、コロナでどの街にどれぐらいの人が出ているからということで、対処、対策ができると。元は個人情報のＧＰＳを使っているわけであります。なので、気持ち悪いという人は気持ち悪いと言うけれども、全体ではこれによってコロナの蔓延等を防止する策を取れるということにもなります。

それから、最近、Ｖ―ＲＥＳＡＳなんというのもありますが、どの産業がどれぐらい落ち込んでいるかということで政策を取ったりとか施策をやることができますが、元々はカード情報とかを使っているわけですよね、例えばこういうものを決済しているということなわけです。つまり、個人の、データ利活用というのは基本的に個人情報からスタートしているものであって、個人情報からスタートしているから全部駄目なんだということではない。

ただ一方で、この個人情報が仮名化した場合に、あっ、匿名加工をした場合にですね、匿名加工をした場合に、個人に戻ったりとか類推ができて個人が特定されてしまったら駄目だということをクリアしなければソサエティー五・〇の世界には絶対に来ないということがもう今日一つ言いたいことでありまして、その辺りの詳細の質疑をやりたい。

もう一つはセキュリティーの問題なんでありますけれども、実はセキュリティーの問題に関しては、ＩＳＭＡＰもそうなんですが、外部の攻撃のことばかりちょっと議論されている嫌いがあるのではないかと。セキュリティーというと、目的外利用はされないといったこと、それから漏えいして漏れちゃわないということ、それからもう一つは、事故でそのシステムが止まるとか壊れちゃうとかこういうことがないということが重要でありまして、かのＡＷＳも先般五時間も止まっていたということがあって、そういうセキュリティーの軟弱な部分に関して、乗るということがどうなのかということも含めてしっかり議論していかなければいけない。

そうなってくると、これは前回多分矢田さんの方が質疑されていましたが、設計、開発段階でこういったセキュリティーのことを考えていかないと組み込めていないということになっちゃうわけですよね。つくったものが堅牢かどうかというものは見れないわけでありますから、堅牢につくらなきゃいけないんですが、残念ながら私は、今回見ていると、セキュリティーの対策が、最初の構想のところにあったとしても設計、開発の実際の段階で監査されていないと非常に難しいんではないかと、こういう問題意識を持っておりまして、そういったところをちょっと詳細にミリミリと今日も質疑をさせていただきたいというふうに思っております。

さて、それを踏まえた上で、最初に個人情報保護法ということで、法制ということでやりたいと思うんですが、二千個問題であります。

私は今回、二千個問題を、本当に経年の課題だった、何とかこれを菅政権そして平井大臣の下で、いわゆる条例の凸凹を法律によって安定させるとか一定の水準に整えるというのは本当に画期的なことだったというふうに思っています。ただこれは、国が情けなかったといえば情けなくて、何で各県が条例でそういうのを作っちゃったかというと、国がしっかりその基準となるものを早く出せなかったがために個々の県の事情もあって作ってきてしまったということなんだというふうに思います。

ただ一方で、要は改正後の個人情報保護法と矛盾する規定がある個人情報保護の条例の方の法的な根拠あるいは法的な拘束力というのはどうなっているのかということをもう一度確認しておかないと、いわゆる上書きなのか、どこの部分が無効になるのか、あるいは、今後オンをしていくところというのもあると思うんですが、その今回の法律と各条例との関係、各県は今回の法律を受けて全部きちっと県議会等、市議会等を含めて改正をしなければいけないのか、条例を、その辺りの関係性についてまずお伺いしたいと思います。

〇政府参考人（冨安泰一郎君）　御答弁いたします。

各地方公共団体におきましては、今回の改正法が成立いたしましたら、その改正法の施行までに、既存の条例の全てにつきまして、地域の特性に照らし存置する必要があるものとそれ以外のものとを種別、棚卸ししていただきました上で、必要な条例の改廃を行っていただくことになると考えております。

例えば、既存の条例の規定のうち改正後の個人情報保護法と実質的に同趣旨のものは、存置する必要がなくなることから、各地方公共団体において改正法の施行までに廃止していただくことになります。また、既存の条例の規定のうち改正後の個人情報保護法の内容と矛盾、抵触するもの等につきましては、各地方公共団体においてやはり改正法の施行までに廃止していただくことを想定しております。なお、既存の条例の規定のうち改正後の個人情報保護法の罰則規定と同じ行為を処罰するものにつきましては、二重処罰禁止の観点から、改正法の施行とともに失効させることとさせていただいているところでございます。

〇山田太郎君　次に、ちょっと質疑通告にはないんですけれども、大臣の感想等で聞きたいと思っておるのが、自己情報コントロール権の問題であります。

私自身は、日本も自己情報コントロール権というのをきちっと制定するべきなんじゃないかなという考え方で実はありますが、確かに、私も党内でデジタルのこの方面、それから知財の、著作権の実は責任者としてこの議論をかなりやってきていまして、ＧＤＰＲなんかもしっかりこれまでずっと見てきたりとかしています。

政府が常に答弁されるように、自己情報コントロール権という形の権利を想起させてしまうと、確かに要はそのデータに権利そのものが発生してしまう。そうすると、何のデータも使えなくなっちゃう、あるいは、誰か、どこから発生したのかということによって、私にはその権利があるんだから保障しろということで社会が混乱するかもしれない。そうすると、確かにそのデータ、情報を使うという意味での表現の自由であったりとか、あるいはニュースでそれを使えば報道の自由ということにもなりますし、言論であればそのデータを使うということ自身がポイントになるかもしれない。

日本は、著作権でもって創造性があるものに関しては自然権としていわゆる権利を認めていますが、いわゆるデータそのものに対する権利ということに関しては寛容というか自由であると。ただ一方で、自己情報というものはどうなのか、これはしっかり議論しておくことが必要なわけでありまして、仮に自己情報コントロール権という言葉が、そういうあたかもデータに全ての個々人の発生する権利があるのであるということでは混乱するのであれば、自己情報コントロールということでもいいので、その辺りですね。それは実は何かというと、自分が発信した情報に関してどこで使われているかを知る権利であったりとか、それをコントロールできる、つまり消したりとかですね。

特に、エストニアなんかが一つモデルというふうにもなると思うんですけれども、その辺り、自己情報コントロール権にまつわるところに関して、大臣の方から、今後の在り方、多分検討を個人情報保護法との関連においてもするべきだというふうに思っておりますので、是非御答弁を、済みません、質疑通告なかったんですけれども、平井大臣ならきっとできると思っておりますので、よろしくお願いします。

〇国務大臣（平井卓也君）　この自己、自分で自分の情報をコントロールするということができるようにするという話は、官民データ活用推進基本法を制定するときに、これももう与野党一緒になって議員立法で作った法律ですけど、さんざんいたしました。

これ、確かに自己情報コントロール権と言ってしまうと、憲法上の権利として認めるかどうかというようなこともまた司法の場で判断しなきゃいかぬということだと思うんですけど、我が国の最高裁は現時点において自己情報コントロール権を憲法上の権利としては認めていないと私は認識しています。しかし、自分の情報に対して関与して開示とか訂正とか利用停止請求ということは個別に今回その規定を設けているということですから、実質その当時議論していた内容はこれで担保されているだろうというふうに思っています。

何せ日本の内閣法制局等々は、このコントロールという言葉を法律用語として使うかどうかというようなこととか、まあいろいろあると思います。ただ、日本は、この実質的に個人が関与できるということにおいては、自己情報は自分の関与の下にあって一定のことはできるんだということは今回の法律でも明らかになっていると思います。

〇山田太郎君　今の大臣の答弁、非常に重要でありまして、今回の個人情報保護の要諦としてのいわゆる自己情報に関する扱いは、自分で簡単に言うとコントロールができるということで、つまり、いわゆる財産権であったり人格権ということではないんだと。

この辺りは確かに切り分けないと、この権利というのが独り歩きをすると、発生された個人に全ての権利が発生してしまって他人が全く使えないとか、何かグラフを作ったら、グラフそのもののデザイン性とか意匠性とかというのは権利があるかもしれませんが、データそのものというのは人類共通の財産というか泉のようなものなんだというふうに整理をしておかないと、確かに社会は混乱するかなということがありますので。

ただ、これまで政府もその辺りの説明も私はちょっと下手だと思っていて、いや、一見すると、私もそうなんですが、自己情報コントロール権というのはきれいだし、確かに欲しいんですね。ただ、それが裏腹にある問題点というところをやっぱりきちっと整理して、きちっと国民に、ただ、とはいうものの、自己情報コントロール権ではないけれども、その自分の情報は、今大臣が答弁されたようにコントロールすることはできる。個人情報保護という観点からいうときちっと保護される、個人も関与できるということははっきりできたんじゃないかなというふうに思っております。

さて、次に、このデジタル分野というのは、これ今回の二千個問題もそうなんですけれども、ある例えば条例等を作ると、ある県は非常に厳しくて、ある県は非常に緩いというようなこともあります。二千個問題というのはまさにそういうことだったということでありますが、例えば各条例で、あるところで、例えば最近、香川県なんかでゲーム規制みたいな話が条例でできました。これ、オンラインゲームなんていうことになると、ある県では、これ作った人が、そこの県で使われている、香川の子供が例えば買うとか使うとかということは想定できないというか、分からないわけですよね。

つまり、デジタル化というのは、いわゆるそれこそ地域とか国境を越えるわけでありまして、そうなってくると、デジタル化による法律と今後の条例制定権、あるいは条例制定の問題というのは、少し整理をしておかないと、新たな第二、第三の二千個問題ということが多分考えられるんではないかと。

ということで、憲法上は、御案内のとおり、条例は法律の範囲の中で作れるということになっております。どっちが上とか下という議論ではないんですけれども、その上書き権というのか、あるいは法律と条例との関係に関して、是非この辺りも御答弁いただきたいと思います。特にデジタル化に関しての件でお願いします。

〇政府参考人（冨安泰一郎君）　御答弁申し上げます。

先生御指摘のように、地方公共団体が法律の範囲内で条例を制定することができるとされており、改正後の個人情報保護法の下における条例の制定につきましても、この基本的な考え方に即して判断されることになると考えております。

今回の改正におきましては、全ての地方公共団体に適用される全国的な共通ルールを法律で規定するものでありますが、この共通ルールは、個人情報保護の全国的な最低水準を設定するだけでなく、保護と利活用の適正なバランスを実現するための標準的なルールを定めるものと考えております。

このような法全体の趣旨に照らしますと、改正後の個人情報保護法におきまして、条例で独自の保護措置を設けることが認められるのは、地域の特性に照らし特に必要がある場合に限られると考えております。具体的には、例えば、地域の特性に照らし特に配慮が必要と考えられる個人情報を当該団体において要配慮個人情報と同様に取り扱うことは、条例による独自の保護措置として認められるものと考えております。

なお、予測可能性を確保する観点から、現行の地方公共団体の条例の規定のうち、改正案の施行後も地方公共団体の独自の保護措置として規定を置くことが想定される事項につきましては、改正案の中で明文の規定も置いているところでございます。

〇山田太郎君　ありがとうございました。

次に、セキュリティーといったところについて行きたいと思っています。

ＩＳＭＡＰの話を少ししたいんですが、表を今日はお配りしていますので、ちょっと済みません、大量のデータがあってですね。一ページのいわゆる上段というところを見てほしいんですが、これが、ちょっと分かりにくいんですけど、ＩＳＭＡＰ管理基準の全体像ということであります。

まずちょっと、ＩＳＭＡＰというのは、そもそもどの機関が定めた基準で、どの分野のシステム、どういった事象を対象として、どの機関が運用していくのかということも教えていただきたいと思うんですね。

私がちょっとこのＩＳＭＡＰについて問題があるなと思っているのは、アプリケーションのセキュリティーとかデータのセキュリティーとかネットワークのセキュリティーとか、特に契約のリスク、こういったものをちゃんと包含して見ていないんではないかと。セキュリティーをする人の振る舞いというんですかね、そういった人としてのコントロールと、あとインシデントが発生した場合の対処と方法についてはきちっと監査の対象は書かれてはいるんだけれども、そのいわゆるネットワークだとか提供する、乗っかる、例えばアマゾンのＡＷＳとかマイクロソフトのＡｚｕｒｅだとか、その製品そのものの品質であったりだとか、それが、先ほども申し上げたように、事故、つまり壊れたりとか止まったりしないんだろうかとか、そういった話をきちっと、そのシステムやネットワークに対する堅牢性とか脆弱性というのを見ているのかどうかと。

私、ＩＳＭＡＰクラウドサービスリストの詳細というのも見させていただいて、かなりいろんな会社のは見たんですけれども、そういったところに関する監査等の記述がないんですね。

そういった意味で、是非その辺り、ＩＳＭＡＰあるいはそのセキュリティーの監査、管理だけで大丈夫なんだろうかという辺りを是非御答弁いただきたいと思います。

〇政府参考人（江口純一君）　お答えいたします。

御質問のあったＩＳＭＡＰ、政府情報システムのセキュリティ評価制度でございますけれども、クラウド・バイ・デフォルト原則を踏まえまして、クラウドサービスの導入を加速するという、このために、国際レベルでの管理基準に基づいて、第三者による監査のプロセスを経て安全性が評価されたクラウドサービスを登録する制度ということになっております。

この制度につきましては、内閣官房の内閣サイバーセキュリティセンター、ＮＩＳＣ、あとは、私どもでございますが、ＩＴ総合戦略室、あとは、総務省、経済産業省が共同で立ち上げた制度でございまして、管理基準の策定や制度の運用はこれらの府省で共同して担っておるというところでございます。

管理基準につきましては、情報セキュリティーに関する国際基準でございますＩＳＯの基準というものをベースといたしまして、米国の類似制度でございますＦｅｄＲＡＭＰと申しますけれども、このような制度も参考にしながら策定をしたところでございます。

具体的に申し上げますと、アプリケーションへの適切なアクセス制御や、不正なログオンからの保護、さらにはマルウエアの検出、予防、暗号化によるデータの保護、ゲートウエアの設定によるネットワーク間のアクセス制御などの管理基準に基づいて、第三者の監査を通じてクラウドサービスの安全性を評価をしておるところでございます。

これによりまして、各府省におきましては、原則ＩＳＭＡＰに登録されたクラウドサービスを調達するということができることになりまして、制度上確認された安全性を確保できるということの一方で、ＳａａＳなども含めまして各府省が調達するサービス内容は多様であるということから、個別の調達時の契約に伴うリスクなどにつきましては、各府省において調達時に適切に判断をして対応するということとしておるというところでございます。

〇山田太郎君　一番最後の答弁のところがすごく気になるというか、問題じゃないかなと思っておりまして、結局、政府が何と言っているかというと、個別の調達時の契約に伴うリスクなどは各府省が調達時に適切に判断して対応していくと、こうおっしゃるんですけど、それじゃ、何のための政府の統一基準なのか分かんないよねと、こういう話なんだと思うんですね。

実は、今ＦｅｄＲＡＭＰだとかいろいろ話出ましたが、私もそこ専門でやっていましたので、ＩＳＯの２７０００の基準であったりとか政府統一基準というのは、マネジメントとか、先ほどから言っているようにプロセスの部分を見ているだけなんですよね。ＦｅｄＲＡＭＰも同じです。技術やソフトウエアの中身を見ていないということと、もう一つ、資料の二ページの左側見ていただきたいんですが、これも昨日、矢田さんも出されていたんですけれども、指摘されていました。実は、デジタル庁ができた後、ＮＩＳＣとの関係がどうなるのかということで政府が出している資料なんですが、設計、開発段階で何も見ていないということなんですよね。各府省がつくった、中心につくっているところもあるんだから、その各府省が勝手にやってということでは、そここそ監査をしないと、先ほど言ったセキュリティーにおける漏えいとか事故、もしかしたら目的外利用につくれるようにソフトウエアが組まれているかもしれないというような内容に関しては全く監査できていないんじゃないかと。

驚くべきことは、これ、ＩＳＭＡＰの登録受けるために、監査法人の手数料、私も元々監査法人いましたけれども、二千万から三千万以上という話もあって、これだけの詳細情報と書いてあるのをちょっと拝見させていただいたんですけど、これが二、三千万する内容なのかというふうにもう正直思っておりまして、やるんであれば、ここはしっかり徹底をして、設計、開発段階においてもセキュリティーレベル、このセキュリティーの意味が単に外部からの攻撃であったりだとか人の振る舞いということだけではなくて、そのシステムや仕組みの堅牢性とかそういったものということで、漏えいしないのかどうか、事故が起こらないのかどうか、そこまでしっかり見るべきだと思いますが、改めて政府から答弁いただきたいと思います。

〇政府参考人（江口純一君）　お答えいたします。

デジタル庁におきましては、ＮＩＳＣとも緊密に連携をいたしまして、情報システムに関する整備方針においてサイバーセキュリティーを含めた基本方針というものを示すこととしております。

その上で、システムの設計、開発の段階におきましては、デジタル庁におきましては、セキュリティー・バイ・デザインの考え方の下、当該方針に基づいてシステムの設計、開発を進めるとともに、プロジェクトを推進するチームとは別に、専門知識を有する人材が中心となって、設計、開発段階において整備方針に沿っているかを確認しながら進めるというような体制を構築をしていくということを考えておるというところでございます。

さらに、デジタル庁にセキュリティーの専門チームを置いてシステムの検証、監査を実施するとともに、ＮＩＳＣの監査を受けるということとなっておりまして、こうした取組を通じてデジタル庁システムのセキュリティー確保を図ってまいりたいというふうに考えております。

〇山田太郎君　私もコンサルティング会社にいまして、この辺のシステム開発に関しては開発中もきちっと外部の監査を受けるようなことをする仕組みというのもあります。

今回のＣＯＣＯＡに関しても、それから直前になって延期になった健康保険証とマイナンバーの連携ということに関しても、何で問題が起こったかというと、その後の漏えい等々じゃないんですね。システムの開発段階からもう想定されるリスクがあって、それによって止まったりとか、そもそも、このままじゃ情報が漏えいしてしまうような仕組みを健康保険証とそれからマイナンバーカードの方は抱えていたということでありまして、多分、そのまま運用したら、その後、ＮＩＳＣさんは出てこられたんだろうと思いますけれども、データが漏れたということで、インシデントで。

だけれども、結局はどこに問題があったかというと、やっぱり設計、開発段階なんですよね。ここをきちっと見ていくということを何度も、べきなんじゃないかということを何度もお願いをしておりまして、私は与党の中でもここは重要だということをずっと口酸っぱくして言っているんですが、なかなかですね、指針、方針を作るのが我々の仕事なんだということにとどまっておりまして、是非この辺りは今後きちっと検討してもらいたいと、こういうふうに思っております。

大臣、済みません、その辺りもお願いします。

〇国務大臣（平井卓也君）　セキュリティー・バイ・デザイン、そしてサービス・バイ・デザイン、これ基本的にデジタル庁が考えているセキュリティーのといいますかシステム開発の方針なんですが。

委員の問題意識は私も共有しています。でも、一方で、このＦｅｄＲＡＭＰもＩＳＭＡＰも物すごいコストが掛かっているということで、クラウドサービス事業者ならともかく、ＳａａＳの事業者にとってもとんでもない高い、要するに監査の費用が掛かってしまうというようなこと、これも一つ問題だと思います。

そして、今言っていたその委員のリスクというようなものが、これだけ高いお金を払っている割に担保されていないんではないだろうかということだと思うんですけど、こういうこともやっぱり不断の見直しが今後必要だろうというふうに思っています。

デジタル庁は、この分野の専門家、何人かはもう既に確保しておりますが、これからここを、人材を厚くしていこうというふうに考えておりまして、そういう意味で、これも、これからそういう形でその組織を整備していくということでございますが、問題意識はもう共有しているということでございます。

〇山田太郎君　ありがとうございます。九月からデジタル庁発足ですから、その後も体制と仕組み、しっかりいいものをつくっていくべきだと思っております。

さて、次は、セキュリティークリアランスの問題なんですけれども、まあ身元調査っていうんですかね、いわゆる機密情報に対するアクセスということで、日本の公的個人認証というのは、よくオーセンティケーションというんですけれども、誰の何べえがというのはあるんですが、そもそもその人は資格としてこの情報に接触していいのかどうかということに関しては非常に弱いと思っております。

後で資料出てきますけど、アメリカなんかだと、安全保障の観点からもＰＩＶというのがあって、クリアランスの仕組みというのがつくられているんですが、是非これ、各府省に情報の格付とか取扱制限に応じた対策を講じるということだけじゃなくて、国全体としてこういったものに取り組むというふうにするべきだと思いますが、この辺りいかがでしょうか。

〇政府参考人（江口純一君）　お答えいたします。

先生御指摘のセキュリティークリアランスでございますけれども、この制度を取り入れるということに関しまして、現時点においてＩＴ総合戦略室として検討しているということはまずはございません。今先生おっしゃったとおり、情報システムにおいて取り扱う機密情報につきましては、その情報を扱う府省ごとに情報の格付や取扱制限に応じた対応をするということとされております。

このようなことに基づきまして、引き続き重要な情報資産をしっかりと保護するために、必要な様々な対策について関係府省とも連携をして検討してまいりたいというふうに考えております。

〇山田太郎君　もう、これもう大臣にお願いするしかないのかなと思っておりますけれども、政府はクリアランスについては検討の予定がないとおっしゃっているんですけれども。

ちょっと資料を、一ページの下の段を見ていただきたいと思うんですが、日本におけるトラストサービスというのがどうあるべきかといったときに、これ慶應大学の先生の資料、手塚先生の資料を参考にさせていただいていますけれども、一つは、デジタル安全保障という意味においては、アメリカは先ほど申し上げたセキュリティーのクリアランスでもってＰＩＶとかいう仕組みがあります。デジタル社会保障という意味では、ｅＩＤＡＳということで、ここは法制化の検討をしているということを聞いておりますが、今言ったクリアランスのことについて、私はきちっとやるべきだと。

一方で、右下なんですけれども、特に国家技術標準機関というところが日本は想定されていないということでありまして、これはＥＵもアメリカもあるんですね。これ何かというと、先ほどのクラウドであれネットワークであれ、あるいは今後の量子コンピューター、暗号化の技術であれ、どのレベルのものを国家としてはきちっと品質として担保していくべきなのか、どういう方向を見ていくのか、こういった専門の機関がもう各国は必ずあるわけでありまして、きちっとシステムの堅牢性とか脆弱性とか拡張性、パフォーマンス、こういったものを見ていかないと、結局、つくったけどまた壊れちゃった、つくっちゃったけどちっとも重たくて動かない、こういうことになっては仕方がないと思います。

電子署名法に基づいて暗号の強度ということはやっていらっしゃると思うんですが、それ以外の、本体そのものですよね、それについて、私は、国家技術標準局というようなものを日本のトラストサービスの中にも、これデジタル庁さんの中に是非つくっていただきたいと思いますが、答弁いただけますでしょうか。

〇政府参考人（二宮清治君）　お答え申し上げます。

委員御指摘のとおり、トラストサービスにつきましては、安心してサービスが利用されるために一定の技術的要件を満たしていることが必要でございます。また、先ほど御指摘の電子署名法におきましては、国が暗号の強度などの技術基準を定めるとともに、指定調査機関がその基準に基づき認証事業者の調査を行ってきているところでございます。

デジタル庁発足後は、こういった電子署名法を始めといたしました情報の真正性等を担保するデジタル基盤を担う制度につきましてはデジタル庁が所掌することとなります。電子署名法等の技術基準についてもデジタル庁が所掌するということになります。

他方、お尋ねの技術標準全般を一元的に検討する組織ということでございますけれども、こちらにつきましては、現在のデジタル改革関連法案には含まれてございませんが、今後、デジタル庁ができ、もろもろの活動をしていく中で、必要に応じて検討されていくものと承知をしてございます。

〇山田太郎君　まさにデジタル敗戦というような言葉から議論始まっているんですけど、多分、こういうところを整備しないとまたデジタル敗戦になっちゃうんじゃないかという危惧がありますので、今、今後検討していくべきだという議論もありましたから、是非大臣の方も引き続きよろしくお願いします。

さて、デジタル庁の役割というところで残した時間質疑させていただきたいんですが、資料の三ページとちょっと二ページをにらみながら見ていただきたいんですけれども、特にまず三ページを先に、済みません、見ていただきたいと思います。

今回、デジタル庁が関与するシステムの範囲ということなんですけれども、国のシステムは当然全般としてデジタル庁さんは見ますと。ただ、独法の仕組みについては、国の交付金が交付されていないものについては、指導、助言はするが、関係ないというスタンスなのかなと。地方公共団体のシステムに関して、ここがちょっと問題に今後なると思うんですが、国の補助金が交付されているシステム以外のものについては関与しませんと、こういうようなことだと思っております。

今回、国と地方の仕組み、あるいは、国であろうと地方であろうと、国民から見れば、まさにいわゆるデジタルファーストという意味では閉じているわけでありますから、この税金の観点が、いや、地方であるとか、ここは国税であるとかなんということは、結局、これを許していたら結局また別々の仕組みになりかねないということで、ここを果たして見なくていいのかなと。もちろん、地方自治との関係もあるので、そこの整理は必要だ、だから条例と法律の制定権の話は少しさっき触れたんでありますけれども、ここをちゃんとクリアして、私は、地方公共団体のシステムに関しても、デジタル庁がまさにデジタルファーストの論点からもきっちし見ていくべきだということが重要だとも思います。

それと、もう一つ気になっているのが、二ページの右上なんですけれども、今回、まさに国のシステムということで十七業務のところの見直しというのをやるんですが、一方で、これはベースレジストリーのマスターのところに非常に関与してくる戸籍のシステムというのが射程外なんですね。ということで、これは範囲に入れないと駄目なんじゃないのというふうにも思っております。

その辺り、要は、地方公共団体の仕組みや今回の戸籍に関する仕組みをきちっとちゃんとデジタル庁はカバーしていくべきだと、全体として、デジタルファーストにおいてはカバー領域をきちっと全般にわたって見ていくべきだと思いますが、この辺いかがでしょうか。

〇政府参考人（冨安泰一郎君）　御答弁申し上げます。

デジタル庁におきましては、国、地方公共団体、独立行政法人、準公共分野の民間事業者の情報システムの整備及び管理の基本的な方針の作成及び推進を担うこととしております。この基本的な方針は、デジタル庁の予算一括計上の対象となる情報システムを始め、国、地方公共団体、独立行政法人等の情報システムを対象とするものであり、この中で、ベースレジストリーの整備や情報連携の活用など、各種の原則を記載してまいりたいと考えております。

先生がおっしゃいましたように、国が交付金や補助金を支出する地方公共団体や独立行政法人のシステムにつきましてはデジタル庁が統括、監理するということにしておりますが、それ以外のシステムにつきましても、ただいま申し上げました整備、管理の基本方針をデジタル庁は推進する立場でございますので、地方公共団体や独立行政法人が整備、運用するシステムの実情をよく把握した上で、当該方針に準拠していただけるよう丁寧に御説明してその浸透を図るとともに、必要な技術的支援などを行ってまいりたいと考えております。

また、戸籍等についてのお話がございました。

現時点で、システムの規模が大きく業務間での連携が、地方のですね、地方の業務の中でシステムの規模が大きく業務間での連携が行われている十七の基幹業務のほかに、十七の基幹業務に付随又は密接に連携する業務を今システムの標準化等の対象として予定しております。今申し上げましたその十七の基幹業務等につきましては、さらにガバメントクラウドを利用する予定としておるところでございます。

戸籍業務等につきましてガバメントクラウドを利用するかどうかにつきまして、今後、地方自治体の意見なども踏まえ、制度所管府省と協議しながら整理してまいりたいと考えているところでございます。

〇山田太郎君　是非、各地方のものであったとしても、例えば防災に関する仕組みも、自治体個別システムの七業務として避難者支援だとか避難行動支援等の情報ということが位置付けられていて、これでは防災の全国的なプラットフォームは私はつくれないと思いますから、この辺りの所管におけるところと射程のところというのは、もう一度しっかり議論をされてもいいんじゃないかなというふうに思っております。

さて、時間もなくなってきましたので、もう一つ、ガバメントクラウドの構築に関して、国産クラウドの採用という辺りですね。

安全保障とか国内産業の育成の観点も含めて、何とか国内のクラウドをいわゆる立ち上がらせたりできないだろうかと。もちろん、優先的に利用するというのはＷＴＯだとか各条約等の関係でもって難しい面があることは重々承知しているんですが、少なくとも国内産業の育成という部分に関してはできるんではないかというふうに思っております。

とはいうものの、先ほどちょっと和田さんの質疑にもつながるところあるんですが、国内だといっても、ＬＩＮＥは日本の企業なのかどうかとか、こういう論点もありますし、一方で楽天も、最近、中国ＩＴ大手のテンセントの子会社が三月に大株主となったと。もちろん所有と経営の分離という考え方もありますので、必ずしもそれをもってどうだということではないのかもしれませんが、ただ、国内におけるいわゆるクラウドの採用。

それからもう一つ、時間もないので、政府のデータセンターというのを四月の十二日に成長戦略会議において発表されています。この辺りもこれからやっていくというのは非常に期待もあるし、それを前提として今後のいわゆる国内のデジタルクラウドの在り方ということがいろいろ変わってくると思いますので、その辺り、国産、国内、こういった課題、論点、是非答弁いただきたいと思います。

〇政府参考人（冨安泰一郎君）　御答弁いたします。

ガバメントクラウドにつきましては、複数のクラウドサービス事業者が提供する複数のサービスモデルを組み合わせて相互に接続する形態を取る予定としております。

その際、選定基準を設けるわけでございますけれども、不正アクセス防止やデータ暗号化などにおいて最新かつ最高レベルの情報セキュリティーが確保できることですとか、クラウド事業者間でシステム移設を可能にするための技術仕様等が公開され客観的に評価可能であることですとか、現在ＩＴ室において策定中でございますけれども、そういった技術要件等を全て満たすことなど、そういったことを、基準を満たしていただくことを考えておりまして、こういった基準を満たしていただければ、国際企業か、あっ、国産企業か外国企業かであることをもって排除するということはないということで考えております。

いずれにしましても、最新動向を注視しつつ、慎重かつ適切に対応してまいりたいと考えております。

また、データセンターでございます。

政府といたしましては、クラウドサービスの選定において、セキュリティーに関する対応に加え、我が国の法律及び締結された条約が適用される国内データセンターと我が国に裁判管轄権があるクラウドサービスを採用候補とすることなどを基本方針としており、こうした対応に契約、開発、運用などを含め、国によってしっかりと統制できることが重要であると考えております。

また、先日の成長戦略会議におきまして大臣より、データセンターについて、各府省がそれぞれ独自のシステムを整備、運用している現状から脱却し、グリーン社会の実現、事業継続計画、ＢＣＰ、セキュリティーの確保の観点から、段階的に最適化を図るという方針を出されたところでございます。

政府情報システムにつきましては、クラウドサービスの活用を原則としておりますが、クラウドへの完全移行までの工程、機密性の高いデータの管理やデータのバックアップの方式などを含め、データセンターの整備に向けて具体的な検討を進めてまいりたいと考えているところでございます。

〇山田太郎君　時間になりました。

やっと政府の方も、これだけ私が何度も何度も言ってきたので、契約に関しては考える必要があるという答弁になりましたので、この辺りも是非セキュリティーの論点からもきちっとやっていただきたいと思います。

本日はこれぐらいにしたいと思います。ありがとうございました。