マイナンバーはいらない

post by nonumber-tom at 2018.8.25 #230
日本年金機構 SAY企画 再委託

年金
「再委託」問題はどうなっているか

 マイナンバーを含む年金書類のデータ入力が、日本年金機構の知らないところで中国の業者に再委託されたことが2018年3月に発覚し、大きな問題になりました。その後6月4日に調査委員会の報告がありましたが、国会の厚生労働委員会は課題山積で調査結果についての検証は深まりませんでした。参院厚労委の福島みずほ委員から、この問題を追及する質問書が出され、その答弁書で新たな事実が明らかになりましたので報告します。

» 質問主意書と答弁書
» 質問と答弁の対比整理

▲クリックで別ウィンドウに拡大表示
 2018年3月に発覚した、年金の扶養親族等申告書のデータ入力が契約や番号法に反して不正に再委託された問題について、6月4日、年金機構の調査委員会による報告書(年金機構調査報告書)1 、およびそれに関連するIBM調査報告書・TIS検証報告書などの資料が公開されました 。  

右の画像をクリックして「再委託」問題の経過を確認してください

 

問題の多い年金機構調査報告書

不正に再委託された情報にマイナンバーが含まれていたか

 データ入力を委託されたSAY企画から年金機構が知らないところで中国の業者に再委託された情報に、マイナンバーが含まれていたかについて、政府や年金機構は再委託された情報は氏名とフリガナだけと説明してきました。
 その根拠は、再委託発覚後に年金機構のセキュリティ対策を委託している日本IBMが行った調査の報告(IBM調査報告書)ですが、国会ではそのIBM調査報告書は結論ありきで根拠が不明と指摘され、報告書を別の業者で検証することが答弁されていました。
マイナンバーが含まれていなかったと確認する根拠は示されなかった
 6月4日の年金機構報告書と同時に、IBM調査報告書およびそれに対するTIS株式会社による検証結果(TIS検証報告書)3 も公表され、そのTIS検証報告書では、「氏名とフリガナのみであったとの結論は信頼性があると評価できる」と結論づけています。
 しかしこの検証結果のはじめには、
 日本IBMの調査開始時点において、すでに再委託業務は終了しており、再委託期間に遡った調査に必要なログ取得などを十分に行うことができない状況であったと推察される。また、海外にある再委託先事業者に対する調査については、再委託先事業者は機構と直接の契約関係にはなっておらず、第三者としての協力依頼であり、情報の取扱いに係わる情報セキュリティ対策と関係作業の運用実態の調査範囲には、制約があったものと考えられる」(TIS検証報告書 p.3)
 と書かれています。調査できた範囲では調査方法は妥当だったとしているだけで、マイナンバーが含まれていなかったことを断定する根拠は確認できませんでした。

マイナンバー業務を外部委託して大丈夫か

 マイナンバー法では、発注元である年金機構の許諾・監督のない再委託を禁止しています。今回の問題は、マイナンバー関連業務の委託の危険性を示しました。年金機構の水島理事長は3月29日の参院厚労委員会で、
 ... 私は、外部委託に関しまして、やるべき外部委託とそうでない外部委託というのはあるというふうに思っております。
 特に、特定個人情報、マイナンバーでございますが、このように極めて重要な個人情報を取り扱う状況の中で、果たしてこのような業務が、マイナンバーを取り扱う業務について完全に外部委託をしてもいいかどうかについては慎重な検討を要するというふうに考えておりまして ... (参院厚労委会議録4 p.4、3段3行)
と、マイナンバー関連業務の外部委託そのものに疑問を表明していました。国会審議では与野党を問わず、年金機構の外部委託に危惧が示されていました。
不十分な外部委託の見直し
 しかし日本年金機構の調査報告書は、この渦中の責任者の重い実感に反して、
 マイナンバー(特定個人情報)の導入といった機構発足後の状況変化や、外部委託を推進してきた機構の近年の業務実施上の課題にかんがみ、・・・・・・これまで機構が進めてきた上記の業務における外部委託の活用には、一定の合理性があり、基本的な方向は適切である。」(年金機構調査報告書 p.29)
と外部委託を肯定しました。
 ただ今後の外部委託の方向として、コスト削減重視から業務の正確性とサービス向上への転換や、機構が用意した場所で委託業者が作業する「インハウス型委託」の推進などの改善策を示しています。この指摘は、マイナンバー関連業務のアウトソーシングの風潮に対する警鐘です。

個人情報保護委員会や特定個人情報保護評価はどう扱われているか

  年金機構は、2018年1月22日になって個人情報保護委員会に、不正な再委託が行われたことを報告しました。1月はじめに再委託を確認していながら個人情報保護委員会への報告が遅れたことについて、年金機構調査報告書は「個人情報保護委員会に対しても適切に報告される必要があった。」(p.10)と指摘しています。
 しかし1月22日の時点は日本IBMが中国の再委託先事業者の調査をした1月31日(〜2月2日)の前で、年金機構も厚労省も個人情報保護委員会も、数百万人分のマイナンバーが中国の業者に漏えいした可能性に不安を抱いていた時期です。この時点で委託業務を停止して徹底的に事実解明をすべきでしたが、調査報告書ではその指摘はしていません。
 年金機構調査報告書では、年金業務の「特定個人情報保護評価書」では「再委託しない」となっていたのに再委託がされていたという違反について、まったく書かれていません。また「中国の関連事業者への再委託については、……年金個人情報の流出は確認されていない。」(年金機構調査報告書 p.9)と繰り返していますが、不正に提供された年金受給者の「氏名」も年金個人情報です。報告書は、ことさらに事態を軽く印象づけようとしています。

質問主意書の構成 ── 4つのポイント

 参院厚労委の福島みずほ委員から、「日本年金機構の情報連携と業務委託並びにマイナンバーの利用と個人情報保護に関する質問主意書」が7月18日に提出され、7月27日にその答弁書が送付されました。参議院のサイトに質問主意書と答弁書が掲載されています5 6
 質問主意書では、大きく以下の4点を質しています。
  1. ① 日本年金機構との情報連携の抑止について
  2. ② 機構のマイナンバー関連業務の委託について
  3. ③ 機構のマイナンバーの利用について
  4. ④ マイナンバー制度の個人情報保護措置について

① 日本年金機構との情報連携の抑止について

情報連携の「延期」の理由は、不正再委託の発覚だけではない

 3月22日に内閣府と総務省は、年金機構などからの要請を受けた形で、自治体や関係機関に年金の情報連携の「抑止」を通知しました7 。
 通知では、今後年金関係の情報連携を開始するに当たって解決すべき課題を、3点あげています。
  1. (1) 機構の業務管理面の課題
    機構の外部委託業者の業務が適切でなかった事案があったことを受け、機構において外部委託事業者に対する監督体制の在り方の見直しを図る必要がある。
  2. (2) 機関間試験において把握された課題
    機構等と地方自治体等との間での機関間試験において、一部の事務手続について、適切に情報照会できない不具合が起こることが判明している。
  3. (3) 情報照会機関における事務運用に係る課題について 年金制度は複雑であり、かつ、年金額に関する情報については、情報連携で提供される情報項目が極めて多く、その解釈も難しいことによる地方公共団体等の情報照会機関における事務運用上の懸念がある。
 質問主意書ではこの内閣府・総務省の通知をふまえた質問として、以下の5件について回答を得ています。
(1) 機構の業務管理面の課題
 機構が何をどのように見直せば情報連携の抑止の解除が可能かについては、機構において調査委員会報告書に沿った取組が確実に実施され、少なくとも厚生労働省による検証及び個人情報保護委員会による確認が必要 と答弁しています。

延期したのは「不具合」「事務運用上の懸念」があったため

(2) 機関間試験において把握された課題
 機関間試験でわかった「不具合」とは何か、不具合をいつまでにどのように解決する予定かについては、年金関係情報連携の対象となる事務手続の一部について、過去の年金関係情報を照会することができない不具合で、原則として平成30年11月に修正を行う予定 としています。
(3) 情報照会機関における事務運用に係る課題について
 「情報照会機関における事務運用上の懸念」とは何か、また原因が「年金制度は複雑であり(中略)提供される情報項目が極めて多く、その解釈も難しい」ことであれば、情報連携の「抑止」ではなく情報連携の「見直し」が必要ではないか、との指摘については、以下のように「見直し」が必要とは考えていない と答弁しています。
…(この「懸念」は)情報照会機関が行う年金関係情報連携の対象となる事務手続について、従来の年金支給額決定通知書等の書類を用いる方法から、年金関係情報連携により提供される年金関係情報を利用する方法に変更しても、当該事務手続を円滑に運用することが可能であるかということについてのものであり……業務マニュアルを作成し、情報照会機関に対して提供すること等の必要な支援を行う予定であり、御指摘の「見直し」が必要とは考えていない。
(4) 情報連携抑止期間中の試験などの準備について
 情報連携が抑止されている間は、機関間試験など情報連携の準備も行われないのかの質問には、抑止している期間においても機関間試験を行うことは可能 と答弁しています。
(5) 情報連携抑止解除の時期について
 情報連携の抑止の解除を行うことができる時期については、現時点において未定 と答弁しています。

安易、拙速な年金情報の情報連携開始は許されない

 この答弁書により、延期されている年金情報の情報連携を開始する際は、少なくとも厚生労働省による検証や個人情報保護委員会による確認が条件になることが明らかになりました。連携開始前には、これら検証結果の市民への公開と意見聴取が最低限必要です。
 しかし不十分な調査委員会報告書に沿った取り組みをすれば、情報連携を開始して大丈夫とは言えません。今回の答弁の上記 (2) や (3) で、事前のテストで不具合があったことや、提供される年金情報の解釈が難しく情報を受けた側で誤るおそれがあるという「事務運用上の懸念」があることもわかりましたが、情報連携そのものを見直す姿勢はありません。
 とくに上記 (3) は業務マニュアルで解決するのか、他の情報連携事務でも同様の問題はないのか、情報連携そのものに不安が広がります。
 また情報連携の「延期」と報じられていますが、 (4) で実際はその間もテストは続けられていることもわかりました。

② 機構のマイナンバー関連業務の委託について

(1) 再委託した情報にマイナンバーが含まれた例もあった
 年金機構の調査で、SAY企画の他に「恵和ビジネス」への委託でも(国内業者に)無断再委託していたことが4月6日に公表されていました8
 この恵和ビジネスから無断再委託された情報の中にマイナンバーも含まれているかの質問に、「個人番号が記載されたものも含まれていたと承知している。」 と答弁し、マイナンバーも不正に提供されたことが明らかになりました。
 SAY企画問題では無断提供されたのは「氏名フリガナだけ」と繰り返していましたが、同様の無断再委託でマイナンバーも提供されていたことで、これら再委託問題をマイナンバーを含む特定個人情報の漏洩事案として対応する必要がはっきりしました。
(2) マイナンバーを取り扱う業務外部委託をしてもいいのか
 年金機構の水島理事長は参議院厚生労働委員会で、「マイナンバーを取り扱う業務について完全に外部委託をしてもいいかどうかについては慎重な検討を要する」と答弁していたが、今年も外部委託するのかとの質問には、「インハウス型委託(機構が用意した場所で業者が作業)」により外部に業務委託する方針 と答弁しています。
 水島理事長のマイナンバー業務の外部委託への否定的コメントは当事者としての重い実感で、国会審議では与野党ともに委託せずに年金機構内部で処理することを求める意見が出されていました。しかし、「インハウス型委託」などの改善策で済ませようとしています。

③ 年金機構のマイナンバーの利用について

(1) 法令の根拠も示さずに、マイナンバー記入を「強要」
 年金機構はウェブサイトなどで、2018年3月5日から、「これまで基礎年金番号を記載して届け出ていただいていた届書にはマイナンバーを記載して届け出ていただく」とPRしています9 。しかし国民年金法や厚生年金法の施行規則では、届出に「個人番号又は基礎年金番号」のいずれかの記入を規定しているだけです。質問主意書では、「原則としてマイナンバーを記入いただく」という法的な根拠は何かと質しています。
 答弁は、施行規則では「個人番号又は基礎年金番号」となっていることを認めながら、「個人番号の利用を促す観点から、御指摘のような記載が機構のホームページになされているものと承知している」 というものです。法的根拠もなしに、年金機構が「原則としてマイナンバーの記入」を求めていることが明確になりました。
 2016年1月からマイナンバーの利用事務では窓口でマイナンバー記入を求められ、トラブルになっています。これら事務では、記載書類の様式としてマイナンバーの記入となっていることが記入強制の根拠になっています。しかし年金や健康保険に関しては、そもそもその様式として「個人番号または基礎年金番号」となっているので、どちらを記入してもかまわないはずです。年金機構のこのマイナンバー記入の「強要」は、法令も逸脱しています。
(2) マイナンバー未記入でも、再提出は求めていない
 問題になった昨年の扶養親族等申告書で、不備があるとして返戻されたなかに、マイナンバーが未記載であることを理由に返戻したものがあるか質問しています。  
 答弁では、「機構においては、当該扶養親族等申告書に個人番号が記載されていないことのみをもって返戻する取扱いは行っていない」 としています。なお返戻された総数は約195万2000件となっています。  
 雇用保険では、マイナンバー未記入を「書類不備」として返戻することが広報されて問題になりました10 。年金の扶養控除等申告書では、そのような扱いはしていないとの答弁です。  
(3) 年金機構がマイナンバーを利用して大丈夫か
 日本年金機構は、2015年に年金個人情報125万件の大量漏えい事件をおこしています。今回の再委託問題は、これに匹敵する重大な事態で、機構にマイナンバーの利用を認めるべきではないのではないか、と質しています。
 答弁は、再委託先から外部への情報の流出がなかったことが確認されていることから、外部への情報の流出があった2015年5月の不正アクセスによる情報流出事案とは異なる というものです。
 年金機構の管理の外でSAY企画から再委託事業者に情報が渡っていること自体が「情報流出」です。恵和ビジネスの再委託ではマイナンバーが提供されていたように、場合によっては数百万人のマイナンバーが不正に提供された可能性のある事件であるにもかかわらず、情報流出事案ではないから年金機構がマイナンバーを利用してかまわない、としています。
 このような状態で、不正再委託が問題になっているにもかかわらず、年金機構は法令に根拠のないマイナンバーの記入の「強要」をしています。

④ マイナンバー制度の個人情報保護措置について

個人情報保護委員会は何をやっていたのか

(1) 事実関係の調査等を行うこと求めただけ?
 年金機構から個人情報保護委員会に報告した1月22日時点は、まだ中国の再委託業者への調査も行われる前で、マイナンバーの流出の有無も定かでなかった時です。その時点で個人情報保護委員会が、機構にどのような指導監督をしたのかを問うています。
 答弁は、「『報告』を受けた平成30年1月23日に、事実関係の調査等を行うことを機構に対して求めた」 というだけです。マイナンバーの流出の可能性がありながら、個人情報保護委員会が勧告・命令も立入検査もしていないことが明確になりました。
(2) 違反を知りつつなぜ勧告・命令をしないのか?
 また特定個人情報保護評価書やマイナンバー法に違反する再委託でありながら、なぜ勧告・命令を行っていないのか、理由を質しています。
 答弁は、「株式会社SAY企画に係る事案については、同社から再委託先に送付されていた情報に個人番号が含まれていないため、番号利用法第十条に規定されている再委託には該当しない」 というものです。
 これだけ社会的に注目された再委託が、マイナンバー法上の再委託ではないので勧告命令は必要ないというわけです。ではマイナンバーが再委託先に提供された恵和ビジネスの件は、番号法違反や特定個人情報保護評価書違反ではないのか。SAY企画にしても、政府がマイナンバーの再委託先への流出はなかったと確認したのは6月4日です。しかも6月4日に明らかにされた報告書類でも、再委託先にマイナンバーが提供されていない可能性が高いとは言えても、流出がなかったとは断定できません。
 そもそもそ特定個人情報保護評価は、個々の個人情報単位で評価するものではなく、事務単位でリスク評価を行うものです。その事務で評価書違反が行われていたということを不問に付すような姿勢でいいのでしょうか。
(3) 個人情報の漏えいへの認識が甘すぎないか?
 年金機構の監督が及ばないところで年金受給者の氏名が提供されたこと自体、個人情報の漏えいではないか、と質しています。
 答弁は、個人番号は含まれていないとか再委託先から外部には流出していないと述べ、「いずれにしても、御指摘の事案を踏まえ」厚生労働省として機構に対する指導監督を適切に行う というものです。
 かんじんの個人情報の漏えいか否かについては、明言を避けています。漏えいを正しく認識しなければ、対策もされません。この答弁では、ますます不安が募ります。
(4) 委託先の実態調査が必要ではないか?
 マイナンバーの利用が開始してから、民間事業者もふくめ広範にマイナンバー管理が外部委託されています。今回、委託先の管理の問題が発覚したことを受けて、委託先の実態調査が必要ではないかと質しています。
 答弁は、個人情報保護委員会は立入検査や苦情あっせん相談窓口で実態把握している というものです。
 わずかな立入検査(昨年度の立入検査は、行政機関等6件、地方公共団体18件、事業者3件)や苦情でどこまで実態が把握できるでしょうか。マイナンバー管理の受託を宣伝している業者への立入検査を行うべきではないでしょうか。

 このような答弁では、マイナンバー制度の危険性に対する個人情報保護措置の要としての個人情報保護委員会の対応にますます不安が募ります。

Note

◯「再委託」問題に関連する日本年金機構の調査報告については、同機構によるリンク集
» 「日本年金機構における業務委託のあり方等に関する調査委員会報告書について」
があり、年金機構名の「報告書」のほか、SAY企画情報持ち出しに関する「IBM調査報告」、IBM報告を検証した「TIS検証報告」、それらの概要と参考資料などが収録されています。

*1 » 「日本年金機構における業務委託のあり方等に関する調査委員会報告書」 2018.6.4 日本年金機構における業務委託のあり方等に関する調査委員会

*2 国会審議当時国会に示された調査報告は、現在公開されているものとは別の「帰国報告」的な簡潔なもの(非公開)で、「結論ありき」と批判されることになった。現在は、年金機構から以下の「IBM調査報告書」が公開されている。
» 「株式会社SAY企画委託業務における情報持ち出し可能性に関する調査結果報告書」(IBM調査報告書) 2018.4.27 日本アイ・ビー・エム株式会社

*3 » 「『委託業務における情報持ち出し可能性に関する調査』の評価業務 報告書」(TIS検証報告書) 2018.5.1 TIS株式会社

*4 » 「第196回国会参議院厚生労働委員会会議録」第5号 2018.3.29 参議院

*5 » 「日本年金機構の情報連携と業務委託並びにマイナンバーの利用と個人情報保護に関する質問主意書」。および同「答弁書」 質問書:2018.7.18 福島みずほ / 答弁書:2018.7.27 内閣総理大臣安倍晋三

*6 »「『日本年金機構の情報連携と業務委託並びにマイナンバーの利用と個人情報保護に関する質問主意書』 質問と答弁の対比整理」 2018.8 共通番号いらないネット作成

*7 » 「日本年金機構、国家公務員共済組合連合会、地方公務員共済組合又は全国市町村職員共済組合連合会及び日本私立学校振興・共済事業団に対する年金関係の情報連携の抑止について」。および「日本年金機構、国家公務員共済組合連合会、地方公務員共済組合又は全国市町村職員共済組合連合会及び日本私立学校振興・共済事業団との年金関係の情報連携開始に係る対応について(依頼)」 2018.3.22 内閣府番号制度担当室・総務省大臣官房個人番号企画室。および、2018.3.22 内閣府大臣官房番号制度担当室参事官・厚生労働省年金局事業企画課長 ・財務省主計局給与共済課長 ・総務省自治行政局公務員部福利課長・文部科学省高等教育局私学部私学行政課私学共済室長

*8 » 「仙台広域事務センターの業務委託先事業者への委託業務の停止」 2018.4.6 日本年金基金

*9 » 「マイナンバーによる届出・申請についてと平成30年3月からの様式変更について」 2018.3.5 日本年金基金

*10 » 「マイナンバー未記載でも雇用保険手続きはできます」 2018.4.22 共通番号いらないネット

twitter@iranai_mynumber facebook@bango-iranai
次の記事 « » 前の記事