マイナンバーはいらない

post by nonumber-tom at 2018.9.14 #233
個人情報保護委員会 ヒアリング

個人情報保護委員会へのヒアリング報告 (4)
日本年金機構の不適正な再委託にどう対応したか?

 2018年3月に発覚した年金機構の不正再委託問題は、国会でも集中審議が行われるなど、大きな関心を集めました。また事業者が従業員や顧客のマイナンバー収集管理を外部委託していることには、以前から不安の声がありました。
 マイナンバー事務の委託について、個人情報保護委員会の調査・指導監督が強く求められていますが、ヒアリングの回答は、個人情報保護委員会の対応にますます不安が募るものでした。
 

(4)日本年金機構の不適正な再委託にどう対応したか?

 日本年金機構が2018年3月20日に公表した、扶養親族等申告書の入力を受託したSAY企画が契約に反して無断で海外の業者に再委託した問題は、年金機構の問題だけではなく、マイナンバー関連業務の外部委託の危険性もあらわにしました。
 年金機構の水島理事長は3月29日の参院厚労委員会で、「やるべき外部委託とそうでない外部委託というのはある……マイナンバーを取り扱う業務について完全に外部委託をしてもいいかどうかについては慎重な検討を要する」と述べていました1

「機構にどのような調査・指導をしたかは答えられない」

 個人情報保護委員会は1月22日に年金機構からこの報告を受けています。その際、どのような指導・監督を行ったか質問しました。
 回答は、1月22日に機構からこの報告を受けこの事案に関して検査を実施して問題点の指摘を行い指導も行っているというものです。
 ではどのような指摘、指導を行ったかを聞きましたが、個別の案件の内容は公表していない。立入検査の件数などは公表している。委託先の監督体制についてしっかり改善してくださいと求めているところという説明しかありませんでした。
 国会審議でも個人情報保護委員会の対応について説明はなく、年金機構が公表した「日本年金機構における業務委託のあり方等に関する調査委員会報告書」2 でも個人情報保護委員会の検査や指導内容の記載はありません。
 いつどのような立入検査をし、どのような指導をしたかは明らかにされませんでした。

番号法違反、評価書違反の再委託ではない ?!

 番号法では、委託元の許諾がある場合のみ再委託を認めています(第10条)。また委託元が再委託先までを、責任をもって監督するよう求めています。そして公的年金業務の特定個人情報保護評価書(「公的年金業務等に関する事務 全項目評価書」3 )では、個人番号のシステムへの入力等に係る事務については再委託を行わないとしていました。
 しかし福島みずほ参議院議員の「日本年金機構の情報連携と業務委託並びにマイナンバーの利用と個人情報保護に関する質問主意書」4 の質問「四の2」に対して政府は、「株式会社SAY企画に係る事案については、同社から再委託先に送付されていた情報に個人番号が含まれていないため、番号利用法第十条に規定されている再委託には該当しないと承知している」と答弁しています5
 個人情報保護委員会の見解を質問しましたが、回答はやはりSAY企画から再委託先に送付された情報に個人番号は含まれていないので、番号利用法第10条の再委託には該当しない。というものでした。
 大きな社会的関心を集めた事件でありながら、番号法違反としての指導監督はしないという説明です。

一連の事務を分解してしまえば番号法の規制をうけなくなるのか

 年金機構や国は、SAY企画から中国の関連業者に不正な再委託で提供された情報は「氏名とフリガナ」だけだと繰り返しています。しかし調査報告をみても、マイナンバー(個人番号)が提供されていなかったとは断定はできません6
 仮に個人番号が提供されていなかったとしても、番号法第10条は「個人番号利用事務又は個人番号関係事務の全部又は一部の委託を受けた者は、当該個人番号利用事務等の委託をした者の許諾を得た場合に限り、その全部又は一部の再委託をすることができる。」としています。また特定個人情報保護評価も、個々の個人情報単位で評価するものではなく、事務単位でリスク評価を行うものです。事務全体として再委託されたかどうかを判断すべきで、ことさらに法律の規定を狭く解釈する理由がわかりません。
 委員会の説明は番号の事務単位を何ととらえるかによる。たとえば極端な例だが、個人番号の利用事務のなかで清掃がありそれを再委託したときに番号法違反になるのかと考えると、個人番号があるものが再委託の対象となる
特定個人情報保護評価は、特定個人情報ファイル(個人番号を含む個人情報のファイル)の事務の取扱をしていてのリスク対策を対象としている
というものです。

マイナンバー事務の不正再委託としての対応を

 事務をバラバラにしてしまって、個人番号が付いていない部分は再委託してもいいというのでは全体を見ることはできなくなり、番号法や特定個人情報保護評価の趣旨を外れてしまいます。
 またそもそも1月22日に委員会が報告を受けた時点では、再委託先に提供された情報に個人番号が含まれていたかどうかは不明です。現に恵和ビジネスの無断再委託では、マイナンバーも再委託先に提供されています。事後的に含まれていないことがわかったから法違反ではないという姿勢では、流出してしまってから対応するしかなく、事前予防という評価制度の意味をなしません。
 私たちの指摘に対して厚生省年金局からは「特定個人情報保護評価違反かどうかは個人情報保護委員会の判断だが、委託した扶養親族等申告書にはマイナンバーが入っており、年金機構も厚労省も事務をバラバラにして考えたらいいと思っているわけではない。管理監督不十分でこういう事態になったことは、真摯に反省している」との説明がありました。
 委員会からは最後に保護評価としては全体の話だということは認識している。今回個人番号の利用事務として委託していた問題があるので、この点では保護評価書の対象になると認識している。保護評価書どおりにやっているかは立入検査等で確認していくとの説明がありました。

不正再委託でマイナンバーが提供されたケースもあった

 年金機構は2018年4月6日、入力業務を委託された恵和ビジネスが契約に反し再委託していたことを公表しました7
 福島みずほ参議院議員の質問主意書に対して、再委託先に提供した情報の中に個人番号も含まれていたことが答弁されています(答弁書 二の1について)。
 この再委託について、以下の質問をしました。
  • 1.委員会はいつ機構からこの再委託の報告を受けたか。
  • 2.報告を受けた後、どのような指導・監督を行ったか。
  • 3.何名分の個人番号が提供されたのか。
  • 4.提供された特定個人情報の処理について、どのような調査を行ったか。
  • 5.提供された本人に対して連絡は行われているか。
  • 6.この再委託は番号法違反、特定個人情報保護評価書違反であると認めるか。
 委員会からの回答は、
  • 1.判明後速やかに報告を受けている
  • 2.原因の究明、再発防止策の検討実施を求めている
  • 3~5は、個別の事案の中身になるのでお答えすることはできない
  • 6.事実関係を整理中
というもので、具体的なことはなにも明らかにされませんでした。

不正に外部に提供されても漏えいではない ?!

 政府は福島みずほ参議院議員の質問主意書に、SAY企画および恵和ビジネスの再委託については、再委託先から外部への情報の流出がなかったから、2015年の不正アクセスによる年金個人情報の流出事案とは異なると答弁しています(答弁書 三の3について)。
 しかし機構の知らないところで別の業者に提供された時点で情報流出ととらえるべきではないか、と質問しました。
 これについては厚労省年金局から「漏洩とか情報流出の言葉の定義は受け取る方によって違うところからあるかもしれないが、質問主意書で答弁しているのは2015年の流出事案は不特定多数の方の情報が外部の空間に出ていった事案で、今回のSAY企画では契約した再委託先に情報がわたっていた事案なので、形態が異なるということを答弁しているところ」との回答がありました。
 漏えいの形態が不正アクセスと不正再委託で違うのは当然ですが、どちらも外部に不正に情報が流出した点では同じです。
 個人情報保護委員会に対して、毎年報告している漏えい等事案の集計報告に、この恵和ビジネスが不正再委託でマイナンバーを外部に提供した事例は漏えい件数として入るのかを確認したところ、漏えい等事案の報告の受付件数としてカウントしている。漏えいだけでなく法違反の恐れも含まれているので、どういうふうに整理するか検討中という、あいまいな説明でした。

漏えい事件として対策することが必要

 この再委託問題は、大きな関心を集めた事件です。国会では2015年に不正アクセスで125万件もの年金個人情報が漏えいし、かつて社会保険庁時代には不正閲覧や年金記録の漏れを起こしている年金機構が、今後また不祥事を起こすことは許されないと指摘されていました。
 一方、マイナンバー制度の開始以降、事業者は従業員や顧客のマイナンバー収集管理の外部委託を進めています。委託先の業者の安全管理措置がどうなっているのか、以前から心配されていました。
 この問題は委託先からの漏えいがはじめて明らかになった事件です。委員会は年金機構の情報連携開始にあたっての調査もすることになっています。安易な開始は許されません。委員会が委託問題にどのような調査・指導監督を行なうのかを注視していくとともに、市民の信頼回復のために調査・指導監督内容の公開や再委託を認めている番号法10条の見直しの検討も必要です。
 なお、年金機構の問題については、こちらの記事 » 「年金 『再委託』問題はどうなっているか 」 も参照してください。

Note

» 今回のヒアリングのために個人情報保護委員会に提出した質問書

» 前回質問書への回答拒否に対する、個人情報保護委員会あて抗議声明

*1 : » 196国会「参議院厚生労働委員会会議録」第5号 p.4。2018.3.29

*2 : » 「日本年金機構における業務委託のあり方等に関する調査委員会報告書について」 日本年金機構、2018.6.4

*3 : » 「特定個人情報保護評価書(全項目評価書) 公的年金業務等に関する事務 全項目評価書」 p.42-47。厚生労働大臣、2017.7.6

*4 : » 「日本年金機構の情報連携と業務委託並びにマイナンバーの利用と個人情報保護に関する質問主意書」、同政府「答弁書」 福島みずほ/安倍晋三、2018.7.18/2018.7.27

*5 : 上記福島質問主意書と政府答弁書については、以下も参照 » 質問主意書と答弁の対比整理 共通番号いらないネット作成

*6 : このwebサイトの記事 » 「年金 『再委託』問題はどうなっているか」 nonumber-tom、2018.8.25 。この記事では、前出福島質問主意書・政府答弁書、年金機構の検証報告書・調査報告書などにもとづいて「再委託」問題を検討する中で、SAY企画とは別の委託先について、「不正再委託でマイナンバーが提供されたケースもあった」と指摘している

*7 : » 「仙台広域事務センターの業務委託先事業者への委託業務の停止」 日本年金機構、2018.4.6

photo素材:ぱくたそ ©axis

twitter@iranai_mynumber facebook@bango-iranai
次の記事 « » 前の記事