違法再委託問題で個人情報保護委員会に質問書

　日本年金機構、国税庁、市町村のマイナンバーを扱う事務で、違法な再委託による特定個人情報の漏洩が続いています¹。番号法では、再委託する際は委託元による許諾と再委託先の監督が必要とされ、許諾のない再委託は違法です。委託元の知らない再委託は、大量のマイナンバーの付いた個人情報が監督の外に流出する危険な事態ですが、個人情報保護委員会の対応が不明なため、2月6日質問を行いました²。

» 「特定個人情報の無許諾再委託についての質問書」全文

日本年金機構の違法再委託の発覚

　昨年(2018年)3月20日に日本年金機構は、マイナンバーが記載された扶養親族等申告書等の入力作業を委託したSAY企画が、約501万件を無断で海外の業者に再委託していたことを発表し大きな社会的関心を集めました³。

　再委託先にマイナンバーは提供されなかったと発表されていますが、その後4月6日に年金機構が公表した別の恵和ビジネスへの委託では、マイナンバーの付いた個人情報(特定個人情報) 16件10名分が違法に再委託先に提供されていたことが明らかにされています(平成30年11月15日公表の公的年金業務特定個人情報保護評価書71頁)⁴。

あいつぐ税情報の違法な無断再委託

　昨年12月14日には国税庁や地方自治体から税情報の入力を委託されたシステムズ・デザイン株式会社が、マイナンバーを含む税個人情報の入力を無許諾で再委託していたことを公表しました⁵。無許諾再委託は東京と大阪の国税局の約70万件で、国税庁発表ではうちマイナンバーが記載された件数は約55万件と推計されています。契約に反して134件のデータの保存もしていました。また国税庁以外にも違法再委託があり、再委託先の1社は暗号化して海外センターに送信し入力業務を行っていたことを明らかにしています。

　12月18日には国税庁以外に約171万件を無断で再委託先したことを公表しました⁶。さいたま市、川崎市、台東区、墨田区、豊島区、江戸川区が無許諾で再委託されたことを公表していますが、未だ全容は不明です。

さらに今年(2019年)1月8日にはAGS株式会社が、埼玉県の6市から委託された税情報入力業務で、約46万件を違法に無断再委託していたことを発表しています⁷。

発覚したのは氷山の一角?

　マイナンバー制度の開始以降、行政機関等からの委託だけでなく、多くの事業者が従業員や顧客のマイナンバーの収集・管理を代行会社に委託しています。AGS社とシステムズ・デザイン社は、この収集管理代行サービスも行っています。これら委託の実態調査は行われていません。委託元の知らないところで、再委託、再々委託‥‥が広範に行われている可能性があります。

　SAY企画を含めこれら無許諾再委託を行った業者は、「プライバシーマーク」や「情報セキュリティマネジメントシステム（ISMS）」の認定認証を取得していました。これら認証の取得を条件とするだけでは、違法な再委託を防げないことが明らかになりました。また日本年金機構も国税庁も各自治体も、特定個人情報保護評価書では入力業務の再委託は行わないことを明記していても、その履行の確認はできていませんでした。

明らかにならない再委託の実態

　この間の経過は、無許諾再委託を把握することの難しさを示しています。

　2018年10月22日に公表された総務省行政管理局による国の機関等に対する委託の実態調査では、後に無許諾再委託が明らかになった国税庁も契約に反する再委託は0件となっていました⁸。

　川崎市の発表では、システムズ・デザイン社は2018年3月の聞き取り調査に、再委託を行っていないと報告していました⁹。報道によれば東京と大阪の国税局は、システムズ・デザイン社に計4回の立ち入り監査を実施してもわからず5回目の監査で判明しました。「源泉徴収票の束を再委託先から作業場所に戻していたため分からなかった」と報じられています¹⁰。

　日本年金機構の無許諾再委託では、SAY企画から再委託先の中国の業者にはマイナンバーは提供されていないと説明されていますが、2018年6月4日に公表された検証結果でも、すでに再委託業務は終了し海外の再委託先事業者と年金機構とは直接の契約関係がなく、再委託先のデータの確認はできなかったとなっています¹¹。

違法再委託に個人情報保護委員会はどう対応しているか

▲クリックで別ウィンドに拡大表示

　番号法10条と11条では、委託元の許諾を得た場合に限り再委託を認め、委託元が再委託先・再々委託先に対しても間接的に監督義務を負うことを定めています¹²。(右の図をクリック）

　個人情報保護委員会は、システムズ・デザイン社が社内に調査委員会を設置した11月8日の翌日11月9日付で「個人番号利用事務等の委託に関する適切な取扱いについて」¹³ を通知し、無許諾再委託が発覚した時は「特定個人情報の漏えい事案等が発生した場合の対応」として個人情報保護委員会に報告することを求めています。日本年金機構の無許諾再委託が発覚したときには、「不正アクセスによる漏えいとは異なる」として「漏えい」ととらえるかどうか検討中としていましたが、違法再委託の拡大により漏えい等として対応する判断をしたと思われます。

　個人情報保護委員会の定めた「漏洩等が発生した場合の対応」¹⁴ では、委員会への報告のほか、被害の拡大防止、事実関係の調査・原因究明、影響範囲の特定、再発防止策の検討・実施、影響を受ける可能性のある本人への連絡、事実関係や再発防止策等の公表などの措置が必要です。

　その後システムズ・デザイン社が公表した12月14日には「個人番号利用事務の委託契約状況について」を自治体に通知し¹⁵、個人番号を取り扱う事務（個人番号関係事務は除く）をシステムズ・デザイン株式会社に委託している業務(個人番号を含むもののみ)があれば、平成30年12月26日までに報告するよう求めています。なぜ個人番号関係事務を除くのかなどの疑問を、私たちは質問しています。

　さらにAGS社の違法再委託が発覚した1月8日の後、1月15日に「個人番号利用事務等の委託先の監督について」¹⁶ を自治体に通知し、番号法11条による適切な委託先の監督の確認を求めています。

個人情報保護委員会は、説明責任を果たすか

　しかしこれらの違法再委託に対して、個人情報保護委員会がどのような対応しているか明らかになっていないため、2月6日個人情報保護委員会嶋田委員長宛に質問を送りました¹⁷。

　昨年(2018年)1月に共通番号いらないネットが行った3点の質問については、個人情報保護委員会は回答を拒否してきました¹⁸。今年1月に代わった嶋田新委員長は1月9日の委員会で、マイナンバーに係る業務の再委託問題等、新たな問題も発生しているので速やかに対応していきたいと挨拶されています。また個人情報保護委員会の組織理念として、タイムリーで国民の目から見て分かりやすい情報発信に取り組むことが掲げられています。委員会は昨年の経過を反省し、市民に対する説明責任を果たすべきです。

Note

*1 やぶれっ! 住基ネット市民行動作成 » （資料リンク集）個人番号（マイナンバー）を含むデータ入力業務の違法再委託を参照

*2 共通番号いらないネット » 個人情報保護委員会宛「特定個人情報の無許諾再委託についての質問書」 2019.2.6

*3 共通番号いらないネット » 個人情報保護委員会へのヒアリング報告 (4) 日本年金機構の不適正な再委託にどう対応したか? 2018.9.14

*4 厚生労働大臣 » 特定個人情報保護評価書公的年金業務等に関する事務全項目評価書 2018.11.15

*5 システムズ・デザイン株式会社 » 「受託業務における契約及び法令違反のご報告とお詫び」 2018.12.14

*6 システムズ・デザイン株式会社 » 「受託業務における契約及び法令違反のご報告とお詫び（開示事項の経過）」 2018.12.18

*7 AGS株式会社 » 「受託業務における契約および法令違反のご報告とお詫び」 2019.1.8

*8 総務省行政管理局 » 「行政機関・独立行政法人等における個人情報等の取扱いに関する委託契約の調査結果」 2018.10.22

*9 川崎市報道発表資料 » 「市民税・県民税に係るデータ入力業務における無許諾再委託について」 2018.12.19

*10 日経XTECH記事 » 「国税庁、源泉徴収票などの入力委託先が無断で再委託」 2018.12.17（有料記事）

*11 共通番号いらないネット» 年金「再委託」問題はどうなっているか 2018.8.25