マイナンバーはいらない

post by nonumber-tom at 2019.11.14 #270
個人情報保護委員会 再委託問題 税情報漏えい

違法再委託によるマイナンバーの漏えいはどうなっているか

 共通番号いらないネットでは、2018年3月に日本年金機構のマイナンバー関連業務の違法再委託が発覚して以降、個人情報の漏えい・流出の実態を市民に明らかにするよう個人情報保護委員会に求めてきました1。  しかし個別の検査事案等に関する質問であるからと回答を拒まれ、漏えい・流出の実態は明らかにされませんでした。その後税情報に漏えいが広がり事態は深刻化しています。明らかになってきた経過を報告します。

» その1 日本年金機構から、国税庁から、自治体から、
違法再委託で個人情報が流出

» その2 明らかになってきた違法再委託の実態

その1
日本年金機構から、国税庁から、自治体から、
違法再委託で個人情報が流出

番号法では委託元の許諾を得ない再委託は違法

委託元は再委託先までの監督責任を負う

 番号法では、第10条で委託を受けた者は委託をした者の許諾を得た場合に限り再委託をすることができるとなっており、第11条では委託をする者は委託を受けた者に対する必要かつ適切な監督を行わなければならないとなっています。
 個人情報保護委員会は2019年3月に公表した「特定個人情報等のデータ入力業務の委託先に対する監督について」2で、「委託元は、再委託先に対する間接的な監督義務を負っており、再委託先で漏えい等が生じた場合には、委託元の再委託先に対する監督責任が問われることとなる」と注意喚起しています。  これはマイナンバー付の個人情報(特定個人情報)は特定の個人の情報であることが極めて容易に識別でき、漏えいが広がるとデータマッチングされてプライバシーが侵害されたり、詐欺に利用され経済的被害を受ける危険性が高まるため、管理をより厳しくする趣旨です。

無許諾の再委託は、その時点で漏えい

 委託を受けた業者が委託元の許諾を得ないで再委託を行なうと、番号法違反です。
 無許諾の再委託については、再委託先から外部への情報流出がなかったから漏えいではない、というような報道がされています。しかし委託元が知らず監督できないところで再委託業者に特定個人情報が渡った時点で、違法な情報流出であり漏えいととらえるべきです。
▲クリックで拡大/縮小
 個人情報保護委員会の「特定個人情報等のデータ入力業務の委託先に対する監督について」でも、契約締結時に委託先に対して「無断で再委託を行った場合には番号法違反及び番号法上の漏えいに該当することを説明する」と明記しています3(右のスライドをクリック)。

日本年金機構から、違法再委託で個人情報が流出

2018年3月に年金機構の無許諾の再委託が発覚

 無許諾の再委託の問題がはじめて社会的関心を集めたのは、2018年3月20日に日本年金機構からマイナンバーが記載された扶養親族等申告書等の入力作業を受託したSAY企画が、年金機構に無断で海外の業者に再委託していたことが発覚してからです。番号利用拡大法が審議されていた第196国会でも集中審議がされ、年金機構のマイナンバーの利用開始が延期されました4
 再委託先にマイナンバーは提供されなかったと発表されましたが、その後4月6日に別の恵和ビジネスへの委託では、マイナンバーの付いた個人情報(特定個人情報) 16件10名分が違法に再委託先に提供されていたことを明らかになりました(2018年11月15日公表の「公的年金業務特定個人情報保護評価書」 p.71) 5

調査報告でもマイナンバーが提供されなかった確認はできず

 2018年6月4日に年金機構の調査委員会の報告が公表され6、再委託されたのは氏名とフリガナのみでマイナンバーは提供されなかったという日本IBMの調査結果報告書は信頼性があると評価しました。  しかし日本IBM調査結果報告書を検証したTIS株式会社の報告書7では、
  • ・すでに再委託業務が終了して必要なログが取得できない
  • ・再委託先事業者は海外で年金機構と直接の契約関係はなく、第三者としての協力依頼であり、調査には制約があった
と、調査の限界を指摘しています(p.3)。
 この調査委員会報告書を受けて、年金機構は外部委託についてコスト削減重視から業務の正確性とサービス向上へ転換することや、「インハウス型委託(機構が用意した場所で業者が作業)」にするなどの対策をとるとしています。

年金機構の無許諾再委託について福島参議院議員が質問主意書提出

 この年金機構の無許諾再委託について、福島みずほ参議院議員が7月18日に「日本年金機構の情報連携と業務委託並びにマイナンバーの利用と個人情報保護に関する質問主意書」を提出しています8
  • (1)日本年金機構との情報連携を抑止した理由や開始に必要な対応は何か
  • (2)機構のマイナンバー関連業務を外部委託してもいいのか
  • (3)漏えいや不正利用がつづく年金機構がマイナンバーを利用していいのか
などの質問に対して、「再委託先から外部への情報の流出がなかったことが確認されていることから、外部への情報の流出があった2015年5月の不正アクセスによる情報流出事案とは異なる 」という認識で、外部委託方法の見直しで対応すると答弁されています。
 また、  
  • (4)個人情報保護委員会は年金機構の再委託に対してどんな対応をしたのか
の質問には、機構から報告を受けた1月22日に事実関係の調査等を行うことを求めたが、「再委託先に送付されていた情報に個人番号が含まれていないため、番号利用法第十条に規定されている再委託には該当しない」ので勧告・命令は行っていないという答弁がされています。9

個人情報保護委員会は年金機構の無許諾再委託にどう対応したか

 2018年8月29日、参議院内閣委員会の田村智子委員の仲介で、個人情報保護委員会にヒアリングの機会を持ちました10。年金機構から2018年1月22日に不適正な再委託の報告を受けてどう対応したか聞きましたが、個別の事案の中身になるのでお答えすることはできないとして説明されませんでした11
 私たちは無許諾の再委託を個人情報の流出・漏えいととらえるべきではないかと指摘しましたが、2015年の不正アクセスによる年金個人情報125万件の漏えいとは異なるとして、どう整理するかは検討中というあいまいな説明でした。
 またこの再委託を番号法違反、特定個人情報保護評価書違反と認めるかを聞いても、事実関係を整理中と判断は示されませんでした。

税個人情報の違法再委託が相次いで発覚

マイナンバー付き税情報約240万件の違法再委託が発覚

 2018年12月14日、国税庁や地方自治体から税情報の入力を委託されたシステムズ・デザイン株式会社が、マイナンバーを含む税個人情報(国税庁約70万件、自治体約171万件)を、委託元の許諾なく再委託していたことを公表しました1213
 国税庁の監査により無許諾再委託が判明し、11月8日に社内に設置した調査委員会で国税庁以外の無許諾再委託も判明しています。再委託先の一社は海外センターで入力業務を行いましたが、暗号化や個人情報の分割処理をしており海外センターから流出した形跡はないとしています。

別の委託先でも税情報約46万件の違法再委託が発覚

 2019年1月8日にはAGS株式会社が、埼玉県の6市から委託されたマイナンバーを含む税情報入力業務で、約46万件を違法に無断再委託、再々委託していたことを発表しました。社内に調査委員会を設置し、再委託先及び再々委託先において個人情報の流出や不正な利用は認められないとしています14

後手に回った個人情報保護委員会の対応

違法再委託を「漏えい等事案」として報告するよう通知

 個人情報保護委員会は2018年11月9日付で「個人番号利用事務等の委託に関する適切な取扱いについて」15 を通知し、無許諾再委託が発覚した時は「特定個人情報の漏えい事案等が発生した場合の対応」として個人情報保護委員会に報告することを求めています。
 個人情報保護委員会の定めた「漏えい等が発生した場合の対応」16では、「漏えい事案その他の番号法違反の事案又は番号法違反のおそれのある事案が発覚」した場合、委員会への報告のほか、被害の拡大防止、事実関係の調査・原因究明、影響範囲の特定、再発防止策の検討・実施、影響を受ける可能性のある本人への連絡、事実関係や再発防止策等の公表などを行うことになっています。
 個人情報保護委員会は、日本年金機構の無許諾再委託について「漏えい」ととらえるかどうか検討中としていましたが、少なくとも「漏えい等」として扱うことをやっと明らかにしました。

漏えいの実態を明らかにしない個人情報保護委員会

 個人情報保護委員会が通知した11月9日は、システムズ・デザイン社が調査委員会を設置した翌日であり、この事態を受けて通知を発出したと思われます。年金機構の無許諾再委託発覚の際に、私たちの指摘を認めて「漏えい等」として注意喚起していれば、もっと早く対応できたのではないかと悔やまれます。
 しかし個人情報保護委員会はその後も、これら違法再委託による個人情報漏えいの実態を明らかにしていません。「影響を受ける可能性のある本人への連絡」はされず、どこで誰の情報が違法に流出したのかわかりません。
 市民団体が報道資料などを調査して、違法再委託の実態を明らかにしています17

共通番号いらないネットの質問にも答えず

 共通番号いらないネットでは2019年2月6日、個人情報保護委員会に報告されている違法再委託の実態を、市民に明らかにするよう求める質問書を提出しました18
 しかし2月25日に個人情報保護委員会事務局から、個別の検査事案等に関する質問である等の理由で回答できないとの返事がありました。
<個人情報保護委員会事務局からの回答メール全文>
いつもお世話になっております。個人情報保護委員会事務局でございます。
 当委員会あてにいただいておりました「特定個人情報の無許諾再委託についての質問書」につきましては、個別の検査事案等に関するご質問であること等から、回答を差し控えさせていただければと思います。
 いただいたご意見は、当委員会における今後の業務の参考とさせていただきます。
 なお、当委員会におけるの監視・監督の実施状況等につきましては、お示しできるものについては、年次報告や上半期活動実績等において公表しておりますのでご参照ください。
 どうぞよろしくお願い申し上げます。

裁判の中で、年金機構への指導内容が明らかに

 違法再委託問題は、全国8ヶ所で争われているマイナンバー違憲・差止訴訟でも、マイナンバー制度の危険性を防止する個人情報保護措置が機能していない問題として取り上げられてきました。
 東京訴訟では、原告側が2018年7月26日に個人情報保護委員会の対応を求釈明した(原告準備書面(5)の「第5 日本年金機構の再委託問題が示す構造的な諸欠陥」19)のに対して、被告国側は第11回2018年10月9日の乙第48号証20で、年金機構理事長と厚生労働大臣に2018年7月9日付で番号利用法に基づく指導文書を出したことを明らかにしました。しかし「緊張感を持つこと」「適切に監督すること」などを簡単に記しただけの具体性のない文書でした。
 さらに2018年7月18日に福島参議院議員が質問主意書で個人情報保護委員会の指導内容を質問したにもかかわらず、7月27日付の答弁書ではこの7月9日の指導文書にまったく触れていないばかりか「番号利用法第十条に規定されている再委託には該当しない」と答弁していることとも矛盾し、裁判のためにアリバイ的に作文したのではないかという疑念すら抱きます。

神奈川訴訟での情報公開、準備書面と判決の判断

 マイナンバー違憲差止の神奈川訴訟でも、無許諾再委託は特定個人情報が行政機関のコントロールから完全に逸脱してどこでどのように流通しているか全く把握できない事態であり、個人番号制度全体の安全性を根底からゆるがす問題として追及してきました。
 実態解明のための情報公開請求をふまえて、マイナンバーを扱う事業者が法規制や保護措置を理解していないこと、違法再委託が広範になされていること、漏えい件数が格段に多いこと、海外にも流出していること、行政側も必要かつ適切な監督を行っていないこと、個人情報保護委員会が機能不全に陥っていることなどを指摘しました21
 2019年9月26日の横浜地裁の判決22では、不当にもこれら漏えいを番号法の法制度上の不備と認めなかったものの、「上記安全措置によっても、個人番号及び特定個人情報の漏えいを完全に防ぐことが困難であることは否定できない。」(横浜地裁判決 p.66)と認め、「同種の漏えい事例を含む、制度の運用に伴う弊害防止に向けた不断の検討を継続し、必要に応じて改善を重ねていくことが望まれる」としています(横浜地裁判決 p.67)23
Note

*1 » 「特定個人情報の無許諾再委託についての質問書」 2019.2.6 共通番号いらないネット

*2 » 「特定個人情報等のデータ入力業務の委託先に対する監督について」 2019.3 個人情報保護委員会事務局

*3 スライドは同上 p.5 所収

*4 » 「日本年金機構、国家公務員共済組合連合会、地方公務員共済組合又は全国市町村職員共済組合連合会及び日本私立学校振興・共済事業団に対する年金関係の情報連携の抑止について」 2018.3.22 内閣府番号制度担当室総務省大臣官房個人番号企画室

*5 「特定個人情報保護評価書(全項目評価書)公的年金業務等に関する事務」 2018.11.14 厚生労働省

*6 「社会保障審議会年金事業管理部会資料(第36回)」 2018.6.4 厚生労働省 に収録された 【資料1-3】日本年金機構における業務委託のあり方等に関する調査委員会報告書 2018.6.4 日本年金機構における業務委託のあり方等に関する調査委員会

*7 同上「社会保障審議会年金管理事業部会資料(第36回)所収の 「「委託業務における情報持ち出し可能性に関する調査」の評価業務報告書」 2018.5.11 TIS株式会社

*8 「日本年金機構の情報連携と業務委託並びにマイナンバーの利用と個人情報保護に関する質問主意書」および同「答弁書」 2018.7.20 福島みづほ、安倍晋三

*9 この質問主意書および答弁書については、別途本サイトの記事 »「年金「再委託」問題はどうなっているか」 2018.8.25 も参照されたい。

*10 個人情報保護委員会に対する2018.8.27のヒアリング詳細については、本サイト »「個人情報保護委員会へのヒアリング報告(まとめ)委員会の姿勢には疑問が深まるばかり」 2018.9.14 以下を参照されたい。

*11 同上報告(4) » 「個人情報保護委員会へのヒアリング報告(4) 日本年金機構の不適正な再委託にどう対応したか?」 2018.9.14

*12 「受託業務における契約及び法令違反のご報告とお詫び」 2018.12.14 システムズ・デザイン。なお、本文書はシステムズ・デザイン社のサーバーとは異なるURLで公開されているが、システムズ・デザイン社Webサイトトップページの「Topics」(2018.12.14付)からこのURLにリンクされている。

*13 「受託業務における契約及び法令違反のご報告とお詫び(開示事項の経過)」 2018.12.18 システムズ・デザイン

*14 »「受託業務における契約および法令違反のご報告とお詫び」 2019.1.8 AGS

*15 » 「個人番号利用事務等の委託に関する適切な取扱いについて」 2018.11.9 個人情報保護委員会事務局

*16 » 「特定個人情報の漏えい事案等が発生した場合の報告について」 個人情報保護委員会 p.2、p.3

*17 » 「個人番号(マイナンバー)を含むデータ入力業務の違法再委託」 やぶれっ!住基ネット市民行動

*18 本サイト内記事 » 「違法再委託問題で個人情報保護委員会に質問書」 2019.2.15

*19 » 「準備書面(5)」 2018.7.26 マイナンバー違憲訴訟・東京原告 p.16-

*20 マイナンバー違憲訴訟・東京被告提出の書証 » 乙第48号証「特定個人情報等の適正な取り扱いについて(指導)」ほか 2018.7.9 個人情報保護委員会

*21 マイナンバー(共通番号)違憲訴訟@神奈川原告提出の » 「意見陳述要旨(違法再委託問題についての補充)」 2019.6.20

*22  マイナンバー(個人番号)利用差止等請求事件(神奈川)» 判決 2019.6.20 横浜地方裁判所

*23 横浜地裁判決については以下も参照
 » 「マイナンバー違憲訴訟横浜地裁判決についての声明」 2019.9.26 マイナンバー(共通番号)違憲訴訟@神奈川原告団・弁護団
 『週刊金曜日』記事 » 「個人情報流出多発のマイナンバー制度に合憲判決 横浜地裁」 2019.10.21 小石勝朗
 および本サイトの » 「横浜地裁が不当判決、しかし原告の指摘した問題点は認める」 2019.9.30 や » 「各地のマイナンバー訴訟地方裁判所 判決一覧」 など

twitter@iranai_mynumber facebook@bango-iranai
次の記事 « » 前の記事