HOME

ニュース
レポート&コメント

イベント &
勉強会

マイナンバー
Q&A

使える資料
ダウンロード

共通番号
いらないネット

post by nonumber-tom at 2019.11.14 #270

個人情報保護委員会再委託問題税情報漏えい

違法再委託によるマイナンバーの漏えいはどうなっているか

» その1　日本年金機構から、国税庁から、自治体から、
違法再委託で個人情報が流出

» その2　明らかになってきた違法再委託の実態

その2　明らかになってきた違法再委託の実態

明らかになってきた違法再委託の実態

システムズ・デザイン社の調査報告書

　　税情報の違法再委託が発覚したシステムズ・デザイン社は、2019年6月19日「受託業務における契約及び法令違反の概要報告および役員報酬の一部自主返上等について」を公表しました²⁴。

　公開された「データ入力業務の無断再委託問題に関する調査報告書（概要）」では、12月14日付と12月18日付の発表のあと、他にも違法再委託を行っている事実が判明したこと、データ調査をフォーカスシステムズ社に委嘱して技術的検証を実施したこと、原因究明委員会を設置したことなどの経過説明がされています。

　無断再委託の件数は、平成28年度から平成30年度までの間に委託元は計18社・団体、再委託先の企業数は11社、無断再委託の可能性のあるデータの件数は287万7144件であり、このうち特定個人情報の違法再委託が委託元8団体、データ件数241万6736件となっています。

　漏えいの実態については、「各再委託先及び当社のいずれからも個人情報の流出の形跡は認められず、各再委託先及び当社において、個人情報を含むデータは削除されており、残存するデータも全て削除した。」とまとめられていますが、具体的な内容はセキュリティ上の配慮で開示されておらず、検証はできません。

　また故意に無許諾で再委託することを決定し、それを隠蔽していたことを明らかにしています。原因として平成28年度は営業活動により期限までの納品には処理不可能な業務量が発生したため無許諾で外部業者に再委託したこと、さらに平成29年度は大型のデータ入力の入札案件において自社のみでの処理が困難であったことから委託元の承諾を得ずに再委託することを決定し、委託元の監査で無断再委託が発覚することを免れるために虚偽の報告などの工作を指示していたことを報告しています。

個人情報保護委員会が違法再委託に対する指導を公表

　個人情報保護委員会は2019年8月30日、税情報の違法再委託について番号法に基づく指導をしたことを発表しました²⁵。番号法に基づく指導をサイトで公表したのは初めてです。

　この公表によれば、違法再委託を行った受託業者は、従来明らかになっていたシステムズ・デザイン社とAGS社の他、日商エレクトロニクス株式会社と合同会社NEW FEEL（本店：熊本市）があることが書かれていますが、漏えいした件数など詳細は発表されていません。指導文書も公表されていません。

　なお委託元は国税庁の他、さいたま市、本庄市、東松山市、羽生市、深谷市、和光市、幸手市、台東区、墨田区、豊島区、江戸川区、川崎市、熊本市、株式会社プリマジェスト（本店：川崎市）となっています。

個人情報保護委員会が地方自治体の再委託の実態を報告

　2019年9月12日個人情報保護委員会は、「特定個人情報の取扱いの状況に係る地方公共団体等による定期的な報告について」を公表しました²⁶。

　報告では昨年度の報告にはなかった「2．データ入力業務における委託及び再委託の実施状況」の項目をもうけ、「委託を実施していると回答した機関は約4割、再委託を実施していると回答した機関は約2割であった。」と報告しています。

　平成30年度の再委託の許諾手続及び再委託先における特定個人情報の取扱状況として、

(1)再委託の許諾手続き・・・・・・・・実施98.3％　実施していない1.7％
(2)許諾前における再委託先の事前確認・・・実施83.7％　実施していない16.3％
(3)許諾後における再委託先の取扱状況の把握・・実施83.5％　実施していない16.5％

と、委託元の自治体の監督が不十分な実態を明らかにし、原因として「契約書に安全管理措置の内容を記載することで足りると考えていた」との回答が多くあったことを指摘しています。

　対応として平成31年3月に再委託先を含む委託先に対する監督についての手引書を公表したことが書かれています。

425万件を超えるマイナンバー事務の違法再委託が発生

　2019年10月25日個人情報保護委員会は、令和元年度上半期（平成31年4月1日～令和元年9月30日）の活動実績を公表しました²⁷。

　特定個人情報（マイナンバー付個人情報）の漏えい事案等を98件受け付け、うち重大な事態に該当するものとして地方公共団体において約33,500人分のデータを保存しているUSBメモリを紛失した事案とともに、無許諾再委託の事案を「漏えい事案等の重大な事態」として記載していることが注目されます。

　個人番号利用事務を受託していた事業者が委託元である行政機関及び地方公共団体に無許諾で再委託したため、マイナンバー法第19条に違反しデータが第三者に提供された事案が4件あり、それぞれ約485,500人分、約29,200人分、約350,000人分（推計）、約480,900人分と報告されています。

　税情報の違法再委託として公表されているのは2018年度までのものであり、この4件合わせて約1,345,600人分は、それ以外の違法再委託が把握されているのではないかと推測されます。

　2018年度までの無断再委託の件数として公表されているのは、システムズ・デザイン社が6月19日付調査報告書の241万6736件、AGS株式会社が2019年1月8日発表のデータ入力業務462,015件、封入封緘業務8,414件です。この2社だけで違法再委託は2,878,751件＋封入封緘業務8,414件になります。

　その他、個人情報保護委員会が2019年8月30日に行った番号法に基づく指導で、2社の他、日商エレクトロニクス株式会社（本店：千代田区）と合同会社NEW FEEL（本店：熊本市）が書かれていますが、漏えい件数など詳細は発表されていません。合同会社NEW FEELについては、5月29日に熊本市が報道資料で29,163件の違法再委託があったことを公表しています²⁸。

　今回の令和元年度上半期の活動実績報告がこの4社以外とすると、個人情報保護委員会が把握している違法再委託件数だけでも、日本年金機構の委託分を除いても425万件を超える大変な件数になります（システムズ・デザイン社2,416,736＋AGS社462,015＋日商エレクトロニクス株式会社＋合同会社NEW FEEL29,163＋令和元年度上半期1,345,600）。

やっと漏えいと認め対応を始めた個人情報保護委員会

無許諾再委託を「漏えい」として認める手引きを公表

　個人情報保護委員会は、2019年3月に「特定個人情報等のデータ入力業務の委託先に対する監督について」²⁹を公表し、契約締結時に委託先に対して、「無断で再委託を行った場合には番号法違反及び番号法上の漏えいに該当することを説明する」と明記しました（p.2、p.5）。

　私たちは、年金機構で無許諾の再委託が発覚して以降、無許諾で再委託された時点で漏えいとして対応すべきだと指摘してきました。遅きに失したとはいえ、事態の拡大・深刻化を受けて個人情報保護委員会も「番号法上の漏えいに該当する」とやっと認めました。

　しかし漏えいが発生した時に必要な、影響を受ける可能性のある本人への連絡はされず、事実関係の公表も不十分なままです。

個人情報保護委員会のガイドライン見直し

　個人情報保護委員会は2019年10月11日～11月11日、「特定個人情報の適正な取扱いに関するガイドライン」を一部改正する告示案への意見募集（パブリック・コメント）を行いました³⁰。

▲クリックで拡大／縮小

　改正の理由は、「個人番号利用事務を受託していた事業者が、最初の委託者である行政機関又は地方公共団体の許諾を得ずに同事務を再委託した事案が判明」しており、「各種説明会、立入検査等における問合せ内容を踏まえ、最初の委託者の許諾を得ていない再委託に関連して、番号法違反と判断され得る事例を改めて明確化する必要がある。」ためで、令和元年12月を目途に公布・施行予定となっています（上のスライドをクリック）³¹

　改正内容は、事業者編と行政機関等・地方公共団体等編のガイドラインの（1）再委託（2）特定個人情報の提供制限（3）特定個人情報の収集制限の項目に、委託を受けた者が最初の委託者の許諾を得ずに再委託した場合、「委託を受けた者」は番号法第19条（提供制限）に違反し、再委託を受けた者も第15条（提供の求めの制限）及び第20条（収集・保管制限）に違反するという項目を追加するものです。

発覚したのは氷山の一角?　対策は依然不十分

　個人情報保護委員会は違法再委託の発覚から2年近くたって、ようやく無許諾の再委託が番号法違反の提供・収集・保管であり、「漏えい」と認めて対策を始めました。

　しかしガイドライン案は、2019年3月の手引書では番号法違反と明記しているにもかかわらず「違反と判断される可能性があるため、留意する必要がある」という曖昧な表現になっています。また再委託先が契約書等でマイナンバー事務であることがわからなかった場合は違法な収集とは解さないとしていますが、マイナンバーが記されていることは見ればわかることです。2019年3月の手引書から後退した印象を受けます。

　対策はガイドラインの改正だけでは済みません。マイナンバーの漏えい対策として重要な特定個人情報保護評価書において、「再委託は行わない」と記載していることに反して再委託が行われていても、ペナルティが課せられていません。

　いま発覚しているのは行政機関からの委託ですが、マイナンバー制度がはじまり民間事業者も「個人番号関係事務」としてマイナンバーの提供を受けるようになり、その収集管理を代行会社に委託しているケースが多くあります。民間事業者も含めた再委託の実態調査も必要です。

　発覚している違法再委託は氷山の一角の可能性があります。「見える番号」としてマイナンバーを官民で利用するマイナンバー制度では、このような違法再委託が構造的に避けられず、制度そのものの見直しも求められます。

Note

*24 » 「受託業務における契約及び法令違反の概要報告および役員報酬の一部自主返上等について」 2019.6.19 システムズ・デザイン

*25 » 「行政手続における特定の個人を識別するための番号の利用等に関する法律に基づく指導について」 2019.8.30 個人情報保護委員会

*26 » 「特定個人情報の取扱いの状況に係る地方公共団体等による定期的な報告について」 2019.9.12 個人情報保護委員会

*27 » 「令和元年度上半期における個人情報保護委員会の活動実績について」 2019.10.25 個人情報保護委員会

*28 » 「【報道資料】個人住民税データ入力業務における受託者の契約及び法令違反について」 2019.5.30 熊本市

*29 前出、その1の注*2 「特定個人情報等のデータ入力業務の委託先に対する監督について」参照

*30 » 「「特定個人情報の適正な取扱いに関するガイドラインの一部を改正する件（告示案）」に関する意見募集について」 2019.10.11 個人情報保護委員会

*31 »「「特定個人情報の適正な取扱いに関するガイドライン」の改正案について」同上「意見募集について」のページ所収の「概要」