年金機構が個人情報入力を委託した業者が、中国企業に無断再委託をしていた事件が発生しました。まだ今一つ、報道では具体的な状況がわからないのですが、重要なターニングポイントになる可能性がありますので、少々解説しておきたいと思います。
この記事の目次
マイナンバーは本当に含まれていないのか?
報道では、再委託した業務情報にはマイナンバーは含まれていないとされています。このコラムを書いている時点(2018年3月21日)の報道では、
扶養家族の氏名とふりがなの記入を委託
となっています。
気になるのは、扶養家族の氏名とふりがなの入力”だけ”を外注するようなケースとは、どういう状態なのかわからないことです。普通に考えると、その2つだけの入力を委託するのは不自然に感じられます。
また、その2つだけを抽出するとしても、入力元のデータがどういう状態だったのか、また入力した後のマッチングをどういう形で行っていたかが分からないと、本当にマイナンバーが海外に行ってないと言えるのか判断しかねます。
中国企業に委託するということ
“再委託した企業が中国である”ということも懸念されます。中国はインターネットを検閲していると認めている国です。この国に存在する企業またはサーバに対して、個人情報を渡すことが、個人情報保護法で定める「外国にある第三者への提供」に該当する恐れがないのか、ということです。
単純な委託作業のため(例えばDM発送のため宛先を印刷する)に渡すのは、提供とは見なされませんが、国に検閲がされている前提でもそれが認められるのかは、ちょっと微妙な気がします。まして、今回はマイナンバーが絡んでいる情報なのですから。
委託先の企業が請け負っていた他の案件は?
今回の事件を起こした情報処理企業は、年金機構だけでなく、他にも公的機関の入札案件に名前が見られます。おそらく一般企業からも業務を請け負っているのでしょう。果たして他の案件は大丈夫だったのでしょうか。
今、ニュースで騒がれているのは、年金機構案件ですが、他の案件では同様のことが無かったのか、至急調べる必要があるでしょう。年金機構だけで終わる話だとは思えないのですが。
「再委託禁止」は実際に守られているのか
…と、まだまだ問題が出て来そうなこの事件ですが、一番忘れてはいけないのが、これです。「再委託禁止が本当に守られているのか」ということ。
再委託禁止条項は、おそらく多くの企業の業務委託契約書に書かれていると思います。ですが、それが現場まで浸透していますか?浸透していることを確認していますか?
“現場が知らない”というケースも
私自身も経験のあることですが、ある程度の規模のある企業は、契約書は営業が受け取って法務部の承認で決裁されます。ところが、そこに作業現場の意見が入らない場合も多く見受けられます。
そもそも再委託しないとできない仕事なのに、作業現場の知らない間に再委託禁止の契約が為されている。こういうことが起きていませんか?
形だけの「再委託禁止条項」
この事件の一番のポイントはここだと考えています。個人情報保護法施行以降、再委託禁止条項はフォーマットのように、契約書の中に含まれるようになりました。
しかし、本当に再委託を一切しないで業務が回るのか。法務部門と現場の認識の乖離が起きていないのか。この問題は多くの企業で発生しているのではないでしょうか。
サイバーセキュリティ経営ガイドライン等で「サプライチェーンマネジメント」が叫ばれているのはこういう部分です。
- 形だけの契約
- 委託先へ責任の押し付け
が未だに罷り通っている現実。これがわかりやすい形で噴出したのが、今回の事件なのではないでしょうか。
自社と委託先の取り扱いを見直す
この事件を見て、もし私が企業のCISOだったとしたら、もう一度業務委託で重要情報を提供する先に、再委託禁止の履行が守られているかどうか、社員を派遣して確認させます。委託を受ける側でも同じです。再委託禁止が自社で守られているのか再確認します。
これをやっておかないで、同様のことが発生したら経営責任が問われますから。
この事件を「年金機構はやっぱりダメだなぁ」と言うだけではいけません。これを他山の石として、「自分のところは本当に大丈夫なのか」と問い直す器量が求められています。