JASDAQ上場の情報処理サービス会社、システムズ・デザイン株式会社で、マイナンバーを含む個人情報の入力作業を、許可なく再委託していた事件が起きていたことが発表されました。今回はこの事件を考察して行きたいと思います。
これはマイナンバー”漏洩”事件である
今回の事件、いろいろと記事を見てみますと、「再委託」や「流出」といった言葉が使われていますが、まず、この表現に違和感を思えます。
一般に「情報漏洩」とは、情報の”機密性”が損なわれた場合に使う言葉です。機密性とは、「アクセス権を持つ者だけが、アクセスできる状態にあること」です。アクセス権の無い業者にマイナンバー情報を渡したのですから、これは「漏洩」です。
今回の事件を正確に表現するなら、下記のようになるでしょう。
約240万件のマイナンバーが無許可の再委託により漏洩した。但し、他への漏洩や悪用の事実は現在の所認められない。
再委託した原因は何か
発表の内容を見ますと「”業務多忙”によって、再委託をしてしまった」としていますが、再委託の割合が9割超えでは説得力が無いでしょう。最初から”再委託ありき”で受注していたようにしか感じられません。それどころか、再委託をしてはならないことを、現場は認識していなかったかも知れません。
以前の年金機構の再委託事件のコラムで懸念を表明していましたが、現場担当者が契約内容を知らないと、悪意なく、再委託をしてしまうことが有り得るのです。(仮にも情報サービスの会社ですから、個人情報の無許可再委託禁止くらいは現場でも知っておいて欲しいところですが…)
どちらにせよ、現場の責任に矮小化させず、会社のマネジメント体制の見直しが必要だと思います。
一番責任が重いのは委託元
とはいえ、再委託した会社が最も責任が重いとは言えません。最終責任を取らなければならないのは、この会社に業務を委託した国税局他の組織です。
我々国民がマイナンバーを預けたのは国税局他の組織ですから、当然彼らは業務を委託するなら、委託先の行為に責任を持たなければなりません。国税庁は謝罪会見を開いたようですが、他の組織はどうなのでしょうか?
そもそもなぜシステムズ・デザインに委託したのか
また、なぜ、この会社に委託をしたのか。なぜ、委託前に二者監査(契約が守られるかのチェック等)を行っていなかったのか。これらについてもはっきりしていただきたい所です。
入札で一番安かったから、と言うのかも知れませんが、安全にはコストがかかります。価格が安ければ安いほど、「本当に大丈夫か?」と不安に駆られるのは私だけでしょうか。
セキュリティ意識の低さは明らか
で、不安に駆られれば、どんな会社なのか調べますよね。そしてこの会社のwebサイト(2018/12/20、15:00現在)を見てみると…
まず、今時、常時SSLではありません。Google検索に影響が出たり、ブラウザで「保護されていない通信」とか出てしまうこのご時世に。さらにflashも使われています。脆弱性が見つかることも多く、もう廃止も決まっているのに。
これが中小の建設業あたりなら、そこまで問題はないのかも知れません。しかし、情報サービス業で、マイナンバーを預ける企業となったら話は別です。自社のwebサイトですら、セキュリティ対策が未熟なのですから、少なくともwebサイト管理者も経営層もセキュリティ意識は低いと見るのが妥当でしょう。
私が国税局の担当者だとしたら、間違いなく監査に入ってセキュリティマネジメント状況を確認します。Webサイトを見るだけでわかるレベルなのですから、社内の他部門も推して知るべしです。その上で多少の指導で直るのか、はたまた改善には時間がかかるのかを見極め、委託が可能かどうかを判断するでしょう。
重要情報の委託先選択方法を見直すべき
ということで、国税局その他の組織には、是非、委託先選択方法を見直していただきたい。マイナンバーのような重要情報を委託するなら、一般の業務委託先選択と選考方法を変えるべきでしょう。組織内に判断スキルのある人間がいないなら、外部の人間に協力を仰いででも委託先選択は慎重にするべきです。今回のようなことが起きる前に。
…さて、今回の事件の考察、このような結論に至りましたが、皆さんの会社ではどうでしょうか。国税局のように、あまり考えずに「安いから」あるいは「情報サービス業だから大丈夫」と気軽に委託先を決めていませんか。他人事ではありません。今回の事件の本当に恐ろしいところは、たまたま発見された氷山の一角ではないか、と感じさせるところなのです。