度重なるマイナンバー漏洩事件「委託先管理」を正すタイミングは今しかない|サイバーセキュリティ.com

度重なるマイナンバー漏洩事件「委託先管理」を正すタイミングは今しかない



2018年は240万件のマイナンバー漏洩事件が発覚しましたが、年明け早々埼玉県の自治体で新たに46万件 の特定個人情報の漏洩事件が起こりました。

前回のコラムの最後に、

今回の事件の本当に恐ろしいところは、たまたま発見された氷山の一角ではないか、と感じさせるところなのです。

と書かせていただきましたが、やはり出て来ました。今回はこの一連の事件について触れたいと思います。

埼玉県委託先で無断再委託が発覚した経緯

今回の事件、発覚は自治体から再委託有無の確認依頼が来たところから始まっている、とされています。2018年の事件を鑑み、自治体が”自分の所は大丈夫か”と再確認をしてきたのでしょう。これは委託元である自治体の行動としては正しいと思います。

2018年の事件で、契約を守らなかった会社があったのですから、自分の所でも契約を結んでいるだけでは安全とは言い切れない、と考えるのは当然です。確認依頼の判断をした自治体の管理責任者は、模範的な行動を取ったと言えるでしょう。

内部調査や事実公表の対応は模範的

そして事件の当事者であるAGS株式会社も、自治体からの確認依頼を受けて、しっかり内部調査を行い、問題を把握すると早急な対応を行っています。こういう時に隠蔽したり、適当に返答したりしている企業もよく見かけますが、そのようなことは行っていません。

また、初回は再委託の許可承諾を受けていましたから、最初から黙って再委託をしようと考えていたわけでもないでしょう。毎回再委託が必要だとの認識をしていなかったことが原因と思われます。この辺りは、2018年の事件とは流れが違うので、”悪質”とまでは言い切れないと思います。

再々委託の管理責任は適切だったのか

ただし、今回の発表で一つ引っ掛かる部分があります。

それは「再々委託」の部分です。再委託先の管理は適切だったか。再委託先が再々委託先する場合、果たしてAGS株式会社は再委託先に許可を出していたのでしょうか。(少し紛らわしい言い方ですが)

常識的な契約書であれば、許可を求める文章になっているはずです。それを守らせていたのだとしたら、なぜ自分達が守っていないことに気付かなかったのか。こう考えると、再委託先の契約履行にも疑問符がついてしまうので、そこもはっきりさせておいた方が良かったように思われます。

発表された内容では、これから精密な調査と再発防止策を構築されるようですので、是非、完成したら公式に発表していただき、今後のためのモデルケースにしていただきたいですね。まだ自浄作用が行われていない組織も沢山あることでしょうし。

法務と現場の乖離を無くすために

以前から懸念されていることですが、組織がある程度の規模になってくると、

  • 契約内容を知らない現場
  • 現場でやっていることを知らない法務

が発生してきてしまいます。この乖離を無くすことは、組織としてとても重要なのですが、まだまだ日本では対策が遅れています。

ただ、この問題意識は徐々に社会的にも共有されてきています。

人材育成の場も増えてきている

例えば、私も兼任教員として参加させていただくのですが、今年4月から中央大学に「国際情報学部」が開設されます。

中央大学 国際情報学部 国際情報学科

この学部では、法学と情報と教養の融合を謳い、現場で「やって良いことと悪いこと」の判断ができる人材の育成も目指しています。この分野での人材不足を感じているからこそですね。

このように情報における法務と現場の乖離は、社会的課題として認識されつつあります。このトレンドをしっかり把握し、自社の生き残りのために、情報管理には一層留意をしなければなりません。

無断再委託を正すタイミングは今しかない

本音を言わせていただければ、正直なところ「無断再委託」は、かなりの企業で行われているのではないか、と睨んでいます。

240万件のマイナンバー無断再委託が大事件扱いされていないのは、メディアが「無断再委託」を気軽に叩くと、自らに跳ね返ってきそうだと考えているのではないか、と穿った見方もできるのではないでしょうか。この一連の流れが広がり、委託先管理がきちんと行われるようになることを期待したいですね。

今回、AGS株式会社は、再委託状況の確認を切っ掛けに、自浄作用により、しっかりと発表してきました。
皆さんの組織ではいかがでしょう?もし、預かり情報の無断再委託をしてしまっているのであれば、正すのは今のタイミングでしょう。放っておいて後からバレた場合、被害は今より拡大する一方ですから。


SNSでもご購読できます。