1.はじめに
3月19日のNHKニュースなどによると、日本年金機構からマイナンバーや配偶者の年間所得額などの個人情報のデータ入力の業務を委託された東京・池袋の情報処理会社・「株式会社SAY企画」が、年金機構との委託契約に違反しておよそ500万人分の個人情報を中国の業者に渡し、入力業務を再委託させていたことが厚生労働省などへの取材でわかったとのことです。
しかも、21日の新聞報道によると、日本年金機構はSAY企画が委託契約書に違反して中国の業者にデータ入力を再委託させていることを内部告発により知った後も、SAY企画との委託契約を更継続していたとのことで、問題はより悪質です。
・500万人分の個人情報が中国業者に 年金情報入力を再委託|NHKニュース
・年金機構、甘い管理 委託先の把握、不十分|朝日新聞
さらに、20日付の日本年金機構の本件に関するプレスリリースを読むと、SAY企画を3年間の競争入札への参加資格を停止する処分があるだけで、日本年金機構側の理事長や担当部門の長などの懲戒処分が一切記載されていないことに驚きます。
・年金からの所得税の源泉徴収について|日本年金機構
2.独立行政法人等個人情報保護法
この点、日本年金機構の情報管理について法令上はどうなっているかというと、日本年金機構は行政法上、特殊法人であるため、個人情報保護に関しては、独立行政法人等個人情報保護法(以下「法」とする)が適用されます(法2条1項、同・別表)。
そして、法7条は、独立行政法人等が講じなければならない安全確保措置について、つぎのとおり規定しています。
独立行政法人等個人情報保護法
(安全確保の措置)
第七条 独立行政法人等は、保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければならない。
2 (略)
また、総務省は、この独立行政法人等個人情報保護法に関する指針を出しています(独立行政法人等の保有する個人情報の適切な管理のための措置に関する指針について(通知・総管情第85号平成16年9月14日))。
そして、この総務省の指針は、独立行政法人等の安全確保措置について、つぎのように規定しています。
独立行政法人等の保有する個人情報の適切な管理のための措置に関する指針
第8 保有個人情報の提供及び業務の委託等
(業務の委託等)
4 保有個人情報の取扱いに係る業務を外部に委託する場合には、個人情報の適切な管理を行う能力を有しない者を選定することがないよう、必要な措置を講ずる。また、契約書に、次に掲げる事項を明記するとともに、委託先における責任者及び業務従事者の管理及び実施体制、個人情報の管理の状況についての検査に関する事項等の必要な事項について書面で確認する。
(1) 個人情報に関する秘密保持、目的外利用の禁止等の義務
(2) 再委託の制限又は事前承認等再委託に係る条件に関する事項
(3) 個人情報の複製等の制限に関する事項
(4) 個人情報の漏えい等の事案の発生時における対応に関する事項
(5) 委託終了時における個人情報の消去及び媒体の返却に関する事項
(6) 違反した場合における契約解除、損害賠償責任その他必要な事項
5 保有個人情報の取扱いに係る業務を外部に委託する場合には、委託する保有個人情報の秘匿性等その内容に応じて、委託先における個人情報の管理の状況について、年1回以上の定期的検査等により確認する。
(後略)
このように、独立行政法人等の一つである日本年金機構は、独立行政法人等個人情報保護法7条1項により、保有する個人情報に対し、漏洩・滅失・棄損などが発生しないための安全確保措置を講じる法的義務を負っています。
そして、この点を総務省の指針はさらに詳細に規定していますが、保有する個人情報の業務を外部に委託する場合は、①委託先として個人情報の適切な管理を行う能力を有しない者を選定することがないよう必要な措置を講じなければならず(委託先選定基準の策定、委託先候補の事業所への訪問などを含む調査等、委託先選定基準に基づく委託先の選考)、②秘密保持や再委託の可否等を定めた委託契約書の作成・取り交わし、③年1回以上の委託先の定期立入検査、などが必要と規定されています(指針8条4項、5項)。
3.日本年金機構の今回の不祥事は個人情報管理の観点からどのように問題なのか
このように法令をみたうえで、日本年金機構の今回の不祥事をみると、まず、年金機構はあらかじめ委託先選定基準を作成し、委託先候補の事業所への訪問などを含む調査を行い、そのうえで委託先選定基準に従ってSAY企画を選抜したのだろうかという問題があります。
この点、20日に行われた記者会見では、日本年金機構の理事長ら幹部は、「競争入札なので、価格の安さしかみていなかった」という趣旨の発言をしているようです。日本年金機構法などが競争入札制度を要請しているとしても、独立行政法人等個人情報保護法や指針がある以上は、日本年金機構は委託先の選定にあたり、価格の安さだけでなく、委託先の情報管理の品質をも十分に検討すべきでした。
また、指針は委託先事業者に対して年1回以上の定期立入検査を求めています。報道や日本年金機構のプレスリリースなどにおいては、年金機構はこれまで、約30の案件でSAY企画に委託してきたとあります。しかし約30回も委託していたのならば、何度か年金機構の情報管理の担当部門の職員がSAY企画の事業所を立入検査し、SAY企画の情報管理の品質や、事業規模を把握できていたはずです。つまり、日本年金機構は膨大な国民の個人情報を保有し、そのデータ入力などについて外部委託を行っていたにもかかわらず、法令の定める委託先の定期立入検査をまったく実施していないのではないかとの疑問を感じます。
日本年金機構は独立行政法人等個人情報保護法や総務省指針の定める安全確保措置を怠り、違法な情報管理を行っていたといえます。
さらに、日本年金機構のプレスリリースや、20日に行われた理事長らの記者会見の様子を読むと、理事長はさかんに「厚労省から指示されたとおり、日本年金機構の使命を実施してゆく」と繰り返していますが、「個人情報の保護に努める」とは一言も述べていません。また冒頭でみたように、年金機構はSAY企画を処分するだけで、年金機構内部の人間は一人も懲戒処分しないようです。
この点は、そもそも日本年金機構は社内基準・組織内基準として、個人情報保護方針・個人情報保護規程・各部門における個人情報保護基準・規則や就業規則などの整備、個人情報保護に関する社内教育等がまったく実施されていないのではないかとの疑問を感じます。
日本年金機構は、旧社会保険庁時代も含め、何度も個人情報保護の問題で不祥事を起こしてきました。年金機構の役職員は、法令を守り、コンプライアンス意識を持って、組織内の個人情報保護のためにさまざまな取り組みを行うべきと思われます。
■参考文献
・宇賀克也『個人情報保護法の逐条解説 第5版』665頁
・岡村久道『個人情報保護法 第3版』499頁
 |
 |