「日本年金機構は6日、国民年金などに関する個人情報の入力を委託していた札幌市の情報処理会社が、契約に違反して、仙台市の事業者に約53万6000人分の入力を再委託していたと発表した。個人情報には氏名、住所、生年月日、基礎年金番号などが含まれていた。」(読売)
Facebookの個人情報不正流用が世界的な問題となっている中、個人情報のデータ入力を中国へ再委託されていた日本年金機構(以下「機構」という。)が、新たな再委託を公表した。一体どうなっているのか。私の質問主意書への答弁から、ずさんな機構の監督体制が明らかになった。
1「日本年金機構のデータ入力外部委託に関する質問主意書」答弁から見る経緯
- 平成29年8月9日 SAY企画と契約締結。約1億8,250万円
SAY企画への委託契約は平成22年から現在まで33回。契約総額は約3億4千万円。今回の契約が半分以上を占めた。今回を除くと、1件あたりの契約額は数十~数百万円が大半。 - 平成29年10月16日 仕様書違反が判明
「一日当たり約八百人の業務委託員で作業が行われるとされているところ、SAY企画が百数十人の業務委託員で本件業務を行っていたことが判明」「同日以降、機構が複数回の業務委託員の増員の指示を行った」 - 平成29年10月16日 中国への再委託発注
「「再委託」の発注が行われたのは、平成29年10月16日から12月25日までと聞いている。」 - 平成29年12月8日 機構が立入検査開始
これ以前は「10月27日以降複数回業務の実施状況についての報告を求める」 - 平成29年12月31日 中国への再委託について機構に情報提供が行われる
「機構の法令違反通報窓口に、匿名で、委託業者先であるSAY企画が、契約上原則として禁止されている再委託を中国の関連事業者に対して行っていることを推測させる情報提供があり」 - 平成30年1月6日 特別監査実施
2 経緯から浮かぶずさんな監督体制
①中国への再委託は「業務委託員の増員の指示」が引き金か? 中国への再委託は、仕様書違反が判明した日(平成29年10月16日)と、同日に行われており、機構の「業務委託員の増員の指示」がきっかけで行われた可能性がある。
②後手にまわる機構の対応 機構は、受託者からの定期的な報告や必要な場合の報告徴収・立入検査等のモニタリングを定める「日本年金機構外部委託規程(以下「委託規程」という。)」に基づき、当初SAY企画に対し報告を求めたのみであり、立入検査に入ったのは、12月8日からだった。この立入検査でもなお、中国への再委託を把握することができず、12月31日の情報提供で初めて再委託を知った。10月16日の段階で、きちんとした立入検査を行い、契約の打ち切りなどの措置をとっていれば、「再委託」は防げた。
さらに「日本年金機構個人情報保護管理規程」(以下「個人情報保護規程」という)では、「(機構は)委託先において、番号法に基づき機構が果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認する」(49条2項)とされているが、
主意書は「業務委託員との守秘義務契約書が締結されたことの報告の遅れ、業務委託員の氏名等の届出の遅れ等不十分な点があった」と認めている。つまり、8月9日の契約時点から、10月16日まで、十分な業務委託員がそろっていないことを把握できていたことになる。「確認」がとれるまで業務の実施を認めるべきではなかった。
③行われない定期検査
機構の「個人情報保護規程」では、「〜委託する個人情報の秘匿性等その内容に応じて、委託先における個人情報の管理の状況について、年1回以上の定期的検査等により確認する」(規程49条3項)とされている。ところが、SAY企画に対する定期検査は、最初の契約(平成22年)以降、本件12月8日の立入検査まで一度も行われてこなかった。従来から定期検査を行っていれば、これまでの契約とは異なる大量の入力が可能か、予め判断できたのではないか。
他の委託先についても質問したところ、
「平成30年3月31日の時点において、236件の業務委託契約を締結しており、このうち187件については定期的検査等を実施しており、23件については今後実施予定となっており、残る26件については、〜検査を省略している」
との答弁。5分の1の50件近くがこれまで検査を受けていないことになる。主意書によれば委託先業者は117(平成30年3月1日)あることから、個人情報の入力の再委託などさらなる問題が明らかになるかもしれない。
3 問われる政府の監督責任
このように、機構は、委託先に対する検査も満足に行わず、業務委託員の確保や守秘義務契約の締結が行われていなくとも業務の実施を認めてきた。厚生労働省も機構のSAY企画への監督が「不十分な点があった」と認めている。 具体的な対応について政府は、
「機構において外部の専門家による調査組織が設置される予定であり、当該調査組織における調査等の結果を踏まえ、機構において、再発防止に万全を期すものと承知している。」
と答弁し、再発防止を機構に委ねている。個人情報が危険にさらされているのだ。機構のSAY企画への監督責任だけでなく、政権自身の監督責任を自覚すべきではないか。安倍政権は、機構の責任を厳しく問い、廃止・改組も含めた組織の抜本的な見直しを行うべきだ。私は、国税庁と機構を統合する「歳入庁」構想を提案したい。