orangeitems’s diary

クラウドではたらくエンジニアの日々の感想です。

年金受給者データ入力再委託問題の原因に関する考察

f:id:orangeitems:20180320120827j:plain

 

中国へ大量の個人情報を渡してしまう

日本年金機構が外注した会社が中国の業者に再委託していたというニュースです。しかも500万人分のマイナンバーを含むというから驚きです。

 

www.jiji.com

日本年金機構から年金受給者約500万人分の個人情報の入力を請け負った東京都内の情報処理会社が、契約に違反して中国の業者に業務を再委託していたことが19日、厚生労働省への取材で分かった。

news.tv-asahi.co.jp

機構とこの会社は契約のなかで別の業者への再委託を禁止していましたが、会社が違反して中国の業者に再委託し、データを渡していたということです。(中略)
 会社の社長によりますと、中国の業者に渡した個人情報は受給者の氏名のデータのみで、マイナンバーは含まれていないということです。

スポンサーリンク

 

考察

もともと、マイナンバーについては個人的に運用方法に疑問符を持っていましたが、これだけ大規模にぞんざいな利用されるとがっかりを通り越して怒りすら感じるところです。

本件、外部委託した会社についての公表は報道各社は慎重な状況です。ただ一部のメディア等では会社名まで報道されています。山本一郎氏の記事には名前が出ています。当記事ではまだ名前の公表は差し控えます。

news.yahoo.co.jp

 

さて、この問題の事業者ですが、ホームページはメンテナンス中に切り替わってしまっています。ただGoogleキャッシュには残っていますので状況を確認したところ、各種認証をきちんと取得していることが分かります。

・プライバシーマーク
・ISO27001(ISMS)
・ISO9001(QMS)

いわゆる3点セットです。この3つがあれば入札はできると思います。結局のところ、いくら認証を取ってもセキュリティ―インシデントは防げないということにほかならないと思います。

たいていのSIerはこれらの認証を取得し、会社の受付に証明書を額縁に入れて飾っています。私もいろんな会社の受付にお邪魔しましたがたいていそうです。日本においてセキュリティーが守られていることの証明がこの3点セットになります。軽く説明しておきます。

 

プライバシーマーク

プライバシーマークとは、一定の要件を満たした事業者などの団体(医療法人など)に対し、一般財団法人日本情報経済社会推進協会 (JIPDEC) が使用を許諾する登録商標である。プライバシーマーク - Wikipedia

このJIPDECはもともと総務省と経済産業省の共同管理の財団法人でした。したがって、政府が企業に個人情報管理のお墨付きを与える際にはこのプライバシーマークは重要です。公共系の入札で個人情報が絡む案件であれば必須と言って差し支えありません。

 

ISO27001(ISMS)

ISO/IEC 27000 シリーズ(「ISMS 規格群」または「ISO27k」とも)は、国際標準化機構 (ISO) と国際電気標準会議 (IEC) が共同で策定する情報セキュリティ規格群である。

ISMS(Information Security Management System、情報セキュリティマネジメントシステム)でいう情報セキュリティの管理・リスク・制御に関するベストプラクティスを提供する。ISO/IEC 27000 シリーズ - Wikipedia

こちらは国際規格です。プライバシーマークは個人情報に特化していますが、ISO27001は広範なリスク管理を目的とします。こちらは、個人情報を扱う扱わないにかかわらず入札資格としては必須に近い状態となっています。

 

ISO9001(QMS)

品質マネジメントシステム(ひんしつマネジメントシステム、Quality Management System,QMS)は、製造物や提供されるサービスの品質を管理監督するシステムである。ISO9000シリーズの2000年改訂版等から採用された概念で、品質管理を中心とした組織の活動で、顧客満足を達成し継続的な改善を意図する。品質マネジメントシステム - Wikipedia

これも国際規格です。ビジネスが標準化された手順に沿っているか、トラブルはきちんと記録し再発防止まで検討しているか、教育計画は策定しているか、など品質にまつわる国際資格です。情報処理だけではなく工場など、標準化された手順に基づいて業務を行っている企業に後半に当てはまります。これも入札資格としてはメジャーです。

 

というわけで、この3点セットを持った企業にデータ入力を外部委託したら、こともあろうか中国へ再委託されてしまったと。これは認証があれば事故が防げるという思い込みが露呈してしまったと言わざるを得ません。

いくつか認証のわなを例に挙げます。

 

認証を取っていてもその通りやっているとは限らない

よくある話です。認証を取るための役割を会社で策定し文書をいろいろ作り、審査員のインタビューを潜り抜け認証を取ります。しかし、その通り運用されていないケースです。文書は認証を取るための文書であり、現場では形式だけの運用にとどまります。認証の更新時に、巻き戻して認証更新用の文書を作成します。まるで夏休みの宿題のようです。こんなケースであれば、認証は名ばかりになります。

また、審査会社も「そんたく」を行うケースを考えられます。審査が厳しすぎるとその会社から嫌われ、次回以降の審査で審査員の業務が受注できなくなるかもしれません。審査が甘い審査員のほうが会社側も楽です。このように審査が適切に行われていないせいで、認証が名ばかりになるケースも存在すると思います。

 

リスク管理をひた隠す

リスク管理はきちんとやるとかなり工数がかかります。リスク管理の基本として、まずはリスクの洗い出しからやります。そのリスクをどうするかリスクの度合いに基づいて段していきます。リスクアセスメントと読んでいます。本当にきちんとやると工数がかかるのが分かっています。場合によってはリスクを軽めに判断したり、そもそも項目からひた隠してしまいます。そうすれば、見た目の仕事は減ります。

このように、一見リスクが無いように見せかけてリスクを見逃すことが起こってしまえば、いくら認証があっても効果がありません。

 

再委託を繰り返すと管理が及ばなくなる

今回のケースについて、委託された業務がさらに再委託されたのは間違いないですが、よくある話として、再委託の再委託があります。いわゆる多重請負のケースです。A社がB社に委託し、B社がC社に委託し、C社がD社に委託・・としていくと、どんどん管理方法がA社から見てブラックボックスになります。

民間では非常にありがちな話です。で、もともとこういうケースは問題になっていたので再委託自体を禁止している場合もあります。総務省からも文書が出ています。

www.mof.go.jp

(1) 一括再委託の禁止
 委託契約の相手方が契約を履行するに当たって、委託契約の全部を一括して第三者に委託することを禁止しなければならない。

(2) 再委託の承認
 委託契約の相手方が再委託を行う場合には、あらかじめ再委託の相手方の商号又は名称及び住所並びに再委託を行う業務の範囲、再委託の必要性及び契約金額について記載した書面を契約の相手方に提出させ、次に掲げる事項について審査し、適当と認められる場合に承認を行うものとする。なお、再委託に関する書面に記載された事項について、変更がある場合には、委託契約の相手方に遅滞なく変更の届出を提出させ、同様に審査及び承認を行うものとする。

1再委託を行う合理的理由

2再委託の相手方が、再委託される業務を履行する能力

3その他必要と認められる事項

 なお、契約の相手方が特殊な技術又はノウハウ等を有することから「競争を許さない」として随意契約を締結したものについて、承認を行う場合には、随意契約によることとした理由と不整合とならないか特に留意しなければならない。

(3) 履行体制の把握及び報告徴収

1再委託の相手方からさらに第三者に委託が行われる場合には、当該第三者の商号又は名称及び住所並びに委託を行う業務の範囲を記載した書面を委託契約の相手方に提出させることにより、委託契約に係る履行体制の把握に努めるものとする。

2委託契約の適正な履行の確保のために必要があると認めるときは、委託契約の相手方に対し、報告を求める等必要な措置を講じるものとする。

したがって、ルールはきちんとできているんですよね。今回問題となった会社も、再委託することをまさか年金機構に隠していたということはないでしょうし、どのようなプロセスで中国まで再委託されてしまったのかが問題になると思います。

※本当かどうかはわかりませんが、隠していたらしい・・

 

まとめ

今回、報道が始まったばかりで、まだ確たる情報が少ないため、以下が明らかにされるべきだと思います。

 

各種認証が効果を成さなかった理由

各種認証を取得しているにも関わらず、このようなインシデントが発生してしまった経緯を知りたいです。他社も金額をかけて取って維持しても、意味がないということになってしまうと思います。認証の審査で食べている会社も多いと思いますので、小さい話ではありません。

再度、認証の運用については国全体で考え直す時期に来ているのではと思います。

 

再委託のプロセスと日本年金機構の関係

発注先に再委託を許すかどうかは、年金機構に委ねられています。再委託を許したのか。それとも再委託はルール無視で行われたのか。

→これは契約自体に再委託禁止があったため、「ルール無視」になると思います。

 

取り扱われているデータがデータですので、ちゃんと教えてほしいところです。