マイナンバーが漏えいの報道
マイナンバーの運用は運用開始当時から適当だなあと思いますが、ついに運用エラーが起きてしまったようです。
国税庁は14日、東京、大阪両国税局からデータ入力を委託されていた業者が契約に反して別業者に再委託し、マイナンバーなど個人情報が含まれる約70万件の書類を流していたと発表した。
国税庁は14日、源泉徴収票などのデータ入力を委託した会社が、国内の別の業者に無断で再委託していたと発表した。再委託されたのは約69万件分で、うち少なくとも約55万人分のマイナンバー(社会保障と税の共通番号)が記載されていた可能性がある。現段階では、再委託先からの漏えいは確認されていないという。
毎日新聞は漏えいと書き、時事通信は丸投げと書く。両方ともミスリードを招く恐れがあると思いコメントします。
漏えいと呼ぶかは疑問
新聞記事で、「マイナンバーなど個人情報70万件漏えい」書くと、まるでマイナンバーと、住所や名前などの個人情報がセットで、第三者の手に渡り今にも悪用されるような書き方だと思います。
しかし、記事をよく読むと、
・・・契約に反して別業者に再委託し・・・
・・・マイナンバー法では、無許可の再委託は禁止されているが・・・
と表現されています。これは今回の国税庁の例で言えば、国税庁が承認していない再委託は許さない、という意味です。つまり承認すれば再委託してよいのがマイナンバー法なのです。また、再委託する場合はいろいろなルールが定められているということです。
今回の委託先であるシステムズ・デザインは、国税庁の許可を得ず勝手に再委託を行ったということで今回の報道となりました。しかし、詳しくは書いていないですが、再委託する際も秘密保持誓約(NDA)は結んだはずで、無許可イコール漏えいというのは語弊のある書き方だと思います。
無許可であっても、NDA契約は有効であり再委託元のシステムズ・デザインが監督していればいわゆる、最悪のケース(名簿が第三者に渡り悪用されるなど)までは考えにくいのではないかと思います。
なぜなら、再委託自体は禁止されていないからです。
マイナンバー法における委託の前提
国の個人情報保護委員会が、ずばり記載をしています。
Q3-8 再委託(再々委託以降を含む。)を行うに当たり、最初の委託者から必ず許諾を得る必要がありますか。
A3-8 再委託につき許諾を要求する規定は、最初の委託者において、再委託先が十分な安全管理措置を講ずることのできる適切な業者かどうかを確認させるため設けられたものであり、番号法第10条第1項により明示されています。したがって、最初の委託者の許諾を得る必要があります。
なお、委託先や再委託先から個人番号や特定個人情報が漏えい等した場合、最初の委託者は、委託先に対する監督責任を問われる可能性があります。
このように、何しろ国税庁の監督責任は問われるということになります。ただし、再委託先から漏えいした場合、とあり「無許可」即漏えいという定義ではありません。
再委託を委託先が行う場合は、最初の委託者(今回は国税庁)が何しろ安全かどうかをきちんと直接チェックしてから仕事をさせるというのが原則です。
今回は、国税庁の知らない間に、委託先のシステムズ・デザインの手が回らないために再委託先に仕事が再委託されたということになります。一部報道にある、再委託を「丸投げ」と言う表現もどうかと思います。承認されていれば何も問題はなかったわけです。
今回は恐らく、事後チェックを行って収拾を図るはず
システムズ・デザインが国税庁に無断で再委託していた3社に対して、国税庁が今から安全確認を再度行い、問題が無かったかをチェックするのではないでしょうか。かつ、システムズ・デザインも再委託先の監査・チェックはもともとしていたでしょうから、大きな問題に発展する可能性は現時点では低いと類推します。
結果的に、安全に問題がなかった場合は漏えいはなかったとする報告をするのではないかと思います。
また、委託を丸投げと呼んでしまうと、世の中は回らなくなってしまいそうです。繰り返しますが許可があれば再委託は合法です。
もちろん、無許可で再委託をしていたシステムズ・デザインは明らかにルール違反なので、入札資格の一定期間取り消しがされるのはごく自然です。
追記
本記事、再考してみました。