マイナンバー法の再委託の件を再び考える
国税庁のマイナンバー入力案件について、委託先が無断再委託した、という件が問題になっていた件があったと思います。
この件について、受注したベンダーの側を想像して、別の視点から考えてみたいと思います。自分が当事者ならどうしただろうか、ということです。
ガイドライン
再委託についてのルールについて、わかりやすい記事がないかと探したところ、以下が良かったので推薦します。
渡邉 雅之弁護士によるまとめです。個人情報保護法よりもマイナンバー法のほうが厳しい内容となっており、特に最初の許諾者(今回で言えば国税庁)が再委託を認めていない会社に再委託してはならないということがわかると思います。
今回の件も、このルールに抵触したから、ということになります。
ベンダーの心理
あるベンダーが受託したけれども、社内のリソースではどうしても期限までに達成できない。そんな場合にリスクマネジメントとして協力会社と関係を密にしておき、よほどの場合は仕事内容を再委託して手伝ってもらうというケースとなると思います。
もちろん、ベンダーにおいては、再委託先にデータを渡すときはマスクをしたり、入力するデータを限ったりして安全を期すのはテクニックになります。入力データにユニークなIDを付与し、A社には住所のみのデータ入力、B社にはマイナンバーのみ、C社には名前のみとすることで、ひもづけられないようにし再委託することはできるでしょう。今回はそうしたかは不明ですが・・。
ただしどんな工夫をしても、無断の再委託は禁止というのがマイナンバーに限った制度ということになります。
さて、再委託をお上と協議している時間はない。その場合どうするかと言えば、私が考えつくのは派遣契約です。
人材派遣会社に大量に人を発注し、場所を確保して、教育をしたうえでデータ入力をさせるのです。社内にリソースがない場合は本当にこれしか方法がないと思います。
しかし、この場合には、人材派遣会社から派遣された人物がその場しのぎで教育を受けたとして安定したコンプライアンス意識が保てるのかという大きな問題が発生します。しかもスタッフは数合わせのために集められており生産性も低いのも明らかです。
客観的に考えると、よほど、実績のあるデータ入力会社に再委託した方が安全じゃないかという感想です。
相当に厳しいマイナンバー入力業務の矛盾
マイナンバー入力業務は特定の期間に集中しがちです。平常時に安定して入力業務があれば、それこそマイナンバー入力センターなどの公共機関を作って、そこに業務を集めるべきでしょう。そうしないのは、一年間の業務量が一定しないために、入札でアウトソーシングしたほうが都合がいいという国・公共機関側の論理だと思います。
さて、入札資格を持つ、データ入力をするベンダーも実は同じ論理です。業務量が一定ではないために、アウトソーシング(再委託先)を必ず持ってリスクヘッジします。スタッフを年がら年中抱えられないのです。これは実は国・公共機関の問題を移転しているだけです。個人情報保護法においてはこの論理でベンダー側主体で再委託することを認めていたので、成り立っていたと思われます。
しかし、マイナンバー法においては、最初の許諾者(国・公共機関)が認めないと再委託が自由にできません。この再委託の許可を得る手続きがおそらく、相当に大変なんだと推察します。春の日本年金機構の問題の際も同様に、中国の企業に再委託をして問題となりました。
遠目から見ると、国はベンダーに委託しているのに、ベンダーは(再)委託ができないとは言えないまでもできづらくなっているわけです。よほどベンダーは再委託をしなくても業務を完結できる社内リソースがないと、リスクが高い案件に見えます。
また、ベンダーは受注するときに、あらかじめ再委託することを前提条件にして入札するべきだとも思います。この辺り、今年に入ってすでに2件の無断再委託問題が発生していることを考えると、一度仕組みを再検討するべき時期にあるのではないか、と思います。
