国税庁委託先がマイナンバーを流出!現役プライバシーマーク審査員補の視点から問題を語る

昨日、国税庁委託先からマイナンバー流出という事件が報道されました。

当然のことながら、このニュースについては衝撃が大きい訳で、Twitterでもこのニュースは大きく取り上げられています。
ただ、流出という言葉が本当に正しいのか。そして、悪いのは国税庁なのかというと非常に難しい問題です。
そういう訳で、この事件について、プライバシーマーク審査員補である僕から、個人情報保護の観点から少しお話しいたします。

本事件の背景

東京国税局からマイナンバー等の個人情報を入力する業務を委託された会社が、無断で別の会社に再委託していたことが判明。

ここで再委託というのを簡単に説明すると「仕事を丸投げする」ということになります。
後に説明いたしますが、マイナンバーを無断で再委託するというのは、違法であり、当然にJIS Q 15001:2017(個人情報保護マネジメントシステム)においても不適合の扱いになります。

システムズ・デザインという会社

同社は、JASDAQに上場する企業であり、直近の業績は売上高82.9億、経常利益2.4億の利益を挙げているシステムインテグレーターの会社になります。また、プライバシーマーク、ISMS(情報セキュリティマネジメントシステム)の認証を取得しており、個人情報保護体制及び情報資産の保護体制は確立されているはずの会社でした。

今回の事案の違法性

今回の件の違法性については、番号法第10条第1項違反に該当するものと考えられます。
番号法とは、行政手続における特定の個人を識別するための番号の利用等に関する法律というものでありますが、わかりやすくいうとマイナンバーに関する特別な個人情報保護法と思ってください。

(再委託)
第十条 個人番号利用事務又は個人番号関係事務(以下「個人番号利用事務等」と
いう。)の全部又は一部の委託を受けた者は、当該個人番号利用事務等の委託を
した者の許諾を得た場合に限り、その全部又は一部の再委託をすることができる。

個人情報保護法には再委託の禁止は謳われておりませんが、番号法では上記の通り、マイナンバーの再委託に関しては許諾を得ない限り禁止しております。そのため、システムズ・デザインは違法行為を行なったとなります。ただ、この問題は罰則自体が存在しないので、訴訟されるとしたら民事訴訟程度になるんですよね。

当然ではありますが、プライバシーマーク上においても番号法の違反行為になるので、重大な事故に該当いたします。
今回の事故に関しては、欠格性の審査がされることになりますが、社会的な影響も含めて厳罰に処されることが予測されます。
まぁ、故意であり、不正利用に該当すること。そしてマイナンバーということも含めて、付与の取り消しは避けられないものと思われます。

国税庁は本当に悪かったのか

今回、国税庁が槍玉に上がっていますが、ここで少し落ち着いた判断をしたいと思います。
そもそも、国税庁だけが悪いのかという評価もしてみることにします。

この場合、特定個人情報の委託先選定責任が問われることになります。
その辺で、このような違法行為を行った企業を選定したのだからという選定責任は避けられません。
しかし、委託先を選定する場合いくつかのプロセスがございます。

・個人情報保護体制が構築されているか
・財政状態は大丈夫か
・実績はあるのか

大雑把にみて、上記の3点からすると、システムズ・デザインについては、上場企業であり、財政状態は非常に安定している(黒字継続)そしてプライバシーマークを取得しており、個人情報保護体制は構築されているという風に見ると、特段問題はない会社と思える訳で、ここがまさかマイナンバーを再委託するというのは予測し難いというのも事実です。

そのため、国税庁に関しては委託先の選定責任はあるにしても、それ以上の部分については如何ともしがたいというのが正直なところです。

個人情報を守るために

最後は、ここになります。

今回の事案の結果、システムズ・デザインは官公庁の仕事を当面受けられなくなる訳で、ただの個人情報流出よりも大きなペナルティが課せられることは自明です。この理由については、故意でやったことに尽きます。本来の事故であれば、再発防止策を考えていくというのが大切なのですが、故意に関しては再発防止策の前に罪を償って頂く必要があります。

正直、今の時代は個人情報が溢れかえっており、毎日のように事故が発生しています。
皆様の個人情報を保護していくというのは、簡単なことではありません。
そして、事故についても不可避なものも多数含まれます。

個人情報を守るために大切なのは、感情的になることなく、事故を正しく認識して、会社ぐるみとか故意でやってしまった会社、そしてあまりにもずさんな対応を行った会社を覚えておいて、その後そのような会社を使わない(委託先として選定しない)というのが非常に有効になります。個人情報を守るには、危ない会社は使わないというのが大切です。

プライバシーマークについても、故意に対するペナルティは非常に大きなものになります。
僕自身、同社に対するJIPDECの処分については中止していきたいと考えております。

僕自身、複数の企業でプライバシーマークを含む様々なマネジメントシステムの責任者であるとともに、プライバシーマーク審査員補として、そして現状プライバシーマーク審査員に昇格すべく様々な研修を受けております。

その中で発生した大事故であるという認識を持っており、正直ショックな部分も否めません。
そのため、本事案については、更に検証を行っていきたいと考えております。
検証についても後日シェアさせて頂くつもりです。

今日は速報レベルではありますが、簡単にまとめさせて頂きました。

にほんブログ村 資格ブログへ