ICHIRO BLOG引っ越しました

国税庁や自治体の案件でマイナンバーを含む個人情報の取り扱いに不備があったという報道がありました。

税情報６９万件無断で再委託東京のデータ入力会社（産経新聞 18/12/14）

国税局側の監査で１１月に発覚した。国税庁によると、過去の監査では、再委託先から書類をいったん戻して自社での入力を装っていたという。産経新聞

マイナンバー入力業務無断再委託 台東区と墨田区でも44万件余（NHKニュース 18/12/20）

東京の情報処理会社が、国税局や自治体から委託されたマイナンバーなどのデータの入力業務を無断で別の業者に再委託していた問題で、今度は、東京 台東区と墨田区から委託された合わせて44万件余りの入力業務も無断で再委託していたことがわかりました。NHKニュース

いずれも同一事業者によるやらかしでありますが、この摘発された事業者は過去にも同様な違反行為を秘匿するため確信的に偽装に及んでいたということで、かなり悪質であることをうかがわせます。ちなみに問題の事業者のホームページには「コンプライアンス基本方針」というものが堂々と掲げられ「あらゆる法令・諸規則等を遵守し、『法的責任』果たします」と宣言されておりまして、なんとも虚しいものを感じます。

それはともかく、今回の事件、以前にも似たような話があったなと記憶をたどりつつ検索してみたら以下のようなニュースが見つかりました。

年金入力を中国業者に再委託厚労相、流出確認されず（日本経済新聞 18/3/20）

日本年金機構が500万人分の個人情報の入力を委託した都内の情報処理会社が契約に反し、中国の業者に作業を任せていたことを明らかにした。
（中略）
同社は約500万人分の書類に記載された所得やマイナンバーなどに関する情報を扱っていたが、一部の作業を中国の業者に再委託。日本経済新聞

前回の方が明らかに規模が大きいわけですが、どのような明確な根拠があるかはよく分かりませんけれども「外部に個人情報を流出した事実は確認していない」という厚労相の宣言をもってして一件落着となったようです。本当かどうかはまだ分かりませんが、宣言を出したからには相応に流出先の調査は終わっているのでしょうか。

今回摘発された件は年金機構の時に比べて規模もずっと小さく、しかも再委託先は国内事業者のようです。やらかしてしまった事業者からは「問題発覚後、当社は関係する全ての再委託先に対して調査を実施しておりますが、現時点において再委託先からの個人情報の流出の形跡や不正な利用の蓋然性は認められておりません」という報告もあるため、問題の追及はこれで終わりになってしまうのかもしれません。

しかし、先の年金機構の件にしても今回の件にしても、なんというか「流出してしまったものは仕方ない、次回から気をつけるのでそれで許してください」みたいな小学校の反省文とあまり程度の変わらない空気を感じてしまいます。また、個人情報の流出が繰り返し発生するたびに流出元が報じられていますが、結果としてさらし者にされるぐらいなら個人情報の流出の事実を隠蔽してしまえという悪質な行為のほうが企業にとって利が大きいのも事実としてあります。実際、本当にそこの会社の業務で流出したのかどうかは、立ち入り検査や流出先からの照会でもない限り明らかにはなりませんから、やはり「隠し得」になってしまいかねません。

政府は個人情報を漏洩した企業に報告義務を課すべく法改正することを検討しているそうですが、まずは政府自らが個人情報漏洩に簡単に結びついてしまう可能性をはらんだ仕事の発注や確認作業を含めた進め方を改める必要があるのではないかと感じます。まあ、そうは言っても問題を解決するための道はずいぶんと険しそうではありますが…。

個人情報漏洩、企業に報告義務政府が法改正へ（日本経済新聞 18/12/17）

違反企業には勧告や命令などで是正を求める。命令にも違反した場合、30万円以下の罰金が適用されるが、低すぎて実効性に乏しいとの声があり、罰金上限を引き上げる方針だ。課徴金の導入なども検討課題になる。日本経済新聞

もはや個人情報は流出、漏洩することありきで諸制度を作ろうという低きに流れることにならなければ良いのですが。