事故から学ぶ

TOP > 事故から学ぶ > マイナンバー, 再委託, 地方自治体, 法令違反, 特定個人情報 > 埼玉県内6市46万件の特定個人情報含むデータ入力業務を無断再委託｜AGS株式会社

2018/12/08

埼玉県内6市46万件の特定個人情報含むデータ入力業務を無断再委託｜AGS株式会社

事故概要

業種	データ入力業務受託会社
発生時期	2019/1/10
漏えい人数	46万人
事故概要	当社が自治体より受託していたデータ入力業務ならびに封入封緘業務において、特定個人情報を含む個人情報（以下「個人情報」といいます。）の入力ならびに封入封緘の一部業務を、受託元の許諾を得ないまま外部業者に再委託するという契約および法令違反が判明いたしました。受託元である各自治体から、特定個人情報を取り扱う受託業務において受託元の許諾を得ない再委託の有無につき報告要請があり法令違反が発覚。再委託先等からの個人情報の流出や不正な利用は認められないとのこと。自治体別法令違反の特定個人情報件数は以下の通り。 ① 本庄市データ入力業務（平成 28 年度・平成 29 年度分） … 72,120 件 ② 東松山市データ入力業務（平成 28 年度・平成 29 年度分） … 82,970 件 ③ 羽生市データ入力業務（平成 28 年度・平成 29 年度分） … 48,407 件 ④ 深谷市データ入力業務（平成 28 年度・平成 29 年度分） … 117,670 件 ⑤ 和光市データ入力業務（平成 28 年度・平成 29 年度分） … 94,221 件 ⑥ 幸手市データ入力業務（平成 28 年度・平成 29 年度分） … 46,627 件封入封緘業務（平成 29 年度分） … 8,414 件総数データ入力業務（平成 28 年度・平成 29 年度分） … 462,015 件封入封緘業務（平成 29 年度分） … 8,414 件
引用元	AGS株式会社発表資料

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード：
3-22 社内規則の整備

チェックリストにある要求ルール：

契約書に秘密保持（守秘義務）の項目を盛り込むなどのように、取引先に秘密を守ることを求めていますか？個人情報は同意を得られない限り第三者提供しないことを守っていますか。
委託会社が勝手に再委託しないように契約しかつ管理していますか？
契約終了時に秘密情報は消去破棄するように定めていますか。また消去破棄の確認方法を定めていますか？

■ 推奨対策

対策：

法令遵守への意識を高める

具体例：

これほど多くのマイナンバー漏えいは初めてである。
自治体が発注する時に、受託会社の実態確認が必要であったが、実際に行うケースはまれであろう。仮に作業施設を見学しても、何の作業をそこで実施しているか作業者の手元をのぞき込むことはタブーであるため、厳密な管理区域があり「中に管理されている作業者がいた」という確認ぐらいしかできない。もしこれを逆手にとって受託をしたのであれば、マイナンバー法以外にも法令違反を犯していることになる。受託側で最初から「うそ」をついて受託するつもりなら、性善説でなりたつ業務委託自体が厳しい問題を抱えることになる。一部上場の大手企業の犯罪行為は、マイナンバー法の矛盾を描き出したことになる。業務委託を依頼するであろう中小企業は、本件の事例を活用し、マイナンバーの作業を委託依頼をする企業に対し、事例を提示しながら再委託も含めた安全確認措置、法令遵守について契約書に織り込み、また作業報告書させることが必要であろう。