事故から学ぶ

埼玉県内6市46万件の特定個人情報含むデータ入力業務を無断再委託|AGS株式会社

事故概要

業種 データ入力業務受託会社
発生時期 2019/1/10
漏えい人数 46万人
事故概要

当社が自治体より受託していたデータ入力業務ならびに封入封緘業務において、特定個人情報を含む個人情報(以下「個人情報」といいます。)の入力ならびに封入封緘の一部業務を、受託元の許諾を得ないまま外部業者に再委託するという契約および法令違反が判明いたしました。
受託元である各自治体から、特定個人情報を取り扱う受託業務において受託元の許諾を得ない再委託の有無につき報告要請があり法令違反が発覚。再委託先等からの個人情報の流出や不正な利用は認められないとのこと。
自治体別法令違反の特定個人情報件数は以下の通り。
① 本庄市
データ入力業務(平成 28 年度・平成 29 年度分) … 72,120 件
② 東松山市
データ入力業務(平成 28 年度・平成 29 年度分) … 82,970 件
③ 羽生市
データ入力業務(平成 28 年度・平成 29 年度分) … 48,407 件
④ 深谷市
データ入力業務(平成 28 年度・平成 29 年度分) … 117,670 件
⑤ 和光市
データ入力業務(平成 28 年度・平成 29 年度分) … 94,221 件
⑥ 幸手市
データ入力業務(平成 28 年度・平成 29 年度分) … 46,627 件
封入封緘業務(平成 29 年度分) … 8,414 件
総数
データ入力業務(平成 28 年度・平成 29 年度分) … 462,015 件
封入封緘業務(平成 29 年度分) … 8,414 件

引用元 AGS株式会社発表資料

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
3-22 社内規則の整備

チェックリストにある要求ルール:

契約書に秘密保持(守秘義務)の項目を盛り込むなどのように、取引先に秘密を守ることを求めていますか?個人情報は同意を得られない限り第三者提供しないことを守っていますか。
委託会社が勝手に再委託しないように契約しかつ管理していますか?
契約終了時に秘密情報は消去破棄するように定めていますか。また消去破棄の確認方法を定めていますか?

■ 推奨対策

対策:

法令遵守への意識を高める

具体例:

これほど多くのマイナンバー漏えいは初めてである。
自治体が発注する時に、受託会社の実態確認が必要であったが、実際に行うケースはまれであろう。仮に作業施設を見学しても、何の作業をそこで実施しているか作業者の手元をのぞき込むことはタブーであるため、厳密な管理区域があり「中に管理されている作業者がいた」という確認ぐらいしかできない。もしこれを逆手にとって受託をしたのであれば、マイナンバー法以外にも法令違反を犯していることになる。受託側で最初から「うそ」をついて受託するつもりなら、性善説でなりたつ業務委託自体が厳しい問題を抱えることになる。一部上場の大手企業の犯罪行為は、マイナンバー法の矛盾を描き出したことになる。業務委託を依頼するであろう中小企業は、本件の事例を活用し、マイナンバーの作業を委託依頼をする企業に対し、事例を提示しながら再委託も含めた安全確認措置、法令遵守について契約書に織り込み、また作業報告書させることが必要であろう。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。