kojinjouhou_rouei_businessman
2月17日のNHKなどの報道によると、国会審議において、2018年に発覚した日本年金機構の国民から提出された扶養親族等申告書の個人情報約500万人分のデータ入力業務が年金機構から委託された日本企業から、違法に中国企業に再委託されていた問題に関連し、野党が「マイナンバーも流出しているのではないか」と質問したのに対して、水島藤一郎・年金機構理事長が「流出していない」として、追加の調査などを拒否したとのことです。

報道によると、水島理事長はその根拠として、「調査にあたった外部企業によれば流出の事実はない」こと、「調査にあたった外部企業の報告によれば、中国企業に送付されたのは「氏名・ふりがな」データのみであるので個人情報の流出はない」こと等をあげているそうです。



すでにつっこみどころ満載な気がしますが、年金機構の主張は正しいのでしょうか?

この点、2018年6月に公表された、第三者委員会調査報告書(「日本年金機構における業務委託のあり方等に関する調査委員会報告書」委員長:安田隆二・一橋大学教授)を読み直すと、同報告書が認定した事実は、日本年金機構の委託先のSAY企画から中国企業に無断で再委託がなされ、「氏名・ふりがな」データが送付されたとする日本IBMの調査結果の報告書を、そのIBMの報告書を再検査したTIS社が、「IBMの検査は妥当」と判断したということだけです。



年金01
年金02
(「日本年金機構における業務委託のあり方等に関する調査委員会報告書」7-8頁)

つまり、独立行政法人等個人情報保護法7条1項違反(安全確保措置)で中国企業に再委託がなされ、個人情報が中国企業に渡ってしまったということが、外部の調査を行った企業などが認定した事実です。「マイナンバーや個人情報が日本年金機構から流出してない」などということは、IBMもTISも第三者委員会も認定していないのです。この点、水原理事長の発言は間違っています。

独立行政法人等個人情報保護法
(安全確保の措置)
第七条 独立行政法人等は、保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければならない。
 前項の規定は、独立行政法人等から個人情報(独立行政法人等非識別加工情報及び削除情報に該当するものを除く。次条、第三十八条及び第四十七条において同じ。)の取扱いの委託を受けた者が受託した業務を行う場合について準用する。

また、「「氏名・ふりがな」データは個人情報・個人データではないから個人情報は流出していない」と水原理事長は発言したそうですが、日本年金機構のトップは正気でこんなことを国会で発言したのでしょうか?

独法個人情報保護法2条2項1号は、「当該情報に含まれる氏名、生年月日その他の記述等(略)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(略)により特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」に該当する「生存する個人に関する情報」は「個人情報」であると定義しています。

つまり、ものすごく短くまとめると、生存する「個人に関する情報」であって「当該情報に含まれる氏名、住所、生年月日・・・により特定の個人を識別できるもの」が個人情報保護法制上の個人情報です。

例えば、今回の事件で問題となった扶養親族等申告書であれば、申込書に記載された給与所得者本人の氏名、ふりがな、住所、生年月日、続柄、個人番号、所得の見込み額、学生か否か、寡婦か否かなどはすべて個人情報(特定個人情報)です。

給与所得者の扶養控除等申告書
(扶養親族等申告書)

よく、これらの個人情報のうち、氏名・住所などを黒塗りや削除などすれば、他の情報は個人情報ではないという誤解がなされますが、「個人に関する情報」であって「・・・により特定の個人を識別できるもの」が個人情報なので、氏名・住所などを削除したとしても、それ以外の情報も個人情報あることに変わりはありません。

とはいえ、世間でよくある個人情報の誤解でも、「氏名・ふりがな」だけを抜き出したらその情報・データは個人情報ではないと誤解する人はなかなかいません。そのような人物が組織のトップであるという一点においても、日本年金機構は当事者能力の有無が厳しく問われる事態なのではないでしょうか?

さらに、「外部の調査をした会社によれば」と水島理事長は主張しているようですが、IBMやTISはあくまで2018年当時の調査で2018年時点の報告書を出してるのですから、もしマイナンバーも漏れてるおそれがある、そのような告発やメールなどが最近発覚しているのであれば、年金機構は「IBMの調査では」とか呑気なことを言ってないで、今すぐ追加調査を実施すべきではないでしょうか?

約1億件の保有個人情報を国民から預かっている日本年金機構は、国民のマイナンバーや個人情報を一体何だと思っているのでしょうか。また、同時に日本年金機構は、マイナンバー法や独法個人情報保護法や総務省・個人情報保護委員会の関連通達を遵守しようという意識があるのかどうか非常に不安です。1億件のマイナンバーおよび個人情報に関する安全確保措置の法的責任は極めて重大であると思われます。

加えて、この日本年金機構の事件のほかにも、最近は厚労省のコロナの接触確認アプリCOCOAのシステム開発の業務委託が多重下請けがなされたあげく非常に杜撰な開発・運営・保守が行われていたことが大きく社会的批判を浴びています。政府与党や国会は、国・自治体や年金機構など公的法人の業務委託のあり方について、今一度全体的に見直しを行うべきではないでしょうか。

■関連するブログ記事




個人情報保護法〔第3版〕

番号法の逐条解説(第2版)

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ