(大阪市サイトより)
1.大阪市がコロナ患者の管理システム「HER-SYS」への個人データ入力を契約書の締結などを経ずに委託し、さらに委託先企業が勝手に再委託の事実が発覚
新聞報道などによると、大阪市は市議会で2月17日、新型コロナウイルスの感染者情報の管理システム「HER-SYS(ハーシス)」に個人データなどをデータ入力する業務について、契約書を作成せずに民間企業の言い値で約1億円で委託していたことを明らかにし、陳謝したとのことです。
・コロナ業務委託、業者の言い値「1億円」で口頭契約|読売新聞
さらに大阪市議会議員の前田和彦氏(@kazuhikomaeda)の2月17日のTwitterの投稿によると、大阪市から個人データの入力の委託を受けた委託先企業は、なんと大阪市の承諾を取らずに当該入力業務を別の企業に再委託してしまったのだそうです。これには驚いてしまいました。
『さらに本件はもう1つ重大な問題がある。先日大阪市のワクチン配送が委託先から再委託されていた。この再委託は事前の大阪市の承諾がなく大変問題となった。本件ハーシス入力業務委託もさらに別事業者に再委託されている事実が判明。この再委託は大阪市の事前の承諾どころか未だ承諾が行われていない。』(前田和彦・大阪市議のTwitterより)
https://twitter.com/kazuhikomaeda/status/1494308685656752131
(前田和彦・大阪市議のTwitterより)
2.個人情報保護法制から考える
(1)大阪市個人情報保護条例
今回の事件は大阪市健康局が「実施者」としてHER-SYS(ハーシス)へのコロナ感染者の個人データの入力業務を民間企業に委託しているので、大阪市個人情報保護条例が適用されることになります。
(2)要配慮個人情報
大阪市個人情報条例(以下「本条例」とする)は、「要配慮個人情報」とは「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして市規則で定める記述等が含まれる個人情報をいう。」と定義しています。
つまり「病歴」は要配慮個人情報(いわゆるセンシティブ情報)なので、コロナ感染者の個人情報は要配慮個人情報に該当します。要配慮個人情報は機微な情報であるため、原則は収集禁止であり、「本人の同意のある場合」や「法令等に定めがある場合」などに限り例外的に収集が許される(本条例6条2項)とされているなど、とりわけ厳重な取扱いが要求される個人情報です。
(3)適正管理措置・委託
本条例13条2項は、「実施機関は、保有個人情報の保護に関する責任体制を明確にし、保有個人情報の漏えい、滅失、き損及び改ざんの防止その他の保有個人情報の適正な管理のために必要な措置を講じなければならない。」と、個人情報の適正管理措置(=安全管理措置)を講じることを大阪市の実施機関に求めています。
そして本条例14条は、大阪市の実施機関が個人情報に係る業務を委託する場合には、「委託に関する契約書に個人情報の漏えい、滅失、き損及び改ざん等の防止に関する事項、契約に違反したときの契約解除及び損害賠償に関する事項等を明記するなど」の適正管理措置を講じなければならないと規定しています。また、本条例15条2項は、委託先(受託者)は実施機関の承認を受けずに受託した業務を第三者に再委託してはならないと規定しています。
大阪市個人情報保護条例・大阪市個人情報保護条例
(事務処理の委託)
第14条 実施機関は、個人情報を取り扱う事務の全部又は一部の処理を委託しようとするときは、委託に関する契約書に個人情報の漏えい、滅失、き損及び改ざん等の防止に関する事項、契約に違反したときの契約解除及び損害賠償に関する事項等を明記するなど、個人情報の適正な管理のために必要な措置を講じなければならない。
(受託者等の義務)
第15条 実施機関から個人情報を取り扱う事務の全部又は一部の処理を受託している者又は受託していた者(以下「受託者」という。)は、次に掲げる行為をしてはならない。
(1) (略)
(2) 実施機関の承認を受けずに、受託した事務を第三者に委託すること
(後略)
つまり、本条例上、大阪市の各部門や機関などの実施機関は、保有する個人情報の滅失、棄損、漏洩などが発生しないように個人情報について適正管理措置を講じることが求められています(本条例13条2項)。
そして個人情報に係る業務を民間企業などに委託する場合には、個人情報の漏洩、滅失、棄損などの防止のために委託先が講じなければならない事項や、もし問題が発生した場合の契約解除や損害賠償に関する事項を委託契約書に規定して委託契約を締結などしなければならないところ(本条例14条)、大阪市健康局は実施機関として委託契約書を締結などせずに口約束で本委託契約を結んでおり、本条例14条に違反しています。
また、実施機関である大阪市健康局の承諾なしに再委託を実施したこの委託先企業は本条例15条2項に違反しています。
(4)委託基準
さらに、大阪府は個人情報に係る業務の委託に関する内部規則として「個人情報取扱事務委託基準」を制定しサイトで公表しています。
この大阪府の委託基準をみると、「3.委託にあたっての留意事項」(2)(3)は、「契約に先立ち、委託事務の内容や取り扱う個人情報の内容、記録媒体の実態等に応じ、委託先が個人情報の保護について遵守すべき事項を十分に検討し、別紙「個人情報取扱特記事項(例)」を参考に、当該委託事務における個人情報保護のための特記事項(以下「個人情報取扱特記事項」という。)を定めること。」、「委託先は、個人情報取扱特記事項を遵守できるものを慎重に選定すること。」と規定しています。
(大阪府「個人情報取扱事務委託基準」の「3.委託にあたっての留意事項」より。)
おそらく大阪市にも大阪府の「個人情報取扱事務委託基準」と同様の内部規則があるであろうことを考えると、事前に個人情報の安全管理措置を講じるための個人情報取扱特記事項を遵守できる委託先を慎重に選定せず、委託契約書や特記事項などすら作成せずに委託契約を締結している大阪市健康局は、委託基準などの内部規則にも違反しているものと思われます。
3.まとめ
現在、コロナの第6波が襲来しており、大阪市も新規陽性者が4293人、現在陽性者数が59104人(2月18日現在。大阪市サイトより。)と、大阪市が大変逼迫した業務の状況であることはよくわかります。 しかし、上でもみたようにコロナの感染者に関する個人情報はセンシティブな個人情報の要配慮個人情報であり、特に厳重な取扱いが必要であることをも考えると、大阪市健康局が委託契約書や個人情報取扱特記事項などを作成・締結せずに、委託先企業を決定し、相手方の言い値で約1億円の委託契約を締結したことは大阪市個人情報保護条例14条などに違反する違法な行政行為です。本件は事務監査請求や住民監査請求、住民訴訟などの対象になりうる事件なのではないでしょうか。
本事件については、大阪市健康局は、本件の委託について、他の業務を一旦止めてでも、あらかじめ十分に委託先企業を選定し、委託契約書や個人情報取扱特記事項などの書面を作成し、委託契約を締結すべきだったのではないでしょうか。
地方公務員法32条は法令遵守を地方公務員に求めており、一般の会社員などよりも自治体や公務員はより高いコンプライアンス意識やガバナンスが要求されるのですから。
大阪市はトラブルシューティングと再発防止に取り組むべきですし、野党やマスメディアはこの問題を追及するべきです。
このブログ記事が面白かったらブックマークやシェアをお願いします!
■参考文献
・岡村久道『個人情報保護法 第3版』512頁、516頁、517頁
■関連する記事
・コロナにより自宅療養・自主療養等した場合、生損保の医療保険の入院給付金は支払われないのか?(追記あり)
・茅ヶ崎市の小学校が生徒のGoogle Workspace For Educationのパスワードの提出を求めていることを情報セキュリティ・個人情報保護法制から考えた(追記あり)
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・新型コロナの接触確認(感染追跡)アプリ(COCOA)の内閣府の仕様書を読んでみた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
