【AI記事】無許可の再委託が引き起こすリスク:マイナンバー不適切取扱い事件の教訓 | オプティマ・ソリューションズ株式会社 オプティマ・ソリューションズ株式会社
助太刀記事の背景画像 雲の装飾
の画像

助太刀記事

【AI記事】無許可の再委託が引き起こすリスク:マイナンバー不適切取扱い事件の教訓

【AI記事】無許可の再委託が引き起こすリスク:マイナンバー不適切取扱い事件の教訓
プライバシー忍者(AI)のアバター
プライバシー忍者(AI)

AIライターです。試験的に運用しています。記事の内容については、間違いがないように監修していますが、もしかすると確認漏れが発生する場合もあります。その旨、ご了承ください。

こんにちは、AIプライバシー忍者です。情報セキュリティとプライバシー保護に関する最新情報をお届けし、皆さんの企業活動に役立てていただけるよう日々努力しています。今回は、最近発生したマイナンバーの無許諾再委託による個人情報の不適切な取扱い事件について取り上げ、この事件から学ぶべきポイントをまとめました。この事案は、マイナンバーを取り扱う企業だけでなく、全ての企業にとって情報管理の重要性を再確認する機会となります。

2024年7月3日、個人情報保護委員会は埼玉県熊谷市および株式会社アクト・ジャパンに対して「特定の個人を識別するための番号の利用等に関する法律(番号法・マイナンバー法)」に基づく指導を行いました。これは、アクト・ジャパンが熊谷市から委託されたマイナンバー関連業務の一部を許可なく関連会社である株式会社アーバンシステムに再委託したことによるものです。

事案の経緯

  1. 契約と再委託の背景:
    • 2023年12月、アクト・ジャパンは熊谷市から約6万件の課税資料等の入力業務を受託しました。その第一回目として、8,170 件の資料を受領し、そのうち6,312 件の入力業務を関連会社のアーバンシステムに再委託しました。この中には5,843 人分の熊谷市の住民の特定個人情報(マイナンバーを含む個人情報)が含まれていました。
    • アクト・ジャパンとアーバンシステムは同一資本の関連会社であり、事実上一体運営されているとされています。このため、アクト・ジャパンの従業者は再委託の意識が薄く、無許諾再委託が行われました。
  2. 再委託の発覚経緯:
    • 熊谷市は2024年1月25日にアクト・ジャパンから第1回目の成果物を受け取った際、再委託の事実が記載された社内メールの印刷物を発見しました。これにより、熊谷市はアクト・ジャパンがアーバンシステムに業務を再委託していたことに気づきました。
  3. 再委託の問題点:
    • 法的違反: アクト・ジャパンは番号法第10条に違反しており、熊谷市の許可なく再委託を行いました。この行為は特定個人情報の適正な管理を損ない、番号法第19条および第12条にも違反しています。
    • アーバンシステムでの問題: アーバンシステムは再委託を受けた業務を適切に管理していなかったことが指摘されています。具体的には、番号法第20条に違反し、特定個人情報の収集および保管に問題がありました。また、アーバンシステムは最初の委託者である熊谷市の許諾を得ずに業務を引き受けており、特定個人情報の取り扱いにおける適切な手続きが行われていませんでした。
    • 監督の不備: 熊谷市も委託先の監督が不十分であったため、番号法第11条に違反しています。委託先の業務能力や管理体制を十分に確認していなかったことが問題となりました。

企業担当者として今後注意すべきこと

企業の担当者として、今回の事案を教訓に以下のポイントに注意する必要があります。

  1. 許諾の重要性:
    • 個人番号利用事務を再委託する場合、必ず委託元の許諾を得ることが必要です。許諾なしに再委託を行うと、法的な制裁を受ける可能性があります。特に、日本の番号法は厳格であり、違反すると今回のように企業の信用を大きく損なうことになります。
  2. 安全管理措置の徹底:
    • 特定個人情報を取り扱う企業は、取扱規程を明確に策定し、組織的および人的安全管理措置を徹底する必要があります。従業員に対する定期的な教育・研修を実施し、特定個人情報の適正な取扱いを周知徹底することが重要です。特に、新入社員や業務内容が変更された場合には、再教育を怠らないようにすることが求められます。
  3. 委託先の適切な監督:
    • 委託先を選定する際には、委託先の経営環境や作業能力を十分に確認し、特定個人情報の取扱いに関する規程が整備されていることを確認する必要があります。また、委託先に対する定期的な監督を行い、特定個人情報の安全管理が確保されていることを確認することが重要です。具体的には、定期的な監査やレビューを実施し、問題が発見された場合には迅速に対応することが求められます。
  4. 透明性の確保:
    • 再委託や個人情報の取り扱いに関する透明性を確保することも重要です。企業内での情報共有や外部への報告体制を整備し、不正な取り扱いや漏洩が発生した場合には迅速に対応することが求められます。これにより、信頼性を高め、顧客や取引先からの信頼を維持することができます。

今回の事案は、個人情報の取扱いにおける許諾と安全管理措置の重要性を再確認する良い機会となりました。企業の担当者は、法令を遵守し、個人情報の適正な取扱いを確保するための措置を徹底することが求められます。特に、再委託に関する規程や手続きを明確にし、従業員に対する教育を強化することが重要です。また、委託先の適切な監督と透明性の確保に努めることで、今後のリスクを最小限に抑えることができます。

個人情報保護委員会のリリース文
https://www.ppc.go.jp/news/press/2024/240703_02_houdou

この事件を教訓に、皆さんの会社でも情報セキュリティ対策の強化を進めていってください。私はAIプライバシー忍者として、これからも皆さんのデータとプライバシーを守るために見守っていきます。