全2712文字

仙台市は契約前に審査会を開催

 尼崎市のUSBメモリー紛失を受けて改めて調査を実施していない政令市でも、一部の市は既に委託先管理に手を打っている。

 仙台市は情報システムで個人情報を取り扱う業務を外部に委託する際のセキュリティー対策として、外部委託の基準や手続きなどを定めたガイドラインを策定している。具体的には、やむを得ず庁舎外で作業をする場合、「個人情報外部委託審査会」を開き、個人情報の取り扱いをあらかじめ確認している。

 同審査会は契約前の段階で、個人情報の取り扱いに関する計画を確認し、問題がない場合に限って、契約の締結を認めている。再委託などについても、必要性を含めて同様に確認しているという。

 広島市は毎年度、情報セキュリティーの監査や自己点検を実施し、委託先の実態を定期的に調査している。同市の坂本昌宏情報政策課情報監理担当は「適切なリスクアセスメントとそのPDCA(計画・実行・評価・改善)サイクルを確立している」と話す。

 ITベンダーも業務の再委託などに関して、その必要性を含めて、改めて問い直す局面を迎えている。尼崎市のような事案が発生すれば、自社の自治体向けビジネスで痛手を負うだけでなく、ブランドイメージを損ねて他業種向けビジネスにも悪影響を及ぼしかねないためだ。

 BIPROGYの場合、今回のUSBメモリー紛失により、尼崎市から18カ月の入札参加停止措置を受けた。同市は「市政に対する信頼を著しく失墜させる不誠実な行為等があった」と判断。これに伴い、BIPROGYと契約前だった業務システム関連の2件を取り消しただけでなく、既に契約済みの9件についても、行政サービスの提供に悪影響を与えない範囲内で、機器刷新などのタイミングに合わせて別の企業に切り替える。

NECは再委託などの調査を検討中

 日経クロステックは大手ITベンダー4社に対し、自治体向け案件の再委託状況などについてアンケートを実施した。NECは「プロジェクトごとや顧客ごとに、適正に再委託や再々委託の申請書を顧客に提出しているかを確認する調査を実施予定」と回答。同社は「再委託や再々委託をする場合、事前に顧客に書面で申請書を受理してもらったうえで実施する」という。

尼崎市の事案を受けた大手ITベンダーの対応状況
*主に自治体向けビジネスを手掛ける富士通Japanの回答(出所:各社へのアンケートを基に日経クロステック作成)
企業名対応状況
NECプロジェクトごともしくは顧客ごとに、適正に再委託や再々委託の申請書を顧客に提出しているかを確認する調査を実施予定。再委託や再々委託をする場合、事前に顧客に書面で申請書を受理してもらったうえで実施する
NTTデータ契約時に再委託先や再々委託先は全て明記して管理するルールがあり、従前より審査組織が都度確認している。自治体向け案件に限らず、日ごろから再委託先などを把握できる運用をしているため、今回改めて調査は実施していない
日立製作所顧客との契約や社内規則を順守して情報管理を徹底している。質問については、具体的な事業活動に関わる内容のため、回答は控える
富士通*常に適正な状況となるよう契約前や契約時に社内の第三者がチェックするスキームを確立し運用している。そのため、改めて調査はしていない

 NTTデータと富士通は尼崎市の事案を受けての調査は実施しない方針だ。既存のルールや対策で十分に対応できているという立場である。

 NTTデータは「契約時に再委託先や再々委託先は全て明記して管理するルールがあり、従前より審査組織が都度確認している」と回答。「自治体向け案件に限らず、日ごろから再委託先などを把握できる運用をしている」(NTTデータ)とした。

 富士通は、主に自治体向けビジネスを手掛ける富士通Japanの回答として、「常に適正な状況となるよう契約前や契約時に社内の第三者がチェックするスキームを確立し運用している」とした。

 日立製作所は「顧客との契約や社内規則を順守して情報管理を徹底している」としたうえで、「質問については、具体的な事業活動に関わる内容のため、回答は控える」と答えた。

 「(外部委託先への)業務の丸投げが尼崎市の事案の根本的な原因ではないか」。立命館大学の上原哲太郎情報理工学部教授はこう指摘する。

 自治体は入札でシステム関連業務を委託していくが、基幹系システムなどでは随意契約により実質的にベンダーロックインの状態に陥っているケースも少なくない。BIPROGYの平岡昭良社長は尼崎市のUSBメモリー紛失を巡って「緩みというか、慣れに起因しているのではないか」と原因の一端を分析した。

 自治体とITベンダーは適切な緊張関係を維持できているのか。たがが緩めば尼崎市のような事案が再び起こりかねない。