全4466文字
PR

多重下請けやベンダーロックインといった慣行が根強く染み付く日本のIT業界。発注者の丸投げや責任の所在が不明な取引慣行が定着し、トラブルを起こしている。DX(デジタル変革)による開発需要が高まる今、悪しき商習慣の見直しは待ったなしだ。

 2022年9月21日、個人情報保護委員会はBIPROGY(旧日本ユニシス)に対して、個人情報保護法に基づく指導を行ったと発表した。指導の内容は「組織的安全管理措置」「物理的・技術的安全管理措置」「委託先の監督」の3点。7月21~22日にBIPROGY社員らが常駐する兵庫県尼崎市の施設を立ち入り検査のうえ、資料の提供を受け事実関係を確認した。

 調査結果から浮かび上がったのは、再委託を重ねた結果として曖昧になった責任の所在である。

個人情報保護委員会はBIPROGYに対して指導した
個人情報保護委員会はBIPROGYに対して指導した
(写真:日経クロステック)
[画像のクリックで拡大表示]

 「再委託、さらには再々委託していたことは知らなかった」――。尼崎市の担当者は、ベンダーに委託した業務の実態についてこう振り返る。

 2022年6月、尼崎市で全市民約46万人の個人情報が入ったUSBメモリーが一時紛失したという事案が日本を騒がせた。USBメモリーを紛失したのは、同市から臨時特別給付金事務を受託したBIPROGYの再々委託先企業の社員だ。USBメモリーを持ち出したまま飲酒。そのまま泥酔し、かばんごと紛失した。その後USBメモリーは見つかったが、全市民の個人情報が一時は流出の危機にさらされたことになる。

 この問題の発生により、発注者が認識していなかった「多重下請け」が発覚。発注者である尼崎市のガバナンスが機能していない、ずさんな管理体制が明らかになった。同市は臨時特別給付金事務をBIPROGYに委託。BIPROGYは協力企業であるベンダーのアイフロントに委託した。さらにアイフロントは別の企業に業務を委託していた。発注者の尼崎市から見ると再々委託していたわけだ。

 2022年6月24日に尼崎市役所で開かれた記者会見では、BIPROGYは記録媒体を複数人で運ぶなどの運搬に関することや、作業後にUSBメモリーからデータを消去しなければならないことといった内部規定を守らずに一連の作業を進めていたと説明している。

 しかも尼崎市側は、再々委託先社員がUSBメモリーに市民の氏名や住所などのデータを複製し、給付金の支給業務を担う大阪府吹田市のコールセンターでデータを移管したことを把握していなかった。

 業務の委託を受けていたBIPROGYのプロジェクト責任者は、USBメモリーを使った拠点間の個人データ運搬作業などを含む個人データの取り扱いについて、再委託先などの社員らに全て任せていた。尼崎市から直接委託を受けるBIPROGYからは適切な指示や監督がなされていなかったというわけだ。

 個人情報保護委員会事務局の片岡秀実政策立案参事官は「契約内容や規律自体はしっかりと記載されていたが、その内容に対応した運用はできていなかった」とし、個情委で契約内容の検証をした上で、契約や規律の内容に伴った管理ができていないことを指摘した。

 個情委の指導を受け、BIPROGYは日経クロステックの取材に対し、「二度と起こしてはならない事案として大変重く受け止めている。今回の指導を真摯に受け止め、適切な再発防止策を講じる」としている。

 一連のトラブルは多重下請け構造による弊害をあらわにした。契約や規律を書面上定めていたとしても、実務が伴っていなければ意味がない。委託に委託を重ねることで、責任の所在が不明瞭になり、ひいては緊張状態もないため監視体制も不十分だった。