電子自治体共同アウトソーシング、3つのぜい弱性
藤谷護人 (ふじたに・もりひと) 弁護士/システム監査技術者弁護士法人 エルティ総合法律事務所所長 中央大学法学部法律学科卒。1992年、弁護士登録。我が国弁護士の中で唯一のシステム監査技術者。自治体職員時代の住民情報システムの設計・製造・開発経験と、多くのシステム訴訟、システム監査などの経験を持つ。『IT企業法務2003』など著書・論文多数。近著に『地方自治IT法務大全』。 ※ このコラムは7月中旬に発売予定の書籍『地方自治IT法務大全』より一部を抜粋・再構成したものです。 |
「地方自治体は、財政状況が厳しく十分な資金がない」「24 時間365日サービスを実現するための組織的対応が困難」「高度なITスキルを有する人材が不足している」──電子自治体を推進する上でのこうした問題を解決するため、総務省は地方自治体の電子自治体共同アウトソーシングを推進している。アウトソーシング先としては地元民間IT企業が想定されており、雇用創出や経済効果も期待しているようだ。
しかし、電子自治体共同アウトソーシングには、次のような「三重のぜい弱性」がある。
(1)「アウトソーシング」自体が、セキュリティ上の構造的ぜい弱性が発現する局面である
基幹システムのアウトソーシングは、戦国武将が武器庫や兵糧倉を、外部商人に管理委託するようなものである。「アウトソーサー(委託業者)が委託業務の履行を拒絶することはない」との前提は、リスクマネジメントの見地からは採用し得ない。
また、「情報漏えいの多くの場合がアウトソーサーからである」という事実があるにもかかわらず、その原因分析が不十分であり、従って、必要十分な対策が取られているとはいえない。
地方自治体は、アウトソーシングの理由として、「ローコスト」と同時に「アウトソーシングの方がセキュリティレベルが高くなる」ということを挙げることが多い。また、「地方自治体からデータをアウトソーシングされた民間企業は、万が一漏えいした場合に、著しく社会的信用が低下するのだから、漏えいしないように万全を尽くすはずだ」という説明がなされることも多い。しかし、これは単なる期待に過ぎないし、しかもその期待は何度も裏切られている。
(2)「地方自治体—地方公務員」制度自体が、セキュリティ確保機能を背負っていることとの関係
もともと、地方行政業務には地方公務員が従事するものとされており、地方公務員は、「特別権力関係」と呼ばれる民間雇用関係上の被用者とは異なる特別な職務上の義務(宣誓義務、信用失墜行為禁止義務、守秘義務、政治活動の制限、争議行為の禁止など)を負っている。アウトソーシングをすれば、アウトソーサーの被用者は民間人であり、このような特別権力関係に基づく義務は負わない。
なぜ地方公務員に宣誓義務、信用失墜禁止、守秘義務、政治活動制限、争議行為禁止などの特別権力関係的義務を負わせる必要があるのか。「公務の高度機密性/高度可用性」——公務には高度なセキュリティを確保する必要性——があるからである。
電子自治体の共同アウトソーシングを進めるなら、自らの機密度/プライバシー度の高い情報、例えば納税や年金などの情報を、「職務の清廉性」「非営利性」を確保され担保されていない民間企業に、信頼して預けることができるかを考えてみる必要がある。さらに、代替性のない生活必須的な行政サービスが公務員のストライキによって提供されないとしたら、住民生活に甚大な影響が発生してしまう。それもよしとするのかを考えてみる必要がある。なかには、それでもよいとの見解の持ち主もいるかもしれないが、少なくとも現在の「地方自治体」「地方公務員」制度は、それらをよしとしていないのである。
公務員がこのような特殊性(義務)を課されているということについて十分な解明があって初めて、民間人がそのような義務を負わなくてもよい場合——地方行政業務におけるアウトソーシング可能要件(特別権力関係的義務の解除要件)——も明らかになるはずである。
(3)「共同」の持つ意味
「電子自治体共同アウトソーシング」の「共同」の意味には、「発注元である地方自治体の共同」と「アウトソーサーである発注先民間企業の共同」とが考えられる(総務省の「公共IT におけるアウトソーシングに関するガイドライン」では、委託先についても共同開発・共同運用を提案している)。
「共同」という言葉の聞こえはよいが、コーポレートガバナンス(企業統治)も、自治体におけるリスクマネジメント的内部統制原理も、それぞれの企業、自治体における「単独体」としての組織管理理論として構築されている。アウトソーシングを行うなら、発注元やアウトソーサーの「共同体」における統治を考えなくてはならない。共同体の形成、共同統治組織の形成、共同統治ルールの策定などを十分に検討したうえで、「単独体のセキュリティレベル≦共同体のセキュリティレベル」と評価できるようにする必要がある。
しかも、上記(1)~(3)で指摘したぜい弱性三つは重なり合っており、これらをすべてクリアして初めて電子自治体における共同アウトソーシングが可能になると言えるはずである。逆に言えば、これらの一つでもクリアできないならば、電子自治体における共同アウトソーシングは推進すべきでないと言わなければならない。
