PR

木村 修二 関西情報・産業活性化センター 情報化推進チーム システム技術チーム 部長

 2007年5月に発覚した愛媛県愛南町の住民情報の流出事件などを受けて、総務省は再発防止策の検討を進め、同年12月に「住民基本台帳に係る電算処理の委託等に関する検討会報告書」、そして2009年3月には「地方公共団体における業務の外部委託事業者に対する個人情報の管理に関する検討 報告書」(以下「外部委託報告書」)を発表し、地方自治体の外部委託のあり方についての考え方を示した。また、小規模自治体でも容易に実現できるように「個人情報の取扱いに関する特記仕様書(雛形)」(以下「総務省雛形」)やツールも提供し始めた(関連サイト)。

 地方自治体の外部委託については多くの検討課題があるが、そのうちの一つが再委託・再々委託であることは論をまたない。京都府宇治市では10年前の住民情報流出事件発覚後の再発防止策で、パンチデータも含めて個人情報の「生データは庁外に持ち出さない」「個人情報に触れる業務は庁内で作業する元請けだけ、開発業務は下請まで」と制限することとした。これは非常に困難であったが、今も継続している。孫請けの会社内での作業中に不正コピーされ名簿業者に販売されたからである。

 再委託・再々委託を行うと、関係する者の人数が増え、工程が伸びリスクポイントが増加する。このため、当然リスクは増大する。また、安全管理の意識は委託の段階を経るに従って薄弱となっていくのが実態である。

 だから、発注者たる自治体としては再委託・再々委託を禁止したいのだが、受託者側は「外部委託事業者がコスト削減のため受託業務の遂行に当たって必要な要員を自社よりも低コストである社外に求めている」「企業の規模にかかわらず関連会社や子会社へ業務の一部を再委託あるいは再々委託することが常態化している」「開発のために必要な技術者を案件に応じて外部から調達しているといったように、業務の再委託・再々委託は外部委託事業者の事業戦略にかかわる場合が多い」(外部委託報告書)などの理由で、ただちに禁止できないという困難を抱えている。

 この実態に対して、総務省は再委託・再々委託が「外部委託事業者からの個人情報の漏洩が増加している要因の一つ」であるとして是正に乗り出した。発注者たる自治体の力量の低下を問題視しつつも、「地方公共団体側が個人情報の管理に関する主導権を持ち、外部委託先に統制を利かせることが必要」で、「業務の再委託・再々委託は原則禁止であると契約上確実に明記し、契約に反して再委託・再々委託が行われた場合には厳格に事業者の責任を追及するといった対応・事例を確実に積み上げることにより、安易な再委託・再々委託を消滅させる不断の努力が必要である」(外部委託報告書)と強い意志が表現されている。

 これは、大い歓迎すべきことである。ベンダーの方々にも問題意識を共有していただきたいのだが、示された総務省雛形でセキュリティが向上するのか、多くの議論すべき課題が含まれている。そこで、今回は再委託等の課題に絞り検討する。