前回は,クレジットカード情報を含む個人情報を取り扱う外部委託先管理の観点から,経済産業省の個人情報保護ガイドライン改正論議を取り上げた。今回は,住民基本台帳の個人情報保護対策の観点から,ガイドライン改正論議を考えてみたい。

個人の不注意行為を許した事業者の対応が問われる

 経済産業省が個人情報保護ガイドライン改正案の意見募集を開始した直後の2007年12月20日,総務省が「住民基本台帳に係る電算処理の委託等に関する検討会報告書」を公表した(「『住民基本台帳に係る電算処理の委託等に関する検討会報告書』の公表」参照)。

 第92回第93回第101回で紹介したように,この検討会は,委託先企業社員の自宅パソコンが発端となった個人情報漏えい事案を契機に始まったものだ。この事件では,クレジットカード情報と同様に,厳格な管理が要求される住民基本台帳の個人情報約5万5000件が,地方自治体の2次委託先からファイル交換ソフトを介して外部流出した。この事案について,報告書は以下のような事業者の対応上の問題を挙げている。

  • 再委託に係る承認手続の不履行
  • 委託先事業者による再委託先事業者に対する委託契約の規定内容遵守(指定場所での処理,データの持ち出しの禁止など)の不徹底
  • 再委託先事業者における情報セキュリティ確保措置の不備(特に,在宅勤務が伴う勤務体制下での不備)
  • 再委託先事業者の従業員による自宅パソコンのデータの不正保存
  • 当該パソコンへのファイル交換ソフトのインストール・ウイルス感染

 経済産業省の個人情報保護ガイドライン改正案では,「委託先の監督」について,「委託する業務内容に対して必要の無い個人データを提供しないようにすることは当然のこととして,取扱いを委託する個人データの内容を踏まえ」という文言が追加されている。総務省の報告書と併せて読むと,不注意な行為に至った人間の個人的要因よりも,それを許した委託元・委託先事業者の組織的対応に焦点が当てられているようだ。

首長のリーダーシップで「墓石安全」から「予防安全」へ

 ところで,自治体における個人情報取扱業務の外部委託・再委託は,電算処理システムの開発・運用に限った話ではない。従来からの業務請負契約に加えて,指定管理者制度,PFI(プライベート・ファイナンス・イニシアティブ)など,民間のノウハウの活用により公共サービスの維持・向上を図る動きが全国の自治体で広がっている。委託を受けた民間事業者が,業務の一部を再委託するケースも珍しくない。

 一方,民間への委託推進の対象となる公共サービスには,様々な形で個人情報が利用されている。例えば公立図書館の指定管理者は,利用者登録データシステムを使用して図書の貸出・返却受付業務を行っている。しかし,公共サービスを提供する最終責任を有するのはあくまでも自治体である。地域住民の個人情報取得から廃棄に至るまでの情報管理ライフサイクル全体にわたってモニタリングを行う必要がある点を忘れてはならない。

 安全管理で使われる言葉に「墓石安全」というものがある。事故が発生し犠牲者が出てから,それを教訓に再発防止対策を考えるというやり方だが,今回の経産省個人情報保護ガイドライン改正案は,住基情報漏えいという「墓石」が建った後に出てきたのが実情だ。

 残念ながら,ガイドラインの改正や法令の罰則強化だけでは,「墓石安全」を「予防安全」に変えることはできない。個人情報保護対策の観点から,民間化を活用して公共サービスの効率化と安全性確保を両立させるためには,委託先・再委託先の経営者を先導する自治体首長の理解とリーダーシップが不可欠である。

 次回は,自治体でも関心が高まっているSaaS(Software as a Service),ASP(Application Service Provider)の個人情報保護対策について取り上げてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/