「マイナンバー(個人番号)が記憶されたデータがある場合には、修理をお受けできません」。2015年末ごろから複数のPCメーカーが、こうした文言をパソコンの修理規定に盛り込むようになった。しかし、マイナンバーを含む個人情報が記録されたパソコンなどが動作しなくなると、事実上修理できなくなってしまうとして波紋を呼んでいる。

 富士通は2016年1月からマイナンバーを記録したパソコンは修理の対象外とする修理規定を設けている。同社によると、2015年秋からマイナンバー法への対応を進める中で、個人向けサポート部門でどう対応するか議論を重ねてきたという()。冒頭の文言を追加したのは、そうした議論の結果だ。

[画像のクリックで拡大表示]
 図●富士通パーソナルコンピュータ修理規定
図●富士通パーソナルコンピュータ修理規定
(出所:富士通)
[画像のクリックで拡大表示]

 こうした規定は日本HPやエプソンダイレクトも設けている。ただ、富士通によると、規定の改定についてPCメーカー間で情報交換はしていないという。

 なぜ、修理を受けられないのか。富士通は「個人番号関係事務の委託とみなされることが予想されたため」(広報IR室)と説明する。個人番号関係事務とは、行政手続きなどのためにマイナンバーを扱うことだ。「お客様が誤って個人番号が含まれた装置を修理依頼することのないように、規定に明記することにした」(同)という。

法律ではなく「ガイドラインのQ&A」が根拠

 単にパソコンを修理に預けるだけなのに、「委託」になるのは不思議に思える。個人データ保護に詳しい板倉陽一郎弁護士によると、PCメーカーの修理規定の根拠となったのは、マイナンバーの取り扱いを監督する個人情報保護委員会が公表している企業向けのガイドラインのQ&A(回答)だ。

 このQ&A集のQ3-14で、ハードウエアやソフトウエアの保守サービスについて、「契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等」は、委託に当たらないと回答している。言い換えれば、契約条項がなければ委託に当たり、個人番号関係事務をしていることになる恐れがある。

 さらに、「保守サービスを提供する事業者が、保守のため記録媒体等を持ち帰ることが想定される場合は、あらかじめ特定個人情報の保管を委託し、安全管理措置を確認する必要があります」とも書かれている。マイナンバーを含む個人情報を暗号化していても状況は同じだ。法令では、秘匿化したデータもマイナンバーと同じ扱いを求めている。富士通も、暗号化のいかんによらず、マイナンバーが含まれていたら修理の対象外になるとしている。

 パソコンの修理を保守サービスの一種と捉えることに違和感はないだろう。ガイドラインの回答を素直に読めば、確かに富士通の規定変更にも納得感はある。

ユーザーのデータ保護の姿勢を見直すきっかけに

 しかし板倉弁護士は「いろいろな問題に波及する恐れがある」として、このガイドラインのQ&Aを批判する。保守サービスは修理だけに限らない。この傾向が加速して、受けるべき保守サービスを受けにくくなるようだと、情報セキュリティ上の「穴」が生まれる恐れがある。そもそもガイドラインは、法律や規則よりも下位に位置し、法令解釈の説明に過ぎない。板倉弁護士は「どういう状況ならメーカーが修理を受けられるか考える必要がある」と指摘する。