日本の年金情報が中国企業に流出したことがニュースになりました。
流出したデータはおよそ500万人分と見られています。
笑って済ませられるような規模ではないですよね。
とんでもない問題じゃない?!
って思ったのは、個人情報が流出してしまったこともそうですが
日本の個人情報が海外に流出してしまった
流出させたのは一般企業とは言え、行政からの業務
だったことですよね。
年金を少なく支給された、という人たちがいなかったらわからなかったかも。
ゾッとする問題です。
日本年金機構から業務を委託され、それを再委託した会社はSAY企画。
再委託禁止条項に違反していると思わなかった、と弁明しているようですが
再委託禁止条項って何?
違反すると、逮捕もあり得るの?
と、気になったので調べてみました。
年金機構が業務委託した会社はSAY企画

出典
SAY企画は、東京にある情報処理事業などを行っている会社。
ホームページを参考にして概要を紹介します。
【株式会社SAY企画】
○英文社名 SAY Planning Corporation
○本社 〒170-0013 東京都豊島区東池袋1-48-10 25山京ビル1011号
※本社の他に大宮事業所、戸田サテライトオフィスがあります。
○創業 平成15年8月
○代表取締役 切田精一
○資本金 5000万円
○主な事業内容 コンテンツ製造、システム開発、Web制作
2つのISO
ホームページを見ると、SAY企画はISO27001
ISO9001
という2つのISO(International Organization for Standardization、国際標準化機構)を取得しています。
ISOは、国際間の取引をスムーズにする国際規格で、いくつか種類があって、企業は業種でひつような規格を選んで取得しているようですよ。
ISOについてはこちらのサイトが詳しいです。
ちなみにSAY企画が取得しているISOの種類は、
「情報セキュリティマネジメントシステム」
「品質マネジメントシステム」
の2つになります。
情報セキュリティマネジメントシステムは、「情報の漏洩を防ぐ」ためのものといいますが、
今回の問題が発生した後は
え、おい、うそだろ?!
ってなりますよね^^;
余計なお世話かも知れないけど、SAY企画の評判についても調べてみました。
職場環境に評価を与えている口コミもありましたが
「機械が古い」
「処理スペックが悪い」
といった評価も。
って、情報処理を専門とする会社がこれでいいの?
年金機構もっと選んだほうが良いんじゃない?
って、ちょっとツッコミ入れてしまいました。
他の行政機関のデータも受託していた!
企業の口コミの中にもありましたが、SAY企画は行政関係の仕事が多かったようです。今回の受託業務の流れですが
1.日本年金機構がSAY企画を落札
2.SAY企画に500万人分の「扶養親族等申告書」と「マイナンバー申請書」のデータ入力及び画像処理の業務を委託
※契約には「再委託禁止条項」ありとのこと
3.納期までに終わらないと中国のグループ会社に再委託
4.再委託が発覚、切田社長が謝罪
ということです。

出典
委託期間が決まっていて、その間に500万人分のデータ入力を終えなければいけないのは大変なことだと思いますが、ざっと計算しても不可能に近い状態だったことはわからなかったのでしょうか。

出典
1人あたりの入力を1分20秒で終わらせるって、現実とどれだけギャップがあったんでしょうね。
過去に業務を引き受けているのに、こうした概算もできなかったのでしょうか。
切田精一社長「違反しているとは思わなかった」
3月20日、年金情報流出問題が発生したことを受けて、SAY企画の切田社長が謝罪をしました。
出典
SAY企画が委託した中国の会社は、大連にあり、社長は設立に関わったということです。
現在も役員として名前を連ねているため、グループ会社として認識していたとか。
そのため、今回の年金情報の入力も、再委託にはあたらないと思っていたそうです。
いや社長、あなたはりっぱな再委託違反をしていますよ。
私はこの社長の説明を聞いて「はぁ~?」と思ったのは2つ。
○「同じグループだと思っていた」という言い訳が見苦しい
○名前を連ねているだけでグループ会社と思っているのはおかしい
です。
SAY企画は官公庁の仕事を以前から引き受けてきているのに、再委託禁止条項のことあやふやって考えにくいですね。
似たようなケースで、こんなやり取りを見つけました。
中国で日本企業として会社を設立するにしても、中国の企業として設立するにしても、日本の会社とは法人格が変わってくるんですね。
つまり別会社。
経営者ならこれくらい知っているか、知らなかったら確認するでしょう。
そして、委託する前に年金機構に相談するのではないでしょうか。
取り扱うのが日本人の個人情報ですよ。
しかも500万人分。
慎重に慎重を重ねてほしかった。
社長がもし本当に再委託と認識していなかったら、軽率すぎるし、それほど個人情報を軽く見ていることになります。
どちらにしても問題。
それから、社長がどのくらい中国の会社に関わってるか知りませんが、「役員として名を連ねている」と言ってるとこに、中国の会社との距離を感じました。
名前はあるけど経営にはたくさんは関わっていない、といった感じ。
それで間に合わないからと言う理由で業務を再委託するっていうのはかなり問題ですよね。
行政機関のデータ入力業務は、今回が初めてではありませんので、もしかしたら今回と同じく中国の企業に再委託していたかもしれないですよね。
謝罪見ても淡々としてるし、なんか他人事のよう。
中国に関連会社を持ってるということは、始めから個人情報を渡すルートを確保するため!?
って勘ぐってしまいます。
再委託禁止条項とは?
再委託禁止条項とは、契約時に入れる条項の一つ。A社がB社に業務を委託する時に契約書を交わしますが
もし、A社が業務を再委託することを望まなかった場合
「B社は第三者に仕事を再委託することはできない」という条項を入れます。
それが再委託禁止条項。
再委託禁止条項といっても
・一部の業務かすべての業務の再委託を禁止するのか
・どんな事があっても禁止するのか、A社が許可すればOKなのか
・子会社だったらOKなのか
というふうに、程度があるようです。
今回の場合、年金機構とSAY企画の間で取り交わされた契約では、「再委託禁止」となっていました。
しかしSAY企画は中国の企業に業務を一部再委託したため、再委託禁止条項違反なわけなんですね。
再委託禁止条項違反で刑罰は?
契約違反をしたからと言って即処罰されることはありません。というのも、契約違反は法律に反しているわけではないからです。
でも、たとえば、産業廃棄物を再委託して処理させたりすると、廃棄物処理法違反で逮捕されるケースはあります。
切田社長は、違法性はないとしていますが、今回の場合は、「個人情報保護法」に抵触するおそれがあるのではないでしょうか。
「情報ライブ ミヤネ屋」では、今回の問題は個人保護法の第23条
「個人情報の取扱事業者はあらかじめ本人の同意を得ないで個人データを第三者に提供してはならない」に違反している可能性があるということを指摘しています。

出典
自分で問い合わせか…
でも、心当たりがあったら日本年金機構に問い合わせてみましょう。
SAY企画が中国の企業に再委託したという業務はどの程度だったのか、というのが正確にはわかっていない状態ですが、もし500万人分のデータを流出させたとしたら、これは個人の利益を超えて、国益にもかかわってくると思います。
今後再発させないためにも、社長を始め年金機構の担当者、組織に対しては厳しい態度で臨む必要があると思います。
個人情報の流出は、時には命にかかわることもあります。
それくらい大事なもの。
取り扱う側は、ひとつひとつが金の延べ棒だと思って(たとえ悪いですが^^;)慎重に取り扱ってください!
今回は、ということでした!
参考サイト:
https://www3.nhk.or.jp/news/html/20180320/k10011372011000.html
http://www.nenkin.go.jp/oshirase/topics/2015/0104.html
http://www.sankei.com/affairs/news/180320/afr1803200021-n1.html
https://matome.naver.jp/odai/2152146480028710601
https://en-hyouban.com/company/10085490291/
https://www.bengo4.com/c_1015/c_1878/c_1253/b_522982/
http://www.nec-nexs.com/privacy/explanation/penalty.html
https://ameblo.jp/keiyaku-houmu/entry-11581180539.html
http://news.livedoor.com/article/detail/14456469/
https://www.komonhiroba.com/agreement/failure-to-comply-contract.html
http://www.aims.co.jp/kiso/rule.htm
https://headlines.yahoo.co.jp/hl?a=20180320-00010004-asahibcv-l27