社畜ゲートウェイ

世の中に蔓延る口コミビジネスの実態と日々社畜の話

【スポンサーリンク】

ブロードリンクより富士通リースの方が問題ある件(神奈川県庁HDD転売事件)

【スポンサーリンク】

2019年12月6日、神奈川県庁の個人情報が保存されているHDD計54TBが転売されるというニュース流れました。

www.itmedia.co.jp

IT業界で働いている人たちは唖然としたのと同時に、IT業界の闇を徹底的に暴いて欲しいと思ったことでしょう。そのIT業界の闇を少しだけ紐解いて行きます。

報道発表の概要

神奈川県庁の行政文書が保存されているHDDがネットオークションで転売されて、個人情報を含むデータが外部流出していたことが発覚しました。2019年の春に神奈川県庁が、富士通リースからレンタルしていたファイルサーバのHDDを交換しています。不要となったHDDについて、神奈川県庁と富士通リースの間で「データが読み出せないように処分し、完了後は報告書を作成する」とする契約を結んでいます。そして、富士通リースはHDDの処分をブロードリンク社に依頼したということです。

  • 処分依頼:神奈川県庁→富士通リース
  • 契約:神奈川県庁→富士通リース
  • 実作業依頼:富士通リース→ブロードリンク

その結果、実作業をするブロードリンクの従業員が富士通リースから届いたHDDをインターネットオークションで転売し、情報流出に至ったわけです。

二重業委託問題

今回、IT業界の人間が問題と見ているのは、「個人情報流出」と「二重業務委託」です。個人情報の流出は誰が見ても問題と分かりますが、「二重業務委託」と聞いてピンと来るのはIT業界の人間が大半でしょう。特に、官公庁を相手に取引しているSIer各社は「やばい」と感じているはずです。

業務委託とは

「業務委託」というのは、「会社内で対応が出来ない業務を、外部の企業に委託する」という契約です。例えば、とある会社がシステム開発をしようと企画した時に、自社でシステムを構築するのが難しい場合、外部のシステム会社に依頼します。もちろん、自社でシステム構築しても良いですが、システム会社以外で自力でシステムを構築することは不可能に近いので、基本的には外部のシステム会社に依頼するのが基本です。システム会社でも外部にシステム構築を依頼している場合もあります。

二重業務委託

今回の場合、神奈川県庁から富士通リースにHDDの交換及び破棄を依頼しています。その際、契約を交わしているのは神奈川県庁と富士通リースです。官公庁を相手にしているシステム会社勤務の方なら「業務委託契約書」みたいなものを見たことあると思いますが、そこには個人情報の取り扱いも記載されています。「甲」だの「乙」だの記載されていて読みにくいのですが、官公庁系の業務委託契約としての大原則では以下となっています。

  • 「甲」の有する個人情報が「乙」のみが取り扱い、外部(第三者)に委託しない。
  • 「乙」は「甲」の取り決めた目的でのみ個人情報を取り扱うこと。
  • 「乙」が第三者に委託する場合は、「甲」との協議の上、第三者に「乙」と同じ制約を課する。

官公庁系の業務委託契約の個人情報に関する記述はこんな感じです。これを以下のように読み替えてみて下さい。

  • 「甲」→神奈川県庁
  • 「乙」→富士通リース
  • 「第三者」→ブロードリンク

要約すると、

  • 神奈川県庁の有する個人情報は富士通リースのみが取り扱い可能
  • 富士通リースは神奈川県庁が決めた範囲で個人情報の取り扱い可能
  • 富士通リースがブロードリンクに委託する場合は、神奈川県庁と協議してからね

となります。ここでポイントなのが、「富士通リースからブロードリンクへの業務委託を神奈川県庁が許可していたのか」ということになります。官公庁系の業務委託契約の個人情報に関する記述は、どこの都道府県の官公庁でもほぼ同じです。IT業界でも金融機関と並んでトップクラスで個人情報に関して敏感で、取り扱いの規約も非常に厳しいです。

委託元と第三者が業務委託契約を結んで無い可能性が高い

二重委託問題は最近もニュースになっていました。2018年3月に発覚した、日本年金機構から年金情報の入力業務を委託された「SAY企画」という会社が中国の業者に再委託していたという問題です。この時、日本年金機構とSAY企画社で業務委託契約が結ばれていましたが、契約したのは日本年金機構とSAY企画の間だけであって、SAY企画が無断で第三者に入力情報を渡していたのです。

SAY企画の事件と同様に、今回も神奈川県庁と富士通リースの間では契約を交わしていたのは事実だと思いますが、神奈川県庁とブロードリンクの間では契約が交わされていない可能性が高いです。

第三者が業務委託契約を結ばなくても良い場合

ただし、契約が交わされてなくても問題が無い方法が2つあります。1つは、既に一部報道でも紹介されている通り、神奈川県庁の担当者がブロードリンクの破棄作業に立ち会えば良いのです。もう1つは、富士通リースが第三者に再委託することを神奈川県庁に報告して、ブロードリンクに同じ制約を課すことを条件にして破棄依頼をする方法です。

官公庁が取引先のシステム会社なら当然だと思うのですが、システム会社は個人情報を有している記憶媒体の破棄する業務を行っていません。破棄業務を行うには破棄証跡を残すことが出来る免許が必要になります。なので、第三者となる外部企業に再委託するのが基本なのです。個人情報の取り扱いに第三者が登場するので、官公庁に「破棄の際にこの業者に委託しますが、良いですよね?うちと同じ制約課せますので」と伝え、何らかの形で了承を貰った上で破棄の再委託を行います。それであればOKなのです。

まとめ

今回の神奈川県庁・富士通リース・ブロードリンクの場合、ブロードリンクの従業員にも責任があると思いますが、それ以上に二重業務委託というのが非常に闇が深いです。富士通リースが出しているプレスリリースの内容を見ると、「申し訳ないとは思ってるけど、委託先がやったことだからウチは悪くない」というスタンスが見て取れます。こうやって二重業務委託から目を逸らそうとしているのかなと。今回は富士通リースという金融系の会社でしたが、IT業界でも同じような多重下請け構造があるので、それを暴露してくれることを祈るばかりですね。まとめてないですね。

【スポンサーリンク】