皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

冒頭に書いた事件は他人事ではありません。

他の公官庁や企業においても同じことが起きており、自社においても起き得ないとは言えない事件です。

では、一連の流れの中で何に問題があったのでしょうか？

委託業者任せは情報流出を招く可能性

まず、報道を見る限りでは以下のように書かれています。

・HDD（ハードディスク）は神奈川県と富士通リースがリース契約を結び、今年の春まで神奈川県のサーバーで使用していたもの。

・リース契約満了に伴い、HDD（ハードディスク）は神奈川県が初期化作業にてデータを消去した後、富士通リースに返却された。

・富士通リースはブロードリンクにHDD（ハードディスク）のデータ消去作業を委託した。

・ブロードリンクの社員がHDD（ハードディスク）を盗み、オークションサイトで転売した。

・オークションで落札した購入者が情報提供し、一部のHDD（ハードディスク）は返却された。

概ねこのような流れのようですが、ここにはいくつかの問題点があります。

・神奈川県から富士通リースにサーバーが返却される際、何故神奈川県内部にてデータの復旧を不可能にする作業を行わなかったのか。

（消去の方式はいくつかありますが、時間を要するだけで手順に沿って行えば誰でも行える作業です。）

・リース契約とは言え、記憶装置に関しては返却しない契約にできなかったのか。

（データを一定の基準以上の方式にて消去し、その後に物理的に破壊することを神奈川県にて行えば良かったと思える。）

・神奈川県、富士通リースともに、何故委託先業者に任せたままであったのか。

※　ここでブロードリンクに対する疑問を記載していないのは、あまりにも管理体制がずさん過ぎるとしか言えないため記載するまでもない論外的な話として捉えてください。

これらの内容に関しては他人事ではありません。

個人情報をはじめとする多くの情報を事業者は必ず抱えています。

神奈川県の問題と同じことが起きないよう、自社においても記憶装置に関する廃棄手順をしっかりと策定し、それを遵守していくことが非常に重要であると言える事案です。

されますが、そのマイナンバーの整備を外部委託する際には注意が必要です。

皆さん、こんにちは。

業務コンサルタントの高橋です。

中小・零細企業においては大手企業ほどマイナンバー制度に対して投資をできる

余裕がありません。

その際、マイナンバーの整備に関して外部委託するところが増えてきていますが、

委託先のセキュリティは大丈夫でしょうか？

今回の特定個人情報においては、従来の個人情報にあった５，０００名以上の

情報保有の場合のみ発生する『個人情報取扱事業者』としての厳格管理とは違い、

件数に関わらずマイナンバー法で各種義務が発生します。

また、それを委託した場合において、委託先でトラブルが発生してしまった場合、

委託先の責任だけでは済みません。

委託元は、委託先を監督する義務が有るため、監督責任を問われることになります。

委託先は事務所全体に警備会社のセキュリティがかけられていますか？

スタッフルーム内へはIDカードなどでのセキュリティ認証が行われていますか？

預り書類を保管するキャビネットは鍵がついているものでしょうか？

コンピュータのセキュリティはどうなっているのか聞かれましたか？

などなど、委託先が何故安全であるか？の確認を行った上で委託先を決める

べきであって、『マイナンバーの整備を請負います！』といったような表面的な

謳い文句だけの業者であるか否かをよく見極める必要性があります。

トラブルに巻き込まれる前に、よく考えた上で外部委託を検討してください。