日本年金機構から、年金受給者の個人情報データ入力を委託されていた情報処理企業「SAY企画」が、無断で中国・大連の業者に作業を再委託していたことが明らかになった。併せて、年明け最初の年金給付日2月15日に起きた年金の過少給付が、SAY企画の入力ミスに起因することも報じられている。
官公庁が集めた国民の個人情報が、なぜ海外の業者に渡ってしまったのか。その背景には、「データ入力」をはじめとする、官公庁のIT業務委託の過酷な実態があった。
「マイナンバー再発行」もあり得る一大事
年金機構の説明によると、SAY企画が大連の業者に渡していたのは「年金受給者501万人の氏名と読み方」のみで、住所やマイナンバーなど個人を特定する決定的な情報は流出していないという。
また第三者のIT企業に監査を依頼したところ、「入力されたデータファイルは適切に管理・削除され、特段の問題はなかった」との報告があったとも報じられている。
だが、仮にこれらが事実だとしても、大連の再委託先が中国内でさらに別の企業へ再発注していないか、入力したデータが転売されていないか、ファイルにバックドア(裏口=データ盗奪のための意図的な脆弱性)が仕込まれていなかったか、といった不安は拭えない。
さらにネット上には「マイナンバーの再発行が必要ではないか」という声さえ出ており、もしそうなれば、これまでの努力が水泡に帰しかねない。
なぜ中国の業者に渡したのか
SAY企画が受託したのは、年金受給者が所得税控除を受けるため、年金機構に提出した「扶養親族等申告書」1300万人分のデータ入力業務。昨年8月9日に年金機構が実施した一般競争入札で落札した。
昨年の「扶養親族等申告書」は12月11日が提出締切日だったので、入札時、最終件数は決まっていなかった。その場合、作業1件あたりの価格で入札することになる。落札価格は14.9円/件だ。
SAY企画は2003年8月に資本金5000万円で設立され、東京・東池袋に本社をおいている。従業員は80人で、2017年3月の売上高は約6億3000万円、当期純利益は259万円という。
同社は、昨年4月に経産省・厚労省・内閣府・文科省から計7件/2億2433万円、6月には文科省から1件/660万円、7月にも文科省・厚労省から計3件/1692万円などを受注している。中でも厚労省の案件は「東電福島第一原発作業員の長期的健康管理システムに係るデータ加工、入力等業務」1億5552万円で、今回の年金機構の案件とそう変わらない金額だ。これを無難にこなせたのなら、一見手が足りなかったとは思えない。
ではなぜ、同社は年金機構に無断で、データ処理を中国の業者に再委託してしまったのか。そこには、官公庁のデータ入力業務にかかわる構造的な理由があると筆者はみている。
具体的には、
「データ入力を請け負う企業に必ずしも十分な対価が支払われていないこと」
「年金機構のずさんな管理・監督体制が業者に見透かされていること」
「より多くの案件を受注するために、利益率が低い仕事を外注するのが常態化していたこと」
こうした原因が、事件の根底にあると考えられる。