八尾市市民税・府民税特別徴収税額決定通知書盗難事件(1)

個人情報

八尾市民1万686人分の税額決定通知書、車ごと盗難
 大阪府八尾市は12日、今年度の「市民税・府民税特別徴収税額決定通知書」の封筒詰め作業を請け負った印刷会社の車が、同府守口市内で、積んでいた1万686人分の同通知書ごと盗まれたと発表した。
 住所と名前のほか、所得や課税額などの個人データが記されており、守口署が窃盗容疑で捜査している。
 市によると、車を盗まれたのは守口市の印刷物製造販売会社「協和ビジネスフォーム」(湯浅勝社長)。車は12日正午ごろ、守口市役所西側の路上で、同社の担当者がエンジンをかけたままにして離れたスキに盗まれたという。
 同社は預かった同通知書のうち1万686人分について、退職や転勤などに伴って税額に変更が生じたため、段ボール5箱に詰め市に返却する途中だった。
 八尾市の山本和広税務長は12日夜、記者会見。「大変申し訳ない。個人情報の取り扱いに関する委託について万全を期すよう改めて対応したい」と謝罪した。
(読売新聞) - 5月12日23時54分更新
http://headlines.yahoo.co.jp/hl?a=20050512-00000215-yom-soci

八尾市の委託先の管理不行届きといえばそうなんでしょうけど、この委託を受けた会社はかなり問題ですね。
車のエンジンをかけたまま車を離れたのだから、あまりにも個人情報の管理にずさんだったとしか言い様がありません。
赤信号待ち中に強奪されたというのなら、現金輸送車並に管理しないといけないのか、という議論になるでしょうが、
今回はそうではありません。
車のエンジンをかけたままで、この記事には記載がないが、ドアのロックもされていなかったそうだ。
車を離れる以上は、エンジンをとめて、鍵をかけておくべきだったでしょう。
そもそも、配送中に車に置いたまま離れたこと自体が問題かもしれません。
いずれにせよ、このような管理は論外というしかないでしょう。
最終的にはこの「協和ビジネスフォーム」が責任を負うことになるでしょうが、
市民に対する関係では八尾市が責任を負うべき問題です。
盗まれた情報が「市民税・府民税特別徴収税額決定通知書」ということからすれば、まさか500円で済むとはとても思えません。
今後のリーディングケースにもなるでしょうし、どういう判断になるのか見物です。


ちなみに、八尾市(http://www.city.yao.osaka.jp/)の個人情報保護条例

八尾市個人情報保護条例(平成10年3月30日条例第15号)
   第1章 総則
 (目的)
第1条 この条例は、個人情報の適正な取扱いに関し必要な事項を定めるとともに、実施機関が保有する個人情報の開示等を請求する権利を保障することにより、個人の権利利益の保護を図り、もって基本的人権の擁護と市政の適正かつ円滑な運営に資することを目的とする。
   第3章 個人情報の利用及び提供等
 (委託又は協定に伴う措置等)
第11条 実施機関は、個人情報取扱事務の全部又は一部を実施機関以外のものに委託しようとするときは、委託に関する契約書等に個人情報の漏えい、滅失、き損及び改ざん等の防止に関する事項並びに契約に違反したときの契約解除及び損害賠償に関する事項等を明記するなど、個人情報の適正な管理のために必要な措置を講じなければならない。
2 実施機関は、指定管理者と公の施設の管理に関する協定を締結するときは、前項に準じた措置を講じなければならない。
3 第1項の委託を受けた事務又は前項の協定を締結した事務に従事している者又は従事していた者は、その事務に関して知り得た個人情報を漏らしてはならない。
http://reikigiji.city.yao.osaka.jp/reiki/ELWeb/ELCGI.exe?ACT=50&MKND=1&MNO=4&BNO=6&YOMI=10

この条例に照らしてどのような契約をしていたのかも気になるところです。


ところで、八尾市に限らず委託元は委託先は現実的にどう管理監督するのかというのは難しい問題。
契約でプレッシャーをかけるというのは当然のことで、どういうプレッシャーにするのか?
秘密保持契約という規定では意図漏洩しか防げない。
筆者は適正な利用は当然であるが、実は適正な管理(保管)ということの方が重要ではないかと思っている。
つまり今回のようなことをどう予防するかということである。これは内部マニュアルにもあてはまる。
特に委託にあっては実際に監督員を派遣しているなら別論、
再委託は当然のことながら、正社員以外に作業させてはいけないとか、
データや印刷物保管は鍵をかけたところに置かなければならない、
作業中の第三者との接触を禁じるとか、する必要があろう。
もっとも、そういうことがいちいちできないから、JIS規格とかがあるのだろうが…。
八尾市は改めて、今回の委託先

協和ビジネスフォーム株式会社
守口市南寺方南通3−14−12
tel.06-6998-3671
http://www.mks.or.jp/kbf/

と契約に際してどのような配慮をしたのか、市民に説明する必要があるし、
今回のようなことが起こった経緯をきちんと説明するべきであろう。
今後の対応が気になるところです。


さてこの会社のホームページ(http://www.mks.or.jp/kbf/)をみてみた。
冒頭には「私たちは、お客様の安全を守るため個人情報の機密保持を目指して行動します。」とある。
なんとも虚しい。
同社のホームページには取引先も掲載されている。
官公庁関係http://www.mks.or.jp/kbf/kankou/kankou.htm
お役所はもちろんのこと病院などもある。本当に大丈夫なのだろうか?この会社。
民間企業http://www.mks.or.jp/kbf/torihiki/torihiki.htm
協和ビジネスフォーム 個人情報保護方針http://www.mks.or.jp/kbf/privacy/privacy.htm
その「個人情報保護方針」には、こうある。

個人情報を安全かつ正確に管理し、個人情報への不正アクセス、紛失、破壊、改ざん、漏洩等の問題に対して、ID・パスワードの管理、個人情報の保存・管理・廃棄ルールの徹底、外来者の入退室管理などを実践することで、その予防に努めます。

この方針にも関わらず、馬鹿社員は鍵あけたまま車を離れたのである。どういうことだ?
いくら方針をかかげていても形だけ整えていても意味がないことが立証されてしまった。
実質的にどう担保していくか難しい問題である。