尼崎市のUSB紛失したのは「再々委託業者」　「コスト高」の指摘あるのに、なぜこんなことが起こるのか

   兵庫県尼崎市の市民約46万人の個人情報が入ったUSBメモリーが一時紛失した問題で、市が業務委託した情報サービス会社「BIPROGY（ビプロジー、旧・日本ユニシス）」が、USBを持ち出したのは再委託した会社の社員との説明を訂正し、この会社が再々委託した会社の社員だったと発表した。

   報道によると、市はBIPROGYの再委託などは知らなかったというが、ネット上では、こうした委託方法は、セキュリティ面で懸念があるほか、そもそもコスト高の受注が招いたのではないかと疑問や批判が相次いでいる。最近は、こうした「多層契約」の問題を指摘されることが増え、国の公正取引委員会も、作業をせず利益を得る「中抜き」への対応強化を発表したが、なぜこんなことが行われているのだろうか。

市は、再委託などは知らなかったと説明したが...

   この問題では当初、BIPROGY関西支社が、別の会社「アイフロント」に業務の一部を再委託し、この会社の40代男性社員がUSBにデータをコピーして持ち出し、居酒屋で飲んだ後に路上で寝てしまって一時紛失したとされた。

   ところが、BIPROGYは2022年6月26日、公式サイト上の発表でこの情報を訂正し、アイフロントがさらに別の会社に再々委託していたことを明らかにした。

   このことが報じられると、ツイッター上などでは、「業務の質が低下する」「こんなんで個人情報守れるかよ」とセキュリティ面への批判が出ると同時に、こんな理由で公表事業がコスト高になっているのではないかとの声が次々に上がった。「これって、中抜きだよね」「丸投げの丸投げ」「委託先の委託を禁止にしろ」などの意見が出ている。

   報道によると、尼崎市は、再委託などは知らなかったとして、稲村和美市長は、契約違反による損害賠償も検討していることを明らかにした。

   個人情報を扱う再委託については、総務省が出している「地方公共団体における情報セキュリティポリシーに関するガイドライン」22年3月版によると、「原則禁止」になっている。それは、「一般的に、再委託した場合、再委託事業者のセキュリティレベルは下がることが懸念されるため」だ。そして、「例外的に再委託を認める場合には、再委託事業者における情報セキュリティ対策が、他の委託事業者と同等の水準であることを確認し、委託事業者に担保させた上で許可しなければならない」と定められている。