個人情報流出解明を

宮本岳志氏　自治体外部委託の状況は

衆院総務委

（写真）質問する宮本岳志議員＝７日、衆院総務委

　日本共産党の宮本岳志議員は７日の衆院総務委員会で、ＮＴＴ西子会社の元派遣社員による個人情報の不正流出には、自治体保有の住民の個人情報も多く含まれており、自治体の外部委託による個人情報保護の状況が明らかになっていないと指摘し、実態解明を求めました。

　ＮＴＴ西子会社は１０月、元派遣社員が９００万件もの顧客情報を不正流出させていたと公表しました。

　宮本氏が、個人情報漏えい事案の報告を受理する個人情報保護委員会に「全容の説明を」とただしたのに対し、同委の大槻大輔事務局審議官は「現在調査中のため、詳細は控えさせていただく」と拒否しました。

　さらに宮本氏は「自治体の保有する個人情報を含む流出事件」として、総務省にも説明を要求。同省の山野謙自治行政局長は「３３自治体ということは把握している」と答弁。鈴木淳司総務相は「遺憾」だとしながら「総務省ではガイドラインを示し、業務委託の際の契約項目を明記し、必要な対策を求めてきた」と述べました。

　宮本議員は、１万５千人分もの情報が漏えいした岸和田市では契約書が破棄され契約内容がつかめないとして、同委に「社会的影響の大きな事案と認識していると答えた。指導した等の段階で結果を公表すべきだ」と要求しました。

（しんぶん赤旗　2023年12月10日）

 

動画　　https://youtu.be/MOjMsxw0caM?si=EXZ4mw_MERNRJoT6

 

配付資料　　20231207総務委員会配付資料

 

議事録

○宮本（岳）委員　日本共産党の宮本岳志です。
　今日は、ＮＴＴ西日本の子会社二社から九百万件の個人情報が流出した問題を取り上げたいと思います。
　配付資料を見ていただきたい。朝日、十月十八日付の記事であります。
　ＮＴＴマーケティングアクトＰｒｏＣＸがコールセンター業務を請け負った企業や自治体など、五十九の顧客が持つ個人情報が二〇一三年七月頃から今年一月頃にかけて約十年間にわたって流出していって、気づかず見逃していたという事件であります。流出させた元派遣社員は名簿業者に情報を渡したと説明していると報じられております。
　今日は個人情報保護委員会に来ていただいております。個人情報保護委員会に事件の全容を御説明いただきたい。

○大槻政府参考人　お答えいたします。
　お尋ねの事案については、ＮＴＴマーケティングアクトＰｒｏＣＸが、民間企業、地方公共団体等からテレマーケティング等に係る業務委託を受けてコールセンター業務を実施していますところ、同社が利用するコールセンターシステムの運用保守業務を担うＮＴＴビジネスソリューションズにおいて、同システムの運用保守業務従事者が顧客情報約九百万件を不正に持ち出し、第三者に流出させていた事案であると承知をしております。
　個人情報保護委員会におきましては、関係する事業者等から漏えい等報告を受理し、必要な調査を開始しているところでありますが、その内容につきましては、現在調査中の段階であるため、詳細を申し上げることは差し控えさせていただきます。

○宮本（岳）委員　どういう状況の下でこれが流出したのかということについては説明しないという立場なんですね。これが個人情報保護委員会の答弁で、大変難渋しているわけです。この間、ずっとこの調子なんですね。この新聞記事は十月十八日付でありまして、今日は十二月七日でありますから、報道から既に一か月以上、もう二か月弱たっているわけですね。ですから、刻一刻と情報流出させられた方々については深刻な事態が進んでいるわけですよね。
　個人情報保護委員会に重ねて聞くんですけれども、個人情報を漏えいされた被害者本人から問合せがあった場合でも調査等の状況は明らかにしないんですか。

○大槻政府参考人　個人情報保護委員会におきましては、相談する電話、ダイヤル等を設置しておりまして、様々な事案や身近な相談事につきまして、被害者本人につきまして問合せを受ける体制は整備しております。
　その際、本人の御質問に応じて個人情報保護法の解釈等の説明を行っておりますが、個別の事案の調査等の状況につきましては、先ほどお答えしたように、お答えはしてございません。調査結果が公表されました場合には、当該公表結果を説明することになるかと思います。

○宮本（岳）委員　個人情報保護委員会は何も語らないばかりか、被害者本人の問合せにも実は詳しくは答えないんです。全く、個人情報の流出事案や事故から国民のプライバシーの権利を守る上では、はっきり申し上げてほとんど役に立たない組織だと言わなければなりません。二〇二一年九月に個人情報三法の一元化をしてかえってブラックボックスになっている、これは指摘をしておきたいと思います。
　仕方がないので、総務省に聞きたい。総務省は、自治体の保有する個人情報をも含む個人情報の流出事件について、局長でいいんですけれども、全容を説明できますか。

○山野政府参考人　株式会社ＮＴＴマーケティングアクトＰｒｏＣＸへコールセンター業務を委託し、不正に個人情報が持ち出された又は持ち出された可能性があるということで公表されている団体がございますので、その数は三十三団体ということは把握してございます。

○宮本（岳）委員　今のは情報流出した自治体の数についてお答えになったんですね、そうですよね。どのような状況の下でこれが流出したかということについての説明は、個人情報保護委員会もやりません。総務省に聞くと、個人情報保護委員会の所管であり、総務省からは説明できないという答弁を繰り返しいただくわけですね。
　ただ、おっしゃるとおり、自治体の情報が出ているわけですから、知らないでは済みません。住民からお預かりしている大切な個人情報の大規模流出事件についてどういうふうに受け止めるか。
　この記事を見れば、福岡県の自動車税関連の個人情報が最大十四万人分流出した、大阪府河内長野市では市税納付が遅れていた人の個人情報が最大四千四百件漏れたおそれがある、同じく岸和田市ではメタボ健診の未受診者約一万五千人分の個人情報が流出、東京都足立区でも最大七千人分の個人情報が流出したとされております。
　そこで、大臣にこれは聞かざるを得ないんですが、自治体の保有するこれら住民の個人情報が流出したことについて大臣はどう受け止めておられますか。

○鈴木（淳）国務大臣　先ほど来答弁がありますが、今まさに個人情報保護委員会で調査中とは認識しておりますが、こうした違法行為によりまして住民の個人情報の漏えいが発生したことについては極めて遺憾でございます。
　自治体業務が複雑化、高度化する中で、住民サービスを向上させる観点からも、住民の個人情報を扱う業務についても委託が行われているものと承知いたしております。
　総務省では、地方公共団体の情報セキュリティーに関して、地方公共団体の情報セキュリティーポリシーに関するガイドラインを示して、業務委託の際の契約項目に業務上知り得た情報の守秘義務を明記し規定するなど、必要な対策を求めてまいりました。
　引き続き、地方公共団体が個人情報を扱う業務を委託する際に情報セキュリティー対策の徹底を図れますように取り組んでまいりたいと思います。

○宮本（岳）委員　私は当然の立場だと思うんですね。
　そこで、三十三自治体で実は情報流出しているという御答弁でございました。自治行政局長にその自治体名を全て答えていただけますか。

○山野政府参考人　お答え申し上げます。
　公表している自治体として総務省が把握しているところでございますけれども、県では三重県、福岡県、沖縄県。市町では千葉市、町田市、足立区、射水市、黒部市、砺波市、氷見市、上市町、立山町、加賀市、能美市、鯖江市、福井市、浜松市、富士市、焼津市、稲沢市、小牧市、瀬戸市、豊橋市、半田市、みよし市、津市、河内長野市、岸和田市、堺市、豊中市、松原市、橿原市、鳴門市。以上でございます。

○宮本（岳）委員　そのとおりですね。この三十三自治体は全て一応公表されております。個人情報の漏えいの規模の大きさ、事態の深刻さが伝わってきます。
　しかし、資料配付した記事の赤線部を読んでいただくと、ＮＴＴマーケティングアクトＰｒｏＣＸと自治体が委託契約をしたにもかかわらず、自治体の保有する住民の個人情報が元派遣社員の勤務先であるＮＴＴビジネスソリューションズのサーバーに保管されており、ビジネスソリューションズ社では、サーバーにアクセスできるＩＤを複数の従業員で共有、外部から持ち込んだ記憶媒体、ＵＳＢに直接ダウンロードして持ち出せる状況だった、自宅など社外からアクセスすることもできたとありますね。
　もちろん、この元社員による不正流出は犯罪行為でありますけれども、自治体がその業務を外部委託した、その委託先で住民の個人情報を扱っていた会社の個人情報管理が全くでたらめだったという事案なんですよね。
　総務省は、先ほど大臣もお触れになったガイドラインを始め自治体の業務を外部に委託する際の情報セキュリティーについて様々定めていると思うんですけれども、その中身について改めて自治行政局長から御説明いただけますか。

○山野政府参考人　お答え申し上げます。
　総務省がお示ししております地方公共団体の情報セキュリティーポリシーに関するガイドラインでは、業務委託の際の契約項目として、業務上知り得た情報の守秘義務、再委託に関する制限事項の遵守、委託業務終了時の情報資産の返還、廃棄等を明記することについて規定しているところでございます。

○宮本（岳）委員　私は、今挙がった自治体の一つ、大阪府岸和田市の出身なんですけれども、メタボ健診、特定健診の電話勧奨業務に絡む未受診者約一万五千人分の個人情報流出については、既に市長名のおわびが一斉に届いている事実を確認しております。
　今回の岸和田市の情報流出事案は、平成二十八年度、すなわち二〇一六年度に実施した電話勧奨業務について発生したものであります。
　局長に聞きますけれども、平成二十八年、すなわち二〇一六年当時も地方公共団体における情報セキュリティーポリシーに関するガイドラインは定められていたのか、そして、そこには今と同じく、先ほど御答弁いただいた、業務上知り得た情報の守秘義務、あるいは再委託に関する制限事項の遵守、委託業務終了時の情報資産の返還、廃棄等は明記されていたのか。事実をお答えいただけますか。

○山野政府参考人　平成二十八年度当時でございますけれども、例えば御指摘がございました情報の守秘義務、制限事項の遵守、情報資産の返還、廃棄、これらの項目についてはガイドラインに規定されております。総務省としては、各地方公共団体に対し、業務委託を行う際の情報の取扱いについて適切に助言を行っているところでございます。

○宮本（岳）委員　では、それを確認するために、二〇一六年度に実施した岸和田市の特定健康診査受診電話勧奨業務について、岸和田市と株式会社ＮＴＴマーケティングアクトＰｒｏＣＸとの契約書を確認することは可能ですか。

○山野政府参考人　個別の問題について、特段、我々の方から岸和田市に個別でお聞きしているわけではございません。

○宮本（岳）委員　分からないんですか。確認できるかできないかも分からないまま、今いるということでいいんですね。

○山野政府参考人　御指摘の点につきましては、これは個人情報保護委員会で今調査中でございますが、私ども、ＰｒｏＣＸ社と岸和田市の契約内容について事務担当から確認はいたしております。
　その内容につきまして、岸和田市からは、平成二十八年度に株式会社ＮＴＴマーケティングアクトＰｒｏＣＸとの間で特定健康診査受診電話勧奨業務について交わした契約書は文書保存期間の超過のため廃棄されており、存在しないとの回答をいただいているところでございます。

○宮本（岳）委員　確認できないんですね、廃棄されておって確認できないという現状なんです。
　個人情報保護委員会に聞くんですけれども、漏えいした人数、関係する機関の多さから社会的な影響の大きな事案であると認識していると私の方にはお答えになりました。審査等が終了し、指導等をした段階では当然その結果を公表すべきだと思うが、いかがですか。

○大槻政府参考人　お答えいたします。
　当委員会におきます事案の公表につきましては、事案の重要性と社会的な影響の大きさを踏まえて個別に判断することとしております。
　本件事案につきましては、漏えい等した本人の数、関係する機関の多さ等から社会的な影響の大きな事案であると認識をしておりまして、引き続き必要な調査を進めてまいりたいと思っております。

○宮本（岳）委員　漏えいした人数、関係する機関の多さから社会的な影響の大きな事案であると認識しているというのであるから、当然公表されるべきものであります。
　個人情報保護委員会の調査の中では、それぞれの自治体が今回個人情報を流出させた企業と契約した際に本当に総務省の定めた地方公共団体における情報セキュリティーポリシーに関するガイドラインを守っていたかどうかが問われる、こうなると思いますが、個人情報保護委員会、それでいいですね。

○大槻政府参考人　現在調査中でございますので、調査の詳細はお答えを差し控えますけれども、事案の全体の解明に向けて調査を進めていきたいと思っております。

○宮本（岳）委員　この調査に当たって、契約書が廃棄されており、もはやないというような話が通るかどうか、私は引き続き注視をしていきたい。この問題は引き続き追及することを申し上げて、時間ですので、質問は終わります。