第１９６回国会（常会） 質問主意書 質問第一九一号 日本年金機構の情報連携と業務委託並びにマイナンバーの利用と個人情報保護に関する質問主意書（２０１８年７月１８日） | 福島みずほ公式サイト（社民党 参議院議員 比例区）

第196回国会（常会）

質問主意書

質問第一九一号

日本年金機構の情報連携と業務委託並びにマイナンバーの利用と個人情報保護に関する質問主意書

右の質問主意書を国会法第七十四条によって提出する。

平成三十年七月十八日

福島　みずほ

参議院議長　伊達　忠一　殿

日本年金機構の情報連携と業務委託並びにマイナンバーの利用と個人情報保護に関する質問主意書

一　日本年金機構との情報連携の抑止について

１　二〇一八年三月二十日に日本年金機構（以下「機構」という。）の不適正なデータ入力再委託等の問題が公表されたことを受けて、内閣府番号制度担当室と総務省大臣官房個人番号企画室は、同月二十二日、マイナンバー制度の関係府省や都道府県に対して事務連絡を発出し、機構等との情報連携を実施するに当たって対処すべき課題が判明したため、当面の間、年金関係の情報連携をシステム上抑止するよう依頼した。政府としては、機構が何をどのように見直せば情報連携の抑止の解除が可能であると考えているのか。
２　前記事務連絡では、対処すべき課題の一つとして、機構と自治体等との機関間試験において明らかになった不具合が指摘されているが、「不具合」とは具体的に何か。また、当該不具合をいつまでに、どのように解決する予定か。
３　前記事務連絡では、対処すべき課題の一つとして、情報照会機関における事務運用上の懸念が指摘されているが、「事務運用上の懸念」とは具体的に何か。また、前記事務連絡が指摘する「年金制度は複雑であり（中略）提供される情報項目が極めて多く、その解釈も難しい」ことが当該事務運用上の懸念の原因であれば、情報連携の「抑止」ではなく情報連携の「見直し」が必要ではないか。
４　情報連携が抑止されている間は、機関間試験など情報連携の準備も行われないのか。
５　情報連携の抑止の解除を行うことができる時期について、現時点での想定はあるか。

二　機構のマイナンバー関連業務の委託について

１　機構は本年四月六日、株式会社恵和ビジネスが契約上禁止している主体的業務の再委託をしていたことを公表した。株式会社恵和ビジネスが再委託先に提供した個人情報の項目と、その中にマイナンバーが含まれていたか明らかにされたい。
２　機構の水島理事長は本年三月二十九日の参議院厚生労働委員会で「マイナンバーを取り扱う業務について完全に外部委託をしてもいいかどうかについては慎重な検討を要する」と答弁しているが、機構は、本年度の扶養親族等申告書の処理に当たりマイナンバーの入力も含めて外部に業務委託する方針であるのか明らかにされたい。

三　機構のマイナンバーの利用について

１　機構のウェブサイトでは、「平成三十年三月五日からはこれまで基礎年金番号を記載していただいていた届書については、原則としてマイナンバーを記入いただく」とされている。国民年金法や厚生年金法の施行規則では、届出に「個人番号又は基礎年金番号」の記入を規定しているにもかかわらず、「原則としてマイナンバーを記入いただく」としている法的な根拠を明らかにされたい。
２　扶養親族等申告書に不備があり返戻されたあと、同申告書を再提出していない者が十八・三万人いるとされているが、当該扶養親族等申告書の返戻総数と、このうちマイナンバーが未記載であることを理由に返戻したものの数を明らかにされたい。
３　株式会社ＳＡＹ企画及び株式会社恵和ビジネスによる不適正な業務再委託は、二〇一五年に発生した百二十五万件もの年金個人情報の漏えいに匹敵する重大な事態と考えるが、機構にマイナンバーの利用を認めるべきではないのではないか。

四　マイナンバー制度の個人情報保護措置について

１　「日本年金機構における業務委託のあり方等に関する調査委員会報告書」に添付された日本ＩＢＭ株式会社による調査結果報告書及びこれに対するＴＩＳ株式会社の評価業務報告書では、株式会社ＳＡＹ企画から中国の再委託先事業者に送付されていた情報は「氏名とフリガナ」のみであると結論づけている。しかし、機構が本事案について個人情報保護委員会に報告した本年一月二十二日は、機構及び日本ＩＢＭ株式会社による中国の再委託先業者に対する現地調査が行われる前であるため、同委員会への報告時点ではマイナンバーが再委託先事業者に漏えいしているか定かではなかった。機構から報告を受けた個人情報保護委員会はその時点において機構に対してどのような指導・監督を行ったか明らかにされたい。
２　特定個人情報保護評価書「公的年金業務等に関する事務　全項目評価書」ではマイナンバーに係る業務について再委託しないとされていた。また、行政手続における特定の個人を識別するための番号の利用等に関する法律では、個人番号利用事務等を委託元の許諾を得た場合に限り再委託できるとされている。特定個人情報保護評価書の記載や同法に違反しているにもかかわらず、本事案について個人情報保護委員会が機構に対して勧告・命令を行っていない理由を明らかにされたい。
３　前記四の１のとおり本事案において再委託先事業者に送付されていた情報は「氏名とフリガナ」のみであり、マイナンバーは漏えいしていないことをもって、機構は、本事案は個人情報の流出・漏えいではないかのような説明をしている。しかし、仮にマイナンバーは漏えいしていないとしても、年金受給者の氏名という個人情報が機構の監督が及ばないところに無断で提供されたことは、個人情報の漏えいととらえるべきではないか。
４　マイナンバー制度の開始以降、多くの事業者でマイナンバー管理の外部委託が行われてきた。今回の不適正な外部委託事案の発生を受けて、マイナンバー管理を受託した事業者への監督や安全管理措置が適切に行われているか調査する考えはないか。

右質問する。

答弁書

答弁書第一九一号

内閣参質一九六第一九一号
平成三十年七月二十七日

内閣総理大臣　安倍　晋三

参議院議長　伊達　忠一　殿

参議院議員福島みずほ君提出日本年金機構の情報連携と業務委託並びにマイナンバーの利用と個人情報保護に関する質問に対し、別紙答弁書を送付する。

参議院議員福島みずほ君提出日本年金機構の情報連携と業務委託並びにマイナンバーの利用と個人情報保護に関する質問に対する答弁書

一の１について

御指摘の「不適正なデータ入力再委託」に係る事案を踏まえ、日本年金機構（以下「機構」という。）に設置された外部の専門家による調査委員会が取りまとめた「日本年金機構における業務委託のあり方等に関する調査委員会報告書」（以下「調査委員会報告書」という。）において、機構における今後の外部委託・調達管理の在り方等が示されていると承知しており、政府としては、年金関係情報連携（機構等が行う情報提供ネットワークシステムを利用した情報照会及び情報提供（行政手続における特定の個人を識別するための番号の利用等に関する法律（平成二十五年法律第二十七号。以下「番号利用法」という。）第十九条第七号又は第八号の規定に基づく特定個人情報（番号利用法第二条第八項に規定する特定個人情報をいう。以下同じ。）の提供の求め及び提供をいう。）をいう。以下同じ。）の抑止の解除に当たっては、機構において、調査委員会報告書に沿った取組が確実に実施され、また、そのことについて、少なくとも厚生労働省による検証及び個人情報保護委員会による確認が必要であると考えている。

一の２について

お尋ねの「不具合」とは、年金関係情報連携の対象となる事務手続の一部について、過去の年金関係情報を照会することができない不具合である。当該不具合は、情報照会の対象となる年金関係情報の起点となる日についてシステム上の設定に誤りがあったものであり、原則として、平成三十年十一月に所要の修正を行う予定である。

一の３について

お尋ねの「事務運用上の懸念」については、年金制度は複雑であり、かつ、年金関係情報連携により提供される年金関係情報の項目が極めて多いこと等により、情報照会機関が行う年金関係情報連携の対象となる事務手続について、従来の年金支給額決定通知書等の書類を用いる方法から、年金関係情報連携により提供される年金関係情報を利用する方法に変更しても、当該事務手続を円滑に運用することが可能であるかということについてのものである。政府としては、当該事務手続の円滑な運用が可能となるよう、年金関係情報の確認に係る業務マニュアルを作成し、情報照会機関に対して提供すること等の必要な支援を行う予定であり、御指摘の「見直し」が必要とは考えていない。

一の４について

年金関係情報連携を抑止している期間においても、情報提供ネットワークシステム上の試験環境において機関間試験を行うことは可能であり、一の２についてで述べた所要の修正に係る検証を行うこと等を予定している。

一の５について

政府としては、まずは、年金関係情報連携に係る各課題が的確に対処されることが必要であると考えており、現時点において、年金関係情報連携の抑止の解除を行う時期は未定である。

二の１について

株式会社恵和ビジネスは、国民年金の被保険者の氏名、前年所得等が記載された国民年金保険料免除・納付猶予申請書等を再委託先に提供しており、その一部には、個人番号（番号利用法第二条第五項に規定する個人番号をいう。以下同じ。）が記載されたものも含まれていたと承知している。

二の２について

機構における外部への業務委託については、調査委員会報告書において、「機構が用意した場所で情報セキュリティのリスクや受託事業者が仕様書と異なる業務を行うリスクを機構がコントロールできる形で委託業者に行わせる「インハウス型委託」を推進する」、「総合評価落札方式の適用を原則化する」、「全省庁統一資格（Ａ～Ｄ等級）の本来等級の適用を原則化する」こと等が提言されており、平成三十年六月四日の社会保障審議会年金事業管理部会への報告を踏まえ、同月二十九日に厚生労働大臣が機構に対して日本年金機構法（平成十九年法律第百九号）第四十九条第一項の規定に基づき業務改善命令を行ったところである。お尋ねの「本年度の扶養親族等申告書の処理」については、機構において、個人番号の入力を含めて「インハウス型委託」により外部に業務委託する方針であり、当該業務改善命令に従い、当該委託の調達に係る手続を適切に行っているものと承知している。

三の１について

国民年金法施行規則（昭和三十五年厚生省令第十二号）等において、年金関係の各種申請・届出等に記載する事項として個人番号又は基礎年金番号を規定しているところであるが、個人番号の利用を促す観点から、御指摘のような記載が機構のホームページになされているものと承知している。

三の２について

お尋ねの「扶養親族等申告書の返戻総数」は、平成三十年三月三十一日時点で、約百九十五万二千件であると承知している。なお、機構においては、当該扶養親族等申告書に個人番号が記載されていないことのみをもって返戻する取扱いは行っていないものと承知している。

三の３について

株式会社ＳＡＹ企画及び株式会社恵和ビジネスに係る事案については、再委託先から外部への情報の流出がなかったことが確認されていることから、外部への情報の流出があった平成二十七年五月の不正アクセスによる情報流出事案とは異なる。また、機構は、番号利用法第九条第一項の規定に基づき、個人番号を利用することができるものである。

四の１について

個人情報保護委員会は、機構から御指摘の「報告」を受けた平成三十年一月二十二日に、事実関係の調査等を行うことを機構に対して求めたところである。

四の２について

株式会社ＳＡＹ企画に係る事案については、同社から再委託先に送付されていた情報に個人番号が含まれていないため、番号利用法第十条に規定されている再委託には該当しないと承知している。

四の３について

株式会社ＳＡＹ企画の重大な契約違反行為により、「氏名とフリガナ」が同社から再委託先に送付されていたことは事実であるが、同社から再委託先に送付された情報に個人番号が含まれていないこと、また、再委託先から外部への情報の流出がなかったことは確認されている。いずれにしても、御指摘の事案を踏まえ、今後、機構の委託先において契約違反行為が発生しないよう、調査委員会報告書に沿って機構が着実に取組を進めることが必要であり、厚生労働省として機構に対する指導監督を適切に行っていきたいと考えている。

四の４について

個人情報保護委員会は、個人番号利用事務等実施者（番号利用法第十二条に規定する個人番号利用事務等実施者をいう。）への立入検査や、苦情あっせん相談窓口を通じた情報の収集等により、個人番号の適切な管理のために必要な措置の実施状況を含む特定個人情報の取扱いに関する実態を把握するよう努めており、これらを踏まえ、必要に応じて指導等を行っているところである。
引き続き、このような取組を通じて、特定個人情報の適正な取扱いが行われるよう取り組んでまいりたい。