今回は日本年金機構の個人情報入力業務の委託先である情報処理会社が、中国の企業へ再委託を行っていた件について、「外国にある第三者への個人情報の提供」と「委託先の選定・監督」という2つの観点で分析していきます。

1. 外国にある第三者への提供
2017年5月30日に施行された改正個人情報保護法では、外国にある第三者への個人情報の提供には、
① 【あらかじめ外国にある第三者への提供を認める旨の本人の同意】
または
② 【提供先が規則で定める基準に適合する体制を整備している】
または
③ 【提供先の企業の所在が、規則で定められた国である】
のどれかに該当する必要があります。

ここは意外と誤解されている方が多いポイントで、一般的に「業務委託は第三者提供ではない」という認識があります（日本国内に関してはそうなのです）が、「外国にある企業への委託」に関しては、委託・事業継承又は共同利用であっても第三者提供となり、上記の3つの条件のうち、最低一つを満たす必要があります。

それでは今回のケースをみて見ましょう。

① 【あらかじめ外国にある第三者への提供を認める旨の本人の同意】
日本の年金の情報が海外に移転されるべき理由はありませんので、当然のごとく、取得していません。

② 【提供先が規則で定める基準に適合する体制を整備している】
これは委託先企業が委託元と同等、あるいは委託元以上の基準で個人情報を保護する仕組みを構築している場合ですが、当該企業が中国国内にあり、中国政府がインターネットを検閲している以上、この基準に合致しているとは言い難いでしょう。

③ 【提供先の企業の所在が、規則で定められた国である】
これは現時点で規則によって定められている国がないため、該当しません。

以上のことから、今回の個人情報の入力業務を中国国内の企業に再委託したということは、個人情報保護法第24条に違反している可能性があります。

2.委託先の選定・監督について

さて、この場合、責任を問われるのはどこなのでしょうか。

委託元の日本年金機構でしょうか、
委託先の情報処理会社でしょうか、
それとも再委託先の中国国内の企業でしょうか、

当然のことながら、責任は日本年金機構にあります。

日本年金機構は、年金制度の加入者の個人情報を取得している立場にありますから、当然その管理には第一義的に責任を負います。

「勝手に中国国内の企業へ再委託したから、悪いのは委託先では？」

と思われるかもしれませんが、実は法的には委託先も再委託先も、委託元（日本年金機構）が監督する責任があるのです。

一般的に業務委託の際、契約で再委託を禁止する（もしくは委託元に事前に通知し許可を得ることを条件とする）ことが望ましいのはこういった事情のためなのです。

実際今回のケースでも、報道によると日本年金機構と委託先の情報処理会社の間には「再委託の禁止」条項を盛り込んだ業務委託契約がなされていたとのことです。

「それではなおさら日本年金機構は悪くないのでは？」

と思われるかもしれませんが、前述のとおり、日本年金機構には委託先の情報処理会社が自社（日本年金機構）と同程度かそれ以上の個人情報保護の取り組みを行っている企業であることを確認できていなければ、そもそも業務委託をするべきではなかったのです。

また、上記の内容が確認されていたとしても、委託した業務が再委託されていないか、個人情報の取扱は契約どおり行われているかといったことの定期的な監査を行う責任が、日本年金機構にはありました。それが実際に行われていれば、今回のような問題は起きなかったでしょう。

今回の問題のポイントは、外国にある第三者への個人情報の提供が不正に行われたこと、業務委託契約が形骸化して守られていなかったこと。そしてその二つを日本年金機構が把握・管理できていなかったことが原因といえます。

とはいえ、日本年金機構だけに問題があるわけではなく、委託先の情報処理会社も契約違反を行っていたことは事実ですので、再発防止には、業務委託を行う際の委託先の選定・監督に、十分な対策を行う体制を講じてほしいところではあります。