再委託⇨再々委託でポリシー行き渡らず

尼崎市にとって寝耳に水であったのは、日本ユニシスがアイフロントへ無断再委託をしていたことであろう。
そこから更に別の会社へ｢再々委託｣されていたのだ。
こうなると何かと問題が起こる。再々委託を受けた企業の社員が｢現場のポリシーを知らないまま業務をしている｣ことが少なくないからだ。
そうした従事者が”長期に渡って”同一案件に就き続けていた。
一定の仕事を長期間継続していれば油断や慢心が起こる。それでもポリシーが浸透しており、キチンと当該従事者を監督する仕組みがあれば、大事な事故は防げたであろう。
問題はそうした従事者を監督する仕組みも無かった。

尚、同様の問題は年金機構も起こしている。
年金機構から委託を受けたSAY企画が中国の企業へ再委託、膨大な個人データが中国企業へ行き渡ることとなった。
今回の事件も同様に｢尼崎市役所の知らないところで｣勝手に再委託されていた。
しかも｢20年と長期に渡って違反され続けていた｣ことが更にタチ悪いとも言える。
そして当該従事者には｢尼崎市のセキュリティポリシーが浸透していなかった｣のだ。

個人情報を取り扱う運用業務は委託を禁止するべきだ

勤続20年と聞いて思わず｢さぶれSMBCソースコード流出事件｣を思い出してしまった。
勤続20年の間に昇給はあったのか、ほぼ無かったのか。恐らく無かったのであろう。
IT従事者と言えども｢運用業務｣に関わる末端の構成員は、技術や最新のトレンドには無関心であることが多い。知らなくても業務は出来てしまう上、学んだところで賃金upには繋がらないため、学ぶ気持ちが起きないのだ。
こうして20年間外の世界を知らない｢井の中の蛙｣が出来上がる。
尼崎の事態を受けて、田中康夫氏は｢個人情報を取り扱う業務は委託してはいけない｣と東スポの取材で述べている。
これは本当にその通りだ。だが、全ての市役所が庁内SEを雇えるかと言うと、阿武町のようなケースでは無理であろう。
また、仮に直雇用のSEを雇っても、長期に渡って同じ仕事をさせ続ければ慢心が起こるかも知れない。ここは県庁が市町村分の数に合わせた県庁所属SEを採用し、市町村をローテさせていくのが理想では無かろうか。

尼崎市USB紛失事件、年金機構事件を受けて、官公庁業務の民間委託に大きなリスクがあることが可視化されてきた。

例え再委託を禁止したところで、SESの従事者に渡されるのは元請け会社の社員として｢偽造された名刺｣が渡されれば、発注主にはわからなくなってしまう。
なんなら｢保険証を確認して再委託の有無を確認する｣と言った粗っぽいやり方が無いでは無いが、これは法的に良いのかどうか難がある。
となれば、やはり官公庁に於いて個人情報を扱う運用業務は、外注してはいけないのだ。なんなら市役所の窓口をパソナやリクルートに委託するのもNGでは無いか。
本来なら費用面でも定例業務にアウトソーシングは向かない。そういう意味では、尼崎USB紛失事故は税金の無駄遣い、セキュリティリテラシーが無いという、二重の意味で悪いことと言える。
IT産業と官公庁の体質を変えて行かない限り、同様の事件は再発することになるであろう。

• ⓵