デジタル庁が、個人情報保護委員会から行政指導を受けた。
2023年9月20日、公金を受け取る口座の情報が別人のマイナンバーに誤って登録されるミスが相次いだ問題で、個人情報保護委員会がデジタル庁に改善を求めた。
この問題では、公金を受け取る預貯金口座をマイナンバーとひも付ける作業で別人が登録された。誤登録のおそれがある事例は940件にのぼる。
登録された口座は、年金や児童手当、税金の還付金など幅広い分野で使われる。
たとえば年金は、多くの受給者にとって給料のように生活に不可欠な資金だ。こうした大切なお金が他人の口座に振り込まれるようなミスは、可能な限りゼロに近づける必要がある。
個人情報保護委員会が公表した文書は、多くのミスがなぜ起きたのかについてもかなり細かく分析している。
民間企業で働く人であっても、日々の業務の中で個人情報を扱う機会がある人は少なくないだろう。
今回はなぜミスが多発し、どうしたら再発を防げるのかに注目したい。
「ログアウト忘れ」が直接の原因
個人情報保護委員会の公表文書は、窓口のレベルでなぜミスが多発したのかを明らかにしている。
スマホやPCでも登録が可能だが、各市町村にも「支援窓口」が設置された。スマホやPCで登録ができない人たちを支援することが目的だ。
まずAさんがこの窓口にある端末で登録作業を始める。
もちろん、市町村の支援員がAさんといっしょにデータの入力を支援する。
Aさんが口座情報を登録しようとしたが、口座番号がわからずいったん端末から離れる。
このとき、本来であれば、人や支援員がログアウトやシャットダウンなどの操作をすることになっていたが、ログアウトがされないままだった。
そして次のBさんがやってくる。
Bさんは、Aさんがログインしたままの端末で口座情報を入力する。
するとAさんのマイナンバーに、Bさんの銀行口座が登録される。
Aさんが年金受給者だったとすると、Aさんの年金はBさんの口座に振り込まれることになる。
個人情報保護委員会は、ログアウトの確認の不徹底が誤登録の「直接的な原因」だと結論づけている。
デジタル庁の対応が遅かった
窓口で誤登録が発生したときに、デジタル庁はどう対応したのだろうか。
2022年11月から2023年4月にかけて、4つの市区町村で誤登録が発生した。
市区町村側は誤登録が発生したことをデジタル庁に報告した。
しかしデジタル庁の担当職員は、誤登録の解消などを市区町村に確認したものの、デジタル庁の管理職には報告しなかった。
4月10日に福島市から誤登録の報告を受けた際、担当職員が管理職に報告し、管理職は担当統括官に報告した。
その後、福島市で4件の誤登録が確認されたため、河野太郎大臣にも報告が上がっている。
短く見積もっても、11月から4月までの約5ヵ月間、ミスは他の市区町村に共有されず、誤登録件数がふくれ上がる原因になった。
個人情報保護委員会は、こうしたデジタル庁の対応を問題だと考えているようだ。
もともとデジタル庁は「ログアウト忘れ」を防ぐため、端末のシャットダウンを徹底するよう各市区町村に連絡していた。
ミスの発生を受けて早めにシャットダウンの徹底をあらためて周知していれば、少なくとも誤登録の頻発は防げた可能性はある。
個人情報保護委員会の公表文書は、デジタル庁に対して次のように指摘している。
「報告対象事案が生じた際には、適時適切に組織体制上の上位者へ報告させ、事実関係を組織内で共有して安全管理上の対応を策定するための体制を整備するなど、組織的安全管理措置に改善が必要である」
つまり、問題がきちんと上司に報告され、組織として対応できるように改善をしなさいと言っているのだ。
指導のタイミングが気になる
今回の行政指導で気になったのは、指導を出すタイミングだ。
この連載の記事
- 第314回 SNSの“ウソ”選挙結果に影響か 公選法改正議論が本格化へ
- 第313回 アマゾンに公取委が“ガサ入れ” 調査の進め方に大きな変化
- 第312回 豪州で16歳未満のSNS禁止 ザル法かもしれないが…
- 第311回 政府、次世代電池に1778億円 「全固体」実現性には疑問も
- 第310回 先端半導体、政府がさらに10兆円。大博打の勝算は
- 第309回 トランプ2.0で、AIブームに拍車?
- 第308回 自動運転:トヨタとNTTが本格協業、日本はゆっくりした動き
- 第307回 総選挙で“ベンチャー政党”が躍進 ネット戦略奏功
- 第306回 IT大手の原発投資相次ぐ AIで電力需要が爆増
- 第305回 AndroidでMicrosoftストアが使えるように? “グーグル分割”の現実味
- この連載の一覧へ