[市場動向]

発覚した年金情報入力の中国への無断再委託はITベンダーだけに責任があるのか?

─現場に無理を強いる発注側の体質─

2018年3月26日(月)佃 均(フリーランスライター)

日本年金機構が個人情報入力を委託した業者が、中国企業に無断で再委託をしていたという件が世間を騒がせている。入力の漏れやミス、それに起因する年金の過少支給などが露呈。受託した側の非を指摘する声が大きいが、それだけが本質的な問題なのだろうか──。

 2018年3月20日、日本年金機構は年金データの入力を委託していた東京都内の情報処理会社が、中国・大連の業者に作業を再委託していたと発表した。それによって今年2月、少なくとも8万4000人の年金が過少に支給されたという。2月15日以降に判明した約1万7000人の入力漏れは、4月13日の支払い時に正しく反映する。

 また年金機構が528万人分の情報をチェックしたところ、31万8000人分の誤入力が発見されたという。これを受けて政府は、3月26日に予定していたマイナンバーとの連携を延期した。連携の延期は昨年1月に続いて2度目となる。年金は税、災害対策と並ぶマイナンバー制度の本旨。国・地方公共団体合わせて5000億円ともいわれるシステム構築費を投入しながら、マイナンバー制度はスタート2年を過ぎても本稼働にいたらないわけだ。

2015年の情報流出でIPA監視対象に指定

 今回の案件は、所得税控除を受ける年金受給者が昨年8月から12月11日までに年金機構に提出した1300万人分の「扶養親族等申告書」のデータ入力業務。「1300万」という数字が一人歩きしているが、委託されたのは変更・追加があった694万件が正しい。昨年の8月9日、一般競争入札で東京・東池袋に本社を置くSAY企画(切田精一社長)が1件当たり14.9円(総額1億8200万円)で落札した。

 「扶養親族等申告書」の提出期限(昨年12月11日)のあと、入力が完了したデータをチェックしたところ、「通常では考えられないミス」が数多く見つかった(694万件のうち誤入力・入力漏れが40万件とすればミス率は5.8%)。そこで細かく事情を調べた、というのが本当のところだろう。

 総務省が2014年1月に示した勧告で、公共機関から委託された業務を発注者の了解なしに外部に再発注することは禁止されている。SAY企画の契約違反を1月初旬に把握していていたということは、年金機構は過少支給が発覚した2月以前にトラブルを予見できていたことになる。それを放置していたのは、管理監督の不行き届きを隠蔽し、SAY企画の不正を糊塗しようとしたのか、と疑われてもやむを得ない。

 年金機構によると「入力情報も適切に管理・削除されており、特段の問題はなかった」し、「SAY企画が大連の再委託先に渡したのは扶養親族の氏名だけで、マイナンバーの情報は流出していない」という。それが事実だったとしても、大連の再委託先が中国内で再発注していないか、別の事業者に転売されていないかなど、不安は残る。筆者が知る限りだが、日本の企業からIT役務(プログラム・コーディング)を受託した上海の企業が、中国国内で労働賃金が安い重慶の会社に再発注し、それが分割されて大連、無錫、ハノイ(ベトナム)の会社に再々発注されていた実態がある。

 犯罪組織にとって日本人の個人情報は価値があって、名寄せ技術で照合していけば、かなりの詳しさで個人情報が収集できてしまう。それだけでなく、納入されたデータに「バックドア」(裏口)と呼ばれる不正プログラムが混入されている懸念もある。

 年金機構は2015年5月に標的型攻撃メールで125万件の個人情報を流出、経済産業省のIT研究機関である情報処理推進機構(IPA)の監視対象に指定されている。入札資格の停止や委託先業者チェックの厳格化といった措置が、有権者から「おざなり」と認識されれば、不安の声は年金制度に対する不信に結びつくかもしれない。

クリーンデータは簡単には作れない

 さて、一歩踏み込んで、データ入力とはどのような作業なのか。データ入力の専門会社で構成する日本データ・エントリ協会(河野純会長、JDEA)の資料を読むと、何万件ものデータ入力業務は単純な作業ではないことが分かる。チームとシステムが協働して初めて成り立つ業務なのだ(下図)。

図1 データ入力業務は決して単純な作業ではない(出典:日本データ・エントリ協会)
拡大画像表示

 まずセキュリティが確保された作業場が用意されていなければならない。SAY企画はプライバシーマークをはじめ、ISO27001(ISMS)、ISO9001(QMS)の認証を取得しているが、今回の一件で絵に描いた餅ということになってしまった。

 そこに正確なデータを生成するエントリーマシン(システム)を整備して入力作業をするのだが、腱鞘炎や眼精疲労を緩和するため、厚生労働省は「1連続作業は60分を超えないこと、作業時間の上限は1日300分まで」と勧告している。オペレータには女性が多いので保育施設を併設したり、女性のスーパーバイザー(監督者)を積極的に育成している事業者が少なくない。早くから女性の社会進出に取り組んできた業界と言うことができるだろう。

 場所とマシン(システム)、オペレータがそろっても、入力作業がスタートするわけではない。DESE(データエントリ・システムエンジニア)と呼ばれる専門技術者が発注者の要求を分析し、原票を読み取って入力仕様を設計してプログラムを作らなければならない。人名だけの入力でも、最大の文字数や属性(よみがな、性別など)を設定し、データ構造を規定していくのだ。ここまでがプリプロセス(前処理)に相当する。

 一般的には、入力オペレータ10~20人にスーパーバイザー1人というチームを編成して入力作業を進めていく。このほか、適時、データ品質を確認するチェッカーが付く。全チームの全オペレータがデータ特性や納期、不明・異常データの扱いなどを共通に理解しないと、入力にバラつきが出てしまう。認識を統一するため打ち合わせをするとしても、チームビルディングのノウハウが欠かせない。

関連記事

発覚した年金情報入力の中国への無断再委託はITベンダーだけに責任があるのか?日本年金機構が個人情報入力を委託した業者が、中国企業に無断で再委託をしていたという件が世間を騒がせている。入力の漏れやミス、それに起因する年金の過少支給などが露呈。受託した側の非を指摘する声が大きいが、それだけが本質的な問題なのだろうか──。

PAGE TOP