横浜市民がマイナンバーカードを使ってコンビニエンスストアに設置されている機械から住民票等の証明書を申請したところ別人の証明書が発行され個人情報が漏えいした問題。横浜市によると漏えいした個人情報は18人分にのぼるということです。改正個人情報保護法では個人の権利利益を害するおそれがある時は個人情報保護委員会への報告および本人への通知義務が発生しますが、今回のケースではどのような対応になるのでしょうか?
住民票の写しなど18人分、マイナンバー記載も
横浜市によるとこの問題は、3月27日に複数の市民からの連絡で明らかになったもので、4月7日に市が明らかにしたところによると、住民票の写しが12人分、住民票記載事項証明書が4人分、印鑑登録証明書が2人分の計18人分の個人情報が漏えいしたということです。うち1人の住民票の写しについてはマイナンバーが記載されていたということですから特定個人情報に該当するケースだと思われます。
漏えいが起きたのは富士通Japan株式会社(東京都港区)のMICJETコンビニ交付というSaaS型サービスで、住民票の写しや印鑑登録証明書などをコンビニに設置されているマルチコピー機からマイナンバーカードを使って発行するというものです。市役所に行かなくても近くのコンビニで公的な書類を得ることができることに加え、市役所が閉まっている時間帯でも交付されることから公的サービスをより便利にするシステムだと言えます。このサービスは自治体が富士通Japanと契約して行われているもので、該当する自治体の住民であれば、全国のコンビニで書類の交付を受けることができるということです。
横浜市は人口が多く、年度変わりで引っ越し等に伴う住民票等の発行が増加したことと、政府の取り組みによりマイナンバーカードの取得者が増加したことにより、コンビニで住民票等の交付を受ける人が大幅に増加。その結果、システムに負荷がかかりデータ処理が遅滞し、データが印字されるまでに時間がかかってしまったということです。それでエラーになれば漏えいは起きなかったわけですが、富士通Japanの説明によると、決められた時間内に印字されないとデータが消去されて、次のデータが印字される設定になっていたということで、その結果、別人の住民票等が発行されて個人情報が漏えいしてしまったということです。
横浜市、本人宅を訪問して経過説明し謝罪
漏えいした個人情報は横浜市に住民登録している、もしくは本籍がある人の情報で、システムそのものは富士通Japanが担うシステムになるようです。改正個人情報保護法では個人の権利利益を害するおそれがある漏えいは個人情報保護委員会への報告および本人への通知義務が発生します。また特定個人情報の漏えいについては、行政手続における特定の個人を識別するための番号の利用等に関する法律で報告が規定されています。すでに横浜市は、誤交付の可能性のある市民の自宅を個別訪問して経過を説明のうえ謝罪したとしており、また、個人情報保護員会への報告も行っているようですが、システムを運営していた富士通Japanには報告義務等は生じないのでしょうか? また、富士通Japanのシステムは地方公共団体情報システム機構のシステムと連携していると考えられますが、機構には情報漏えいの責任は生じないのでしょうか?
よくわからないため個人情報保護委員会に聞いたところ、個別の案件については答えられないとのことでしたが、一般論としては市役所窓口で漏えいしたのであれば市が報告義務を負うが、事業者が提供しているサービスで漏えいした場合では事業者に報告義務が生じる可能性もあるということで、具体的には自治体と事業者がどのような契約をしているのか等、個々の状況を踏まえて判断することになるということでした。
■出典
https://www.city.yokohama.lg.jp/city-info/koho-kocho/press/shimin/2023/0407konbinigokouhu.html
https://www.lg-waps.go.jp/index.html
https://www.j-lis.go.jp/rdd/card/convinikoufu/cms_93097920214.html