min117の日記

初期desireもち。趣味Mac,メインFedora,仕事xp。

神奈川県庁HDD情報流出 業者への廃棄 委託契約について考えてみる

神奈川県のHDD流出。かなり興味を持って見ている。

piyolog.hatenadiary.jp

 

神奈川県にとどまらず、いろいろな自治体に影響しているようだ。

business.nikkei.com

 

結論から言うと ①契約上は県には責任は無い。なぜなら委託契約には善管注意義務があるし、かつ委託相手は漏洩会社(ブロードリンク社)ではないからだ。

 

また、こういうことがあるたびに「物理的に壊すべき」とか「消去や破壊には職員が立ち会うべき」等の感情的意見が出回る(福島県にいたっては知事が県職員を立ち会わせる方針などを示してしまった)が、結論を言えば ②職員が立ち会う必要は全くないし、物理的でなく電磁的な破壊で十分こと足りると思う。

headlines.yahoo.co.jp

 

 

 

まず「委託」だが、自治体では「13節 委託料」から支出(歳出)されている。

ex. 歳入・歳出科目及び節の説明書

https://www.city.kitami.lg.jp/docs/2012082900046/files/24dai13kaishiryou8.pdf

f:id:min117:20191214163359p:plain

例えば「12節(役務費)」は通信運搬費つまりNTTの利用料等だけど、「13節(委託料)」は人間を動かす(委託)人件費が含まれるから、かなり高額になるはずだ。

 

それだけに財政上の監査は厳しくなるし契約書もしっかりチェックを受けると思われる。県が業者としていた契約はつまり、そういう契約だということだ。

 

では県はそんな契約(委託契約)どの業者としていたかというと、富士通リース株式会社とだ。その富士通リースがさらにブロードリンク社に(廃棄を)委託して、今回の流出が起きたわけだ。

www.lease.fujitsu.com

ちなみに富士通リースは今回の件をもって、神奈川県から指名停止処置をくらっている(これで同社はしばらくは神奈川県に入札できない)。

f:id:min117:20191214163949p:plain

 

繰り返しになるが、県が直接委託契約を結んだのは富士通リース株式会社であって、ブロードリンク社とは直接の契約関係にない。つまり県は契約上はなんらの責任は負っていない。

 

プレスリリースで神奈川県が「結果として、県の情報が外部に出てしまったことは」と言っているのもこのあたりの含みを感じる。

f:id:min117:20191214164731p:plain

www.pref.kanagawa.jp

 

次に、神奈川県が(富士通リースとだが)交わした「委託」なる契約はどんな契約かと言うと民法643条にある。

 

委託契約は、契約の務処理を目的とする契約で、仕事の完成は目的としていない請負契約と比べるとわかりやすい)。

furukawa-jimusho.blogdehp.ne.jp

f:id:min117:20191214170953p:plain

今回の件で言えば、神奈川県が富士通リースに対してハードディスクの廃棄(という事務処理)をさせるけど、ディスクが硬いとか物理的に破壊できないとか理由があれば、破壊や消去(という仕事の完成はできなくてもいい、ということになる。

 

つまり委託契約は「自分(県)では手が回らなくてできない」とか「専門的すぎで県の職員では分からない」というときに、(完成は義務ではないが)代わりにやらせるための契約だということだ。

 

一方で、委託を受けた側(=受任者=富士通リース)は民法644条により善良なる管理者の注意義務(善管注意義務)」を負うから、その義務に違反して、全く信用できない第三者(=ブロードリンク社)に委託してしまったということで、委託契約義務違反になるだろう。

 

ということは民法415条の債務不履行不完全履行)ということになるから、神奈川県は同条により契約の解除をすることができ、さらに同条により損害賠償請求を(富士通リースに対して)することができる。

 

同じ理屈で、富士通リースはブロードリンク社に対して契約の解除をし、損害賠償の請求ができるわけだ。

 

まとめると

 

契約上

・県は(富士通リースとだけ契約していて)ブロードリンク社との直接の契約は無い。

・県は富士通リースに対して損害賠償を請求して損害は回復できる。

富士通リースはブロードリンク社に↑を請求して損害回復できる。

 

実際上

・ブロードリンク社は破産するだろうから、負担を被るのは富士通リース。

となるだろう。

 

しかし、そんな簡単には終わらない。一番大事なことが片付いていない。

 

今後

・情報が流出させた県の管理責任はどうなるのか。

・流出した情報が悪用された場合の保護はどうなるのか?(税金で賄う?富士通リースが負担する?)

 

これが明らかでない以上、契約上では県に責任が無いとしても、実際は県民から強い批判を浴びる当然だ)。 これが、契約上とは別の、管理的な?道議的な?責任というものだろう。

 

神奈川県も専用の電話番号?を開設したようだし、これに対する問い合わせや謝罪の人件費は莫大になるはずだ。これも富士通リースへの損害賠償になるのだろうと思う。

f:id:min117:20191214164424p:plain 

そして、こうして批判され、対応に追われた県側が次にどうするかというと「絶対に漏れない手段を取る」「責任を問われない手段に出る」ことになる。つまり「物理破壊しろ」「破壊には県職員が立ち会え」という話になっていく。

 

これではあまりにもバカらしい。委託に出しているのに(さらに)職員が立ち会うのでは委託の意味がない。仕事する人間(職員)の負荷を減らすために委託に出すわけで、その委託作業に立ち会わなければいけないのなら、委託に出す意味が全く失われるからだ。

 

また「必ず物理破壊せよ」というのも愚かな話だ。「一定の電磁的破壊で充分」「万が一それで漏洩したとしても、それは読み取った者に罪を問うべきで、廃棄した側は免責」としておかないと、あまりに無駄が大きい。

 

ハードディスクのような精緻な工業製品を世の中に作り出すためには、グレタさんの言葉を待つまでもなく、かなりの資源が消費され、大きな環境負荷があるはずで、それを「漏洩が怖いから」「安心だから」という理由で常に「破壊」するのを標準にしてしまうのは、あまりに愚かしい。

 

結論としては

・委託契約では、県は立ち会う必要は無い。

・電磁的な(論理的な)破壊にとどめれば足りる。

と思う。

 

 

もし本当に「個人情報の漏洩が怖い」というなら、自治体のハードディスク廃棄なんていう仮にそうなったとしても重要な情報が漏れる心配なんてほとんどないようなことを心配するよりも、マイナンバーを恐れるほうがずっと現実的だ。

 

「廃棄」なんかよりもっと手前の、「実際に情報が自治体によって管理されている間」が一番怖い。

 

今回の件でも「県は悪くない」「損害賠償を業者にさせればいいだけ」と考えている無責任な職員はあまたいるだろう。そもそもの県の管理体制は問われておらず、実際知事も誰も責任をとっていないわけで、そんな無責任な態度・程度の管理体制の県に、個人情報の全てを集約管理するための「マイナンバー」なんて渡したらどうなるか。

 

個人情報をマイナンバーに集約されて、役所の都合のいいように利用管理され、さらには無断で国にも提供されて、受けられるべき福祉や行政サービスを受けられなくなる。情報を恐れるというなら、そちらを心配するほうがよほど現実的と思う。