( コード: 3 7 6 6 、 東証 JASDAQ)問合せ先 取 締 役 岡本 芳明電 話 03 - 5 3 0 0 - 7 8 0 0
2019 年6月 19 日
各 位
会 社 名 システムズ・デザイン株式会社代表者名 代表取締役社長 xx x
( コード: 3 7 6 6 、 東証 JASDAQ)問合せ先 取 締 役 xx xxx 話 03 - 5 3 0 0 - 7 8 0 0
受託業務における契約及び法令違反の概要報告および役員報酬の一部自主返上等について
この度、当社が委託元の承諾を得ず契約及び法令に違反して、特定個人情報を含む個人情報
(以下「個人情報」という。)の入力を外部業者に再委託した件につきましては、契約ないし法令違反の事態を招き、株主・投資家の皆様をはじめとして関係者の皆様には多大なるご迷惑をおかけしておりますことを、改めて深くお詫び申し上げます。
本日までの間、当局の調査に全面的に協力しつつ原因究明委員会及びデータ調査委員会の調査結果を各委託xxに報告し、その後も各委託xxよりの個別照会への対応等を進めてまいりましたことから、関係者の皆様へのご報告に時間を要したことを深くお詫び申し上げます。現時点において、当社の法令違反先となります多くの各委託xxへの報告を終えましたので、今回調査結果等の全体概要を、添付「データ入力業務の無断再委託問題に関する調査報告書(概要・開示版)」のとおりご報告申し上げます。また、これに伴い役員報酬の一部を自主返上することといたしましたのでお知らせいたします。
なお、追加事象が今後生じた場合には厳粛に対応してまいる所存です。
記
1.調査結果および再発防止策等について
今回の不適切行為により、各委託xxをはじめ、多くの関係者の皆様に対し多大なご迷惑をおかけいたしました。極めて重要な個人情報データの契約ないし法令の違反問題であり、徹底的に反省し、改善が必要であると強く認識しております。初心に立ち返り、これまで以上の信用の回復・向上を目指して成長するよう全力を尽くしてまいる所存です。
本件不適切行為にかかる個人情報の流出につきましては、各再委託先及び当社のいずれからもその形跡は認められず、また、各再委託先及び当社において、個人情報を含むデータは削除されており、残存するデータも全て削除しております。
詳細は、添付「データ入力業務の無断再委託問題に関する調査報告書(概要・開示版)」をご参照願います。なお、本件不適切行為に関与した従業員は、社内規程に従い、懲戒解雇及び諭旨退職等の処分を含め、計 14 名に対し厳正に懲戒処分を実施しております。
2.役員報酬の一部自主返上等について
経営陣としても今回の事態を重く受け止め、役員報酬の一部につき以下のとおり自主返上することといたしました。
代表取締役社長 xx x 月額報酬の 30%(2019 年6月分)取締役 xx xx(現アウトソーシング事業部担当) 月額報酬の 30%(2019 年6月分)取締役 xx x(前アウトソーシング事業部担当) 月額報酬の 30%(2019 年6月分)
3.今後の見通し
今回の事態(受託業務における契約及び法令違反)による業績への影響につきましては、 2019 年5月 13 日付「2019 年3月期決算短信[日本基準](連結)」にて開示しているとおりとなります。現時点で予想される今年度の業績に与える影響も同連結業績予想に織り込んでおりますが、現時点では不明なものもあり、開示すべき影響等が判明した場合は、速やかにお知らせいたします。
4.本件に対するお問い合わせ先
受付時間 平日 9 時 00 分~17 時 30 分システムズ・デザイン株式会社 管理本部 TEL:00-0000-0000
以上
「データ入力業務の無断再委託問題に関する調査報告書(概要)」開 示 版
第 1 原因究明委員会及びデータ調査委員会
1 委員会設置の経緯
当社(sdc)は、平成 28 年度から平成 30 年度までの間に、18 社(又は団体)の委託元との間で、データ入力業務の業務委託契約をそれぞれ締結して同データ入力業務を受託、各契約には、いずれも委託元の承諾を得ずに同データ入力業務を他社に再委託することを禁止する条項が含まれていたにもかかわらず、上記データ入力業務の一部において、上記各契約中の条項に違反してデータ入力業務を再委託していた。このうち 8 団体の委託元から受託したデータ入力業務においては特定個人情報が含まれており、特定個人情報に係るデータ入力業務の無断再委託については、行政手続における特定の個人を識別するための番号の利用等に関する法律(「番号法」)10 条 1 項に違反していた(「本件不適切行為」ともいう)。当社は、東京国税局及び大阪国税局との間における承諾を得ないデータ入力業務の再委 託の発覚後、事実関係の調査に直ちに着手し、当社内部監査室長xxxxを委員長とする原因究明委員会(同委員会は、昨年 12 月 14 日付け当社「受託業務における契約及び法令違
反のご報告とお詫び」及び同月 18 日付け当社「受託業務における契約及び法令違反のご報告とお詫び(開示事項の経過)」では「調査委員会」と称している。)を設置し、同委員会は調査を開始した。同委員会は、関係者を洗い出して契約書精査等の作業を行い、その後関係者に対する聴取に着手し、外部発注にかかる全入力案件を整理して情報収集を行った結果、本委員会による調査の過程で、当社が、他にも委託元との契約ないし番号法 10 条 1 項に違反して再委託を行っている事実が判明した。
当社は、併行して、データ調査委員会を同年 12 月 5 日付けで設置した。データ調査は、システム内のデータ保全・解析を行う必要があり、そのためには社内外の協力を得て調査環境を整えることが必須であったことから、データ調査委員会の委員長には代表取締役xxxが就任した。データ調査委員会には、本件不適切行為が発生した当時、当社との間に顧問契約はなく、法的助言をした経験もなく、その他利害関係がない外部有識者(弁護士)も委員に就任した。データ等の保全・解析には技術的な作業が必要となることから、データ調査委員会は、外部専門企業である株式会社フォーカスシステムズ(「フォーカスシステムズ」)に委嘱して技術的検証を実施した。
調査の過程で対象範囲が拡大したことに加え、委託元の一部より、原因究明委員会の委員構成の面からも客観性と専門性を持たせることが望ましいとの要請があり、本年 2 月、原
因究明委員会に、データ調査委員会を構成する弁護士 3 名ほか 1 名、計 4 名の弁護士が委
員として加わり(当初同委員会委員であった者のうち 2 名は委員を交代。)、改めて本件不適切行為の関係者らのヒアリングや関係資料の精査を行った。これら両委員会は、日本弁護士連合会「企業等不祥事における第三者委員会ガイドライン」に準拠はせず、いわゆる第三
者委員会ではないが、原因究明委員会には従来からの調査の連続性を確保し、最終報告の遅延回避を図ると共に、外部の法律専門家が委員に加わることで、可及的に客観性と法的な観点からの事実調査・判断の補強をしている(委員会委員の過半数が弁護士。)。原因究明すべき事実関係は、データ調査委員会が調査対象とする電子データ等の客観証拠とも密接に関連し、これらデータ調査委員会及びフォーカスシステムズが保全解析した客観証拠のみならず、データ調査委員会の調査過程で直接得られた人的な関連情報をも原因究明の基礎資料に用いることが有用かつ合理的であることなどから、データ調査委員会委員である弁護士 3 名は原因究明委員会委員を兼任し、加えて、原因究明委員会の調査範囲がxxに及ぶ
ことから弁護士 1 名を追加して調査を実施した。
2 原因究明委員会及びデータ調査委員会の目的と構成
データ調査委員会の調査目的は、再委託先又は当社からの個人情報漏えいの有無と、再委託先又は当社における個人情報の適切な削除等であり、また、原因究明委員会の調査目的は、委託元の承諾を得ずに番号法 10 条等違反の再委託事案が発生した正確な事実関係を把握し、原因等の分析を行い、再発防止策を策定することである。
両委員会の最終的な委員構成は以下のとおりである。
(1) 原因究明委員会の構成
委員x xxxx(内部監査室長)委 員 xxxx(常勤監査役)
委 員 xxxx(取締役・管理担当役員)委 員 xxxx(弁護士)
委 員 xx x(弁護士)委 員 xxxx(弁護士)委 員 xxxx(弁護士)
(2) データ調査委員会の構成
委員x xx x(代表取締役社長)
委 員 xxxx(弁護士/原因究明委員会委員を併任)委 員 xx x(弁護士/原因究明委員会委員を併任)委 員 xxxx(弁護士/原因究明委員会委員を併任)
第 2 無断再委託の件数
委託元の承諾を得ずに、特定個人情報又は個人情報を記載しているデータ入力業務の再委託件数は、平成 28 年度から平成 30 年度までの間に、委託元は計 18 社(又は団体)、再委託先
の企業数は 11 社、上記可能性のあるデータの件数は 287 万 7144 件である。このうち特定個
人情報を含む本件不適切行為の委託元は 8 団体、再委託された、原票に特定個人情報の記載可
能性のあるデータ件数は 241 万 6736 件である。特定個人情報を含まない、個人情報のみを含
む可能性のある本件不適切行為の委託元は 10 社(又は団体)、再委託されたデータ件数は 46
万 0408 件である。
第 3 データ調査委員会の調査
1 実施期間
平成 30 年 12 月 5 日から同 31 年 3 月 7 日まで。なお、委託元からの個別照会に対する当社
回答のための補充作業は、令和元年 5 月 8 日まで実施している。
2 対象
データ調査委員会がフォーカスシステムズに委嘱した調査実施対象の拠点は計 17 箇所(再
委託先 11 社 13 拠点、当社 4 拠点)、聴取対象者は計 32 名(再委託先の聴取対象者 18 名、当
社 14 名。これらは主な聴取対象者の数であり、実際のヒアリング対象者はこれらに限らな
い。)、対象機器は計 358 台(再委託先計 236 台、当社 122 台)である。
3 調査方法
データ調査の実施に先立ち、データ調査委員会及びフォーカスシステムズは、再委託先のシステム管理者や入力作業を行うパンチャーに現場で聞き取りを実施し、運用フローのほか、認証、セキュリティ関連規程、従業員等人的管理、物理的管理、アクセス管理、アプリケーション管理、通信制御、通信保護、ウイルス対策、データ削除その他の状況について直接かつ詳細に現地にて関係者に聴取し、説明の具体性・合理性・自然さなども吟味した。現場での具体的な操作画面や機器の使用状況の確認に当たっては、入力業務に使用の機器に情報の漏えいに直結するリスクのある情報の機密性、完全性の維持に資する項目を予め網羅的に検討し、入力業務における情報の可用性の観点も踏まえつつ、関連データの取り扱い状況を確認した。現地での操作では、再委託先の責任者など関係者が立会い、必要な場合には実際の使用者、責任者自身に実際の操作を依頼し、又はフォーカスシステムズの専門調査員が再委託先の同意を得て操作を代行している。現場の客観状況に関しては、データ調査委員会委員及びフォーカスシステムズ専門調査員が実際に現認し、例えば、オフィス・電子機器の施錠、入退室管理、電子機器本体の外観、防犯カメラ、端末のユーザ・アカウント、パスワード、アクセス権限及びログ、OS、インターネットの接続可否、ブラウザ履歴、メール通信、IP アドレス割当て、LAN(有線・無線)、転送ファイルの暗号化・パスワード、ウイルス対策ソフトの状況、業務外ファイル(マイドキュメント、デスクトップ、ディレクトリ、ダウンロード)、 USB 接続履歴、ゴミ箱内容、削除ルール・方法、バックアップ状況、廃棄状況などを調べ、同意が得られた範囲で
証拠状態の保全を行い、関係者からの聴取内容と総合して個人情報の漏えいの可能性を検討した。更に分析結果に基づく関係者への追加聴取も必要に応じて行い、合理的な説明が得られるかなど検討した。また、個人情報を含むデータ漏えいの調査の過程で確認された残存データは再委託先の同意を得て削除した。以上のほか、再委託先に対する本件調査の過程において、改善がより望ましいと思料される点を発見した際は、情報漏えいの有無等の調査とは別に、当該調査又はその後にデータ調査委員会から当該再委託先に改善を要請し、各再委託先はいずれもこれを承諾している。当社の各拠点調査でも、再委託先調査の方法に準じて調査を行っている。当社社員が業務上での問合せや確認のために、スキャナー等を使用して無断でイメージデータ化した画像データは、保存の疑いのある当社内 PC からも再委託先からも適切に削除されている。
4 調査の結果
本件不適切行為にかかる各再委託先及び当社のいずれからも個人情報の流出の形跡は認められず、各再委託先及び当社において、個人情報を含むデータは削除されており、残存するデータも全て削除した。
なお、具体的な各企業名、施設の外観・内観、物理セキュリティ、情報セキュリティの構成・運用、ネットワーク構成、アプリケーション名、OS 名、コンピュータ名、ユーザ・アカウント名、メディア管理、廃棄は、文章および写真の情報は、総じて機密情報で、第三者に開示された場合、標的型攻撃の偵察者への情報提供につながり、攻撃の増長、巧妙化のおそれがあることから本書での開示は控える。
第 4 原因究明委員会の調査と再発防止策
1 調査の方法
(1) 調査期間
平成 30 年 11 月 8 日から同 31 年 4 月 9 日まで。なお、委託元からの個別照会に対する
当社回答のための補充作業は、令和元年 6 月 6 日まで実施している。
(2) 調査の対象・方法
本委員会は、民間調査の制約がありながらも、可能な限り事実関係を究明すべく、本件不適切行為とその背景事情、sdc における内部管理体制等に関して、sdc 役職員に対するヒアリングを計 26 名に対して、延べ 79 回行った。sdc のデータ入力業務に係る社内規程類、sdc と委託元との間の契約書類、sdc と再委託先との間の契約書類、社内決裁資料等のほか、有価証券報告書、決算書類、web サイト上公開資料等を分析し、無断再委託にか
かる各再委託先における現地調査も実施した。
なお、委託元等に対する当社の秘密保持義務及びプライバシー等の要請を踏まえ新たな法的問題が生じることがないようにする観点より、開示は以下のとおり本書の範囲とした。
2 本件不適切行為の経緯
当社におけるデータ入力業務は、アウトソーシング事業部(OS 事業部)内の BPO 部が担っており、委託元への営業活動は、OS 事業部内にある営業部が担当している。本件不適切行為は、BPO 部が 1 部体制であった平成 28 年度は BPO 部 ES 課において、NBS 課が新たに創設された平成 29 年度以降は BPO1 部 ES 課(八王子エントリーセンター等を所管)と BPO2 部 NBS 課
(山梨事業所等を所管)において行われていた。
(1) BPO1 部 ES 課での不適切行為
データ入力業務を外部に再委託をせずに内製のみでデータ入力業務を期限内に一定の品質をもって納品する場合、営業部と ES 課とは相互に連携して、ES 課のキャパシティを見越した営業活動を行うことが必要であるにもかかわらず、相互連携及びキャパシティを見越した営業活動に不備があった。その結果、ES 課のキャパシティを超え、期限までに納品するには処理不可能な業務量が発生し、ES 課は、個人情報等のデータ入力業務を、各委託元の承諾を得ずに外部業者に再委託した。
ES 課は、委託元との間で定められた納期や品質にのみ傾注し、契約上の取り決めに対する意識が希薄であり、前事業部長が、無断再委託を認識しながら、あえて承諾を採らない明確な事例もあった。
(2) BPO2 部 NBS 課での不適切行為
平成 29 年度に新設した BPO2 部 NBS 課は、ES 課との関係が、入社歴やデータ入力業務に対する考え方等の相違を背景に悪化し連携がとれていなかった。
OS 事業部の前事業部長らは、NBS 課の業務の柱の 1 つとして大型のデータ入力の入札 案件において、NBS 課のキャパシティのみでの処理が困難であったことから、委託元の承 諾を得ずに再委託することを決定したが、委託元の監査で無断再委託が発覚することを 免れるために、現場担当者らに対し、原票等が再委託先にある期間をなるべく短くしたり、委託元に対して虚偽の報告をするなどの工作を指示した。また、前事業部長は現場担当 者に対し、上記無断再委託の事実を経営陣には秘密にするよう指示していた。
平成 30 年 4 月以降、OS 事業部の事業部長が交代し、無断再委託を前提とする受注は行われないようになったが、営業課と NBS 課の連携も不十分であり、受注量が現場のキャパシティを超えた際、NBS 課はデータ入力業務の一部を無断再委託した。現場担当者は、外注の決裁手続を経ず、同課課長に報告しないまま無断再委託していた。
(3) その他の不適切行為
一部の企業ないし地方公共団体を委託元とする本件不適切行為については、特定の再 委託先にデータ入力業務の全件を無断再委託していた。NBS 課では対応困難なほど受託案 件が多かったことから、営業部担当者らは、無断再委託を前提に入札に参加した。前事業 部長も、無断再委託を認識していたが、営業部に対し、無断再委託の中止指示も注意もし なかった。これらの案件は、営業部が主導し、かつ前事業部長の了解の下で、内製のキャ パシティを超えた業務量を認識しながら売上を上げるため無断再委託を前提に受注した。平成 30 年 4 月の前事業部長の交代後、無断再委託を前提とする受注は行われなくなった。
3 本件不適切行為の原因分析
当社が、委託元の承諾を得ることなく、個人情報を含むデータ入力業務を外部業者に再委託をした原因を分析すると以下のとおりである。
(1) 前事業部長らによる不適切行為の主導
前事業部長らは、委託元の承諾を得ない再委託が禁止されていることを認識しなが ら、無断再委託を容認し、無断再委託の情報が、OS 事業部から外には漏れず、経営陣や他の部署に知られないようにしていた。違反を防止し厳しく対処・監督すべき立場にある前事業部長が、不適切行為を主導していた。
(2) 契約意識の欠如
現場担当者らは契約の取り決めに対する意識が希薄であり、委託元から指示された品質と納期を守ることを優先させがちで、契約内容を十分確認していなかった。
(3) キャパシティを考慮しない営業と連携不足
営業部は、現場のキャパシティを顧慮せず過剰な受注をした。営業部と現場とは、委託元との契約上の禁止事項等に関する情報を十分共有すべきであったが、両者は、再委託の際の手続順守の意識が薄い上に、互いに責任をもって連携する意識に乏しかった。
(4) リソースの補強努力と委託元との再折衝努力の懈怠
受注後、内製では処理不可能な業務量になった場合は臨時に採用・増員するなどして補強したり、関係部署間での作業分担の調整などの工夫があり得た。リソースの補強ができず内製処理が不可能な場合は、委託元に対し、再委託の承諾を得る折衝努力をするなど、無承諾再委託を避ける方策はあり得たが、していなかった。
(5) 処理量調整に関する部署間の不連携
営業は、現場と密に連携を取り、入力現場の現況と、両部署の考えを理解し合い、債務の本旨に従った履行ができるよう十分配慮した受注が求められる。現場間の負担の平
坦化を図る調整を行い、違反を避けるべく各課相互間の連携が求められるが、OS 事業部内では、各現場の状況等が営業と共有されず、各部署間の連携が不十分であった。
(6) BPO1 部と BPO2 部の不連携
BPO1 部と BPO2 部とは、基本的な業務方針や人員構成等の相違を背景として、関係が悪く、連携を取らなかった。NBS 課と ES 課の連携もとれていなかった。
4 再発防止策
当社は、特定個人情報及び個人情報の法的、社会的意義、重要性を十分理解し、情報を扱う者の責任の重さを徹底的に認識し、かつ倫理観とコンプライアンス意識を体得し、二度とこのようなことは起こさないという決然とした意志をもつことが、再発防止に向けて必要であると強く自覚し、こうした自覚の下、再発防止に向けて以下の再発防止策を講じていく。
(1) 業務調整
当社が委託元からデータ入力業務を受注する場合、内製のキャパシティで処理できるか、再委託の承諾が得られるか等の確認できる手続規程を設け、受注後に内製のキャパシティを超える事態が仮に生じても法令及び契約に違反しない調整方法を構築し、受注と再委託の責任、業務調整の責任の各所在を明確にする。不測の事態が生じた場合も、状況に最も即した適法かつ柔軟な方策を直ちに講じる。
(2) 事業統括部の新設
スケジュールの管理不十分、再委託申請の懈怠、再委託可否の不十分な認識が今後生じないように、新設の事業統括部が対応する(昨平成 30 年 11 月より「業務統括課」の名
称で稼動を既に開始したが、本年 4 月 15 日付け組織変更により「事業統括部」に再編)。事業統括部は、業務の受注・外注を一元的に管理し、ES 課などのキャパシティを把握した上で、処理可能量を超過する業務が発生しないように計画・調整する。
(3) 社内規程類の見直し
本件不適切行為が発生した原因の 1 つに、社内規程類の周知・運用の不徹底があり、加えて、社内規程類の整備不十分もある。今回のような事態の再発がないように、実効あるものに改定し、規程の新規制定を含めて、規程類を全面的に見直し、運用を開始している。今後更に社内説明会等を開催して規程の趣旨を説明し、理解を周知定着させる。
(4) 法務コンプライアンス体制
当社には、現在まで、法的問題に対しチェック・指導する専門部署がなく、総務人事部が契約書等のレヴューを行うにすぎなかった。管理本部内に法務コンプライアンスの指導・監督を行う部署を新設し、これを通じて、法的ガバナンスの強化を図る(本年 4 月
15 日付け組織変更により管理本部内に法務コンプライアンス室を新設。)。
(5) 内部通報制度の実効化
社内に内部通報制度としてコンプライアンス相談窓口が設けられていたが、本件不適切行為に関する報告はなかった。内部通報制度が社員にとって安心して利用できる制度として活用され、コンプライアンス違反の疑義がある事象に関する報告がなされ、その早期発見に資するよう、内部通報制度の見直しを行い匿名での報告も可能とし、社員へ再周知しており、今後この制度の活用を一層促す。
(6) 指導・教育の徹底
本件不適切行為が発覚せず継続していた背後には、部下らの順法に対する意識の希薄さがある。そのためこれまで社内で実施してきた情報セキュリティ研修等をより実効あるものに改良するだけでなく、「契約を守る」、「法律を守る」という、当たり前のことを十分自覚し、倫理意識を向上定着させるために、コンプライアンスに特化した研修を新たに開始した。
(7) 横連携・縦連携の強化
営業部と現場との間の円滑なコミュニケーションの不全、入力業務を行う現場間の軋轢等を解消する必要がある。各部署の区分けが閉鎖空間とならないために、人事ローテーションを適切に実施する。OS 事業部全体の問題・課題等を共有し、討論する場として、部署を横断した会議体を設け、横連携を強化する。各取締役は縦連携を強化し、現場の実情や部署内の情報を吸い上げ、一定の会合において自身が担当する部署の状況を報告し、取締役相互間で現場の問題を共有する。
(8) 懲戒処分
本件不適切行為に深刻に寄与した者等に対し、社内規程に従って懲戒解雇及び諭旨退職等の処分を含め、計 14 名に対し厳正に懲戒処分を実施した。
以上