マイナンバーを取り扱う業務の委託・再委託は、法的に認められています。
ただし、委託元企業には業務を委託する企業を監督する義務があり、業務を任せられる委託先なのかを意識して選定することが重要です。
本記事では、マイナンバー業務の委託に関して、委託する際の注意点と委託先を選定するポイントを解説します。
1. マイナンバーを取り扱う業務の委託はできるのか
マイナンバーを取り扱う業務であっても、外部企業へ業務を委託することは可能です。
ただし、業務を委託する際には、委託先と再委託先を監督する義務が発生します。
■委託・再委託が認められている
「行政手続における特定の個人を. 識別するための番号の利用等に関する法律」、通称マイナンバー法において、マイナンバーを取り扱う業務の委託は認められています。
|
マイナンバーを取り扱う業務の全部又は一部を委託することは可能です。 |
また、委託先が再委託することも可能です。
再委託先の企業は、委託先企業と同様に特定個人情報を管理する義務があります。
|
第十条 個人番号利用事務又は個人番号関係事務(以下「個人番号利用事務等」という。)の全部又は一部の委託を受けた者は、当該個人番号利用事務等の委託をした者の許諾を得た場合に限り、その全部又は一部の再委託をすることができる。 2 前項の規定により個人番号利用事務等の全部又は一部の再委託を受けた者は、個人番号利用事務等の全部又は一部の委託を受けた者とみなして、第二条第十二項及び第十三項、前条第一項から第四項まで並びに前項の規定を適用する。
|
■委託先と再委託先を監督する義務が生じる
マイナンバーを取り扱う業務を委託する企業は、委託先及び再委託先を監督する義務があります。
|
第十一条 個人番号利用事務等の全部又は一部の委託をする者は、当該委託に係る個人番号利用事務等において取り扱う特定個人情報の安全管理が図られるよう、当該委託を受けた者に対する必要かつ適切な監督を行わなければならない。
|
委託先で情報漏えいなどが発生した場合、委託先に対する監督責任が問われるとともに、法的な処分を受ける恐れがあります。
2.マイナンバーを取り扱う業務の委託に該当しないケース
マイナンバーを含むデータを保存するためにクラウドサービスを利用する場合や、マイナンバーが記載された書類を保管するために倉庫業者を利用する場合、業務の委託には該当しません。
つまり、クラウドサービスを提供する業者や倉庫業者を委託先として監督する義務はないということです。
ただし、データの保存・保管だけでなく、マイナンバーを取り扱う業務が含まれている場合には、委託になります。
3.マイナンバー業務を委託する際の注意点
特定個人情報の適正な取扱いに関するガイドラインでは、マイナンバー業務を委託する際に「必要かつ適切な監督」を行わなければならないとされています。
ガイドラインにおける「必要かつ適切な監督」とは、以下の3点です。
- 「委託先の適切な選定」
- 「安全管理措置に関する委託契約の締結」
- 「委託先における特定個人情報の取扱状況の把握」
参考:特定個人情報の適正な取扱いに関するガイドライン(事業者編)-第4-2 特定個人情報の安全管理措置等
■委託先の適切な選定
マイナンバー業務を委託する際の1つ目の注意点は、「委託先の適切な選定」を行うことです。
具体的には、以下の3点を意識して選定する必要があります。
- 適切な安全管理措置が行われているか
- マイナンバーを適切に管理できる設備が整っているか
- マイナンバー業務に対する知識があるか、教育は実施されているか
選定するポイントについては後述します。
■安全管理措置に関する委託契約の締結
マイナンバー業務を委託する際の2つ目の注意点は、「安全管理措置に関する委託契約の締結」です。
マイナンバーを取り扱う業務を委託する際には、基本的な契約に関する内容に加え、以下のような内容を契約書に盛り込む必要があります。
- 秘密保持義務
- 事業所内からの特定個人情報の持ち出しの禁止
- 特定個人情報の目的外利用の禁止
- 再委託の条件
- 情報漏えいなどが発生した場合の委託先の責任
- 委託契約終了後の特定個人情報の返却・廃棄
- 従業者に対する監督・教育
- 契約内容の遵守状況についての報告
また、委託先の誰がマイナンバーを取り扱うのかを明確にしたり、実際にどのような環境で作業が行われているのか実地調査したりすることも重要です。
■委託先における特定個人情報の取扱状況の把握
マイナンバー業務を委託する際の3つ目の注意点は、「委託先における特定個人情報の取扱状況の把握」です。
以下のような項目について、委託先において実際にどのように実施されているのかを現地で調査し、状況を把握します。
- 委託先の誰がマイナンバーを取り扱うのか
- マイナンバーを管理する責任者は誰か
- 実際にどのような環境・設備で作業が行われているのか
- 十分なセキュリティ対策は実施されているか
4.マイナンバー業務の委託先を選定するポイント
マイナンバー業務の委託先を選定するポイントは以下の3つです。
- 適切な安全管理措置が行われているか
- マイナンバーを適切に管理できる設備が整っているか
- マイナンバー業務に対する知識があるか、教育は実施されているか
それぞれの選定ポイントについて詳しく解説します。
■適切な安全管理措置が行われているか
マイナンバー業務の委託先を選定する1つ目のポイントは、適切な安全管理措置が行われているかです。
マイナンバー業務を委託する場合、自社で実施している安全管理措置と同様に、委託先において実施されている安全管理措置が適切なのかを確認する必要があります。
安全管理措置の具体的な内容は以下の通りです。
| 組織的安全管理措置 |
組織体制の整備 取扱規程等に基づく運用 取扱状況を確認する手段の整備 情報漏えい等事案に対応する体制の整備 取扱状況の把握及び安全管理措置の見直し |
| 人的安全管理措置 |
事務取扱担当者の監督 事務取扱担当者の教育 |
| 物理的安全管理措置 |
特定個人情報等を取り扱う区域の管理 機器及び電子媒体等の盗難等の防止 電子媒体等を持ち出す場合の漏えい等の防止 個人番号の消去、機器及び電子媒体等の廃棄 |
| 技術的安全管理措置 |
アクセス制御 アクセス者の識別と認証 外部からの不正アクセス等の防止 情報漏えい等の防止 |
参考資料:(別添)特定個人情報の適正な取扱いに関する安全管理措置
■マイナンバーを適切に管理できる設備が整っているか
マイナンバー業務の委託先を選定する2つ目のポイントは、マイナンバーを適切に管理できる設備が整っているかです。
委託先にマイナンバーを管理できる設備がなければ、マイナンバーを取り扱う業務を任せることはできません。
以下のような、マイナンバーを安全に取り扱える設備・環境が整っているかを確認するようにしましょう。
マイナンバーを適切に管理できる設備の例
- マイナンバーを取り扱う場所を明確に区分する
- 施錠できるキャビネットの設置
- ICカードやナンバーキーなどによる入退室管理システムの導入
- セキュリティ対策ソフトウェアやファイアウォールの導入
- 通信経路の暗号化
■マイナンバー業務に対する知識があるか、教育は実施されているか
マイナンバー業務の委託先を選定する3つ目のポイントは、マイナンバー業務に対する知識があるか、教育は実施されているかです。
マイナンバーを安全に取り扱える設備・環境が整っていても、実際に取り扱う従業員にマイナンバー業務に対する知識が無かったり、十分な教育が実施されていなければ、情報漏えいや不正行為が発生するおそれがあります。
マイナンバーの取り扱いに関するガイドラインの内容は理解できているか、従業員に対して定期的に教育や研修を実施しているかを確認しておきましょう。
5. まとめ
今回は、マイナンバー業務の委託に関して解説しました。
委託する際の注意点と委託先を選定するポイントは以下の通りです。
| 委託する際の注意点 |
|
| 委託先を選定するポイント |
|
マイナンバーを取り扱う業務を委託する場合、社内で適切な安全管理措置を取るだけでなく、委託先が安全管理措置を取っているかを確認する必要があります。
また、業務を委託する前に適切な方法で選定することや、安全管理措置に関する条項が記載された契約書で契約を締結することも重要です。
アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。
