マイナンバーを取り扱う業務の委託・再委託は、法的に認められています。
ただし、委託元企業には業務を委託する企業を監督する義務があり、業務を任せられる委託先なのかを意識して選定することが重要です。
本記事では、マイナンバー業務の委託に関して、委託する際の注意点と委託先を選定するポイントを解説します。
1. マイナンバーを取り扱う業務の委託はできるのか
マイナンバーを取り扱う業務であっても、外部企業へ業務を委託することは可能です。
ただし、業務を委託する際には、委託先と再委託先を監督する義務が発生します。
■委託・再委託が認められている
「行政手続における特定の個人を. 識別するための番号の利用等に関する法律」、通称マイナンバー法において、マイナンバーを取り扱う業務の委託は認められています。
マイナンバーを取り扱う業務の全部又は一部を委託することは可能です。 |
また、委託先が再委託することも可能です。
再委託先の企業は、委託先企業と同様に特定個人情報を管理する義務があります。
第十条 個人番号利用事務又は個人番号関係事務(以下「個人番号利用事務等」という。)の全部又は一部の委託を受けた者は、当該個人番号利用事務等の委託をした者の許諾を得た場合に限り、その全部又は一部の再委託をすることができる。 2 前項の規定により個人番号利用事務等の全部又は一部の再委託を受けた者は、個人番号利用事務等の全部又は一部の委託を受けた者とみなして、第二条第十二項及び第十三項、前条第一項から第四項まで並びに前項の規定を適用する。
|
■委託先と再委託先を監督する義務が生じる
マイナンバーを取り扱う業務を委託する企業は、委託先及び再委託先を監督する義務があります。
第十一条 個人番号利用事務等の全部又は一部の委託をする者は、当該委託に係る個人番号利用事務等において取り扱う特定個人情報の安全管理が図られるよう、当該委託を受けた者に対する必要かつ適切な監督を行わなければならない。
|
委託先で情報漏えいなどが発生した場合、委託先に対する監督責任が問われるとともに、法的な処分を受ける恐れがあります。
【関連記事】
委託先で個人情報漏洩漏えいが発生した際の責任範囲と対策について解説!
業務委託における委託元と委託先の個人情報の取扱いについて解説
2.委託可能なマイナンバー業務の種類
■窓口業務
窓口業務においてマイナンバーを取り扱う際には、正確で迅速に個人情報を問い扱うことが重要です。そのため、窓口業務を委託する際には、委託先が個人情報保護法に基づいた適切な管理体制を整えているか、業務担当者がマイナンバーに関する正確な知識を持っているかを確認することが求められます。
■コールセンター業務
コールセンター業務は、マイナンバーに関する問い合わせ対応やサポートを行う重要な役割を担っています。委託先を選ぶ際には、まずマイナンバー制度に精通し、法律や規制に基づいた適切な対応ができるかを確認することが重要です。また、コールセンター業務では個人情報の取り扱いが頻繁に発生するため、情報漏えいを防ぐためのセキュリティ対策がしっかりと整備されているかを確認する必要があります。
■Web予約システム
マイナンバーカードの受け取りや更新手続きの予約をWeb予約システムで受け付けることで、窓口の混雑を軽減し、利用者の待ち時間を短縮できます。Web予約システムを導入する際には、SSL/TLS暗号化技術を用いた通信の安全性確保やアクセス権限の厳格な管理といった、個人情報の流出を防ぐためのセキュリティ対策が取られているかを確認することが重要です。
3.マイナンバーを取り扱う業務の委託に該当しないケース
マイナンバーを含むデータを保存するためにクラウドサービスを利用する場合や、マイナンバーが記載された書類を保管するために倉庫業者を利用する場合、業務の委託には該当しません。
つまり、クラウドサービスを提供する業者や倉庫業者を委託先として監督する義務はないということです。
ただし、データの保存・保管だけでなく、マイナンバーを取り扱う業務が含まれている場合には、委託になります。
4.マイナンバー業務を委託するメリット
■業務の負担軽減
業務の負担軽減は、マイナンバー業務を委託する大きなメリットです。自治体や企業にとって、マイナンバーの取り扱いでは法令遵守が必要であり、正確かつ迅速な処理が求められます。日常業務に加えてマイナンバー業務を管理することは、担当者にとって大きな負担となるでしょう。業務を専門の委託先に任せることで、内部リソースを本来の業務に集中させることができます。
■法改正への対応
法改正への対応は、マイナンバー業務を委託する際の大きなメリットの一つです。自治体や企業は常に最新の法令に準拠した業務運営が求められますが、法改正のたびに内部で対応するのは手間がかかると感じる方も多いでしょう。専門の委託先に業務を任せることで、法改正の内容を迅速に反映させることが可能です。委託先には法令に精通した専門家が揃っており、最新の情報をもとに適切な対応策を講じることができるため、自治体や企業は安心して業務を進めることができ、法令違反のリスクを大幅に軽減できます。
■業務の属人化の回避
業務の属人化を回避することは、マイナンバー業務を委託する際の大きなメリットです。属人化とは、特定の個人がいなければ業務が回らなくなる状態を指します。委託先は通常、複数の担当者がチームとして業務を行うため、特定の個人に業務が集中することがありません。担当者が変わってもスムーズに業務を引き継ぐことができます。
5.マイナンバー業務を委託する際の注意点
特定個人情報の適正な取扱いに関するガイドラインでは、マイナンバー業務を委託する際に「必要かつ適切な監督」を行わなければならないとされています。
ガイドラインにおける「必要かつ適切な監督」とは、以下の3点です。
- 「委託先の適切な選定」
- 「安全管理措置に関する委託契約の締結」
- 「委託先における特定個人情報の取扱状況の把握」
参考:特定個人情報の適正な取扱いに関するガイドライン(事業者編)-第4-2 特定個人情報の安全管理措置等
■委託先の適切な選定
マイナンバー業務を委託する際の1つ目の注意点は、「委託先の適切な選定」を行うことです。
具体的には、以下の3点を意識して選定する必要があります。
- 適切な安全管理措置が行われているか
- マイナンバーを適切に管理できる設備が整っているか
- マイナンバー業務に対する知識があるか、教育は実施されているか
選定するポイントについては後述します。
【関連記事】
■安全管理措置に関する委託契約の締結
マイナンバー業務を委託する際の2つ目の注意点は、「安全管理措置に関する委託契約の締結」です。
マイナンバーを取り扱う業務を委託する際には、基本的な契約に関する内容に加え、以下のような内容を契約書に盛り込む必要があります。
- 秘密保持義務
- 事業所内からの特定個人情報の持ち出しの禁止
- 特定個人情報の目的外利用の禁止
- 再委託の条件
- 情報漏えいなどが発生した場合の委託先の責任
- 委託契約終了後の特定個人情報の返却・廃棄
- 従業者に対する監督・教育
- 契約内容の遵守状況についての報告
また、委託先の誰がマイナンバーを取り扱うのかを明確にしたり、実際にどのような環境で作業が行われているのか実地調査したりすることも重要です。
【関連記事】
業務委託契約書とは?記載する項目や作成時の注意点、収入印紙の必要性について解説
■委託先における特定個人情報の取扱状況の把握
マイナンバー業務を委託する際の3つ目の注意点は、「委託先における特定個人情報の取扱状況の把握」です。
以下のような項目について、委託先において実際にどのように実施されているのかを現地で調査し、状況を把握します。
- 委託先の誰がマイナンバーを取り扱うのか
- マイナンバーを管理する責任者は誰か
- 実際にどのような環境・設備で作業が行われているのか
- 十分なセキュリティ対策は実施されているか
【関連記事】
委託先管理とは?目的や必要な理由、実施する際のポイントを解説
6.マイナンバー業務の委託先を選定するポイント
マイナンバー業務の委託先を選定するポイントは以下の3つです。
- 適切な安全管理措置が行われているか
- マイナンバーを適切に管理できる設備が整っているか
- マイナンバー業務に対する知識があるか、教育は実施されているか
それぞれの選定ポイントについて詳しく解説します。
■適切な安全管理措置が行われているか
マイナンバー業務の委託先を選定する1つ目のポイントは、適切な安全管理措置が行われているかです。
マイナンバー業務を委託する場合、自社で実施している安全管理措置と同様に、委託先において実施されている安全管理措置が適切なのかを確認する必要があります。
安全管理措置の具体的な内容は以下の通りです。
組織的安全管理措置 |
組織体制の整備 取扱規程等に基づく運用 取扱状況を確認する手段の整備 情報漏えい等事案に対応する体制の整備 取扱状況の把握及び安全管理措置の見直し |
人的安全管理措置 |
事務取扱担当者の監督 事務取扱担当者の教育 |
物理的安全管理措置 |
特定個人情報等を取り扱う区域の管理 機器及び電子媒体等の盗難等の防止 電子媒体等を持ち出す場合の漏えい等の防止 個人番号の消去、機器及び電子媒体等の廃棄 |
技術的安全管理措置 |
アクセス制御 アクセス者の識別と認証 外部からの不正アクセス等の防止 情報漏えい等の防止 |
参考資料:(別添)特定個人情報の適正な取扱いに関する安全管理措置
■マイナンバーを適切に管理できる設備が整っているか
マイナンバー業務の委託先を選定する2つ目のポイントは、マイナンバーを適切に管理できる設備が整っているかです。
委託先にマイナンバーを管理できる設備がなければ、マイナンバーを取り扱う業務を任せることはできません。
以下のような、マイナンバーを安全に取り扱える設備・環境が整っているかを確認するようにしましょう。
マイナンバーを適切に管理できる設備の例
- マイナンバーを取り扱う場所を明確に区分する
- 施錠できるキャビネットの設置
- ICカードやナンバーキーなどによる入退室管理システムの導入
- セキュリティ対策ソフトウェアやファイアウォールの導入
- 通信経路の暗号化
■マイナンバー業務に対する知識があるか、教育は実施されているか
マイナンバー業務の委託先を選定する3つ目のポイントは、マイナンバー業務に対する知識があるか、教育は実施されているかです。
マイナンバーを安全に取り扱える設備・環境が整っていても、実際に取り扱う従業員にマイナンバー業務に対する知識が無かったり、十分な教育が実施されていなければ、情報漏えいや不正行為が発生するおそれがあります。
マイナンバーの取り扱いに関するガイドラインの内容は理解できているか、従業員に対して定期的に教育や研修を実施しているかを確認しておきましょう。
7.まとめ
今回は、マイナンバー業務の委託に関して解説しました。
委託する際の注意点と委託先を選定するポイントは以下の通りです。
委託する際の注意点 |
|
委託先を選定するポイント |
|
マイナンバーを取り扱う業務を委託する場合、社内で適切な安全管理措置を取るだけでなく、委託先が安全管理措置を取っているかを確認する必要があります。
また、業務を委託する前に適切な方法で選定することや、安全管理措置に関する条項が記載された契約書で契約を締結することも重要です。
アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。