マイナンバーを取り扱う業務を委託する場合の委託先管理

コールセンター業務は、マイナンバーに関する問い合わせ対応やサポートを行う重要な役割を担っています。委託先を選ぶ際には、まずマイナンバー制度に精通し、法律や規制に基づいた適切な対応ができるかを確認することが重要です。また、コールセンター業務では個人情報の取り扱いが頻繁に発生するため、情報漏えいを防ぐためのセキュリティ対策がしっかりと整備されているかを確認する必要があります。

■Web予約システム

マイナンバーカードの受け取りや更新手続きの予約をWeb予約システムで受け付けることで、窓口の混雑を軽減し、利用者の待ち時間を短縮できます。Web予約システムを導入する際には、SSL/TLS暗号化技術を用いた通信の安全性確保やアクセス権限の厳格な管理といった、個人情報の流出を防ぐためのセキュリティ対策が取られているかを確認することが重要です。

3.マイナンバーを取り扱う業務の委託に該当しないケース

マイナンバーを含むデータを保存するためにクラウドサービスを利用する場合や、マイナンバーが記載された書類を保管するために倉庫業者を利用する場合、業務の委託には該当しません。
つまり、クラウドサービスを提供する業者や倉庫業者を委託先として監督する義務はないということです。
ただし、データの保存・保管だけでなく、マイナンバーを取り扱う業務が含まれている場合には、委託になります。

4.マイナンバー業務を委託するメリット

■業務の負担軽減

業務の負担軽減は、マイナンバー業務を委託する大きなメリットです。自治体や企業にとって、マイナンバーの取り扱いでは法令遵守が必要であり、正確かつ迅速な処理が求められます。日常業務に加えてマイナンバー業務を管理することは、担当者にとって大きな負担となるでしょう。業務を専門の委託先に任せることで、内部リソースを本来の業務に集中させることができます。

■法改正への対応

法改正への対応は、マイナンバー業務を委託する際の大きなメリットの一つです。自治体や企業は常に最新の法令に準拠した業務運営が求められますが、法改正のたびに内部で対応するのは手間がかかると感じる方も多いでしょう。専門の委託先に業務を任せることで、法改正の内容を迅速に反映させることが可能です。委託先には法令に精通した専門家が揃っており、最新の情報をもとに適切な対応策を講じることができるため、自治体や企業は安心して業務を進めることができ、法令違反のリスクを大幅に軽減できます。

■業務の属人化の回避

業務の属人化を回避することは、マイナンバー業務を委託する際の大きなメリットです。属人化とは、特定の個人がいなければ業務が回らなくなる状態を指します。委託先は通常、複数の担当者がチームとして業務を行うため、特定の個人に業務が集中することがありません。担当者が変わってもスムーズに業務を引き継ぐことができます。

5.マイナンバー業務を委託する際の注意点

特定個人情報の適正な取扱いに関するガイドラインでは、マイナンバー業務を委託する際に「必要かつ適切な監督」を行わなければならないとされています。

ガイドラインにおける「必要かつ適切な監督」とは、以下の3点です。

「委託先の適切な選定」
「安全管理措置に関する委託契約の締結」
「委託先における特定個人情報の取扱状況の把握」

参考：特定個人情報の適正な取扱いに関するガイドライン（事業者編）－第４－２　特定個人情報の安全管理措置等

■委託先の適切な選定

マイナンバー業務を委託する際の1つ目の注意点は、「委託先の適切な選定」を行うことです。
具体的には、以下の3点を意識して選定する必要があります。

適切な安全管理措置が行われているか
マイナンバーを適切に管理できる設備が整っているか
マイナンバー業務に対する知識があるか、教育は実施されているか

選定するポイントについては後述します。

【関連記事】

BPO・外部委託における委託先の選定基準9選

■安全管理措置に関する委託契約の締結

マイナンバー業務を委託する際の2つ目の注意点は、「安全管理措置に関する委託契約の締結」です。
マイナンバーを取り扱う業務を委託する際には、基本的な契約に関する内容に加え、以下のような内容を契約書に盛り込む必要があります。

秘密保持義務
事業所内からの特定個人情報の持ち出しの禁止
特定個人情報の目的外利用の禁止
再委託の条件
情報漏えいなどが発生した場合の委託先の責任
委託契約終了後の特定個人情報の返却・廃棄
従業者に対する監督・教育
契約内容の遵守状況についての報告

また、委託先の誰がマイナンバーを取り扱うのかを明確にしたり、実際にどのような環境で作業が行われているのか実地調査したりすることも重要です。

【関連記事】

業務委託契約書とは？記載する項目や作成時の注意点、収入印紙の必要性について解説

■委託先における特定個人情報の取扱状況の把握

マイナンバー業務を委託する際の3つ目の注意点は、「委託先における特定個人情報の取扱状況の把握」です。
以下のような項目について、委託先において実際にどのように実施されているのかを現地で調査し、状況を把握します。

委託先の誰がマイナンバーを取り扱うのか
マイナンバーを管理する責任者は誰か
実際にどのような環境・設備で作業が行われているのか
十分なセキュリティ対策は実施されているか

【関連記事】

委託先管理とは？目的や必要な理由、実施する際のポイントを解説

6.マイナンバー業務の委託先を選定するポイント

マイナンバー業務の委託先を選定するポイントは以下の3つです。

適切な安全管理措置が行われているか
マイナンバーを適切に管理できる設備が整っているか
マイナンバー業務に対する知識があるか、教育は実施されているか

それぞれの選定ポイントについて詳しく解説します。

■適切な安全管理措置が行われているか

マイナンバー業務の委託先を選定する1つ目のポイントは、適切な安全管理措置が行われているかです。
マイナンバー業務を委託する場合、自社で実施している安全管理措置と同様に、委託先において実施されている安全管理措置が適切なのかを確認する必要があります。

安全管理措置の具体的な内容は以下の通りです。

組織的安全管理措置	組織体制の整備取扱規程等に基づく運用取扱状況を確認する手段の整備情報漏えい等事案に対応する体制の整備取扱状況の把握及び安全管理措置の見直し
人的安全管理措置	事務取扱担当者の監督事務取扱担当者の教育
物理的安全管理措置	特定個人情報等を取り扱う区域の管理機器及び電子媒体等の盗難等の防止電子媒体等を持ち出す場合の漏えい等の防止個人番号の消去、機器及び電子媒体等の廃棄
技術的安全管理措置	アクセス制御アクセス者の識別と認証外部からの不正アクセス等の防止情報漏えい等の防止

参考資料：（別添）特定個人情報の適正な取扱いに関する安全管理措置

■マイナンバーを適切に管理できる設備が整っているか

マイナンバー業務の委託先を選定する2つ目のポイントは、マイナンバーを適切に管理できる設備が整っているかです。
委託先にマイナンバーを管理できる設備がなければ、マイナンバーを取り扱う業務を任せることはできません。
以下のような、マイナンバーを安全に取り扱える設備・環境が整っているかを確認するようにしましょう。

マイナンバーを適切に管理できる設備の例

マイナンバーを取り扱う場所を明確に区分する
施錠できるキャビネットの設置
ICカードやナンバーキーなどによる入退室管理システムの導入
セキュリティ対策ソフトウェアやファイアウォールの導入
通信経路の暗号化

■マイナンバー業務に対する知識があるか、教育は実施されているか

マイナンバー業務の委託先を選定する3つ目のポイントは、マイナンバー業務に対する知識があるか、教育は実施されているかです。
マイナンバーを安全に取り扱える設備・環境が整っていても、実際に取り扱う従業員にマイナンバー業務に対する知識が無かったり、十分な教育が実施されていなければ、情報漏えいや不正行為が発生するおそれがあります。
マイナンバーの取り扱いに関するガイドラインの内容は理解できているか、従業員に対して定期的に教育や研修を実施しているかを確認しておきましょう。

7.まとめ

今回は、マイナンバー業務の委託に関して解説しました。
委託する際の注意点と委託先を選定するポイントは以下の通りです。

委託する際の注意点	「委託先の適切な選定」「安全管理措置に関する委託契約の締結」「委託先における特定個人情報の取扱状況の把握」
委託先を選定するポイント	適切な安全管理措置が行われているかマイナンバーを適切に管理できる設備が整っているかマイナンバー業務に対する知識があるか、教育は実施されているか

マイナンバーを取り扱う業務を委託する場合、社内で適切な安全管理措置を取るだけでなく、委託先が安全管理措置を取っているかを確認する必要があります。
また、業務を委託する前に適切な方法で選定することや、安全管理措置に関する条項が記載された契約書で契約を締結することも重要です。

アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。