マイナンバーを管理するには知識がない、人がない、時間がない! そんな時の選択肢の一つである第三者への管理委託。でも相手マトモな知識を持っているかはどう見抜けばいいのか、重要ポイントをまとめました。
マイナンバーの管理は大変。
特定個人情報の安全管理措置全事業者が対象
個人情報保護法では5,000件以上の個人情報を管理する事業者(つまり実質的に中堅企業以上)が対象でしたが、特定個人情報に関しては中小規模事業者を含む全ての事業者が対象となります。
利用の制限
定められた行政手続きなど以外の目的での利用が禁止されています。違反すると刑事罰となります。また当該手続きの担当者以外は個人番号を見られないようにする必要があります。
安全管理義務
安全管理義務を怠り、特定個人情報を紛失したり第三者に漏洩などした場合は、代表者または管理者などが懲役または罰金(或いはその両方)に科せられます。(番号法第12条)
管理責任は委託してもなくならない。
マイナンバーには多くの個人情報が記録されます。そのため、その管理は厳重に行わなければいけません。国が定めたガイドラインでは、「組織的安全管理措置」、「人的安全管理措置」、「物理的安全管理措置」、「技術的安全管理措置」という4つのセキュリティ対策を講じることが求められています。ですが、これだけの厳重な管理にすぐに対応できる企業がどれほどあるでしょうか? 法令を遵守するためには充分な人員を割かなければ難しいですし、専門的な知識がないとシステムの運用も大変です。万一情報が漏えいしてしまった場合には、重い罰則も規定されています。
そこで、第三者に管理を委託するという選択肢が出てくるわけです。
しかしもちろん、外部に委託したからといって、責任がなくなるわけではありません。あくまでも、マイナンバーを本来扱うべきなのは事業者なのですから、委託先から個人情報が流出した場合には一緒に責任を負うことになります。
委託業者の重要選定ポイント。
第三者認証(客観的評価)プライバシーマークの取得をしている
ISMS(情報セキュリティマネジメントシステム)の認定を受けている
その他の第三者認証を受けている(具体的に記載)規約・契約など
プライバシーポリシーなどに特定個人情報保護に関する記載がある
特定個人情報の管理方法についての記載がある
特定個人情報を目的外利用しない旨を明文化している
解約時に特定個人情報を完全に消去することを保証している
特定個人情報に特化した損害賠償責任などに関する記載がある情報セキュリティ
情報システムに常に最新の不正侵入防止措置が施されている
全ての通信経路(内部通信も含め)が暗号化されている
特定個人情報の法定保存期間後に削除される機能を有している
特定個人情報に関するデータはディスク自体を暗号化している
事前に決められた担当者以外から特定個人情報にアクセスできない
特定個人情報データのアクセス手順と管理方法などが決められている
関連データベースのアクセスログを管理・保存している
委託業者による再委託とは?
個人番号関係事務又は個人番号利用事務の全部又は一部の「委託を受
けた者」は、委託者の許諾を得た場合に限り、再委託を行うことができ
る。再委託を受けた者は、個人番号関係事務又は個人番号利用事務の「委託
を受けた者」とみなされ、最初の委託者の許諾を得た場合に限り、更に再
委託することができる。
再委託につき許諾を要求する規定は、最初の委託者において、再委託先が十分な安全管理措置を講ずることのできる適切な業者かどうかを確認させるため設けられたものであり、番号法第10条第1項により明示されています。したがって、最初の委託者の許諾を得る必要があります。
なお、委託先や再委託先から個人番号や特定個人情報が漏えい等した場合、最初の委託者は、委託先に対する監督責任を問われる可能性があります。
委託業者と結ぶべき最低限必要な契約とは
通常、業務を委託する場合は業務委託契約を締結することが多いですが、その契約書の中に安全管理措置を委託先に遵守させるための事項を盛り込むことが必要です。すでに業務委託契約や顧問契約を締結済みの場合は、追加で覚書を交わすという方法もあります。そして、この契約には以下の事項を入れることがガイドラインで義務付けられています。秘密保持義務
事務所内からの特定個人情報の持ち出しの禁止
特定個人情報の目的外利用の禁止
再委託における条件
漏洩事案等が発生した場合の委託先の責任
委託契約終了後の特定個人情報の返却又は廃棄
従業者に対する監督・教育
契約内容の遵守状況について報告を求める規定