【企業とマイナンバー】委託先選定基準

いよいよマイナンバー制度が導入されます。10月には通知カードが配布され、1月から本格的にスタート。その後も適用範囲の拡大やマイナポータルの運用開始などが控えています。マイナンバー制度に関わるのはすべての国民であり、すべての企業に業務的な対応が求められます。すでに多くの企業が関連業務の見直しとそれに伴う新たなシステムの導入や改修、従業員への教育など、新制度導入の準備に追われているのではないでしょうか。

マイナンバー制度の導入にあたって非常に不安視されているのがセキュリティ面です。政府はセキュリティの保証のために実に様々な運用規定や厳しい違反罰則規定を設けていますが、実際に重要な情報を預かり運用するのは企業の責任です。マイナンバー制度導入により漏洩事故のインパクトは従来よりも大きなものとなることが予想され、それを未然に防ぐ企業努力と堅牢な仕組みづくりが最重要課題になってきます。しかしながら、多くの企業では新制度への業務システムの追従に追われており、セキュリティ面への対策は後回しの課題になっているのが現状です。

番号法は、個人情報保護法とは異なり、本人の同意があったとしても、利用目的を超えて特定個人情報を利用してはならないと定めている。
したがって、個人番号についても利用目的（個人番号を利用できる事務の範囲で特定した利用目的）の範囲内でのみ利用することができる。
利用目的を超えて個人番号を利用する必要が生じた場合には、当初の利用目的と相当の関連性を有すると合理的に認められる範囲内で利用目的を変更して、本人への通知等を行うことにより、変更後の利用目的の範囲内で個人番号を利用することができる（個人情報保護法第15条第２項、第18条第３項）。

事務手続きの際には2016年1月（社会保険は2017年1月から）よりマイナンバーを利用することが求められてきます。そのために企業はマイナンバーを従業員や源泉徴収の対象となる個人取引先などから収集しなくてはなりません。『企業がマイナンバーを扱う』ということは、政府の事務を実施するために扱うことになってくる、ということなのです。法律では、企業を『個人番号関係事務実施者』という言い方をしています

Ｑ３－７委託先・再委託先との業務委託契約を締結するに当たり、業務委託契約書等に、特定個人情報の取扱いを委託する旨の特段の記載が必要になりますか。
Ａ３－７業務委託契約を締結する場合には、通常、委託する業務の範囲を特定することとなります。番号法においては、個人番号の利用範囲が限定的に定められていることから、委託先・再委託先との業務委託契約においても番号法で認められる事務の範囲内で委託する業務の範囲を特定する必要があります。

個人番号関係事務又は個人番号利用事務の全部又は一部の委託をする者（以下「委託者」という。
）は、委託した個人番号関係事務又は個人番号利用事務で取り扱う特定個人情報の安全管理措置が適切に講じられるよう「委託を受けた者」に対する必要かつ適切な監督を行わなければならない。
このため、委託者は、「委託を受けた者」において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない。
なお、「委託を受けた者」を適切に監督するために必要な措置を講じず、又は、必要かつ十分な監督義務を果たすための具体的な対応をとらなかった結果、特定個人情報の漏えい等が発生した場合、番号法違反と判断される可能性がある。

《必要かつ適切な監督》
○①委託先の適切な選定、②委託先に安全管理措置を遵守させるために必要な契約の締結、③委託先における特定個人情報の取扱状況の把握
○委託者は、委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等をあらかじめ確認しなければなりません。
○契約内容として、秘密保持義務、事業所内からの特定個人情報の持出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければなりません。
○委託者は、委託先だけではなく、再委託先・再々委託先に対しても間接的に監督義務を負います。