マイナンバーを行政に提出する際、他社に委託することがあると思います。その選定基準を事前に設けるようにするべきです。
マイナンバー導入への課題、クリアできていますか?
via www.photo-ac.com
いよいよマイナンバー制度が導入されます。10月には通知カードが配布され、1月から本格的にスタート。その後も適用範囲の拡大やマイナポータルの運用開始などが控えています。マイナンバー制度に関わるのはすべての国民であり、すべての企業に業務的な対応が求められます。すでに多くの企業が関連業務の見直しとそれに伴う新たなシステムの導入や改修、従業員への教育など、新制度導入の準備に追われているのではないでしょうか。マイナンバー制度の導入にあたって非常に不安視されているのがセキュリティ面です。政府はセキュリティの保証のために実に様々な運用規定や厳しい違反罰則規定を設けていますが、実際に重要な情報を預かり運用するのは企業の責任です。マイナンバー制度導入により漏洩事故のインパクトは従来よりも大きなものとなることが予想され、それを未然に防ぐ企業努力と堅牢な仕組みづくりが最重要課題になってきます。しかしながら、多くの企業では新制度への業務システムの追従に追われており、セキュリティ面への対策は後回しの課題になっているのが現状です。
利用目的外の使用は絶対にいけません
マイナンバーは、様々な分野を効率化するうえでメリットが大きいものであります。しかしながら、デメリットもあるわけで、そうしたものを正しく知るということはとても重要でしょう。
番号法は、個人情報保護法とは異なり、本人の同意があったとしても、利用目的を超えて特定個人情報を利用してはならないと定めている。
したがって、個人番号についても利用目的(個人番号を利用できる事務の範囲で特定した利用目的)の範囲内でのみ利用することができる。
利用目的を超えて個人番号を利用する必要が生じた場合には、当初の利用目的と相当の関連性を有すると合理的に認められる範囲内で利用目的を変更して、本人への通知等を行うことにより、変更後の利用目的の範囲内で個人番号を利用することができる(個人情報保護法第15条第2項、第18条第3項)。
マイナンバーというのは、いわば個人情報です。ですからこれらの取り扱いはとても重要で、してもいいこととダメなことがあります。それをしっかりと理解することは大切な話です。
マイナンバーは基本的には、社会保障や税や災害の対策等の手続きと、勤務先や医療機関などで提出するのを目的としています。ですから、他人が不当に入手したり、マイナンバーを扱う人間が流出させることは処罰の対象になります。また、法律の規定がある場合を除き、マイナンバーを含む個人情報を収集したり、保管することも禁止されています。とても大切なものだからこそ、法律も厳しいというわけですね。こうした問題に対応して、行政間でやり取りをする場合も、直接マイナンバーを使うのではなく、暗号化したり利用者を制限しています。このように安心できるような、システム作りが構築されているのです。
行政の代わりに企業が取り扱っているということ
事務手続きの際には2016年1月(社会保険は2017年1月から)よりマイナンバーを利用することが求められてきます。そのために企業はマイナンバーを従業員や源泉徴収の対象となる個人取引先などから収集しなくてはなりません。『企業がマイナンバーを扱う』ということは、政府の事務を実施するために扱うことになってくる、ということなのです。法律では、企業を『個人番号関係事務実施者』という言い方をしています
マイナンバーを取り扱うのは、国の代わりに企業の担当者が行っているという扱いになっています。
それ故に個人番号関係事務実施者なのです。
それ故に個人番号関係事務実施者なのです。
企業から委託する場合の取り決めについて
Q3-7委託先・再委託先との業務委託契約を締結するに当たり、業務委託契約書等に、特定個人情報の取扱いを委託する旨の特段の記載が必要になりますか。
A3-7業務委託契約を締結する場合には、通常、委託する業務の範囲を特定することとなります。番号法においては、個人番号の利用範囲が限定的に定められていることから、委託先・再委託先との業務委託契約においても番号法で認められる事務の範囲内で委託する業務の範囲を特定する必要があります。
最終的な責任は委託元に来ますが、万が一が無いように委託元とは綿密なやり取りが必要です。
どこまでが必要な内容で、番号法としてはどうすべきかを理解した上で頼むようにしましょう。
どこまでが必要な内容で、番号法としてはどうすべきかを理解した上で頼むようにしましょう。
委託先を決める基準を設けよう
個人番号関係事務又は個人番号利用事務の全部又は一部の委託をする者(以下「委託者」という。
)は、委託した個人番号関係事務又は個人番号利用事務で取り扱う特定個人情報の安全管理措置が適切に講じられるよう「委託を受けた者」に対する必要かつ適切な監督を行わなければならない。
このため、委託者は、「委託を受けた者」において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない。
なお、「委託を受けた者」を適切に監督するために必要な措置を講じず、又は、必要かつ十分な監督義務を果たすための具体的な対応をとらなかった結果、特定個人情報の漏えい等が発生した場合、番号法違反と判断される可能性がある。
《必要かつ適切な監督》
○①委託先の適切な選定、②委託先に安全管理措置を遵守させるために必要な契約の締結、③委託先における特定個人情報の取扱状況の把握
○委託者は、委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等をあらかじめ確認しなければなりません。
○契約内容として、秘密保持義務、事業所内からの特定個人情報の持出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければなりません。
○委託者は、委託先だけではなく、再委託先・再々委託先に対しても間接的に監督義務を負います。
委託先が信頼できるかどうか、基準があれば判断しやすくなります。
書面で基準をまとめておくと、判断しやすくなるでしょう。
書面で基準をまとめておくと、判断しやすくなるでしょう。