【企業とマイナンバー】委託契約書

マイナンバー制度では、行政機関だけでなく、民間事業者にも特定個人情報(マイナンバーをその内容に含む個人情報)の適正な取扱いが求められます。マイナンバーは法律で定められた範囲以外での利用が禁止されています。

個人番号は、社会保障、税及び災害対策の分野において、個人情報を複数の機関の間で紐付けるものであり、住民票を有する全ての者に一人一番号で重複のないように、住民票コードを変換して得られる番号であ9る。
したがって、個人番号が悪用され、又は漏えいした場合、個人情報の不正な追跡・突合が行われ、個人の権利利益の侵害を招きかねない。
そこで、番号法においては、特定個人情報について、個人情報保護法よりも厳格な各種の保護措置を設けている。
この保護措置は、「特定個人情報の利用制限」、「特定個人情報の安全管理措置等」及び「特定個人情報の提供制限等」の三つに大別される。

安全管理措置を講ずるための組織体制を整備する。

≪手法の例示≫
＊組織体制として整備する項目は、次に掲げるものが挙げられる。
・事務における責任者の設置及び責任の明確化
・事務取扱担当者の明確化及びその役割の明確化
・事務取扱担当者が取り扱う特定個人情報等の範囲の明確化
・事務取扱担当者が取扱規程等に違反している事実又は兆候を把握した場合の責任者への報告連絡体制
・情報漏えい等事案の発生又は兆候を把握した場合の従業者から責任者等への報告連絡体制
・特定個人情報等を複数の部署で取り扱う場合の各部署の任務分担及び責任の明確化

個人番号関係事務の全部又は一部の委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければなりません。

「必要かつ適切な監督」には、①委託先の適切な選定、②委託先に安全管理措置を遵守させるために必要な契約の締結、③委託先における特定個人情報の取扱状況の把握が含まれる。
委託先の選定については、委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。
具体的な確認事項としては、委託先の設備、技術水準、従業者（注）に対する監督・教育の状況、その他委託先の経営環境等が挙げられる。
委託契約の締結については、契約内容として、秘密保持義務、事業所内からの特定個人情報の持出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければならない。
また、これらの契約内容のほか、特定個人情報を取り扱う従業者の明確化、委託者が委託先に対して実地の調査を行うことができる規定等を盛り込むことが望ましい。

個人情報保護法は、個人情報取扱事業者に対して、個人データに関する安全管理措置を講ずることとし（個人情報保護法第20条）、従業者の監督義務及び委託先の監督義務を課している（同法第21条、第22条）。
番号法においては、これらに加え、全ての事業者に対して、個人番号（生存する個人のものだけでなく死者のものも含む。）について安全管理措置を講ずることとされている（番号法第12条）。
また、個人番号関係事務又は個人番号利用事務を再委託する場合には委託者による再委託の許諾を要件とする（同法第10条）とともに、委託者の委託先に対する監督義務を課している（同法第11条）。
個人情報保護法は、個人情報取扱事業者に対し、個人データについて、法令の規定に基づく場合等を除くほか、本人の同意を得ないで、第三者に提供することを認めていない（個人情報保護法第23条）。