外部委託したマイナンバーが情報漏れ・・・委託した側も責任がかかる

国のガイドラインは、マイナンバーの管理に業務委託を活用できることを前提に置いて、そのための条件を詳細に記述しています。

個人情報の管理というものはただでさえ難しいものです。ましてマイナンバーのような特に重要な個人情報となればなおさらでしょう。そこで、個人情報の管理を第三者に委託するという選択肢もあります。

社会保障及び税に関する⼿続書類の作成事務の全部⼜は⼀部の委託をする者は、委託先において、法律に基づき委託者⾃らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を⾏わなければなりません。

委託を受けた者は、委託を行った者の許諾を受けた場合に限り、再委託できる。委託を行った場合は、個人情報の安全管理が図られるように、適切な監督を行う必要がある。

一般的に民間企業・団体の総務・人事部門は、マイナンバーが関連する業務を社会保険労務士法人／事務所、アウトソーシング会社等に委託していることが多いですが、マイナンバー制度では、社外の委託先に対しても、自社と同等の安全管理措置を担保する管理監督義務が規定されています。

マイナンバーの管理業務を第三者に委託することは自由ですが、あくまでも管理責任を負うのは事業所自身であるということを忘れないようにしましょう。
つまり第三者に委託する際は、しっかりと管理体制の整っているかどうかを確認することが非常に重要となるということです。委託先の管理体制に不足が生じていると感じる場合は、自社での管理方法を検討したほうがいいかもしれません。

マイナンバー取扱事務を委託する際は、委託先が重要な情報であるマイナンバーを取扱う事務を任せるにふさわしい相手であるかどうかについて「必要かつ適切な監督」をすることが求められています。
ガイドラインによるとこの「必要かつ適切な監督」には、具体的に、以下の内容が含まれていると説明されています。

委託先の適切な選定
安全管理措置に関する委託契約の締結
委託先における特定個人情報の取扱い状況の把握

もちろん、これらの監督義務を怠った状態で、委託先などから特定個人情報等が漏えいした場合には、委託者が番号法に違反したと判断される可能性も十分にあります。

委託者は、委託先が上記の契約内容に従って、番号法に基づいた安全管理措置が適切に実施しているかについて、定期的に報告を受けて、特定個人情報の取扱い状況を把握しておかなければなりません。
その結果、適切な管理が行われていないときは、これを是正するよう求めたり、委託先を変更するなど、実効的な手段を講じる必要があると解されます。
また必要がある場合は、自ら実地調査をすることも求められます。

マイナンバーの管理を第三者に委託したとしても、事業者には委託先を監督する責任があります。
具体的には、本来自分たちに課されているはずの4種類の安全管理措置がしっかりと講じられているかどうかを監督する義務です。

外部に委託したからといって、責任がなくなるわけではありません。あくまでも、マイナンバーを本来扱うべきなのは事業者なのですから、委託先から個人情報が流出した場合には一緒に責任を負うことになります。

システム会社のシステムや社労士事務所（法人）税理士事務所（法人）でマイナンバーの漏洩があった場合、委託する事業主が委託先（システム、社労士事務所、税理士事務所）が安全管理措置を講じているかどうかを事前に確認するなどをしていなかった場合、事業主が罰則を受ける可能性が高くなる