マイナンバーの委託先選定基準を設けよう

マイナンバー制度では、行政機関だけでなく、民間事業者にも特定個人情報(マイナンバーをその内容に含む個人情報)の適正な取扱いが求められます。マイナンバーは法律で定められた範囲以外での利用が禁止されています。

番号法は、数年前に施行された個人情報保護法より罰則が強化されていて、最高で、４年以下の懲役、２００万円以下の罰金が定められています。過失により、特定個人情報等をうっかり漏らしてしまった場合は、企業に罰則が科されることはないですが、損害賠償を請求される可能性はあります。

事業者は、その取り扱う特定個人情報（委託を受けた者が取り扱うものを含む。以下同じ。）について、漏えい事案その他の番号法違反の事案又は番号法違反のおそれのある事案が発覚した場合には、次の事項について必要な措置を講ずることが望ましい。

(1) 事業者内部における報告、被害の拡大防止責任ある立場の者に直ちに報告するとともに、被害の拡大を防止する。
(2) 事実関係の調査、原因の究明事実関係を調査し、番号法違反又は番号法違反のおそれが把握できた場合には、その原因の究明を行う。
(3) 影響範囲の特定(2)で把握した事実関係による影響の範囲を特定する。
(4) 再発防止策の検討・実施(2)で究明した原因を踏まえ、再発防止策を検討し、速やかに実施する。
(5) 影響を受ける可能性のある本人への連絡等事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係等について、速やかに、本人へ連絡し、又は本人が容易に知り得る状態に置く。

事務処理の必要性と法定保存期間を踏まえて、マイナンバーを廃棄又は削除する時期を決めて管理しましょう。また、廃棄や削除の具体的な方法についても、実務の手順として決めておきましょう。削除・廃棄の記録を保存する必要もあります。また、廃棄等の作業を委託する場合には、委託先が確実に削除・廃棄したことについて、証明書等により確認することも必要です。これらも実務の手順に落とし込みましょう。

当該事業者が当該契約内容を履行するに当たって個人番号をその内容に含む電子データを取り扱うのかどうかが基準となります。

当該事業者が個人番号をその内容に含む電子データを取り扱わない場合には、そもそも、個人番号関係事務又は個人番号利用事務の全部又は一部の委託を受けたとみることはできませんので、番号法上の委託には該当しません。

当該事業者が個人番号をその内容に含む電子データを取り扱わない場合とは、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。