マイナンバーの処理は委託した場合のその委託先への監督責任があります。ここでは、委託先の選定基準についてみていきましょう。
マイナンバーって?
via www.photo-ac.com
マイナンバーは、住民票を有する全ての方に1人1つの番号を付して、社会保障、税、災害対策の分野で効率的に情報を管理し、複数の機関に存在する個人の情報が同一人の情報であることを確認するために活用されるものです。
マイナンバーを管理する企業において、上場している様な規模の大企業では、次の項目に対する安全管理措置が必要です。
ここではその内の幾つかに絞り、見ていきましょう。
その一は、基本方針の策定と取扱い規定の策定です。
その二は、組織的、あるいは人的安全管理措置の策定が必要になります。
マイナンバー制度は、企業の規模を問わずに対策を取らなければならないとはいえ、特に中小企業や個人事業主等にとっては大きな負担になりがちです。
そこで、100人以下の中小企業等では、緩和措置が採られています。
但し、個人番号関連の実務を行っている者や、金融関連実務者、そして5000人以上の個人情報を有している企業は除きます。
すなわち、その一に示した項目に関しては、業務フロー図等に盛り込む形で省略する事が出来ます。
また、その二での組織的な体制作りは、責任者と事務無取扱い担当者に置き換える事が可能です。
漏えい対策もバッチリ!
マイナンバー制度において、個人情報をひとつの共通データベースで管理することはありません。
役所間の情報のやりとりは、役所ごとに異なる暗号化通信を行うため、仮に1か所で漏えいがあったとしても、他の役所との間では通信ができない仕組みとなっています。
何かと心配されていたマイナンバーのシステム面ですが、情報を分散管理しているため、一気に大きく情報が流れることはないようです。
物理的なセキュリティー対策も重要
技術的安全管理措置に関しては、家族経営の小規模企業などは、マイナンバーを取り扱う場所を決め、周囲から覗かれないようなレイアウトを行うことが最低限の策となろう。物理的・技術的な安全管理措置としては、マイナンバーリストを金庫へ保管することなどが考えられるが、金庫利用者の管理記録等が必要になるため、ITを利用したほうが結果的に楽な場合が多い。
ウイルス・ハッキング対策が万全だったとしても、マイナンバーを開いている画面が丸見えでは意味はありません。
仕切りをする、また別室で処理をするなどの対策をしましょう。
仕切りをする、また別室で処理をするなどの対策をしましょう。
マイナンバー法で全ての事業者が個人情報保護法の対象に
マイナンバー法は個人情報保護法の特別法という位置づけです。個人情報保護法の場合は、実質5000人超の個人情報をもつ事業者のみが対象になりましたが、マイナンバー法では「ほぼすべての事業者」が対象となります。社員1人1人が個人情報に対する最低限の知識を持ち、マイナンバーを会社に提出することに、安心感を持ってもらうことが重要と思われます。そのための社員教育は非常に大事なものとなります。
これまで対象外だった中小企業では、大きな負担となります。
なれない処理となるとは思いますが、きちんと対応できるような体制を早急に作りましょう。
なれない処理となるとは思いますが、きちんと対応できるような体制を早急に作りましょう。
委託先を選ぶ際のポイント
個人番号関係事務又は個人番号利用事務の全部又は一部の委託をする者(以下「委託者」という。
)は、委託した個人番号関係事務又は個人番号利用事務で取り扱う特定個人情報の安全管理措置が適切に講じられるよう「委託を受けた者」に対する必要かつ適切な監督を行わなければならない。
このため、委託者は、「委託を受けた者」において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない。
なお、「委託を受けた者」を適切に監督するために必要な措置を講じず、又は、必要かつ十分な監督義務を果たすための具体的な対応をとらなかった結果、特定個人情報の漏えい等が発生した場合、番号法違反と判断される可能性がある。
委託した場合も、正しく監督していないとみなされた場合は罰則の対象になりうる、ということです。
《必要かつ適切な監督》
○①委託先の適切な選定、②委託先に安全管理措置を遵守させるために必要な契約の締結、③委託先における特定個人情報の取扱状況の把握
○委託者は、委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等をあらかじめ確認しなければなりません。
○契約内容として、秘密保持義務、事業所内からの特定個人情報の持出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければなりません。
○委託者は、委託先だけではなく、再委託先・再々委託先に対しても間接的に監督義務を負います。
委託先を選ぶ際は、経営状況等の確認と、契約書の作成について気を付ける必要があります。