マイナンバー制度　委託先事業者の選定

Ｑ4－1－4　マイナンバー（個人番号）を取り扱う業務の委託や再委託はできますか？
Ａ4－1－4　マイナンバーを取り扱う業務の全部又は一部を委託することは可能です。また、委託を受けた者は、委託を行った者の許諾を受けた場合に限り、その業務の全部又は一部を再委託することができます。
　委託や再委託を行った場合は、個人情報の安全管理が図られるように、委託や再委託を受けた者に対する必要かつ適切な監督を行わなければなりません。委託や再委託を受けた者には、委託を行った者と同様にマイナンバーを適切に取り扱う義務が生じます。（2014年6月回答）

「委託先は委託元の許諾を得た場合に限り再委託を行うことができる」ことにご注意ください。これを別の視点から見ると、「委託元は再委託先に関しても監督責任をもつ」ことを意味します。

委託者は、委託先だけではなく、再委託先・再々委託先に対しても間接的に監督義務を負います。

1. 正当な理由なく特定個人情報ファイルを提供した場合
4年以下の懲役か200万円以下の罰金又はこれらの併科

2. 不正利益目的で個人番号を提供・盗用・漏えいした場合
3年以下の懲役か150万円以下の罰金又はこれらの併科

3. 人をあざむく、暴行、施設への侵入など不正行為で個人番号を取得した場合
3年以下の懲役又は150万円以下の罰金

4. 偽りなどの不正手段により個人番号カードを取得した場合
6ヶ月以下の懲役又は50万円以下の罰金

《必要かつ適切な監督》
①　委託先の適切な選定
②　委託先に安全管理措置を遵守させるために必要な契約の締結
③　委託先における特定個人情報の取扱状況の把握

委託者は、委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等をあらかじめ確認しなければなりません。

【設備・技術面】
　　　・セキュリティエリアが定めてあり、入退室制限・管理が実施されているか？
　　　・個人情報を保管する際は、施錠される場所に保管しているか？
　　　・ウイルス対策ソフトやＯＳの更新に問題はないか？
　　　・個人所有の記憶媒体等を、業務で使用していないか？
　　　・記憶媒体を破棄する際、物理的に破壊した上で処分しているか？
　　　・インターネット閲覧サイトに制限がかかっているか？
　　　・パスワードを定期的に変更しているか？
　　　・紙の個人情報を破棄する際の、シュレッダー設備は十分か？
　　　・不正アクセス対策がされており、アクセスログが取れる仕組みになっているか？

　　　　・・・・・・・・等々。

　　【人員・その他面】
　　　・個人情報に関する事故を直近１年間で起こしていないか？
　　　・従業員と秘密保持誓約を取っているか？
　　　・従業員に対して、定期的に守秘義務教育を実施しているか？
　　　・再委託する場合は、事前連絡があるか？
　　　・契約書の内容を遵守しているか？
　　　
　　　　・・・・・・・・等々。

委託先の設備や業務・教育体制、経営環境などを事前にチェックし、信頼できるかどうかを確認しましょう。プライバシーマークやISMSといった認証を受けていることも、一つの判断材料となるでしょう。

近年ではインターネット上のクラウド、ホスティング、ハウジングなどのサービスで情報システムを利用するケースも多くなってきました。そういったシステムでは、インターネット上のサーバーに従業員情報を登録しているケースがありますが、ここにマイナンバーが追加された場合、そのシステムを提供しているITサービス業者にマイナンバー業務を委託したことになるのでしょうか？

つまり、ITサービス業者が提供するサーバーにマイナンバーを登録したとしても、「ITサービス業者はそのマイナンバーを取扱わない」ことがサービス契約の中で謳われていて、かつ、実際にITサービス業者がマイナンバーにアクセスできないようシステム的な制限がかかっていれば、委託には該当しないことになります。これから、様々なITサービスがマイナンバーに対応していくことが予想されますが、契約内容や実際のアクセス制御がどうなっているか、提供業者に確認しておくことが重要です。