マイナンバー関連事務の量があまりにも多い為、それらを委託したいと思っている企業はたくさんあると思います。しかし、丸投げできるというわけではなく、「必要かつ適切な監督」ということを委託先に行わなければならないようです。この内容についての記事を紹介していきます。
委託先の監督について
マイナンバー情報、マイナンバーに関する手続きについて、システム会社のシステムを利用したり社労士事務所(法人)税理士事務所(法人)に委託する場合、委託する事業主は委託先の監督をする義務が発生します。システム会社のシステムや社労士事務所(法人)税理士事務所(法人)でマイナンバーの漏洩があった場合、委託する事業主が委託先(システム、社労士事務所、税理士事務所)が安全管理措置を講じているかどうかを事前に確認するなどをしていなかった場合、事業主が罰則を受ける可能性が高くなるということが書かれています。
そんな事にならないように、しっかりと監督していきたいものです。
1.委託先の適切な選定
大切なマイナンバーを預けることになるのですから、委託先には信頼できるところを選定したいものです。ガイドラインでは、「委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。」と、確認することは義務として規定されています。委託先の設備や業務・教育体制、経営環境などを事前にチェックし、信頼できるかどうかを確認しましょう。プライバシーマークやISMSといった認証を受けていることも、一つの判断材料となるでしょう。
ISMSとは、企業などの組織が情報を適切に管理し、機密を守るための包括的な枠組み。コンピュータシステムのセキュリティ対策だけでなく、情報を扱う際の基本的な方針(セキュリティポリシー)や、それに基づいた具体的な計画、計画の実施・運用、一定期間ごとの方針・計画の見直しまで含めた、トータルなリスクマネジメント体系のことを指す。
適切な選定をする際の、最適な目安と言えます。
2.委託先に安全管理措置を遵守させるために必要な契約の締結
契約内容には以下のような規定を盛り込む必要がある。1.秘密保持義務
2.事業所内からの特定個人情報の持出し禁止
3.目的外利用の禁止
4.再委託における条件・再委託した場合の通知義務(なお、マイナンバーの取扱いを再委託する場合は委託者の同意が必要となる。)
5.漏えい事案等が発生した場合の委託先の責任
6.委託契約終了後の特定個人情報の返却または廃棄
7.契約内容の遵守状況について報告を求める規定など
4は再委託をやめてもらいたいとき効力を発揮できますし、5は責任の重さを委託先に感じさせる事ができるからです。
3.委託先における特定個人情報の取扱状況の把握
委託者は、委託先が上記の契約内容に従って、番号法に基づいた安全管理措置が適切に実施しているかについて、定期的に報告を受けて、特定個人情報の取扱い状況を把握しておかなければなりません。
その結果、適切な管理が行われていないときは、これを是正するよう求めたり、委託先を変更するなど、実効的な手段を講じる必要があると解されます。
また必要がある場合は、自ら実地調査をすることも求められます。
これらをスムーズにするためにも、契約書の内容に委託先の特定個人情報取扱いの状況に関する報告義務等を明記する必要があるのです。
こんなことが起こったら、思い切って委託先を変更するのも得策かもしれません。
政府のガイドライン
《必要かつ適切な監督》
○1委託先の適切な選定、2委託先に安全管理措置を遵守させるために必要な契約の締結、3委託先における特定個人情報の取扱状況の把握○委託者は、委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等をあらかじめ確認しなければなりません。
○契約内容として、秘密保持義務、事業所内からの特定個人情報の持出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければなりません。
○委託者は、委託先だけではなく、再委託先・再々委託先に対しても間接的に監督義務を負います。
できれば、委託先が再委託しないようなところに頼みたいものです。
