委託先を監督するそのやり方とは?

マイナンバー管理を考えたとき、多くの人が委託することを選択肢に入れると思われます。しかし、ただ委託して終わりというわけにはいかないみたいなのです。このことに関連する記事をアップしました。

委託先の安全管理措置を監督する義務があります!

クラウドを用いてデータを保管等する事業者を利用して、従業員等のマイナンバーを管理することは、マイナンバーに関する事務をその事業者に「委託」することにあたります。

 マイナンバー法は、この場合に、委託する事業者に監督義務を負わせています。

 具体的には、委託者は、委託先においてマイナンバー法が求める水準の安全管理措置が講じられるよう、必要かつ適切な監督を行わなければならないとしています。

 ですので、マイナンバーを取り扱う事務の範囲の明確化、事務取扱担当者の明確化など、マイナンバー法が求める安全管理措置がきちんと行われるかを監督する必要があります。

 また当然ではありますが、安全管理措置については、マイナンバー法だけでなく、個人情報保護法などの関連法令にも注意する必要があります。

委託して丸投げというわけにはいかないようですね。

それにしても、「安全管理措置を監督する」ってありますが、一体どうやればいいのでしょうか?

次の項にその答えがあります。

 (12101)

委託先の監督方法

では、実際に監督するにはどうすればいいのか――!?特定個人情報保護委員会が周知する「特定個人情報の適正な取扱いに関するガイドライン」では、以下の3点を挙げている!

【1.委託先の適切な選定】
マイナンバーは非常に重要な個人情報だ!委託先も信頼できるところを慎重に選択する必要がある!ガイドラインでは、「委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない」とある!委託先の安全管理に関する設備や教育体制、監督状況などをあらかじめ把握して、信頼に足るかどうかを確認しよう!

【2.業務委託先との適切な委託契約の締結】
委託先に業務を委託する場合、多くは業務委託契約を締結するだろう!その際には、安全管理措置を遵守させるための事項を盛り込まなければならない!すでに委託している場合は、項目を追加する方法も認められているぞ!ちなみに、契約に盛り込むべき事項は以下の8つだ!

・秘密保持義務
・事務所内からの特定個人情報の持ち出しの禁止
・特定個人情報の目的外利用の禁止
・再委託における条件
・漏えい事案などが発生した場合の委託先の責任
・委託契約終了後の特定個人情報の返却または廃棄
・従業者に対する監督・教育
・契約内容の遵守状況について報告を求める規定

【3.委託先における特定個人情報の取扱状況の把握】
委託先でマイナンバーが正しく取り扱われているかを把握する必要がある!具体的には、情報を取り扱う従業者の明確化や委託者が委託先に対して報告を求める規定などを盛り込むのが望ましいとされているぞ!

業務委託契約を結び、その中に情報を取り扱う従業者の明確化や委託者が委託先に対して報告を求める規定などを加えればいいみたいです。

私なら、その報告の回数も月に1回とか具体的にしておきたいですね。

 (12110)

マイナンバー収集から廃棄まで、適切になされるかを確認しなければならない。

番号法及びガイドラインでは、利用の必要がなくなったマイナンバーをはじめとする特定個人情報については、削除・廃棄が義務付けられています。
この削除・廃棄を委託先において行う場合は、委託先が確実かつ適切に当該特定個人情報を削除・廃棄した事について、証明書等を発行してもらい、それを委託元において確認する必要があります。
この証明書等の発行についても、委託契約の内容としておく事が望ましいでしょう。
無事廃棄された時点で、そのマイナンバーの管理が終わったことを意味するので、やはり最後の最後まで目を離せないのは当然です。

廃棄後の確認、そしてそのことに関する委託先からの報告は絶対に必要です。

 (12145)

再委託や再々委託の際の注意点

再委託や再々委託などは最初の委託者の許諾が必要となる(図2)。最初の委託者が許諾した場合、委託先に対する監督義務を負うだけでなく、再委託・再々委託先に対する間接的な監督義務も負うことになる。つまり、委託者はすべての委託先に関して責任を負うという前提で、委託の是非の判断をしなくてはならない。
 (12123)

先の先まで間接的でも監督しなければいけないなんて大変です。

できれば委託先には再委託してもらいたくないですね。

文部科学省が提示している委託先の監督(法第22条関係)

1.関係事業者は、個人データの取扱いの全部又は一部を外部に委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者(以下「委託先」という。)に対する必要かつ適切な監督を行わなければならない。
 その際、個人データが漏えい、滅失又は毀損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質並びに個人データの取扱状況等に起因するリスクに応じ、必要かつ適切な措置を講じるものとする。

2.関係事業者は、委託先の選定に当たっては、委託先の安全管理措置が、少なくとも法第20条で求められるものと同等であることを確認するため、委託先の体制、規程等の確認に加え、必要に応じて個人データを取り扱う場所に赴く又はこれに代わる合理的な方法による確認を行った上で、個人情報保護管理者等が、適切に評価するよう努めなければならない。

3.委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価するよう努めなければならない。
  委託先が再委託を行おうとする場合は、委託元は委託を行う場合と同様、再委託の相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、委託先に事前報告又は承認手続を求める、直接又は委託先を通じて定期的に監査を実施する等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、再委託先が(2)安全管理措置(法第20条関係)に基づく安全管理措置を講ずることを十分に確認するよう努めなければならない。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様とする。

4.関係事業者は、法、施行令、基本方針及びこのガイドライン等を踏まえ、その事業活動の特性、規模及び実態を考慮し、個人情報の保護に関する自らの考え方や方針(いわゆる、プライバシーポリシー、プライバシーステートメント等)を定めている場合は、その中に、顧客等の権利利益保護の観点から、事業活動の特性、規模及び実態を考慮して、「委託の有無、委託する事務の内容を明らかにする等、委託処理の透明化を進める」といった点を考慮した記述をできるだけ盛り込むことが望ましい。

上記は抜粋です。

更に詳しい内容は文部科学省のサイトで確認してください。

viaクリックでサイトに行けます。

 (12115)