注意!!ベネッセみたいにならないための委託先に対する監督義務

マイナンバーの処理、管理を下請けに任せる場合に生じる義務の話です。

マイナンバーを他の企業に渡すときは注意

(698)

ベネッセのようにならないように
via trade.1111.com.tw
Q4-1-4 マイナンバー(個人番号)を取り扱う業務の委託や再委託はできますか?

A4-1-4 マイナンバーを取り扱う業務の全部又は一部を委託することは可能です。また、委託を受けた者は、委託を行った者の許諾を受けた場合に限り、その業務の全部又は一部を再委託することができます。
 委託や再委託を行った場合は、個人情報の安全管理が図られるように、委託や再委託を受けた者に対する必要かつ適切な監督を行わなければなりません。委託や再委託を受けた者には、委託を行った者と同様にマイナンバーを適切に取り扱う義務が生じます

ガイドラインではマイナンバーの取得や提供要求については厳格な取り決めがありますが、マイナンバーを取扱う業務(源泉徴収票作成の事務、社会保険関係の書類を提出する事務、など)を外部に委託することについては禁止されていません。すなわち、マイナンバーを扱う業務を外部の税理士事務所、社会保険労務士事務所、ITベンダーなどに委託することは可能です。
ガイドラインでは、委託する場合は委託先で適切な安全管理措置が講じられるよう、委託元は委託先に対して必要かつ適切な監督を行う義務があるとされています。委託元がこの監督を怠り結果としてマイナンバーが漏洩するようなことがあった場合、それが委託先のミスであったとしても、委託元もマイナンバー法違反に問われる可能性があります。

注意するポイントは3つ

(703)

以下の点に注意する必要があります。
「必要かつ適切な監督」には、(1) 委託先の適切な選定、(2) 安全管理措置に関する委託契約の締結、(3) 委託先における特定個人情報の取扱状況の把握

(1)委託先の適切な選定

(709)

3つの中でこれが一番大事
【設備・技術面】
   ・セキュリティエリアが定めてあり、入退室制限・管理が実施されているか?
   ・個人情報を保管する際は、施錠される場所に保管しているか?
   ・ウイルス対策ソフトやOSの更新に問題はないか?
   ・個人所有の記憶媒体等を、業務で使用していないか?
   ・記憶媒体を破棄する際、物理的に破壊した上で処分しているか?
   ・インターネット閲覧サイトに制限がかかっているか?
   ・パスワードを定期的に変更しているか?
   ・紙の個人情報を破棄する際の、シュレッダー設備は十分か?
   ・不正アクセス対策がされており、アクセスログが取れる仕組みになっているか?

【人員・その他面】
   ・個人情報に関する事故を直近1年間で起こしていないか?
   ・従業員と秘密保持誓約を取っているか?
   ・従業員に対して、定期的に守秘義務教育を実施しているか?
   ・再委託する場合は、事前連絡があるか?
   ・契約書の内容を遵守しているか?

委託する業種・業態により異なりますが、こういった項目から、自社が委託先に求める基準
を評価表形式でまとめ、委託先へは事前アンケートもしくは現地調査することで、「必要かつ
適切な監督」を実施していくことが求められていくことでしょう。

もし、委託先が情報漏洩を起こしたら、委託者の責任が問われます。

上記は例ですが、以上のような事を満たしていないと、監督義務を果たしたとはいえません。

(2)安全管理措置に関する委託契約の締結

(710)

委託契約書のほか、覚え書きといった方法もいいかもしれません。
どんな場合でも当てはまりますが、マイナンバー取扱事務の委託については、その利用・管理などについて、しっかりと契約書を作成しておかなければなりません。
ガイドラインでは、以下の項目を契約内容に盛り込まなければならないとしています。
•秘密保持義務
•事業所内からの特定個人情報持ち出しの禁止
•特定個人情報の目的外利用の禁止
•再委託における条件
•漏えい事案等が生じた場合の委託先の責任
•委託契約終了後の特定個人情報の返却または廃棄
•従業者に対する監督・教育
•契約内容の遵守状況について、報告を求める規定

以上の他、契約内容に盛り込むことが望ましい項目として、特定個人情報を取扱う担当者の明確化、委託者が委託先に対して実地調査を行うことができる規定などが挙げられています。

契約書上で規定を明文化しておきましょう。

(3)委託先における特定個人情報の取り扱い状況の把握

(711)

実施調査がベストですが、委託先以外の情報も取り扱っているため、逆に問題になる可能性があります。
委託した特定個人情報が、安全管理措置のもと委託契約にそって適切に取り扱われているか、その状況を把握できるようにする必要があります
ヒアリングシートのようなものをもちいて把握するのが現実的でないかと思います。

再委託

(715)

Q:個人情報保護法は、再委託に関して、委託元の許諾までは求めていませんね?
A:委託先が再委託を行う場合の要件について、個人情報保護法には特段の規定はありません。しかし番号法では、再委託以降のすべての委託について、委託元の許諾を得ることを要件としています。

したがって、マイナンバー利用開始へのStep 3として、現在の委託先を調査しておくことを提案します。利用開始直前になって、その委託先や再委託先は使えないことが判明する、といった事態を避けなければなりません。
委託先調査の第1点目は、再委託先の有無を確認することです。第2点目は、委託先・再委託先が、マイナンバー管理を行うのに適切な安全管理措置等(後述)を講じることができるのかを、あらかじめ確認しておくことをお勧めします。利用開始となる2016年1月において適切な安全管理措置等が完了していることを、依頼元として確信できる状態でなければなりません。

企業グループ全体でシェアードサービスセンター(SSC)をもっている場合も同様です。グループ各社は委託先であるSSCの先に社会保険労務士事務所・法人、あるいは書類倉庫といった再委託先があるのか、そこでは適切な安全管理措置等を講じているのかを確認しておきましょう。

つまり再委託、再々委託する場合にも最初の委託者の許諾を得ることが求められ、この条件を満たさなければ、番号法違反になります。

あなたにオススメのコンテンツ



シェアする

  • このエントリーをはてなブックマークに追加

フォローする


, , , まっきー