取引先・委託先のマイナンバー使用で注意することは？

マイナンバーの収集は、従業員からだけではありません。取引先や外部委託先の法人や個人からも、マイナンバーの通知を受ける必要があります。どんな点に注意して行えばよいのか確認しておきましょう。

取引先からのマイナンバーの取得時期は

契約の締結時点で支払調書が不要であることが明らかである場合を除き、契約の締結時点でマイナンバーの提供を求めることができます。

中小企業におけるマイナンバー法の実務対応

経済産業省が作成した、事業所におけるマイナンバーを取り扱う実務の対応を示した資料です。

マイナンバーを記載する支払調書

マイナンバー導入後に様式が新しくなる支払調書には、
・報酬、料金、契約金及び賞金の支払調書
・不動産の使用量等の支払調書
・不動産等の譲受けの対価の支払調書
・不動産等の売買または貸付けのあっせん手数料の支払調書
があり、これらの支払調書を作成するためにはマイナンバーを記載することになります。
via マイナンバー導入後に支払調書を作成する際の注意点 | マイナンバーの基礎知識

支払調書の変更点と注意点

○以前の支払調書との４つの変更点
・「支払を受ける者」の欄に、「個人番号又は法人番号」の項目が加わる
・「支払者」の欄に、「個人番号又は法人番号」の項目が加わる
○報酬、料金、契約金及び賞金の支払調書の３つの注意点
・支払側は、支払先にマイナンバーを提供してもらう必要がある
・法人はマイナンバーを支払先から直接提供してもらう必要はない
・作成する際、支払金額欄は消費税込の金額を記入する
・未払い金額も支払調書の支払金額とする
報酬を支払う側は、支払調書を作成する際にマイナンバーが必要なので、支払先にマイナンバーを提供してもらう必要があります。
ただ、法人の場合は国税庁HPで公表されているため、直接入手する必要はありません。
また、個人の場合はマイナンバーを使用する際に制限があり、マイナンバー提供時に本人確認もしないといけませんが、法人の場合は用途に制限がありません。
via 【マイナンバー導入】法定調書への記入・提出方法・注意点まとめ

個人の本人確認は、マイナンバーカード、または通知カードと写真付き身分証明書で行います。
また、本人控として本人に渡す支払調書にマイナンバーを記載することは禁じられていますので、注意しましょう。

委託先のマイナンバーの取り扱いは

via www.ppc.go.jp

マイナンバーを取り扱う事務を、外部の税理士事務所や社会保険労務士事務所などに委託することは禁じられていません。ただし、その場合は、マイナンバー法とガイドラインで定められた監督を行う必要があります。

マイナンバー制度では、社会保障及び税に関する手続書類の作成事務の全部又は一部の委託をする者は、業務の委託先において、委託者自らが果たすべき安全管理措置と同等の措置が講じられるように必要かつ適切な監督を行わなければならないとされています。
委託者は、業務の委託先を適切に監督するための必要な措置を講じず、又は、必要かつ十分な監督義務を果たすための具体的な対応をとらなかった結果、特定個人情報の漏えい等が発生した場合、番号法違反と判断される可能性があります。
また、マイナンバー法では、社会保障及び税に関する手続書類の作成事務の全部又は一部の委託を受ける者は、委託者の委託を得た場合に限り、再委託を行うことができるとされています。そして、再委託を受けた者は、更に別の委託先に再委託を行う場合は、最初の委託者の許諾を得る必要があるものとされます。
via マイナンバー制度と委託先の管理 | マイナンバー対策準備室

１．委託先の適切な選定
ガイドラインでは、「委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。」と、確認することは義務として規定されています。委託先の設備や業務・教育体制・経営環境などを事前にチェックし、信頼できるかどうかを確認しましょう。プライバシーマークやISMSといった認証を受けていることも、一つの判断材料となるでしょう。
２．委託先に安全管理措置を遵守させるために必要な契約の締結
通常、業務を委託する場合は業務委託契約を締結することが多いですが、その契約書の中に安全管理措置委託先に遵守させるための事項を盛り込むことが必要です。すでに業務委託契約や顧問契約を締結済みの場合は、追加で覚書を交わすという方法もあります。そして、この契約には以下の事項を入れることがガイドラインで義務付けられています。
・秘密保持義務
・事務所内からの特定個人情報の持ち出しの禁止
・特定個人情報の目的外利用の禁止
・再委託における条件
・漏洩事案が発生した場合の委託先の責任
・委託契約終了後の特定個人情報の返却又は廃棄
・従業員に田尾する監督・教育
・契約内容の遵守状況について報告を求める規定
３．委託先における特定個人情報の取扱状況の把握
契約した内容を委託先が正しく実行しているか、確認する義務が委託先にはあります。先の契約内容に「契約内容の遵守状況について報告を求める規定」を入れているので、その報告を受けることで取扱い状況の把握が可能になります。
via マイナンバー解説◆第６回：マイナンバー業務の委託 | 人事・労務 | 税理士法人アクシス／社会保険労務士法人アクシス

クラウドサービスを利用した場合は？

マイナンバーを外部のクラウドサービスで管理している場合は、外部委託に当たるのでしょうか。

Q3-12
特定個人情報を取り扱う情報システムにクラウドサービス契約のように外部の事業者を活用している場合、番号法上の委託に該当しますか。
A3-12
当該事業者が当該契約内容を履行するに当たって個人番号をその内容に含む電子データを取り扱うのかどうかが基準となります。当該事業者が個人番号をその内容に含む電子データを取り扱わない場合には、そもそも、個人番号関係事務又は個人番号利用事務の全部又は一部の委託を受けたとみることはできませんので、番号法上の委託には該当しません。
当該事業者が個人番号をその内容に含む電子データを取り扱わない場合とは、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。
via 個人情報保護委員会 – PPC

現状、クラウドサービスは契約終了時に一定期間が経過すると、クラウド上のデータを消去するものがほとんどです。
（弊所が問い合わせた事業者が提供するサービスも、契約終了後、一定期間経過後にデータを削除するものでした）
この場合は「個人番号をその内容に含む電子データを取り扱わない場合」とは言えなさそうです。
消去のためにクラウド上のデータにアクセスできるということは、マイナンバーの取扱責任者・担当者以外の者がマイナンバー等にアクセスできるという事です。
この状況は、適切なアクセス制御がなされているとは言えないというのが、弊所の判断です。
via マイナンバー実務に備える方法｜収集・管理等の委託編

委託先がクラウドサービスを利用して場合も、「番号法上の委託」に当たると考え、データが確実に削除されたことを証明する「削除証明書」をもらう等して、適切に管理・監督する必要があります。

いかがでしたか。取引先から収集したマイナンバーも、委託先に渡すマイナンバーも、漏えいが起きないように厳重に管理する義務があります。チェックリストを作成する等して、不測の事態が起きないように対処して下さい。