マイナンバーを管理委託する業者を選ぶ時の重要ポイント

マイナンバーを管理するには知識がない、人がない、時間がない! そんな時の選択肢の一つである第三者への管理委託。でも相手マトモな知識を持っているかはどう見抜けばいいのか、重要ポイントをまとめました。

マイナンバーの全てを自社管理するには業務負担が重すぎる。委託先の選定にだけ気を付けて、あとは最低限の管理で済むようにしたいですね。

マイナンバーの管理は大変。

特定個人情報の安全管理措置

全事業者が対象

個人情報保護法では5,000件以上の個人情報を管理する事業者(つまり実質的に中堅企業以上)が対象でしたが、特定個人情報に関しては中小規模事業者を含む全ての事業者が対象となります。

利用の制限

定められた行政手続きなど以外の目的での利用が禁止されています。違反すると刑事罰となります。また当該手続きの担当者以外は個人番号を見られないようにする必要があります。

安全管理義務

安全管理義務を怠り、特定個人情報を紛失したり第三者に漏洩などした場合は、代表者または管理者などが懲役または罰金(或いはその両方)に科せられます。(番号法第12条)

マイナンバーの特定個人情報。管理には様々な知識がです
管理の苦悩

管理の苦悩

情報の管理は本当に大変。会社の信用にも関わる重要な個人情報の管理なんて、相当な知識が必要になります。

管理責任は委託してもなくならない。

マイナンバーには多くの個人情報が記録されます。そのため、その管理は厳重に行わなければいけません。国が定めたガイドラインでは、「組織的安全管理措置」、「人的安全管理措置」、「物理的安全管理措置」、「技術的安全管理措置」という4つのセキュリティ対策を講じることが求められています。

ですが、これだけの厳重な管理にすぐに対応できる企業がどれほどあるでしょうか? 法令を遵守するためには充分な人員を割かなければ難しいですし、専門的な知識がないとシステムの運用も大変です。万一情報が漏えいしてしまった場合には、重い罰則も規定されています。

そこで、第三者に管理を委託するという選択肢が出てくるわけです。
しかしもちろん、外部に委託したからといって、責任がなくなるわけではありません。あくまでも、マイナンバーを本来扱うべきなのは事業者なのですから、委託先から個人情報が流出した場合には一緒に責任を負うことになります。
委託業者の管理が重要なポイントです、
 (13353)

委託業者の重要選定ポイント。

第三者認証(客観的評価)

プライバシーマークの取得をしている
ISMS(情報セキュリティマネジメントシステム)の認定を受けている
その他の第三者認証を受けている(具体的に記載)

規約・契約など

プライバシーポリシーなどに特定個人情報保護に関する記載がある
特定個人情報の管理方法についての記載がある
特定個人情報を目的外利用しない旨を明文化している
解約時に特定個人情報を完全に消去することを保証している
特定個人情報に特化した損害賠償責任などに関する記載がある

情報セキュリティ

情報システムに常に最新の不正侵入防止措置が施されている
全ての通信経路(内部通信も含め)が暗号化されている
特定個人情報の法定保存期間後に削除される機能を有している
特定個人情報に関するデータはディスク自体を暗号化している
事前に決められた担当者以外から特定個人情報にアクセスできない
特定個人情報データのアクセス手順と管理方法などが決められている
関連データベースのアクセスログを管理・保存している

個人情報対策としては基本的な内容ですが、ついついコスト対策で見逃してしまいがちなポイントです。安物買いの銭失いなんてならないように、最初にしっかり確認しておきましょう。
 (13354)

委託業者による再委託とは?

個人番号関係事務又は個人番号利用事務の全部又は一部の「委託を受
けた者」は、委託者の許諾を得た場合に限り、再委託を行うことができ
る。

再委託を受けた者は、個人番号関係事務又は個人番号利用事務の「委託
を受けた者」とみなされ、最初の委託者の許諾を得た場合に限り、更に再
委託することができる。

委託先の要望によってはありうる再委託。勝手に行われないようあらかじめ注意が必要です。
再委託につき許諾を要求する規定は、最初の委託者において、再委託先が十分な安全管理措置を講ずることのできる適切な業者かどうかを確認させるため設けられたものであり、番号法第10条第1項により明示されています。したがって、最初の委託者の許諾を得る必要があります。
なお、委託先や再委託先から個人番号や特定個人情報が漏えい等した場合、最初の委託者は、委託先に対する監督責任を問われる可能性があります。

委託業者と結ぶべき最低限必要な契約とは

通常、業務を委託する場合は業務委託契約を締結することが多いですが、その契約書の中に安全管理措置を委託先に遵守させるための事項を盛り込むことが必要です。すでに業務委託契約や顧問契約を締結済みの場合は、追加で覚書を交わすという方法もあります。そして、この契約には以下の事項を入れることがガイドラインで義務付けられています。

秘密保持義務
事務所内からの特定個人情報の持ち出しの禁止
特定個人情報の目的外利用の禁止
再委託における条件
漏洩事案等が発生した場合の委託先の責任
委託契約終了後の特定個人情報の返却又は廃棄
従業者に対する監督・教育
契約内容の遵守状況について報告を求める規定

あなたにオススメのコンテンツ



シェアする

  • このエントリーをはてなブックマークに追加

フォローする