もし委託先のマイナンバーが漏えいしたら・・・？

マイナンバーを取り扱う業務の全部又は一部を委託することは可能です

ガイドラインではマイナンバーの取得や提供要求については厳格な取り決めがありますが、マイナンバーを取扱う業務（源泉徴収票作成の事務、社会保険関係の書類を提出する事務、など）を外部に委託することについては禁止されていません。すなわち、マイナンバーを扱う業務を外部の税理士事務所、社会保険労務士事務所、ITベンダーなどに委託することは可能です。

外部に委託したからといって、責任がなくなるわけではありません。あくまでも、マイナンバーを本来扱うべきなのは事業者なのですから、委託先から個人情報が流出した場合には一緒に責任を負うことになります。

正当な理由なく個人情報ファイルを外部に提供した場合

実務担当者がマイナンバーのファイルそのものを外部に提供すると、「4年以下の懲役」または「200万円以下の罰金」という重い罰則が科されます。罪の程度によっては、懲役と罰金の両方が併科される場合もあります。

業務上知り得た個人情報を漏えい・盗用した場合

特定の個人の情報など、業務をする上で知った情報を洩らしたり書き留めて持ち出したりした場合には、「3年以下の懲役」または「150万円以下の罰金」が科されます。こちらについても、懲役と罰金が併科されることもあると規定されています。

委託先において、法律に基づき委託者⾃らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を⾏わなければなりません。

「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(特定個人情報保護委員会 以下「ガイドライン」)では、この「必要かつ適切な監督」について以下の3つをあげています。

委託先の適切な選定

委託先の選定にあたって、事業者自らが果たすべき安全管理措置と同等の措置が講じられているかどうか、あらかじめ確認しなければなりません。

安全管理措置に関する委託契約の締結

契約内容として、秘密保持義務やマイナンバーを含む特定個人情報の目的外利用の禁止、再委託する場合の条件、漏えいなどが発生した場合の委託先の責任などを盛り込んだ契約を結ぶ必要があります。

委託先における特定個人情報の取扱状況の把握

委託した特定個人情報が、安全管理措置のもと委託契約にそって適切に取り扱われているか、その状況を把握できるようにする必要があります。

番号法及びガイドラインでは、利用の必要がなくなったマイナンバーをはじめとする特定個人情報については、削除・廃棄が義務付けられています。
この削除・廃棄を委託先において行う場合は、委託先が確実かつ適切に当該特定個人情報を削除・廃棄した事について、証明書等を発行してもらい、それを委託元において確認する必要があります。
この証明書等の発行についても、委託契約の内容としておく事が望ましいでしょう。