従業員のマイナンバーを管理することが必要な企業にとって、その為の人員や新たな業務、セキュリティーの強化など、負担は少なくありません。その為、委託業者を利用する企業も増えています。
マイナンバーの委託は可能か
企業は社員のマイナンバーを適切に取得し管理・保管していく必要があります。
自社で行うためには、担当者を決め、ルール作りやシステムの構築、書類作成や保管場所の確保など、様々な業務が新たに加わることになります。
そこで、その負担を業者に委託することで軽くしたいと考える企業も多いのではないでしょうか。
自社で行うためには、担当者を決め、ルール作りやシステムの構築、書類作成や保管場所の確保など、様々な業務が新たに加わることになります。
そこで、その負担を業者に委託することで軽くしたいと考える企業も多いのではないでしょうか。
マイナンバーには多くの個人情報が記録されます。そのため、その管理は厳重に行わなければいけません。国が定めたガイドラインでは、「組織的安全管理措置」、「人的安全管理措置」、「物理的安全管理措置」、「技術的安全管理措置」という4つのセキュリティ対策を講じることが求められています。
ですが、これだけの厳重な管理にすぐに対応できる企業がどれほどあるでしょうか? 法令を遵守するためには充分な人員を割かなければ難しいですし、専門的な知識がないとシステムの運用も大変です。万一情報が漏えいしてしまった場合には、重い罰則も規定されています。
Q4-1-4 マイナンバー(個人番号)を取り扱う業務の委託や再委託はできますか?
A4-1-4 マイナンバーを取り扱う業務の全部又は一部を委託することは可能です。また、委託を受けた者は、委託を行った者の許諾を受けた場合に限り、その業務の全部又は一部を再委託することができます。
委託や再委託を行った場合は、個人情報の安全管理が図られるように、委託や再委託を受けた者に対する必要かつ適切な監督を行わなければなりません。委託や再委託を受けた者には、委託を行った者と同様にマイナンバーを適切に取り扱う義務が生じます。(2014年6月回答)
税理士や社会保険労務士などの専門家に、税関係・社会保障関係の手続を一任している場合や、事業者内部のデータ管理を外部のサーバーなどで行っており、マイナンバーも外部サーバーで取り扱われる場合は、それらの事務につき、委託をしている状態として扱われます。
この「委託」を行うためには、マイナンバー等の提供が必要になってきます。
そして番号法19条は「特定個人情報の取扱の全部若しくは一部の委託」について、提供可能であると規定しています(同条5号)。
そのため、特定個人情報、つまりマイナンバーとそれに関連付けられた個人情報の取扱については、外部委託をすることが可能です。
マイナンバー管理の委託先
マイナンバー業務を外部に委託するとなれば、その委託先をしっかりと選ぶことが大切です。
何を判断材料にすればよいでしょうか。
費用ももちろん大事ですが、特定個人情報を預けることになるのですから、本当に信用のおける相手でなければいけません。
判断を誤れば、トラブルに繋がる可能性もありますので、慎重に選定し、確かな契約を結ぶことが必要です。
何を判断材料にすればよいでしょうか。
費用ももちろん大事ですが、特定個人情報を預けることになるのですから、本当に信用のおける相手でなければいけません。
判断を誤れば、トラブルに繋がる可能性もありますので、慎重に選定し、確かな契約を結ぶことが必要です。
大切なマイナンバーを預けることになるのですから、委託先には信頼できるところを選定したいものです。ガイドラインでは、「委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。」と、確認することは義務として規定されています。委託先の設備や業務・教育体制、経営環境などを事前にチェックし、信頼できるかどうかを確認しましょう。プライバシーマークやISMSといった認証を受けていることも、一つの判断材料となるでしょう。
□ マイナンバー関連業務の委託先を選定、若しくは既存の業務委託先との契約変更・再契約をしていますか(税理士・社会保険労務士・システム会社など)?委託先に関しても法律に基づいた安全管理措置契約が講じられていることを確認しましょう。
既存の業務委託先については、特定個人情報取扱いについての委託契約の変更や新たな契約の締結を行いましょう。
委託先の適切な選定
委託先の選定にあたって、事業者自らが果たすべき安全管理措置と同等の措置が講じられているかどうか、あらかじめ確認しなければなりません。安全管理措置に関する委託契約の締結
契約内容として、秘密保持義務やマイナンバーを含む特定個人情報の目的外利用の禁止、再委託する場合の条件、漏えいなどが発生した場合の委託先の責任などを盛り込んだ契約を結ぶ必要があります。委託先における特定個人情報の取扱状況の把握
委託した特定個人情報が、安全管理措置のもと委託契約にそって適切に取り扱われているか、その状況を把握できるようにする必要があります。
マイナンバーを取り扱う業務を外部に委託する際には、従業員の許諾を受ける必要があります。従業員から許諾を得るためにも、曖昧な基準で委託先を選定することができなくなるばかりか、委託元である企業は委託先の監督責任が伴うことになってきます。
委託すれば終わりではない
マイナンバーの管理を外部に委託すれば、負担も軽減できセキュリティー面でも一先ず安心できるでしょう。
しかし、丸投げしっぱなしという訳にはいかないようです。
しかし、丸投げしっぱなしという訳にはいかないようです。
委託先の監督内容は?
委託先の適切な選定
→ 委託先の設備や技術水準、監督教育など、安全管理措置の内容を“あらかじめ”確認しなければいけません。
安全管理措置に係る委託先との契約締結
→ 秘密保持義務、マイナンバーの持ち出し・目的外利用の禁止、情報漏えいの際の委託先の責任その他の事項を契約。
委託先のマイナンバーの取り扱い状況把握
なお、「委託を受けた者」を適切に監督するために必要な措置を講じず、又は、必要かつ十分な監督義務を果たすための具体的な対応をとらなかった結果、特定個人情報の漏えい等が発生した場合、番号法違反と判断される可能性がありますので、ご注意下さい。
例えば、ある会社が、マイナンバー関連の社会保険事務を 社会保険労務士 に委託する場合
① その社会保険労務士事務所は、マイナンバーを適切に管理できる事務所か?を考える。
必要に応じて、その社会保険労務士に、取り扱い指針を記した書面の提示を求める。
② 委託の際には、マイナンバーの取り扱いについて記載された契約書を締結する。
③ 必要に応じて、その社会保険労務士事務所の出向き、取り扱い状況を把握する。
という措置を講じることを考えなければなりません。
マイナンバーの管理業務を第三者に委託することは自由ですが、あくまでも管理責任を負うのは事業所自身であるということを忘れないようにしましょう。
企業におけるマイナンバーの扱いにおいて、業務を委託することはできますが、その責任の所在はあくまで委託する企業にあります。
もし漏洩などのトラブルが起きれば、その委託先を選んだ企業の落ち度と取られてしまいますし、危機管理の甘となりイメージダウンとなってしまいますので注意が必要です。
もし漏洩などのトラブルが起きれば、その委託先を選んだ企業の落ち度と取られてしまいますし、危機管理の甘となりイメージダウンとなってしまいますので注意が必要です。