マイナンバーの管理を外部に委託する時の注意

税理士や社会保険労務士など、マイナンバーが関係する事務を外部事業者に委託する場合は、委託先に安全管理措置を遵守させねばなりません。

必要に応じて、秘密保持義務や漏洩が生じた場合の責任について、既存の委託契約書の見直しを行った方が望ましいと思われます。

《必要かつ適切な監督》
○①委託先の適切な選定、②委託先に安全管理措置を遵守させるために必要な契約の締結、③委託先における特定個人情報の取扱状況の把握

○委託者は、委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等をあらかじめ確認しなければなりません。
○契約内容として、秘密保持義務、事業所内からの特定個人情報の持出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければなりません。
○委託者は、委託先だけではなく、再委託先・再々委託先に対しても間接的に監督義務を負います。

適切な選定をしたと言えるためには、委託先において、番号法に基づいて、委託者が行うのと同じだけの安全管理措置が講じられているかどうか、あらかじめ確認しなくてはいけません。
実際に確認すべき事項は、以下の点についてです。

委託先の設備
・建物への入退室管理・盗難防止
・サーバー等機器の保護設備

技術水準
・適切なID・パスワード管理
・最新のウイルスソフトのインストール
・サポートの終了したOS（WindowsXP等）の不使用
・データへのアクセス制御

従事者に対する監督・教育
・従業者に対する番号法についての研修の実施
・社内規定の整備・周知・徹底

委託先の経営環境
・委託先の経営状況・環境の把握

５．マイナンバー法の安全管理措置対策を意識した特定個人情報業務委託契約書

１．秘密保持義務
２．事業所からの特定個人情報の持出しの禁止
３．特定個人情報目的外利用の禁止
４．再委託の条件
５．情報漏洩事件がが発生した場合の委託先の責任
６．委託契約終了後の特定個人情報の返却又は廃棄
７．従業者に関する監督，教育
８．契約内容の遵守状況について報告を求める規定
９．特定個人情報を取り扱う従業者の明確化
１０．委託者が委託先に対して実地の調査を行うことができる規定

通常、業務を委託する場合は業務委託契約を締結することが多いですが、その契約書の中に安全管理措置を委託先に遵守させるための事項を盛り込むことが必要です。すでに業務委託契約や顧問契約を締結済みの場合は、追加で覚書を交わすという方法もあります。

委託先における特定個人情報の取扱い状況の把握

委託者は、委託先が上記の契約内容に従って、番号法に基づいた安全管理措置が適切に実施しているかについて、定期的に報告を受けて、特定個人情報の取扱い状況を把握しておかなければなりません。
その結果、適切な管理が行われていないときは、これを是正するよう求めたり、委託先を変更するなど、実効的な手段を講じる必要があると解されます。
また必要がある場合は、自ら実地調査をすることも求められます。

マイナンバー取扱事務の委託を受けた者は、委託者の許可を得たときに限って、再委託をすることができます。
そして再委託が行われた場合は、再委託を受けた者は、委託を受けた者と同じポジションとなります（１０条２項）。
そのため、再委託を受けた者は、再委託をした者の許可なく、独自に再再委託を行うことも可能です。
その際はもちろん、初めの委託者の許可を得る必要があります。

再委託の際の委託者の許可は、委託者が知らない間に、自らのマイナンバー取扱事務について委託されることを防止するために必要であるとされています。
そのため、委託者は再委託先、再再委託先に対しても、委託先と同じように監督する義務があります。