マイナンバーに関する事務(個人番号関係事務)というと、給与所得の源泉徴収票とか、健康保険や厚生年金保険等の事務ですので、もともとこれらの業務を外注していた企業も多いことと思います。でも、マイナンバーは、利用範囲が厳しく定められていますよね。個人番号関係事務を再委託することは出来るのでしょうか?
マイナンバーに関する事務を委託・再委託するには?
事業者は、個人番号関係事務の全部または一部を外部に委託することができます。委託を受けた事業者は、委託元の事業者の許諾を受けた場合に限り、再委託することができます。国のガイドラインは、マイナンバーの管理に業務委託を活用できることを前提に置いて、そのための条件を詳細に記述しています。上述の通り、事業者は個人番号関係事務のすべてを外部に委託することもできます。マイナンバーを収集し本人確認を行う事務も、外部に委託できます。
その際には、「委託先は委託元の許諾を得た場合に限り再委託を行うことができる」ことにご注意ください。
最初の委託者の許諾というのは、丸投げの許諾では困ります。
「委託先の判断で再委託してもよい」と丸投げしても許諾したことになりません。
マイナンバーに関する事務を委託・再委託する場合の考え方
個人番号関係事務又は個人番号利用事務の全部又は一部の
委託をする者は、委託先において、番号法に基づき委託者自らが
果たすべき安全管理措置と同等の安全管理措置が講じられるよう
必要かつ適切な監督を行わなければならない。(ガイドライン)
「必要かつ適切な監督」とは
①委託先の適切な選定
②安全管理措置に関する委託契約の締結
③委託先における特定個人情報の取扱状況の把握
①委託先の適切な選定
委託先において、「マイナンバー法が求める水準の安全管理措置を講じるか」について、あらかじめ確認する必要があるでしょう。
ガイドラインによりますと、選定にあたっての確認の対象として、委託先の設備、技術水準、従業者に対する監督・教育の状況などが挙げられています。
②安全管理措置に関する委託契約の締結
契約内容として、ガイドラインは、次のような規定を入れておくことを求めています。
それは、
「秘密保持義務、事業所内からの特定個人情報の持ち出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定」
です。なお、個人情報に関する既存の委託契約がある場合、その契約において、マイナンバー法が求める水準の個人情報の取扱いの規定があり、その契約内容でマイナンバー法上必要な安全管理措置が講じられているのであれば、委託契約を再締結する必要はないとされています。
③委託先における特定個人情報の取扱状況の把握
上記の契約において、特定個人情報を取り扱う従業者の明確化、委託者が委託先に対して実地の調査を行うことができる規定等。
マイナンバーに関する事務の委託・再委託の事例
クラウドサービスの利用
その税理士がクラウドサービスを利用しているならば、
税理士からクラウドサービス事業者への再委託と考えられ、
事業者の許諾が必要ということになりますね。
給与計算等のASPサービスの例
(質問)事業者(A社)が給与計算等のASP(アプリケーションサービスプロバイダ)サービスを利用することがありますが、そのASP事業者(B社)がさらにクラウドサービス事業者(C社)のファイルサーバサービス等を利用してASPサービスを提供する場合、これは再委託の取扱いになるのでしょうか。
(考え方)
B社とC社との契約内容によりますが、C社が特定個人情報に触れることができる場合には、再委託となります。一方、C社が特定個人情報に触れることが全くできない場合(アプリケーションを使えない場合)には、再委託となりません。なお、再委託とならない場合であっても、A社はB社に対する監督義務として、C社のクラウドサービス内にあるファイルについても適切な安全管理措置を講ずるよう、B社を適切に監督する必要があります。
マイナンバー関連サイト
はじめてのマイナンバーガイドライン (事業者編) ~マイナンバーガイドラインを読む前に~
特定個人情報の適正な取扱いに関する ガイドライン(事業者編)
