マイナンバーの管理を第三者に委託した場合の注意点をまとめました。
マイナンバーの関連業務は社外に委託できる
厳格な制限とルールが設けられているマイナンバーは、自社での管理が困難な場合もあります。
そんな時は外部への業務委託をするという選択肢があります。
委託先は「税理士」や「社会保険労務士」です。
そんな時は外部への業務委託をするという選択肢があります。
委託先は「税理士」や「社会保険労務士」です。
委託先の監督義務
【委託の取扱い】
○個人番号関係事務の全部又は一部の委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措
置と同等の措置が講じられるよう必要かつ適切な監督を行わなければなりません。
マイナンバー法のガイドラインには、企業は業務委託先に対して「必要かつ適切な監督」をしなければならないとしています。
委託してそのまま…という訳にはいかないようです。
委託してそのまま…という訳にはいかないようです。
委託先の「必要かつ適切な監督」とは?
マイナンバー法のガイドラインでは、委託先に対して「必要かつ適切な監督」をしなければならないと定められれています。具板的には、次の内容です。委託先の適切な選定
安全管理措置に関する委託契約の締結
委託先における特定個人情報の取扱い状況の把握
ここで一番のポイントとなるのは「委託先の適切な選定」です。
1.委託先の適切な選定
大切なマイナンバーを預けることになるのですから、委託先には信頼できるところを選定したいものです。ガイドラインでは、「委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。」と、確認することは義務として規定されています。委託先の設備や業務・教育体制、経営環境などを事前にチェックし、信頼できるかどうかを確認しましょう。プライバシーマークやISMSといった認証を受けていることも、一つの判断材料となるでしょう。
もし委託先で情報漏えいが起きてしまったら、委託者の責任が問われます。
2.業務委託先との適切な委託契約の締結
via sogyotecho.jp
業務を委託する場合は業務委託契約を締結することが多いですが、その契約書の中に安全管理措置を委託先に遵守させるための事項を盛り込むことが必要です。すでに業務委託契約や顧問契約を締結済みの場合は、追加で覚書を交わすという方法もあります。そして、この契約には以下の事項を入れることがガイドラインで義務付けられています。
秘密保持義務
事務所内からの特定個人情報の持ち出しの禁止
特定個人情報の目的外利用の禁止
再委託における条件
漏洩事案等が発生した場合の委託先の責任
委託契約終了後の特定個人情報の返却又は廃棄
従業者に対する監督・教育
契約内容の遵守状況について報告を求める規定
既に税理士や社会保険労務士に業務委託している場合は契約内容を見直し、変更する必要があります。
3.委託先における特定個人情報の取扱状況の把握
via pixabay.com
ガイドライン上は明記されていませんが、上記契約内容の「契約内容の遵守状況について報告を求める規定」に基づいて実施することになります。
具体的な例として、
・定例会の実施
・安全管理措置に関するレポートの提出
特定個人情報に対するアクセス権限者の増減、従業者に対する教育状況、等
・安全管理措置に関する課題と改善対応
等が考えられます。
業務「再委託」にも注意が必要
via deltaedge.co.jp
マイナンバー関連業務における外部委託先の監督は事業者の事務です。
情報漏えいのリスクを避けるためには、社内の管理体制と安全管理措置の整備とともに、外部委託先の適切な選定と監督を行う必要があります。
情報漏えいのリスクを避けるためには、社内の管理体制と安全管理措置の整備とともに、外部委託先の適切な選定と監督を行う必要があります。
しかし、再委託先への監督義務が生じるので注意が必要です。
業務受託契約には、再委託を行う際の条件及び再委託先に対する通知規定などを盛り込むと良いでしょう。