【事業者向け】マイナンバーの委託について【マイナンバー制度】

事業者は、個人番号関係事務の全部または一部を外部に委託することができます。委託を受けた事業者は、委託元の事業者の許諾を受けた場合に限り、再委託することができます。

国のガイドラインは、マイナンバーの管理に業務委託を活用できることを前提に置いて、そのための条件を詳細に記述しています。上述の通り、事業者は個人番号関係事務のすべてを外部に委託することもできます。マイナンバーを収集し本人確認を行う事務も、外部に委託できます。

番号法１９条は「特定個人情報の取扱の全部若しくは一部の委託」について、提供可能であると規定しています（同条５号）。
そのため、特定個人情報、つまりマイナンバーとそれに関連付けられた個人情報の取扱については、外部委託をすることが可能です。

委託先において、個人番号が漏えい等しないように、必要かつ適切な安全管理措置が講じられる必要があります。なお、必要かつ適切な監督には、本ガイドラインのとおり、(1)委託先の適切な選定（具体的な確認事項：委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等）、(2)委託先に安全管理措置を遵守させるために必要な契約の締結、(3)委託先における特定個人情報の取扱状況の把握が含まれます。

大切なマイナンバーを預けることになるのですから、委託先には信頼できるところを選定したいものです。ガイドラインでは、「委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。」と、確認することは義務として規定されています。委託先の設備や業務・教育体制、経営環境などを事前にチェックし、信頼できるかどうかを確認しましょう。

第三者認証（客観的評価）
・プライバシーマークの取得をしている
・ISMS（情報セキュリティマネジメントシステム）の認定を受けている
・その他の第三者認証を受けている（具体的に記載）

規約・契約など
・プライバシーポリシーなどに特定個人情報保護に関する記載がある
・特定個人情報の管理方法についての記載がある
・特定個人情報を目的外利用しない旨を明文化している
・解約時に特定個人情報を完全に消去することを保証している
・特定個人情報に特化した損害賠償責任などに関する記載がある

情報セキュリティ
・情報システムに常に最新の不正侵入防止措置が施されている
・全ての通信経路（内部通信も含め）が暗号化されている
・特定個人情報の法定保存期間後に削除される機能を有している
・特定個人情報に関するデータはディスク自体を暗号化している
・事前に決められた担当者以外から特定個人情報にアクセスできない
・特定個人情報データのアクセス手順と管理方法などが決められている
・関連データベースのアクセスログを管理・保存している

常、業務を委託する場合は業務委託契約を締結することが多いですが、その契約書の中に安全管理措置を委託先に遵守させるための事項を盛り込むことが必要です。すでに業務委託契約や顧問契約を締結済みの場合は、追加で覚書を交わすという方法もあります。そして、この契約には以下の事項を入れることがガイドラインで義務付けられています。

・秘密保持義務
・事務所内からの特定個人情報の持ち出しの禁止
・特定個人情報の目的外利用の禁止
・再委託における条件
・漏洩事案等が発生した場合の委託先の責任
・委託契約終了後の特定個人情報の返却又は廃棄
・従業者に対する監督・教育
・契約内容の遵守状況について報告を求める規定

委託者は、委託先が上記の契約内容に従って、番号法に基づいた安全管理措置が適切に実施しているかについて、定期的に報告を受けて、特定個人情報の取扱い状況を把握しておかなければなりません。
その結果、適切な管理が行われていないときは、これを是正するよう求めたり、委託先を変更するなど、実効的な手段を講じる必要があると解されます。
また必要がある場合は、自ら実地調査をすることも求められます。
これらをスムーズにするためにも、契約書の内容に委託先の特定個人情報取扱いの状況に関する報告義務等を明記する必要があるのです。

外部に委託したからといって、責任がなくなるわけではありません。あくまでも、マイナンバーを本来扱うべきなのは事業者なのですから、委託先から個人情報が流出した場合には一緒に責任を負うことになります。