労務SEARCH > マイナンバー > マイナンバー 業務委託/外注 > マイナンバー管理を業務委託するための重要事項について解説
マイナンバー管理を業務委託するための重要事項について解説

マイナンバー管理を業務委託するための重要事項について解説

監修者:岡 佳伸 社会保険労務士法人|岡佳伸事務所
詳しいプロフィールはこちら

マイナンバー(特定個人情報)管理を、業務委託先や再委託先にお願いしている企業も多いのではないかと思います。個人情報保護法では業務委託に関して「委託先の監督(第22条)」と規定されており、必要かつ適切な監督をしなければならないと決められています。

この委託先の監督とは、どのような措置を行うのでしょうか。また、同じ企業のグループ間でマイナンバーを一括管理することは可能なのでしょうか。ガイドラインを詳しく参照しながら、重要事項を再確認しましょう。

安全管理措置にかかる委託の取扱いとは?

自社のマイナンバーを委託先に管理してもらう場合、安全に管理してもらうための委託の取り扱いが決められています。

委託の取り扱い

マイナンバーに関する業務を委託する場合、委託する側(以下:委託者)は委託先が番号法(マイナンバーの利用等に関する法律)に基づいて、本来委託者が果たすべき「安全管理措置」と同等の措置を講じられるように、「必要かつ適切な監督」をしなければいけないというものです。この「安全管理措置」と「必要かつ適切な監督」については、次項から詳しく説明します。

委託先の監督における安全管理措置とは?

委託者は委託先がマイナンバーの漏洩や滅失、毀損といったことが起こらないようにするため、必要かつ適切な安全管理を行っているかどうか監督する義務があります。そして、委託先は委託者が策定した安全管理措置をしっかりと行わなければいけません。

安全管理措置

簡単に説明するとマイナンバーの取り扱いに関する基本方針の策定ということになります。具体的には、下記項目(1)~(4)の内容を織り込むことが重要となります。

(1)マイナンバーを管理する組織を整える組織的安全管理措置

  • 組織体制の整備
  • 取扱規定等に基づく運用
  • 取扱状況を確認する手段の整備
  • 情報漏えい等事案に対する体制の整備
  • 取扱状況の把握および安全管理措置の見直し

(2)マイナンバーを扱う者の人的安全管理措置

  • 事務取扱担当者の監督
  • 事務取扱者の教育

(3)マイナンバーを安全な場所に保管するための物理的安全管理措置

  • 特定個人情報等を取り扱う区域の管理
  • 機器及び電子媒体等の盗難等の防止
  • 電子媒体等を持ち出す場合の漏えい等の防止
  • 個人番号の削除、機器及び電子媒体等の廃棄

(4)パソコンなど電気機器を使って管理する際の技術的安全管理措置

  • アクセス制御
  • アクセス者の識別と認証
  • 外部からの不正アクセス等の防止
  • 情報漏洩等の防止

また、委託者が委託先の監督を十分に行わず、マイナンバーの漏洩等が発生してしまった場合は、番号法違反と判断される可能性があります。

委託先の監督における必要かつ適切な監督とは?

委託先を監督する際の「必要かつ適切な監督」とはどのようなものなのでしょうか?こちらの内容として下記の3つが含まれます。

必要かつ適切な監督の内容

  1. 委託先を適切に選ぶこと

    委託者は委託先において前項で述べた安全管理措置と同等の措置ができるかどうかをあらかじめ確認しておく必要があります。

  2. 委託先に安全管理措置を遵守させるための契約を締結すること

    契約内容には、秘密保持義務、事業所内からの特定個人情報の持出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏洩事案等が発生した際の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督と教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければなりません。

  3. 委託先が特定個人情報をどのように取り扱っているか把握すること

    実際にマイナンバー取り扱いの状況を確認することです。確認にあたっては、2.の契約のほかに特定個人情報を取り扱う従業者の明確化、委託者が委託先に対して実地調査が行える内容等を盛り込むことが望ましいとされています。

再委託の要件、効果、監督とは?

マイナンバー管理業務の委託先を変更することを再委託と言います。

再委託の要件

再委託をする場合、委託先の企業は委託者の許諾を得た場合に限り再委託することができます。

再委託による効果

再委託先は「委託を受けた者」とみなされ、再委託を受けたマイナンバーに関する業務を行うことができるほか、最初の委託者(マイナンバーを保持する元の企業)の許諾を得ることができれば、その業務をさらに再委託をすることができます。

再委託先の監督

再委託が発生した場合、委託先の企業を監督するのは誰になるのでしょうか。次の例を用いて説明します。

例)元の委託先をAとしてA→B→C→Dという形で委託、再委託が行われた場合、AはBに対しては直接、再委託先であるC、Dに対しては間接的に監督義務を負うことになります。また、BはCに対して、CはDに対して直接の監督義務を負うことになります。Aに関しては、自社の従業員のマイナンバーを扱っているということもあって、常に監督しなければいけません。

企業グループでマイナンバーの一括管理は可能か?

ここまで、企業間における委託、再委託については説明しました。では、同じグループ企業でマイナンバーを一括管理するケースに関してはどうなのでしょうか?

マイナンバーを一括管理することはできる?

グループ会社でまとめて管理した方が効率的だと考える人もいるかもしれませんが、原則としてグループ会社でのマイナンバーの一括管理は不可とされています。これは番号法上、同じグループ会社であっても、別の会社であるとみなされ、マイナンバーが組織や個人を越えることは「第三者への提供」とされるからです。

ですので、番号法第19条で認められる場合を除いては、グループ会社であっても一括管理をすることはできません。

まとめ

今回は、マイナンバーを業務委託する際に気をつけたい重要事項について紹介してきました。マイナンバーの管理業務を委託すれば、こちらは何もしなくていいというわけではありません。自社の従業員のマイナンバーをしっかりと管理しているかどうか常に監督しなければならないのです。

しかし、委託先をしっかり選び安全管理措置が行われているのであれば、業務の効率化につながります。そのためにも、今回紹介したポイントを把握しておくことが大切です。

社会保険労務士法人|岡佳伸事務所 監修者岡 佳伸

社会保険労務士法人|岡佳伸事務所の代表、開業社会保険労務士として活躍。各種講演会の講師および各種WEB記事執筆。日本経済新聞女性セブン等に取材記事掲載。2020年12月21日、2021年3月10日にあさイチ(NHK)にも出演。
詳しいプロフィールはこちら

本コンテンツは労務SEARCHが独自に制作しており、公正・正確・有益な情報発信の提供に努めています。 詳しくはコンテンツ制作ポリシーをご覧ください。 もし誤った情報が掲載されている場合は報告フォームよりご連絡ください。

この記事をシェアする

労務SEARCH > マイナンバー > マイナンバー 業務委託/外注 > マイナンバー管理を業務委託するための重要事項について解説