マイナンバーを委託する際に注意すべきポイント
IT・情報セキュリティマイナンバーを委託する際に気をつけるべきことを教えてください。
個人番号関係事務または個人番号利用事務の全部または一部の委託をすることは可能です。この場合、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければなりません(番号法11条、個人情報保護法22条) 。
「必要かつ適切な監督」には、①委託先の適切な選定、②安全管理措置に関する委託契約の締結、③委託先における特定個人情報の取扱状況の把握が含まれます。
委託を受けたものは、委託者の許諾を得た場合に限り、再委託をすることもできますが、最初の委託者は再委託先の監督も必要となります。
解説
目次
委託の取扱いについて(個人情報保護法と番号法の規定の違いは)
委託先の監督義務について、個人情報保護法では、「委託者が個人情報取扱事業者に該当する場合」に委託先の監督義務を負います(個人情報保護法第22条)。
また、委託先が再委託を行う場合において、その委託先が「個人情報取扱事業者に該当する場合」は再委託先の監督義務を負いますが、個人情報取扱事業者に該当しない場合には再委託先の監督義務は負いません。
これに対して、番号法では、委託者が個人情報取扱事業者に該当するか否かに関係なく、個人番号関係事務または個人番号利用事務の全部または一部を委託する者であれば、委託先に対し監督義務を負うこととなります。
また、委託先が再委託を行う場合の要件について、個人情報保護法では特段の規定はありませんが、番号法では、再委託以降の全ての段階の委託について、最初の委託者の許諾を得ることを要件としています。
| 個人情報保護法 | 番号法 | |
|---|---|---|
| 委託 | 委託者が個人情報取扱事業者に該当する場合に監督義務を負う | 監督義務を負う |
| 委託先による再委託 | 委託先が個人情報取扱事業者に該当する場合は再委託先の監督義務を負う | 監督義務を負う 最初の委託者の許諾が必要 |
特定個人情報に係る委託先の監督について、個人情報保護法に加えて、「特定個人情報の適正な取扱いに関する ガイドライン(事業者編)」(以下、本ガイドラインと言います)の「(別添)特定個人情報に関する安全管理措置」において特有なものとして主に以下の4点があります。
- 個人番号を取り扱う事務の範囲の明確化
- 特定個人情報等の範囲の明確化
- 事務取扱担当者の明確化
- 個人番号の削除、機器及び電子媒体等の廃棄
委託先の監督
委託先における安全管理措置
個人番号関係事務または個人番号利用事務の全部または一部の委託をする者(以下「委託者」といいます。)は、委託した個人番号関係事務または個人番号利用事務で取り扱う特定個人情報の安全管理措置が適切に講じられるよう「委託を受けた者」に対する必要かつ適切な監督を行わなければなりません。
このため、委託者は、「委託を受けた者」に対して、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければなりません。
なお、「委託を受けた者」を適切に監督するために必要な措置を講じず、または、必要かつ十分な監督義務を果たすための具体的な対応をとらなかった結果、特定個人情報の漏えい等が発生した場合、番号法違反と判断される可能性があります。
委託先は番号法が求める水準の安全管理措置を講ずるものであり、委託者が高度の措置をとっている場合にまで、それと同等の措置を求めているわけではありません。
ただし、安全管理措置の検討に当たっては、番号法だけではなく、個人情報保護法等関係法令並びに本ガイドラインおよび主務大臣のガイドライン(たとえば、金融機関については「金融分野における個人情報保護に関するガイドライン」が適用されます)等を遵守する必要があります。
必要かつ適切な監督
「必要かつ適切な監督」には、①委託先の適切な選定、②委託先に安全管理措置を遵守させるために必要な契約の締結、③委託先における特定個人情報の取扱状況の把握が含まれます。
委託先の選定の基準
「委託先の選定」については、委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければなりません。具体的な確認事項としては、以下の事項が挙げられます。
- 委託先の設備
- 技術水準
- 従業者に対する監督・教育の状況
- その他委託先の経営環境等
上記3の「従業者」とは、事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいいます。具体的には、従業員のほか、取締役、監査役、理事、監事、派遣社員等を含みます。
上記内容に加えて、反社会的勢力でないこと等も選定基準とすることが考えられます。
委託契約
委託契約に盛り込む内容
委託契約の締結については、契約内容として、以下の規定等を盛り込む必要があります。
- 秘密保持義務
- 事業所内からの特定個人情報の持出しの禁止
- 特定個人情報の目的外利用の禁止
- 再委託における条件
- 漏えい事案等が発生した場合の委託先の責任
- 委託契約終了後の特定個人情報の返却または廃棄
- 従業者に対する監督・教育
- 契約内容の遵守状況について報告を求める規定
- 特定個人情報を取り扱う従業者の明確化
- 委託者が委託先に対して実地の調査を行うことができる規定
グループ会社から給与厚生事務の委託を受けている場合にも、上記の要件を満たす委託契約書を締結する必要がありますのでご注意ください。
委託契約の方式
委託契約をどのような方式で結ぶかという点については、委託者・委託先双方が安全管理措置の内容について合意をすれば法的効果が発生しますので、当該措置の内容に関する委託者・委託先間の合意内容を客観的に明確化できる手段であれば、書式の類型を問いません。
例えば、誓約書や合意書の作成でも構いません。
番号法上の安全管理措置が遵守されるのであれば、個人情報の取扱いと特定個人情報の取扱いの条項を分別する必要はありません。
また、既存の契約内容で必要な番号法上の安全管理措置が講じられているのであれば、委託契約を再締結する必要はありません。
既存の委託契約書に追加的に盛り込むこともできますが、筆者の経験では分かり難くなるので、特定個人情報の委託に関する独立の契約を締結した方が望ましいです。
委託契約書のモデル例
委託契約書のモデル例については、こちらからダウンロードすることができます。
参考:委託契約書のモデル例(PDF)
再委託
再委託の要件
個人番号関係事務または個人番号利用事務の全部または一部の「委託を受けた者」は、委託者の許諾を得た場合に限り、再委託をすることができます。なお、個人情報保護法上は再委託について、委託者の許諾は求められていません。
たとえば、事業者甲が従業員等の源泉徴収票作成事務を事業者乙に委託している場合、乙は、委託者である甲の許諾を得た場合に限り、同事務を別の事業者丙に委託することができます。
(出典:特定個人情報保護委員会作成資料)
再委託につき許諾を要求する規定は、最初の委託者において、再委託先が十分な安全管理措置を講ずることのできる適切な業者かどうかを確認させるために設けられたものであり、番号法10条1項により明示されています。
したがって、 最初の委託者の許諾は必ず得る必要があります。
なお、委託先や再委託先から個人番号や特定個人情報が漏えい等した場合、最初の委託者は、委託先に対する監督責任を問われる可能性があります。
もっとも、委託契約の締結時点において、再委託先となる可能性のある業者が具体的に特定されるとともに、適切な資料等に基づいて当該業者が特定個人情報を保護するための十分な措置を講ずる能力があることが確認され、実際に再委託が行われたときは、必要に応じて委託者に対してその旨の報告をし、再委託の状況について委託先が委託者に対して定期的に報告するとの合意がなされている場合には、あらかじめ再委託の許諾を得ることもできると解されます。
委託者の許諾の方法について、制限は特段ありませんが、安全管理措置について確認する必要があることに鑑み、書面等により記録として残る形式をとることが望ましいと考えられます。
再委託の効果
再委託を受けた者は、個人番号関係事務または個人番号利用事務の全部または一部の「委託を受けた者」とみなされ、再委託を受けた個人番号関係事務または個人番号利用事務を行うことができるほか、最初の委託者の許諾を得た場合に限り、その事務を更に再委託することができます。
更に再委託をする場合も、その許諾を得る相手は、最初の委託者です。
したがって、個人番号関係事務または個人番号利用事務が甲→乙→丙→丁と順次委託される場合、丙は、最初の委託者である甲の許諾を得た場合に限り、別の事業者丁に再委託を行うことができます。更に再委託が繰り返される場合も同様です。
なお、乙は丙を監督する義務があるため、乙・丙間の委託契約の内容に、丙が再委託する場合の取扱いを定め、再委託を行う場合の条件、再委託した場合の乙に対する通知義務等を盛り込むことが望ましいです。
再委託先の監督
「委託を受けた者」とは、委託者が直接委託する事業者を指しますが、甲→乙→丙→丁と順次委託される場合、乙に対する甲の監督義務の内容には、再委託の適否だけではなく、乙が丙、丁に対して必要かつ適切な監督を行っているかどうかを監督することも含まれます。
したがって、甲は乙に対する監督義務だけではなく、再委託先である丙、丁に対しても間接的に監督義務を負うこととなります。
(出典:特定個人情報保護委員会作成資料)
委託先による個人番号の収集・廃棄
委託契約において委託先が、委託者の従業員等の特定個人情報を直接収集する旨定めれば、委託先が従業員等の特定個人情報を直接収集することができます。
委託先が個人番号の廃棄・削除の作業を委託する場合には、委託先が確実に削除または廃棄したことについて、証明書等により確認します。
国外の事業者に委託する場合
国内外を問わず、委託先において、個人番号が漏えい等しないように、必要かつ適切な安全管理措置が講じられる必要があります。
なお、必要かつ適切な監督には、本ガイドラインのとおり、①委託先の適切な選定(具体的な確認事項:委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等)、②委託先に安全管理措置を遵守させるために必要な契約の締結、③委託先における特定個人情報の取扱状況の把握が含まれます。(ガイドラインQ&A3-3参照)
システムベンダーが提供するサービスは委託に該当するか
クラウドサービス
当該事業者が当該契約内容を履行するに当たって個人番号をその内容に含む電子データを取り扱うのかどうかが委託に該当するかどうかの基準となります。
当該事業者が個人番号をその内容に含む電子データを取り扱わない場合には、そもそも、個人番号関係事務または個人番号利用事務の全部または一部の委託を受けたとみることはできませんので、番号法上の委託には該当しません。
当該事業者が個人番号をその内容に含む電子データを取り扱わない場合とは、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。
なお、上記における個人番号をその内容に含む電子データは、仮に暗号化等により秘匿化されていても、その秘匿化されたものについても個人番号を一定の法則に従って変換したものであり、個人番号として取り扱われます。
クラウドサービスが番号法上の委託に該当しない場合、委託先の監督義務は課されませんが、クラウドサービスを利用する事業者は、自ら果たすべき安全管理措置の一環として、クラウドサービス事業者内にあるデータについて、適切な安全管理措置を講ずる必要があります。
情報システムの保守サービス
当該保守サービスを提供する事業者がサービス内容の全部または一部として個人番号をその内容に含む電子データを取り扱う場合には、個人番号関係事務または個人番号利用事務の一部の委託に該当します。
一方、単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人番号関係事務または個人番号利用事務の委託に該当しません。
保守サービスを提供する事業者が、保守のため記録媒体等を持ち帰ることが想定される場合は、あらかじめ特定個人情報の保管を委託し、安全管理措置を確認する必要があります。
個人番号の収集・本人確認、保管・廃棄・削除をする場合
上記6-1、6-2のとおり、システムベンダーは、クラウドサービスや情報システムの保守サービスをする限りは、通常「委託先」には該当しないと考えられます。
もっとも、システムベンダーが民間事業者に代わって、個人番号の収集や本人確認、特定個人情報の保管・廃棄・削除をする場合には、「委託先」に該当するのでご注意ください。
郵便事務は委託に該当するか
郵便等の配送手段を用いた場合は、配送業者は通常配送を依頼された荷物の中身の詳細については関知しないことから、事業者と配送業者との間で特に個人番号の取扱いについての合意があった場合を除いて、個人番号関係事務の委託には該当せず、日本郵政の職員については番号法上の安全管理措置は不要と解されます。
印刷事務は委託に該当するか
個人番号申告書類(個人番号未記載のフォーム)を印刷会社が印刷することは、個人番号関係事務の委託には該当せず、印刷会社については番号法上の安全管理措置は不要と考えられます。
委託先モニタリングシート
実際に委託をする際には、以下のようなモニタリングシートを作成し、委託先の体制について確認をすることが有用です。
弁護士法人三宅法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 人事労務
- 危機管理・内部統制
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- 資源・エネルギー
- ベンチャー