マイナンバーは、その利用について法律で厳しく制限されています。
さらにその取扱いについては、担当者を定め、安全管理措置を実施しなければなりません。
(マイナンバー取扱担当者の詳細については「マイナンバー事務取扱担当者の明確化について」をご参照ください)
しかしながら、マイナンバーを利用した事務は、社会保険関係や税関係などに限られます。
そしてそのような事務は往往にして、外部の専門家へ依頼しているケースは珍しくありません。
また、会社のデータ管理に外部のサーバーを用いている、あるいはクラウドサポートシステムを利用しているなどというケースも、よくあることでしょう。
これらの場合、事業者の従業員らのマイナンバーは、外部の目に触れてしまうこととなります。
このような取扱については、どう対処するべきでしょうか。
マイナンバーの「提供」は、法により規定された場合でなければならない
マイナンバーは個人の重要な情報であり、漏えいしたときの損失が計り知れないものがあるため、その取扱いは法によって厳しく制限されています。
そして、正しい手続きでマイナンバーを収集したとしても、それを外部へ「提供」するときもまた、法による規制を受けることを意識しなければなりません。
(収集については「マイナンバーの収集が可能な条件」をご参照ください)
ここでいう「提供」とは、異なる法人格の間での、マイナンバー等の受渡しのことを言います。
具体的には、同じ会社の中であれば、部局の間でのマイナンバー等のやり取りは「提供」ではなく「利用」に該当します。
一方で、同グループ会社や出向先であっても、法人格が異なる場合は「提供」にあたります。
そして番号法ではこうした「提供」が可能な要件について、19条で限定的に並べて規定しています。
つまり、19条各号で示された場合を除いては、マイナンバー等の提供はできないこととなります。
外部へのマイナンバー取扱事務の委託は、可能か?
税理士や社会保険労務士などの専門家に、税関係・社会保障関係の手続を一任している場合や、事業者内部のデータ管理を外部のサーバーなどで行っており、マイナンバーも外部サーバーで取り扱われる場合は、それらの事務につき、委託をしている状態として扱われます。
この「委託」を行うためには、マイナンバー等の提供が必要になってきます。
そして番号法19条は「特定個人情報の取扱の全部若しくは一部の委託」について、提供可能であると規定しています(同条5号)。
そのため、特定個人情報、つまりマイナンバーとそれに関連付けられた個人情報の取扱については、外部委託をすることが可能です。
他の法的人格に対して「特定個人情報の取扱の全部若しくは一部」を任せる事が、ここでいう「委託」に該当します。
では、上記で例を挙げた他に、マイナンバー等を管理するシステムとして、クラウドサービスを利用している場合はどうでしょうか?
2015年8月時点で、弊所が「クラウドによるマイナンバー収集管理サービス」を提供している事業者に問い合わせたところ、その事業者においては、当該サービスがマイナンバーの委託に該当するとは考えていない、との回答を得ています。
これに対しては、特定個人情報保護委員会の「Q&A」において、回答がなされています。
Q3-12
特定個人情報を取り扱う情報システムにクラウドサービス契約のように外部の事業者を活用している場合、番号法上の委託に該当しますか。
A3-12
当該事業者が当該契約内容を履行するに当たって個人番号をその内容に含む電子データを取り扱うのかどうかが基準となります。
当該事業者が個人番号を含むその内容に含む電子データを取り扱わない場合には、そもそも個人番号関係事務又は個人番号利用事務の全部又は一部の委託を受けたと見ることはできませんので、番号法上の委託には該当しません。
当該事業者が個人番号をその内容に含む電子データを取り扱わない場合とは、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。
(改行・強調は引用者による)
上記の回答を踏まえると、情報システムにクラウドサービスを導入している場合で、委託に該当しないためには、以下の要件が必要となります。
ですが現状、クラウドサービスは契約期間終了時に一定期間が経過すると、クラウド上のデータを消去するものがほとんどです。
(弊所が問い合わせた事業者が提供するサービスも、契約終了後、一定期間経過後にデータを削除するものでした)
この場合は「個人番号をその内容に含む電子データを取り扱わない場合」とは言えなさそうです。
消去のためにクラウド上のデータにアクセスできるということは、マイナンバーの取扱責任者・担当者以外の者がマイナンバー等にアクセスできるという事です。
この状況は、適切なアクセス制御がなされているとは言えないというのが、弊所の判断です。
どのみち契約を継続せず、上記のような方法でマイナンバー等を削除された場合、削除が確実に行われたかどうかについて、クラウドサービス提供事業者から「削除証明書」を貰っておかなければ、適切な安全管理措置がなされているとは言えないでしょう。
(委託先における特定個人情報の削除については、「委託先において特定個人情報を削除する場合」を参照してください)
そうした事態をも含めて、クラウドサービスを利用した情報システムによるマイナンバー等の管理は、クラウドサービス提供事業者に対する委託関係が生じている事を前提としておく必要があるというのが、弊所の見解です。
追記(2015年8月17日)
上記について、特定個人情報保護委員会へ問い合わせたところ、クラウドサービス提供者において、マイナンバーに関するデータを削除することは、ここでいう「個人番号をその内容に含む電子データを取り扱う」場合に該当する、との回答を得ました。
そのため、弊所では従来通り、クラウドによるマイナンバー収集・管理サービスについては、原則として番号法上の委託に該当する、との認識で業務を行っていきます。
参考として以下に、番号法で許容されている提供可能な要件を整理した表を掲載します。
なお、赤字で強調されている箇所が、マイナンバー取扱事務についての委託が可能である根拠部分です。
| 提供主体・あるいは提供可能な場合 | 提供先・あるいは提供可能な場合 | |
|---|---|---|
| ① | 個人番号利用事務実施者(1号) 健康保険組合・年金の事業主等 |
本人・代理人または個人番号関係事務実施者 (個人番号利用事務を処理するために必要な限度で) |
| ② | 個人番号関係事務実施者(2号) 全ての事業者・団体に関係 |
(個人番号関係事務を処理するために必要な限度に限られる) |
| ③ | 本人・代理人(3号) | 個人番号利用事務「等」実施者 上記の「等」には個人番号関係事務実施者が含まれるので、 全ての事業者・団体に関係 |
| ④ | 地方公共団体システム機構(4号) | 個人番号利用事務実施者 |
| ⑤ | 委託元・事業譲渡人(5号) | 委託先・事業譲受人 |
| ⑥ | 市町村長等(6号) | 都道府県知事等 |
| ⑦ | 情報提供者(別表第二の第三欄に掲げる者等)(7号) 健保組合に関係 |
情報照会者(別表第二の第三欄に掲げる者等) 健保組合・年金事業者主等に関係 (情報提供ネットワークを使用して提供するとき) |
| ⑧ | 国税庁長官(8号) 都道府県知事・または市町村長(8号) |
都道府県知事または市町村長 国税庁長官または他の道府県知事・または市町村長 |
| ⑨ | 地方公共団体の機関(9号) | 当該地方公共団体の他の機関 (その事務を処理するために必要な限度で) |
| ⑩ | 社債・株式等の振替に関する法律に規定する振替機関等(10号) 証券保管振替機構・証券会社などに関係 |
社債等の発行者等または他の振替機関等 |
| ⑪ | 特定個人情報保護委員会から法52条1項の規定により報告等を求められた者(11号) 全ての事業者・団体に関係 |
特定個人情報保護委員会 |
| ⑫ | (特定なし)(12号) 全ての事業者・団体に関係 |
各議員・裁判所・警察・検察等 |
| ⑬ | (特定なし)(13号) (人の生命・身体または財産の保護のために必要がある場合) 全ての事業者・団体に関係 |
(特定なし) 全ての事業者・団体に関係 |
| ⑭ | (特定なし)(14号) (特定個人情報保護委員会会則で定める場合) |
(特定なし) |
特定個人情報の取扱いを委託する際の注意事項
以上で確認したように、マイナンバー取扱事務については、全部または一部の委託が可能です。
これはつまり、マイナンバーの収集や管理、そしてマイナンバーを利用して作成する書類や手続について、専門家に委託することが可能であるということです。
とはいえ、そういった委託が無制限に認められるわけではありません。
番号法では、マイナンバー取扱事務の委託を行う場合について、二つの対策を講じるよう、義務付けています。
それは「委託先の監督義務」と「再委託・再再委託についての委託元の許諾」についてです。
委託先の監督義務(11条)
マイナンバー取扱事務を委託する際は、委託先が重要な情報であるマイナンバーを取扱う事務を任せるにふさわしい相手であるかどうかについて「必要かつ適切な監督」をすることが求められています。
ガイドラインによるとこの「必要かつ適切な監督」には、具体的に、以下の内容が含まれていると説明されています。
もちろん、これらの監督義務を怠った状態で、委託先などから特定個人情報等が漏えいした場合には、委託者が番号法に違反したと判断される可能性も十分にあります。
まず、委託先が信用に足る相手であることが、マイナンバー取扱事務を委託するにあたって重要であることは、説明するまでもありません。
適切な選定をしたと言えるためには、委託先において、番号法に基づいて、委託者が行うのと同じだけの安全管理措置が講じられているかどうか、あらかじめ確認しなくてはいけません。
実際に確認すべき事項は、以下の点についてです。
どんな場合でも当てはまりますが、マイナンバー取扱事務の委託については、その利用・管理などについて、しっかりと契約書を作成しておかなければなりません。
ガイドラインでは、以下の項目を契約内容に盛り込まなければならないとしています。
以上の他、契約内容に盛り込むことが望ましい項目として、特定個人情報を取扱う担当者の明確化、委託者が委託先に対して実地調査を行うことができる規定などが挙げられています。
委託者は、委託先が上記の契約内容に従って、番号法に基づいた安全管理措置が適切に実施しているかについて、定期的に報告を受けて、特定個人情報の取扱い状況を把握しておかなければなりません。
その結果、適切な管理が行われていないときは、これを是正するよう求めたり、委託先を変更するなど、実効的な手段を講じる必要があると解されます。
また必要がある場合は、自ら実地調査をすることも求められます。
これらをスムーズにするためにも、契約書の内容に委託先の特定個人情報取扱いの状況に関する報告義務等を明記する必要があるのです。
番号法及びガイドラインでは、利用の必要がなくなったマイナンバーをはじめとする特定個人情報については、削除・廃棄が義務付けられています。
この削除・廃棄を委託先において行う場合は、委託先が確実かつ適切に当該特定個人情報を削除・廃棄した事について、証明書等を発行してもらい、それを委託元において確認する必要があります。
この証明書等の発行についても、委託契約の内容としておく事が望ましいでしょう。
なお、利用の必要がなくなった特定個人情報の削除・廃棄については「物理的安全管理措置について」をご参照ください。
マイナンバー取扱事務の再委託・再再委託について(10条)
マイナンバー取扱事務の委託を受けた者は、委託者の許可を得たときに限って、再委託をすることができます。
そして再委託が行われた場合は、再委託を受けた者は、委託を受けた者と同じポジションとなります(10条2項)。
そのため、再委託を受けた者は、再委託をした者の許可なく、独自に再再委託を行うことも可能です。
その際はもちろん、初めの委託者の許可を得る必要があります。
再委託の際の委託者の許可は、委託者が知らない間に、自らのマイナンバー取扱事務について委託されることを防止するために必要であるとされています。
そのため、委託者は再委託先、再再委託先に対しても、委託先と同じように監督する義務があります。
ガイドラインでは委託を受けた者が再委託をする相手を監督し、その状況を委託者に報告するような体制を整えて、間接的に監督が可能な状況を構築することが求められています。
本ページのまとめ
