無料会員登録
マイナンバーは、個人情報の中でも厳密に取り扱いが求められるものです。従業員だけではなくその扶養家族も取り扱い範囲となりますので、企業が保管するマイナンバー数は非常に莫大です。
今回は、マイナンバー管理を外部委託する際の注意点についてまとめたいと思います。
マイナンバー管理を外部委託する際の注意点
1 マイナンバーの委託時には「監督責任」が発生する
マイナンバーの管理を外部に委託したからといって、責任がなくなるというわけではありません。委託したことで、新たに「監督責任」が生じるのです。
本来であれば、事業者においてマイナンバー管理が行われるべきです。しかし、何らかの理由によりそれを外部委託したという場合、万が一委託先からマイナンバー情報が流出した際には、事業者・委託先共に責任が発生します。
元の事業者及び委託先双方において、国が定める安全管理措置の下記4項目を満たすことが必須なのです。
- 組織的安全管理措置
- 人的安全管理措置
- 物理的安全管理措置
- 技術的安全管理措置
また、「再委託」といって、委託先からさらに別業者へ委託されることも認められてはいますが、その場合であっても元々の事業者の監督責任は無くなりません。
2 委託時の契約には注意する
マイナンバー管理を外部へ委託する際には、必ず下記項目について盛り込まれた「契約書」を交わしましょう。
- 秘密保持
- マイナンバーを持ち出すことの禁止
- マイナンバーの目的外利用の禁止
- 再委託における条件
- 漏えいなどが発生した場合の委託先の責任の範囲
- 委託契約終了後のマイナンバーの返却と破棄
- 従業員に関する監督教育
- 契約内容の遵守についての報告義務
上記は最低限定めておく項目ですので、漏れが無いよう入念に確認を行いましょう。特に、委託後トラブルになりやすい項目が下記2点です。
委託先に対して実地調査を行う
委託先での管理担当者を明確にし、委託先に対して「実地調査」を行うことができるかどうかも規定として定めておきましょう。調査時に何らかの不審点があった場合は、即刻委託を解除する旨を契約書に記載しておくことも必要です。
契約内容が守られているかの報告・確認
定期的に委託先からマイナンバーの取り扱いについて報告を受けるようにしましょう。開催の期間や報告内容についても事前に決めておくことも重要です。
3 多重の再再委託は危険
マイナンバー管理は、再委託だけでなく「再再委託」も可能です。この場合、事業者は最終委託先にたいして「間接的な監督義務」が生じます。
どのみち全ての委託先及びその業務に対して監督義務が生じますので、あまりに多重の再委託は避けたほうが安心です。もしそのような管理委託を行う際には、再再委託先においても契約内容が遵守されるよう予め関連業者全てに通達しておく必要があります。
4 万が一漏洩した場合の罰則
マイナンバーに関しては、その影響範囲の広さから、他の個人情報流出に比べ重い罰則が設けられています。
正当な理由なくマイナンバーを外部に提供した場合、4年以下の懲役または200万円以下の罰金という罰則が科せられます。(両方が併科される場合もあり)また、業務上知り得たマイナンバーを洩らしたり持ち出したりした場合、3年以下の懲役または150万円以下の罰金となります。(こちらも併科の可能性あり)
こうした罰則が伴うことを、委託先にもきちんと理解してもらうようにしましょう。
マイナンバー管理の現状
マイナンバー制度開始から間もなく1年となりますが、管理においては、責任者及び担当者を設置している企業は少数で、多くの企業では総務部等で兼任されているケースが多いようです。そして、人員確保が難しい企業の場合に検討・導入する方法が管理作業の「外部委託」です。
しかし、外部に委託たからと言って、漏洩時に企業の責任が問われないということでありません。企業の「監督責任」は無くならないのです。
マイナンバー制度の開始以前から、多数の委託サービスが誕生していますが、それらを利用する際には十分な注意が必要です。マイナンバー管理に求められる安全管理措置の意味を理解していれば、「楽々」「全ておまかせ」等のキャッチコピー程信用できないのではないでしょうか。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
