委託の制限

最終更新日時:2016年(平成28年)10月14日

 マイナンバー法はマイナンバーを含む特定個人情報の第三者への提供を原則として禁止していますが、19条5号にて業務委託に伴うマイナンバーの提供を例外的に認めています。ただし、委託先に全て丸投げしてほったらかしと言うわけにはいきません。委託者には委託先に対して必要かつ適切な監督を行う監督義務が発生します。今回はそんな委託に関する制限について解説していきます。

委託の制限

 税務事務を税理士に、労働・社会保険関係事務を社会保険労務士に、といったように現代社会においては一部の業務を外部に委託(アウトソーシング)することが一般的になってきています。そのためマイナンバー法においても業務委託に伴うマイナンバー(特定個人情報)の提供を例外的に認めていますが、同時に厳しい制限も課しています。

第十一条 個人番号利用事務等の全部又は一部の委託をする者は、当該委託に係る個人番号利用事務等において取り扱う特定個人情報の安全管理が図られるよう、当該委託を受けた者に対する必要かつ適切な監督を行わなければならない。

 マイナンバー法11条は委託者に対して委託先を監督する義務を課しており、その内容としては委託者が本来行わなければならない安全管理措置と同等の措置を委託先が施しているか必要かつ適切な監督を行わなければならない、としています。「同等の措置」とはありますが、こちらはマイナンバー法で求められている水準の安全管理措置を課しているもので、委託者が、法が要求するレベルよりも高度な措置をとっていても、それと同等のものを求めているわけではありません。

必要かつ適切な監督

 ガイドライン等では「必要かつ適切な監督」の内容として以下の3点の実施が必要としています。

  1. 委託先の適切な選定
  2. 委託先に安全管理措置を遵守させるために必要な契約の締結
  3. 委託先における特定個人情報の取扱状況の把握
一つ一つ見ていきます。

1.委託先の適切な選定
 委託者には委託先に自社が本来果たすべき安全管理措置と同等の措置を果たすことが出来るかどうかをあらかじめ確認する必要があります。具体的な確認事項としては

などが挙げられます。

2.委託先に安全管理措置を遵守させるために必要な契約の締結
具体的に契約内容に盛り込まなければならない事項として
以上の8つを契約内容に含めることが義務付けられており、さらに
の2点を盛り込むことが「望ましい」としています(行政機関の場合はこちらも必須項目)

 既存の委託契約において既に上記と同等の個人情報の取扱規定がある場合で、安全管理措置もきちんと講じられているのであれば、委託契約の再締結をする必要は特にありません。

3.委託先における特定個人情報の取扱状況の把握
 委託契約の締結で終了するのではなく、その後の取扱状況に付いても報告を求めるなどして把握することが求められます。契約内容に盛り込まれている遵守状況の報告で確認したり、実地調査の項目を契約に盛り込んでいるのであればその際に一緒に把握してしまうのが望ましいと考えられます。

 実際に委託先の従業員が個人情報を持ち出して社会問題化した事例などもありますので、常に監視の目を光らせておく必要があります。

再委託に関する制限

 委託を受けたものは委託者の許諾を受けた場合に限り、さらに一部又は全部の業務の委託をすることが出来ます。いわゆる再委託です。こちらもマイナンバー法に規定があり

第十条 個人番号利用事務又は個人番号関係事務(以下「個人番号利用事務等」という。)の全部又は一部の委託を受けた者は、当該個人番号利用事務等の委託をした者の許諾を得た場合に限り、その全部又は一部の再委託をすることができる。
2 前項の規定により個人番号利用事務等の全部又は一部の再委託を受けた者は、個人番号利用事務等の全部又は一部の委託を受けた者とみなして、第二条第十二項及び第十三項、前条第一項から第三項まで並びに前項の規定を適用する。

 第10条一項は委託者の許諾があれば再委託が可能である旨を、2項では再委託を受けたものも個人番号関係事務実務者として、利用範囲の制限等を受けるけれどもマイナンバー関連の事務や再々委託が出来る旨を規定しています。

 この「許諾」は再委託先が委託先と同様、大元の委託者が本来果たすべき安全管理措置と同等の措置が出来る業者かどうかの確認の意味があります。そのため再委託の際だけでなく、再々委託の場合でもそのつど大元の委託者の許諾が必要なことを指しています。

 また、委託者の委託先に対する「必要かつ適切な監督」には、委託先が再委託先をきちんと監督しているかどうかの監督も含まれるため大元の委託者には再委託先に対しても間接的な監督義務が生じてきます。

罰則

 マイナンバー法10条および11条違反は、個人情報保護委員会による監督(勧告・命令など)の対象となります。さらに、十分な監督義務を果たさなかったがために情報漏えい事故などに発展した場合は法令違反と判断されるおそれもあります。

Q&A

 その他雑多な事柄に付いてはQ&Aを参照下さい。