Q&A(企業向け 13/13 委託)

最終更新日時:2017年(平成29年)9月16日

Q マイナンバーの管理を委託できますか?

A 可能です。ただし、委託先が本来自社で行うのと同等の安全管理措置を施すことが出来る場合など、ある程度の条件はつきます。また、委託先への監督義務などが発生するため丸投げというわけにはいきません。

Q マイナンバーの管理の再委託は可能ですか?

A 可能です。ただし、委託元の許諾が必要なことや、再委託先の安全管理措置への監督義務などが発生します。委託元は再委託先への直接の監督義務はありませんが、委託先の再委託先への監督義務に対する監督義務、という間接的な監督義務が発生するため管理はより複雑になります。

Q 個人情報保護法とマイナンバー法での委託の違いはありますか?

A 委託先の監督義務が課せられる条件に違いがあります。マイナンバー法施行以前の個人情報保護法制においても、個人情報を取り扱う事務を委託業者に委託することは認められていました。そして委託者が委託先を適切に監督することが義務付けられていたのですが、これは委託者が個人情報取扱事業者の場合に限定されていました。取り扱う個人情報の数が少ない場合などは監督義務を負うことなく、委託先に丸投げ同然の状態にすることが出来てしまっていました。それに対してマイナンバー法では、取り扱うマイナンバーの件数の多寡に寄らず必ず監督義務が課せられています。

Q 国外の企業への委託は可能ですか?

A 可能です。マイナンバー法には特に国外への委託に関する規定はありません。したがって、国外への委託は可能になっており、国内での委託と同様の基準で委託先の選定を行うことになります。設備や技術レベルを考慮し、きちんと安全管理措置を取ることが出来、監督を行うことが出来れば国外企業への委託も問題ありません。

Q 委託先が直接マイナンバーを収集出来ますか?

A 契約内容次第です。


Q マイナンバーの受け渡しに郵便を使う場合は委託になりますか?メール(通信事業者)の場合は委託になりますか?

A 委託にはなりません。郵便事業による郵送や通信事業者による通信は、おのおの郵送サービス、通信サービスを提供しているだけで、その内容には一切関知しないものなので委託には該当しません。ガイドラインなどでは、郵便での郵送は書留などの利用が安全管理の点から望ましいとされており、通信を利用する場合は適切なサービス業者の選定や、パスワードロック、暗号化などの措置を講ずる必要があるとしています。

Q マイナンバーを取り扱う情報システムの運用でクラウドサービス利用する場合は委託になりますか?

A 契約内容次第です。マイナンバーを含む電子データを取り扱うかどうかが基準になってきます。例えば、契約にマイナンバーを含む電子データを取り扱わない旨が定められており、その上でアクセス制御が行われていて、委託先業者ではデータの内容を確認出来ないようになっている場合などは委託に該当しません。

Q マイナンバーを取り扱う情報システムの保守を外部に委託する場合は、マイナンバー関連業務の委託になりますか?

A 契約内容次第です。マイナンバーを含む電子データを取り扱わない旨が定められており、かつアクセス制御が掛けられている場合などは、マイナンバー関連業務の委託には該当しません。ただし、保守のためマイナンバーが記録されている記憶媒体を持ち帰ることが想定される場合は、マイナンバー関連業務の委託に該当しますので、必要かつ適切な監督を行うことが義務付けられます。