委託先は大丈夫? 情報漏えいの責任はあなたにも第14回 伊藤塾長の「実践マイナンバー 早わかり3分講座(緊急編)」

» 2015年12月15日 08時00分 公開

この連載について

 ※本連載は、今回からITmedia エンタープライズから「ITmedia ビジネスオンライン」に引っ越ししました。過去の記事はバックナンバーからご覧頂けます。

 2016年1月に始まるマイナンバー制度。企業側の対応について、まだ情報収集の段階であったり、実際の運用ルールの作成に悩みが山積している担当者は多いことでしょう。

 本連載『実践マイナンバー 早わかり3分講座』では、マイナンバーの収集から保管、委託先の管理といった、実際に現場で直面する具体的な課題に特化し、その実務の対応ポイントを解説していきます。連載の途中で必要に応じ、みなさまにミニアンケートなどを実施し、その結果も解説していきたいと思います。


塾長:伊藤健二(パイプドビッツ総合研究所 政策創造塾塾長)

パイプドビッツ総合研究所 政策創造塾 塾長/明治学院大学 学長特別補佐(戦略担当)。みずほ情報総研、慶應義塾大学にて7省庁の委員等で政策提言を行いつつ、産学官連携のプロジェクトを長年にわたって企画・推進する。慶應義塾大学では、産学官連携によりビジネスモデル研究・実践を行い、パイプドビッツと3年共同研究として三菱総研、みずほ情報総研など、さまざまなシンクタンクと連携した「政策創造プロジェクト」を推進し、政策創造塾を設立、塾長就任。2015年4月から現職。


進行と解説:大橋恵子(パイプドビッツ 経営ソリューション事業部長)

法律事務所勤務の後、会計系のベンチャー企業に8年勤務。人事、法務、経理業務を経て、経営企画部門にてISMSの取得業務にも従事。3年間、省庁の実証プロジェクトにてプロジェクトマネージャーを務める。2014年4月より現職。主に中堅企業の人事ソリューションのマーケティング・販売、中小企業向けの会計システムの企画・マーケティングに携わる。



大橋 マイナンバーの業務の全部または一部を委託する事業者も多いと思います。そこで第14回は、委託する場合について進めていきます。


伊藤 まず委託先に関して初回となる今回は、基本的な構造を理解しましょう。

 恒例となりますが、ガイドラインに記載されている内容について、本編に記載されているので分かりやすく整理してみました。


photo
photo

大橋 委託を行う企業は多いようで、特定個人情報保護委員会のサイトで掲載されているFAQにも委託の取扱いに関する質問は2015年11月末時点でも15個に上っています。


伊藤 委託については、個人情報保護法と番号法で規定に違いがあるのも、現場が困惑する一つかもしれませんね。

 番号法の一般法にあたる個人情報保護法では、「その委託先が個人情報取扱事業者に該当するか否か」によって監督義務の有無が判断されました。しかし、番号法では該当の有無に関係なく委託先に対して監督義務を負うことになります。

 セミナーなどでも委託に関する質問は多いですか?


大橋 多いですね。

 11月に開催したセミナーでは「委託先がガイドライン上の中小規模事業者に該当する場合、委託先のとるべき安全管理措置として中小規模事業者に求められる要件を満たしていることを確認すれば選定として問題ないか」という趣旨の質問が事前アンケートに含まれていました。

 そもそも特定個人情報の業務委託を受ける場合、委託先の事業者規模に関わらず、中小規模事業者に該当しないということが理解されていないようです。


伊藤 そこが委託時に注意したい最初のポイントですね。委託先が「ガイドライン上の中小規模事業者に該当しない」場合、厳格なルールで運用する必要がありますからね。


大橋 委託先の安全管理措置については、番号法以外に、どのような項目を遵守する必要がありますか?


伊藤 まず、委託先となる事業者は番号法に加え、個人情報保護法とガイドライン、関係法令を遵守する必要があります。

 また個人情報保護法に加えて求められる監督義務としては「個人番号を取り扱う事務の範囲の明確化」「特定個人情報等の範囲の明確化」「事務取扱担当者の明確化」「個人番号の削除、機器および電子媒体等の廃棄」があげられます。


大橋 そうすると、まず委託者が最初に行う選定時の確認事項としては、表2に記載された項目に加えて、上記の内容も含めるということになりますね。


伊藤 そうなりますね。

 それぞれの事項を確認して、特定個人情報の委託先として問題がないと判断したら、委託契約を締結することになります。


大橋 既存の契約内容で、番号法上で必要な安全管理措置が講じられている場合も、委託契約の再締結は必要でしょうか?


伊藤 表2の項目が既存の契約に含まれていれば、再締結の必要はないでしょう。

 しかし業務委託契約の締結は通常、委託する業務の範囲を特定するので、実際は業務の範囲も含めて現在の委託契約で十分であるか、再契約が必要であるかを判断することになると思います。


大橋 今回、契約に盛り込むべき内容には「契約内容の遵守状況について報告を求める規定」とありますので、実際はこの規定に基づき、委託者は委託先から報告書を受領しながら監督するということですね。


伊藤 そうです。そして、この「監督」もとても重要ですね。委託先に対する必要かつ十分な監督義務を果たすための具体的な対応をとらなかった結果、特定個人情報の漏えいなどが発生した場合、“委託者が番号法違反と判断される”可能性があります。

 したがって、遵守状況について報告を受けても監督内容として不十分と判断した場合は、ヒアリングや実地検査などの実施も検討することになるでしょう。


大橋 伊藤塾長、ありがとうございました。


今回のおさらい

photo

 特定個人情報の一部または全部の業務を委託する場合、以下の3つを確実に実施しましょう。

  • 選定
  • 契約の締結
  • 監督

マイナンバー実務に関わる最新情報

  • 11月6日に、マイナンバー(個人番号)をかたる不審な事案について、特定個人情報保護委員会から、内閣府や消費者庁、総務省との連名による注意喚起文が公表されています。

<information> ※追加

今回の記事でも触れている「監視ツール」について、S&J株式会社が開発元となった「MySOC」ではマイナンバーが安全に取り扱われているか、端末がマルウェアに感染していないかを監視することができます。

サービスの紹介はこちらから



<Information>マイナンバーセミナーのご案内

photo

 パイプドビッツでは、ガイドラインの解説にとどまらず収集から廃棄までの社内運用体制を、実際の運用ルール例やセキュリティ対策を交えて解説するマイナンバーセミナーを開催中です。

 詳細やお申込は<こちら>から。


Copyright © ITmedia, Inc. All Rights Reserved.