マイナンバーの管理は委託できるのか?
まずはマイナンバー管理は委託可能かどうか解説します。
法律の定めにより委託することが可能
企業は、源泉徴収や社会保険に関わる書類に従業員のマイナンバーを記載し、公的機関に提出しなければいけません。そして、それらの事務処理には従業員の数、または扶養家族がいる場合は扶養家族人数分のマイナンバーを収集・管理する必要があります。
しかし、マイナンバーの取り扱いは法律によって厳格なルールが設けられており、管理担当者を決定したり、専門的な知識やシステムの整備が必要になります。
番号法10条では、マイナンバーに関わる業務の委託・再委託を認めているため、実際に社内での管理やコストを考慮すると、マイナンバー管理の委託は有効な手段といえるでしょう。
委託先に対する監督責任が生じる
マイナンバー管理業務の委託は、番号法10条に基づいて適切に行うことが必要ですが、同法11条では、委託先への監督義務を明記しています。
そのため委託先を選定する場合、適切なマイナンバー管理ができるかあらかじめ確認しなければいけません。この確認を怠ると、マイナンバー法違反になる可能性があるため注意してください。
さらに委託先が委託元の承諾を得て別の事業者に業務委託する場合、委託元に再委託先の監督責任が生じます。つまり委託元は、同条の規定「必要かつ適切な監督」に基づき、委託先と再委託先を監督する義務があります。
マイナンバーが漏えいした場合、先委託先・再委託だけでなく委託元にも責任が生じるため注意しましょう。
参照:行政手続における特定の個人を識別するための番号の利用等に関する法律|e-Gov
マイナンバー管理を委託する際の監督責任とは?
マイナンバー管理の委託は、委託元に監督責任が生じます。その内容について解説します。
委託先の適切な選定
委託元は、安全管理措置に基づきマイナンバー管理が行える業者を選定しなければいけません。委託先を選定する際の確認事項は以下のとおりです。
- 設備
- マイナンバーを取り扱う部屋の入室に必要なICカードリーダの設置。マイナンバー記載文書を保管するための鍵付きの専用棚の設置。
- 技術水準
- マイナンバー管理を行うシステムへのアクセス制御が行われているか、など。
- 委託先従業員の監督・教育状況
- マイナンバー業務の担当者に対する監督や教育が行き届いているか、委託先の重役がマイナンバーへの理解があるか。
- 経営環境
- ほかの委託元とトラブルを起こしていないかどうか。健全な経営を行っているか。
監督責任を果たすため、マイナンバー管理の委託先に適当かどうかしっかりと検討しましょう。
安全管理措置に関する委託契約の締結
委託する時は安全管理措置遵守の内容を盛り込んだ契約の締結が必要です。盛り込むべき項目は以下のとおりです。
- ■秘密保持義務
- ■マイナンバーの持ち出し禁止
- ■マイナンバーの目的外利用の禁止
- ■再委託の条件
- ■マイナンバー漏洩時の委託先の責任範囲
- ■委託契約終了後のマイナンバーの返却・破棄
- ■従業員に対する監督・教育
- ■契約内容遵守の報告義務
契約時は項目の抜けがないよう、細心のチェックを行いましょう。後日トラブルにならないよう入念なチェックが必要です。
委託先における特定個人情報の取扱状況の把握
マイナンバーは、委託元同様、委託先でも厳格な運用・管理が法律で定められています。委託する際は委託先に出向き、委託先が契約に則って適切なマイナンバー管理行っているか確認をしましょう。
マイナンバーが適切に管理されていない場合、委託契約を解除する旨を契約書に明記しておくことも大切です。
クラウドサービスを利用したマイナンバー管理の注意点は?
クラウドによるマイナンバー管理の委託サービスが提供されていますが、利用する際の注意点を見ていきましょう。
マイナンバーを取扱う場合には委託となる
マイナンバーに関わるクラウドサービスは、委託に該当する場合と該当しない場合があるので注意してください。委託となる基準は、マイナンバーを含むデータの取り扱いを行うかどうかです。
一般的なクラウドのマイナンバー管理サービスは、データの保存だけでなく、データの更新作業やバックアップ、解約時のデータ削除などの作業を行います。マイナンバーに関するデータを委託元が取扱を行っているため、委託となります。
また、委託に該当しないケースは、データの保存エリアのみを提供する場合です。マイナンバーを取り扱わないという契約が締結されている・それを遵守するためにアクセス制御を行っている、そのような場合は委託に該当しません。
しかし、こういったケースはごく稀であるため、クラウドサービス利用時は委託であると認識しておいたほうが良いでしょう。
委託に該当しなくても安全管理措置は必要
マイナンバーを含むデータ保存のためにクラウドサービスを利用する場合、クラウド事業者に対する監督責任は生じません。しかし、クラウド上に保存したデータに対し、自社で安全管理措置を講じる必要があります。
データを保存するクラウドサービスが信用できるか吟味し、クラウド事業者がマイナンバーを閲覧できない状態になっているか確認しましょう。さらに自社内では、アクセス制御を行ったり、ウイルス対策ソフトの導入をおすすめします。
グループ会社間におけるマイナンバー管理の注意点は?
グループ会社間でのマイナンバー管理は注意点が2つあります。それぞれ解説します。
共同利用は不可
組織の規模が大きくなると親会社や子会社、グループ会社など、複数の会社で構成されます。その際、人事情報をグループ会社間で共同利用できますが、マイナンバーはそれができません。
親会社が人事・給与を管理する場合は、マイナンバーの取得・管理を行うことが多いでしょう。しかし、番号法ではグループ会社は別会社とみなされるため、親会社で管理されるマイナンバーは、ほかのグループ会社では利用できません。
マイナンバー情報を人事情報と同様に扱うことのないよう細心の注意を払いましょう。
出向時には再度マイナンバー取得が必要
出向元・出向先間でのマイナンバーのやり取りは、法律上禁止されています。出向元からのマイナンバー取得は目的外利用にあたるため、必要な場合は改めてマイナンバーの提出を求めましょう。その際、本人確認と利用目的の明示が必要です。
しかし、合併の場合や出向元と出向先でマイナンバーの取り扱いに関する事務の委託契約を締結している場合は例外です。合併による事業継承の際は、番号法19条に該当し、継承先にマイナンバーの提供が可能です。
一方、双方で委託契約を締結している場合、出向元の事業者が本人確認をした上でマイナンバーの提供が可能になります。しかし、出向先では改めて本人からの番号通知を受ける必要があります。
出向状況によりマイナンバー取得方法が異なるため注意しましょう。
委託前に監督責任やクラウド利用の注意点を確認!
マイナンバー管理の委託は可能ですが、委託先への監督責任が生じます。委託先には、適切なマイナンバー管理が可能な業者を選ばなければいけません。そして安全管理措置を遵守する内容を盛り込んだ契約書を締結。定期的に委託先の実地調査を行う必要があります。
また、グループ会社間やクラウドサービス利用においては、マイナンバーの扱いは細かい決まりがあるため注意が必要です。マイナンバー管理を委託する際は、ルールを再確認しましょう。
