第27回 マイナンバー その3

  • Clip to Evernote
  • Check


マイナンバーは税と社会保障に利用されるということで、給与計算業務や社会保障関係の申請に
必ず必要となります。
これらの業務を税理士や社会保険労務士に依頼していることがあり、これを委託といいます。
委託する場合でも自社で行うマイナンバーの安全管理措置を委託先でも講じ、委託元はそれを
監督しなければなりません。
今回は委託におけるマイナンバーの取扱いについてお話ししたいと思います。


○委託・再委託の取扱い(マイナンバーガイドライン入門(事業者編)より)
   ・個人番号関係事務の全部または一部の委託者は、委託先において、番号法に基づき委託者らが
      果たすべき安全管理措置と同等の措置(安全管理措置についてはマイナンバーその2を
      ご覧ください
)が講じられるよう必要かつ適切な監督を実施すること
   ・個人番号関係事務の全部または一部の委託者は、最初の委託者の承諾を得た場合に限り、
      再委託することができる

と記載され、委託を行う場合には次の3点を実施しなければなりません。

1.委託先の適切な選定
      委託先の設備(入退出管理)、技術水準(アクセス制限)、従業員に対する監督・教育の状況が
      委託者自ら行う安全管理措置と同等であるか...、マイナンバーを安全に取り扱える能力があるかを
      チェックし委託先を選定します。
2.委託先における安全管理措置を尊守させるために必要な契約を締結
      契約内容に秘密保持義務やマイナンバーの目的外利用の禁止、再委託(注1)する場合の条件と
      漏洩などが発生したときの委託先の責任などを盛り込んで契約を結ぶ必要があります。
      具体的には、誰が・いつ・何に利用するためにマイナンバーにアクセスするのかと、契約終了時の
      返却・廃棄などの手順など、明記しておくとよいでしょう。
3.委託先における特定個人情報の取扱い状況の把握
      委託した特定個人情報が安全管理措置のもと適切に扱われているか、状況を把握(定期的に
      報告を受ける)できるようにします。委託先で問題の兆候があった場合には、早急に対応
      (報告を求めたり、立ち入り検査)をしなければなりません。

マイナンバー業務を委託するからといって委託先に丸投げしてはいけません。
何を委託するのか、例えば本人確認は自社で行い、税務手続きに必要な書類の印刷を依頼する...などを
予め明確にしておきます。(本人確認は自社で行ったほうが従業員の負担も軽減できます)
その上で委託先の選定を行います。今まで委託していた業者であっても、マイナンバーの取扱業務に
適しているか確認を行います。選定の結果、適合していない業者であったなら新な委託先を選定する
必要性が出てきます。
なぜ、慎重に選定しなければならないのか、それは委託元に監督責任が発生するからです。
万一、特定個人情報が委託先から漏洩してしまった場合、責任は委託先ではなく、委託元(あなた)が責任
負うことになり、罰則も監督責任者(あなた)に科せられます。
罰則についてはマイナンバーその2をご覧ください

では、具体的に何をチェックすればいいのか、選定基準として「委託先の安全管理措置のチェックシート」が
Internet上にいくつか掲載されています。こちらのサンプルをご参照ください。
(ここではわかりやすいチェックシートを掲載いたしました)

最後に各社から提供されているマイナンバーの収集・管理サービスについてですが、クラウドのサービスが
中心となっており、クラウドサービス業者がマイナンバーを含むデータを取扱わなければ、マイナンバー法上
「委託」に該当しないとされています。
が、障害発生時のデータの復旧や契約解除時のデータ消去等をクラウドサービス業者に依頼し、
マイナンバーを含むデータを操作すれば「委託」に該当することになり、「監督責任」は生じます。
サービスを利用するときには、契約内容をきちんと確認しておく必要があるでしょう。



マイナンバー通知が、私のところにようやく届きました。マイナンバーの運用開始まであとわずかです。
今一度、社内規定や運用の確認、教育・周知を行ってください。

注1)再委託先とは
       業務委託を引き受けた業者が、その業務をさらに別の業者に委託すること
       再委託を禁止している企業も多くあります。再委託先まで監督するとなると負荷が大きくなるので、
       再委託についてはお勧めしません。