マイナンバー制度と委託先の管理 | マイナンバー対策準備室

マイナンバー制度と委託先管理

マイナンバー法では、社会保障及び税に関する手続書類の作成事務の全部又は一部の委託をする者は、委託先において、委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう、必要かつ適切な監督を行わなければならないとされています。

また、社会保障及び税に関する手続書類の作成事務の全部又は一部の委託を受ける者は、委託者の許諾を得た場合に限り、再委託を行うことができるとされており、再委託を受けた者が更に別の委託先に再委託を行う場合は、最初の委託者の許諾を得る必要があるものとされています。

※ 本稿は、『特定個人情報の適正な取扱いに関するガイドライン』が示す特定個人情報の取扱いの順守事項について解説します。なお、実務上は、個人情報保護委員会の公表する『ガイドラインのQ&A』も重要になるため、あわせて紹介いたします。

※ 本記事は2015年10月の制度開始時点における法令・制度内容に基づき作成しております。
2015年10月以降の改正事項は反映しておりませんので、最新の制度内容については、各省庁が公表する案内資料などをご確認いただきますようお願い申し上げます。

≪税務・経理の実務に役立つ情報をお探しの方におすすめ≫

　[経理実務マニュアル] 経理・税務に関する実務と手続きのポイントをまとめました

　[独立起業マニュアル] 独立・起業に必要な準備と手続きのポイントをまとめました

≪高品質の税務・経理サービスをお求めの方におすすめ≫

　[税務顧問サービス] 信頼できる税理士が、お客様の適正な記帳・決算をサポート

　[創業支援サービス] 起業時の事務仕事を軽減、本業に集中したいお客様をサポート

【記事目次】マイナンバー制度と委託先管理
	1．委託先における安全管理措置
	2．マイナンバー対応のワンポイントアドバイス
≫≫ 他の記事を見る

○ マイナンバー制度の概要解説

　(1) 委託先における安全管理措置

マイナンバー制度では、社会保障及び税に関する手続書類の作成事務の全部又は一部の委託をする者は、業務の委託先において、委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならないとされています。

委託者は、業務の委託先を適切に監督するための必要な措置を講じず、又は、必要かつ十分な監督義務を果たすための具体的な対応をとらなかった結果、特定個人情報の漏えい等が発生した場合、番号法違反と判断される可能性があります。

また、マイナンバー法では、社会保障及び税に関する手続書類の作成事務の全部又は一部の委託を受ける者は、委託者の許諾を得た場合に限り、再委託を行うことができるとされています。そして、再委託を受けた者は、更に別の委託先に再委託を行う場合は、最初の委託者の許諾を得る必要があるものとされます。

≪ 委託先の監督方法 ≫

1. 業務委託先の適切な選定
委託者は、業務委託先において、委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かをあらかじめ確認しなければならないとされています。
具体的な確認事項としては、委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等が例示されています。

2. 業務委託先との適切な委託契約の締結
業務委託先との契約内容に、秘密保持義務、事業所内からの特定個人情報の持出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければならないとされています。

3. 業務委託先における特定個人情報の取扱状況の把握
業務委託先との契約内容に、特定個人情報を取り扱う従業者の明確化、委託者が業務委託先に対して実地の調査を行うことができる規定等を盛り込むことが望ましいとされています。

≪ 再委託に対する監督責任 ≫

1. 業務委託先の再委託先に対する監督責任
業務委託先は、再委託先に対する監督義務があるため、業務委託先と再委託先間の委託契約の内容に、再委託先がさらに再委託をする場合の取扱いを定めるとともに、再委託を行う場合の条件、再委託した場合の業務委託先に対する通知義務等を盛り込むことが望ましいとされます。

2. 委託者の再委託先に対する間接的な監督責任
業務委託先が再委託を行う場合、委託者の業務委託先に対する監督義務には、再委託の適否だけではなく、業務委託先が再委託先に対して必要かつ適切な監督を行っているかどうかを監督することも含まれるため、委託者は再委託先に対しての間接的な監督義務を負うとされます。

≪ 参考『特定個人情報の適正な取扱いに関するガイドライン』第4-2-(1) ≫

≪ 委託先の管理ーQ&A ≫

（個人情報保護委員会の公表する『ガイドラインのQ&A』を抜粋して掲載しています。 )

質問		回答
Q3-1	「個人番号関係事務又は個人番号利用事務の全部又は一部の委託をする者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない。」としていますが、委託先において、番号法が求める水準の安全管理措置が講じられていればよく、委託者が実際に講じている安全管理措置と同等の措置まで求められているわけではないと考えてよいですか。	委託先は番号法が求める水準の安全管理措置を講ずるものであり、委託者が高度の措置をとっている場合にまで、それと同等の措置を求めているわけではありません。ただし、安全管理措置の検討に当たっては、番号法だけではなく、個人情報保護法等関係法令並びに本ガイドライン及び主務大臣のガイドライン等を遵守する必要があります。
Q3-5	既存の委託契約で、本ガイドラインと同等の個人情報の取扱いの規定がある場合、特定個人情報も包含していると解釈して、委託契約の再締結はしなくてもよいですか。	既存の契約内容で必要な番号法上の安全管理措置が講じられているのであれば、委託契約を再締結する必要はありません。
Q3-6	「委託先に安全管理措置を遵守させるために必要な契約の締結」について、実態として安全管理措置に係る委託者と委託先の合意が担保できる方法であれば、契約の締結以外の方法（例えば、誓約書や合意書の作成）も認められますか。	委託者・委託先双方が安全管理措置の内容につき合意をすれば法的効果が発生しますので、当該措置の内容に関する委託者・委託先間の合意内容を客観的に明確化できる手段であれば、書式の類型を問いません。
Q3-7	委託先・再委託先との業務委託契約を締結するに当たり、業務委託契約書等に、特定個人情報の取扱いを委託する旨の特段の記載が必要になりますか。	業務委託契約を締結する場合には、通常、委託する業務の範囲を特定することとなります。番号法においては、個人番号の利用範囲が限定的に定められていることから、委託先・再委託先との業務委託契約においても番号法で認められる事務の範囲内で委託する業務の範囲を特定する必要があります。
Q3-8	再委託（再々委託以降を含む。）を行うに当たり、最初の委託者から必ず許諾を得る必要がありますか。	再委託につき許諾を要求する規定は、最初の委託者において、再委託先が十分な安全管理措置を講ずることのできる適切な業者かどうかを確認させるため設けられたものであり、番号法第10条第１項により明示されています。したがって、最初の委託者の許諾を得る必要があります。なお、委託先や再委託先から個人番号や特定個人情報が漏えい等した場合、最初の委託者は、委託先に対する監督責任を問われる可能性があります。
Q3-11	委託契約に定めれば、委託先が、委託者の従業員等の特定個人情報を直接収集することはできますか。	個人番号の収集を委託すれば、委託先が収集することができます。
Q3-12	特定個人情報を取り扱う情報システムにクラウドサービス契約のように外部の事業者を活用している場合、番号法上の委託に該当しますか。	当該事業者が当該契約内容を履行するに当たって個人番号をその内容に含む電子データを取り扱うのかどうかが基準となります。当該事業者が個人番号をその内容に含む電子データを取り扱わない場合には、そもそも、個人番号関係事務又は個人番号利用事務の全部又は一部の委託を受けたとみることはできませんので、番号法上の委託には該当しません。当該事業者が個人番号をその内容に含む電子データを取り扱わない場合とは、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。
Q3-13	クラウドサービスが番号法上の委託に該当しない場合、クラウドサービスを利用する事業者が、クラウドサービスを提供する事業者に対して監督を行う義務は課されないと考えてよいですか。	クラウドサービスが番号法上の委託に該当しない場合、委託先の監督義務は課されませんが、クラウドサービスを利用する事業者は、自ら果たすべき安全管理措置の一環として、クラウドサービス事業者内にあるデータについて、適切な安全管理措置を講ずる必要があります。
Q3-14	特定個人情報を取り扱う情報システムの保守の全部又は一部に外部の事業者を活用している場合、番号法上の委託に該当しますか。また、外部の事業者が記録媒体等を持ち帰ることは、提供制限に違反しますか。	当該保守サービスを提供する事業者がサービス内容の全部又は一部として個人番号をその内容に含む電子データを取り扱う場合には、個人番号関係事務又は個人番号利用事務の一部の委託に該当します。一方、単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人番号関係事務又は個人番号利用事務の委託に該当しません。保守サービスを提供する事業者が、保守のため記録媒体等を持ち帰ることが想定される場合は、あらかじめ特定個人情報の保管を委託し、安全管理措置を確認する必要があります。
Q3-14-2	特定個人情報の受渡しに関して、配送業者、通信事業者等の外部事業者による配送・通信手段を利用する場合、番号法上の委託に該当しますか。	特定個人情報の受渡しに関して、配送業者による配送手段を利用する場合、当該配送業者は、通常、依頼された特定個人情報の中身の詳細については関知しないことから、事業者と配送業者との間で特に特定個人情報の取扱いについての合意があった場合を除き、個人番号関係事務又は個人番号利用事務の委託には該当しないものと解されます。また、通信事業者による通信手段を利用する場合も、当該通信事業者は、通常、特定個人情報を取り扱っているのではなく、通信手段を提供しているにすぎないことから、個人番号関係事務又は個人番号利用事務の委託には該当しないものと解されます。なお、事業者には、安全管理措置（番号法第12条等）を講ずる義務が課せられていますので、個人番号及び特定個人情報が漏えいしないよう、適切な外部事業者の選択、安全な配送方法の指定等の措置を講ずる必要があります。

≪ 参考個人情報保護委員会「ガイドラインQ&A」より抜粋 ≫

記事の最初に戻る

他の記事を見る

○ マイナンバー対応に役立つ『ワンポイントアドバイス』

また、業務委託先は、委託者の許諾を得た場合に限り、再委託を行うことができるとされており、再委託を受けた者が更に別の委託先に再委託を行う場合は、最初の委託者の許諾を得る必要があるものとされています。

平成27年10月以降、マイナンバーの通知開始後から、事業者には、特定個人情報等の漏えいを防止するため、委託先における特定個人情報の取扱いも含めた安全管理措置を講じることが求められるようになります。

マイナンバー制度への対応では、委託先で委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう、委託先の設備や従業者に対する監督・教育の状況など、委託先の業務体制等についてあらかじめ確認をとることや、委託先との契約において、秘密保持義務や、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況の報告など特定個人情報の取扱いに関わる合意事項を契約内容に盛り込むことなどを検討する必要があるため、特定個人情報に関わる業務の委託先とマイナンバー導入後の業務内容や、契約内容の見直しなどについて早急な協議が必要と考えられます。

≫≫ 次は事業者の対応の課題について見る

記事の最初に戻る

他の記事を見る

≪税務・経理の実務に役立つ情報をお探しの方におすすめ≫

　[経理実務マニュアル] 経理・税務に関する実務と手続きのポイント

　[独立起業マニュアル] 独立・起業に必要な準備と手続きのポイント

○ 『マイナンバー対策準備室』記事一覧

[記事一覧] マイナンバー制度の概要

[記事一覧] マイナンバー業務の基礎

[記事一覧] マイナンバー対応の進め方

コンテンツ執筆監修

エーキューブ総合会計事務所は、創業まもないベンチャー企業からＩＰＯ・上場企業に関する支援まで、お客様の経営ステージにあわせたワンストップのご支援を行う会計事務所です。
会社の設立・創業や経営の企画･運営のご相談、税務申告・経理代行、Ｍ＆Ａ支援、上場企業の決算開示に関するご支援などお客様をトータルにサポートします。