委託によるリスクの転嫁

執筆者:影島 広泰(弁護士)

個人番号・特定個人情報の取扱いについては、下記のとおりの厳しい規制があります。

  • 個人番号・特定個人情報は、個人番号を記載した書面を行政機関に提出する場面以外では利用や提供等を行うと違法になる
  • 個人番号の提供を受けるときには本人確認が必要になる
  • 情報管理については、個人情報とは異なる点があり、番号法ガイドラインに従った安全管理措置が必要となる

特定個人情報の取り扱いについては特定個人情報保護委員会に立入検査権があります。従業員が漏えい等した場合には、企業に200万円以下の罰金等の刑事罰の適用があります。

中小企業にとって法令に対応する体制を全て整えることは現実的でないと思われるかもしれません。それに対する現実的な対応策の1つとして、個人番号・特定個人情報の取り扱いを第三者に委託することが考えられます。

例えば、本人確認を含めた番号の取得から、源泉徴収票の作成・提出や社会保険関係の書類の作成・提出等を、会計事務所や社会保険労務士事務所に委託したり、ITベンダのサービスを利用したりすることで、自らは特定個人情報をなるべく取り扱わないようにする、ということです。

  自社で行う場合 委託する場合
個人番号の取得 番号確認(通知カード等)+
身元(実在)確認(運転免許証等)
委託先が本人確認を行う
個人番号・特定個人情報の利用・提供等の制限 従業員が目的外に利用したり第三者に提供したりしないように、社内の体制を構築 取り扱う場面が少なくなるので、目的外利用や第三者提供することが考えにくくなる(ITベンダーのサービスであればアクセス権を与えなければよい)
安全管理措置 基本方針の策定 義務ではない 義務ではない
取扱規程等の策定 取扱規程等を策定 委託先に対する必要かつ適切な監督
組織的安全管理措置 システムログまたは利用実績の記録等 委託先に対する必要かつ適切な監督
人的安全管理措置 事務取扱担当者に対する監督・教育 委託先に対する必要かつ適切な監督
物理的安全管理措置 管理区域と取扱区域における物理的な措置等 委託先に対する必要かつ適切な監督
技術的安全管理措置 情報漏えいしないための技術的な措置 委託先に対する必要かつ適切な監督
書類・データの廃棄・削除 削除又は廃棄した記録を保存 委託先が確実に削除又は廃棄したことについて、証明書等により確認

委託先を選定する際の義務

委託をする際には、委託者は委託先に対する必要かつ適切な監督を果たさなければなりません。具体的には

①委託先の適切な選定
②委託先に安全管理措置を遵守させるために必要な契約の締結
③委託先における特定個人情報の取扱状況の把握
が必要であるとされています。

このうちの①について、番号法ガイドラインは、「委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない」 としています。

つまり、委託先(例えば会計事務所や社会保険労務士事務所、ITベンダーなど)が、委託者自らが果たすべき安全管理措置と同等の措置が講じていなければ、特定個人情報の取り扱いを委託してはならないのです。そのような措置を講じていない委託先に委託して情報漏えい等が発生した場合には、委託先に対する必要かつ適切な監督を果たしていなかったとして、委託者の責任が問われる可能性があります。

また、委託先からの個人情報漏えいの重大事故が発生していることから、経産省の個人情報保護法ガイドライン(個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン)が改正されており、これに基づいた委託先の選定も求められます。

経産省ガイドライン
委託先の選定に当たっては、委託先の安全管理措置が、少なくとも個人情報保護法20条で求められるものと同等であることを確認するため、以下の項目が、委託する業務内容に沿って、確実に実施されることについて、委託先の社内体制、規程等の確認、必要に応じて、実地検査等を行った上で、個人情報保護管理者(CPO)等が、適切に評価することが望ましい。
組織的安全管理措置
  • 個人データの安全管理措置を講じるための組織体制の整備
  • 個人データの安全管理措置を定める規程等の整備と規程等に従った運用
  • 個人データの取扱状況を一覧できる手段の整備
  • 個人データの安全管理措置の評価、見直し及び改善
  • 事故または違反への対処
人的安全管理措置
  • 雇用契約時における従業者との非開示契約の締結、及び委託契約等(派遣契約を含む。)における委託元と委託先間での非開示契約の締結
  • 従業者に対する内部規程等の周知・教育・訓練の実施
物理的安全管理措置
  • 入退館(室)管理の実施
  • 盗難等の防止
  • 機器・装置等の物理的な保護
技術的安全管理措置
  • 個人データへのアクセスにおける識別と認証
  • 個人データへのアクセス制御
  • 個人データへのアクセス権限の管理
  • 個人データのアクセスの記録
  • 個人データを取り扱う情報システムについての不正ソフトウェア対策
  • 個人データの移送・送信時の対策
  • 個人データを取り扱う情報システムの動作確認時の対策
  • 個人データを取り扱う情報システムの監視

以上のとおり、委託先を選定する際に考慮する要素は非常に多岐にわたりますので、中小企業がこれを1つ1つ確認することは現実的ではありません。

番号法ガイドラインがいう「委託先の設備、技術水準、従業者に対する監督・教育の状況」や、経産省ガイドラインがいう様々な措置は、その多くがプライバシーマーク(JIS Q 15001)の認証、またはISMS(JIS Q 27000)の認証の際に対応済みであると考えられます。

したがって、プライバシーマークやISMSの認証を取得しており、経営環境が悪くないといわれている委託先を選定することで、上記の内容をあらかじめ確認したと考えられます。さらに特定個人情報保護評価を自主的に行っている委託先であればなお良いといえます。

行政機関の長等が行っている特定個人情報保護評価の実例をみても、委託先の選定基準としてプライバシーマークやISMSの取得をしていることを委託先の条件とすることで、リスク対応をしたとしています。

委託を受ける側の対応

委託を受けることになる会計事務所や社会保険労務士事務所等においては、問題はより深刻です。委託者が果たすべき安全管理措置を果たしているといえる状態にしておかなければ委託を受けることができないからです。

したがって、特定個人情報の取り扱いについては安全管理措置を適切に講じている事業者等に再委託をすることで、委託者が果たすべき安全管理措置を果たしているといえるようにしておくことも積極的に検討すべきものと思われます。

マイナンバーコラム

個人番号の収集と保管 影島 広泰(弁護士)
委託によるリスクの転嫁 影島 広泰(弁護士)
税務関連関連の実務への影響 小島 孝子(税理士)
中小企業の実務への影響 影島 広泰(弁護士)
マイナンバーとは 影島 広泰(弁護士)

※当コンテンツは協力企業によりご提供いただいた記事のため、当サイト外にリンクされる場合があります。ご了承下さい。

マイナンバーワークス

マイナンバーコラム

個人番号の収集と保管
影島 広泰(弁護士)
委託によるリスクの転嫁
影島 広泰(弁護士)
税務関連関連の実務への影響
小島 孝子(税理士)
中小企業の実務への影響
影島 広泰(弁護士)
マイナンバーとは
影島 広泰(弁護士)