コラム

 公開日: 2015-05-11  最終更新日: 2016-10-28

マイナンバー制度概要(4)-マイナンバーの安全管理措置(委託の取扱い)

今回はマイナンバーの安全管理措置のうち、「委託の取扱い」について確認します。
マイナンバーの管理体系(4)
昨年のベネッセコーポレーションの事件に代表される様に、委託先の従業者が委託元の保有する個人情報を漏えいする事件が後を絶ちません。マイナンバーが漏えいすると、そのマイナンバーに関連した納税や年金等に関する記録に対して不正な追跡等が行われ、そのマイナンバーを保有する個人の権利利益の侵害を招きかねません。そのため、マイナンバー制度では個人情報保護法よりも厳格な保護措置が設けられています。

番号法と個人情報保護法における委託先管理の比較

まず、委託先の管理について、制度上どのような違いがあるかを確認します。電子政府の法令データ提供システムによる出力結果から、委託先管理に該当する部分を抜粋したのが、以下の表になります。
番号法と個人情報保護法の比較
法律上、委託先管理に関する条文と委託先の監督に関する条文については、双方の法律においてあまり変わらない内容になっています。ただし、義務付けられている対象は、個人情報保護法では保有する個人情報が5,000件以上の個人情報取扱事業者のみですが、番号法ではほぼすべての事業者が対象になることです。
また、番号法で新たに追加されたのは、再委託に関する項目です。委託者がマイナンバー関連業務を再委託する場合は、委託元の許諾が必須条件となっております。

マイナンバーの安全管理措置(委託の取扱い)

マイナンバー関連事務を外部に委託する際の取扱いに関して、法制度上は以下の様に定義されています。
1.委託先の監督(番号法第11条)
2.再委託(番号法第10条、第11条)

マイナンバーの安全管理措置(委託の取扱い) 1.委託先の監督

マイナンバー関連事務の全部、または一部を外部の事業者に委託する際、委託者は委託先がマイナンバーを含む特定個人情報に対して、委託者が果たすべき安全管理措置と同等の措置が講じられるよう、委託先に対して必要かつ適切な監督を行わなければなりません。
もし、委託先を適切に監督するために必要な措置を行わなかったり、必要十分な対応を取らなかったりした結果、特定個人情報の漏えい等が発生した場合、法律違反と判断される可能性があります。
委託先に対する、必要かつ適切な監督とは、以下の内容が含まれます。
①委託先の適切な選定
②委託先に安全管理措置を遵守させるために必要な契約の締結
③委託先における特定個人情報の取扱状況の把握

①委託先の選定
委託者は、委託を依頼しようとする事業者に対して、委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かを判断するため、設備、技術水準、従業者に対する監督や教育の状況、その他経営環境等をあらかじめ確認しなければなりません。

②委託先に安全管理措置を遵守させるために必要な契約の締結
委託先に対する契約内容として、以下の項目を盛り込む必要があります。
・秘密保持義務
・事業所内からの特定個人情報の持出しの禁止
・特定個人情報の目的外利用の禁止
・再委託における条件
・漏えい事案等が発生した場合の委託先の責任
・委託契約終了後の特定個人情報の返却又は廃棄
・従業者に対する監督や教育
・契約内容の遵守状況について報告を求める規定

また、これに追加して、以下の項目を盛り込むことが望まれています。
・特定個人情報を取り扱う従業者の明確化
・委託者が委託先に対して実地の調査を行うことができる規定


③委託先における特定個人情報の取扱状況の把握
ガイドライン上は明記されていませんが、上記契約内容の「契約内容の遵守状況について報告を求める規定」に基づいて実施することになります。
具体的な例として、
・定例会の実施
・安全管理措置に関するレポートの提出
特定個人情報に対するアクセス権限者の増減、従業者に対する教育状況、等
・安全管理措置に関する課題と改善対応


マイナンバーの安全管理措置(委託の取扱い) 2.再委託

マイナンバー関連事務に関しては、法律上に明記されている通り、委託者(委託を受けた事業者)は委託元の許諾を得た場合に限り、再委託をすることができます。再委託先が再々委託を行う場合、許諾は上位の委託元ではなく、最上位の委託元の許諾を得る必要があります。さらに再委託が続く場合も同様です。
また、再委託先の監督については委託先が行う一方で、委託元は委託先が再委託先に適切に監督業務を行っていることを監督する必要があります。
つまり委託元の監督業務は、以下の通りとなります。
・委託先に対する直接的な監督業務
・再委託先、再々委託先、以降に対する間接的な監督業務
マイナンバー制度における委託先管理イメージ

マイナンバーの安全管理措置(委託の取扱い)におけるポイント

委託先管理については、昨今の情報漏えい事件での教訓から強化されたように見受けられます。しかしながら、冒頭で法律の条文を確認した通り、基本的には以前から盛り込まれている内容です。これまでは実施状況が事業者に依存していたところを、ある程度制度的に縛りをかけてきたという印象となります。留意点としては以下の通りです。

●委託先の監督における「委託先における特定個人情報の取扱状況の把握」
「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」で記載がほとんどされていない「委託先における特定個人情報の取扱状況の把握」ですが、この仕組みをどこまで整備するかが重要になると考えられます。
別のコラムでも触れましたが、委託契約のセキュリティ条項や秘密保持に関する条項の記載内容に関して、実際の状況は委託先にお任せ状態で、委託元では
「事故が無い=問題が無い(だろう)」
というような認識ではないでしょうか。
もしお任せ状態であれば、これを改めて、積極的に監督するように変えていくことが肝要です。これまでの情報漏えい事件を振り返ってもわかるように、委託先の従業員が起こした事件であっても、社会的には監督が行き届いていないということで、委託元の会社が謝罪をしなければなりません(もちろん、実行犯は別途処罰を受けることにはなりますが)。その際に、やるべきことをやってきたのかどうかは世間の印象が大きく変わります。また、積極的に監督を行うことによって、委託先の従業者に対して間接的な抑止効果となり得ます。
監督といっても誰かが委託先に出向くといったことではなく、あらかじめ合意した安全管理措置を運用していく中で作られるログや統計情報をレポートする内容を取り纏めた内容でまずは検討してみて下さい。この内容を定期的に確認することで、実際の運用上の課題や改善点も確認することができるようになるでしょう。

●情報システムの保守・運用委託会社の取扱い
マイナンバー制度の安全管理措置としての委託業者の対象は、マイナンバー関連事務の全部または一部の委託を請け負う業者です。ガイドライン上は明記されていないようですが、実はもう一つ、同等の監督を行うべき委託業者が存在すると弊社は考えます。それはマイナンバー制度に関する機能を追加した情報システムを保守・運用する委託業者です。
他のコラムでも触れていますが、情報システムを保守・運用する委託業者には、システム管理者の権限が付与されていることが多いため、その権限を利用して従業員等のマイナンバー情報を参照したり、マイナンバー関連データをダウンロードしたりすることが容易にできる可能性があります。
もしシステム保守・運用の委託会社がマイナンバー情報に容易にアクセス可能な状況であるならば、業務委託会社と同等の監督を行える様、委託会社と協議し、実行することが望まれます。

●委託先の監督の横展開
先にも述べたように、委託先の監督や再委託先の扱いについては、元々言われていた内容に過ぎません。本来であれば現在のシステム開発や運用、個人情報取扱い業務のアウトソース、といった委託先にも適用されるべき内容です。また、契約上は実施されているべき内容ではないでしょうか。もちろん、委託先との調整は必要になりますが、これを機会に主だった委託契約の内容を再確認し、リスクの高低に応じて監督業務を実践する方向に動いてみてはいかがでしょうか。

次回は委託先管理以外のマイナンバーの安全管理措置について確認します。

上記内容に関連して、ご相談や質問などがございましたら、お気軽にご連絡ください。
お問い合わせフォームは、こちらです。

デルタエッジコンサルタントではマイナンバー制度への対応を支援するコンサルティングサービスを提供します。詳細はこちらをご確認ください。
-->マイナンバー制度対応サービス(弊社ホームページにリンクします)

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

1

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ

大きな被害が発生した熊本地震の被災地では、まだ余震の続く中で復興作業が行われています。このような大地震発生等の事象に備えて、多くの企業では防災対策や業務継...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
パスワードの再確認~女性芸能人のデータ盗み見事件に関連して
イメージ

先日、複数の女性芸能人のメールサービスやデータ保存サービスなどに不正に接続し、保存されたメールや写真データ...

[ セキュリティ ]

マイナンバー制度と年末調整等

今年も残すところ2ヶ月という時期となりました。給与計算関連の業務担当者にとっては、年末調整、及び法定調書等...

[ マイナンバー制度 ]

水害に対応するための簡易的なBCP策定のすすめ

ここ数年、日本各地で台風や集中豪雨による水害の発生や被害が増えています。もし、皆さんの会社や施設が水害に遭...

[ BCP・防災 ]

2016年上半期のネットバンキング不正送金被害状況
イメージ

先日、警察庁から今年上半期(2016年1月~6月)に発生したインターネットバンキング利用者の預貯金を狙った不正送...

[ セキュリティ ]

メールマガジンなどの不要なメールを安易に「配信停止」していませんか?

毎日の様に送信されてくる、勧誘や告知、広告などを目的としたメールマガジンや迷惑メールにうんざりしている方も...

[ セキュリティ ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ