このブログではここまで、主に自社内でマイナンバーを取扱うことについて解説してきましたが、今回は、マイナンバーを取扱う業務を外部に委託する場合のお話です。

マイナンバー業務の委託

ガイドラインではマイナンバーの取得や提供要求については厳格な取り決めがありますが、マイナンバーを取扱う業務(源泉徴収票作成の事務、社会保険関係の書類を提出する事務、など)を外部に委託することについては禁止されていません。すなわち、マイナンバーを扱う業務を外部の税理士事務所、社会保険労務士事務所、ITベンダーなどに委託することは可能です。

ただし、ガイドラインでは、委託する場合は委託先で適切な安全管理措置が講じられるよう、委託元は委託先に対して必要かつ適切な監督を行う義務があるとされています。委託元がこの監督を怠り結果としてマイナンバーが漏洩するようなことがあった場合、それが委託先のミスであったとしても、委託元もマイナンバー法違反に問われる可能性があります。

では、必要かつ適切な監督、とはどのような監督でしょうか。ガイドラインでは、以下の3点を挙げています。

1.委託先の適切な選定
大切なマイナンバーを預けることになるのですから、委託先には信頼できるところを選定したいものです。ガイドラインでは、「委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。」と、確認することは義務として規定されています。委託先の設備や業務・教育体制、経営環境などを事前にチェックし、信頼できるかどうかを確認しましょう。プライバシーマークやISMSといった認証を受けていることも、一つの判断材料となるでしょう。
2.委託先に安全管理措置を遵守させるために必要な契約の締結
通常、業務を委託する場合は業務委託契約を締結することが多いですが、その契約書の中に安全管理措置を委託先に遵守させるための事項を盛り込むことが必要です。すでに業務委託契約や顧問契約を締結済みの場合は、追加で覚書を交わすという方法もあります。そして、この契約には以下の事項を入れることがガイドラインで義務付けられています。

  • 秘密保持義務
  • 事務所内からの特定個人情報の持ち出しの禁止
  • 特定個人情報の目的外利用の禁止
  • 再委託における条件
  • 漏洩事案等が発生した場合の委託先の責任
  • 委託契約終了後の特定個人情報の返却又は廃棄
  • 従業者に対する監督・教育
  • 契約内容の遵守状況について報告を求める規定
3.委託先における特定個人情報の取扱状況の把握
契約した内容を委託先が正しく実行しているか、確認する義務が委託元にはあります。先の契約内容に「契約内容の遵守状況について報告を求める規定」を入れているので、その報告を受けることで取扱い状況の把握が可能になります。

再委託について

マイナンバー業務の委託を受けた者は、委託元の許諾を得た場合に限り、その業務を再委託することができます。再委託を受けた者は、最初の委託元の許諾を得れば、さらに再委託することができます。

再委託が発生した場合、再委託先を監督するのは委託先です。ただし、委託元は、委託先が再委託先を正しく監督しているかどうかを監督する必要あるため、間接的に再委託先を監督していると言えます。

委託が発生するケース

マイナンバー業務の委託が発生する一番代表的な事例は、年末調整や社会保険手続きを税理士や社会保険労務士へ委託する場合だと思われます。現在顧問契約を締結している場合は、マイナンバーの利用開始に合わせて、契約書を更新するか覚書を追加する必要があります(弊社も準備中です。)ので、忘れずに実施しましょう。また、最近ではマイナンバーの収集をオンラインで代行するような業者もありますので、そういったところとの契約も委託になると思われます。

TIPS:ITサービス業者への委託について

近年ではインターネット上のクラウド、ホスティング、ハウジングなどのサービスで情報システムを利用するケースも多くなってきました。そういったシステムでは、インターネット上のサーバーに従業員情報を登録しているケースがありますが、ここにマイナンバーが追加された場合、そのシステムを提供しているITサービス業者にマイナンバー業務を委託したことになるのでしょうか? 典型例としては、クラウド上で動作する給与システムで源泉徴収票を印刷するために、クラウド上の従業員マスターにマイナンバーを追加する、などが考えられます。確かに、マイナンバーを自分たちのではない他社のサーバーに保存するのですから、委託に該当するような気がしますね。

これについては、特定個人情報保護委員会が以下のようなQ&Aを公開しています。(強調は筆者。)

Q3-12 特定個人情報を取り扱う情報システムにクラウドサービス契約のように外部の事業者を活用している場合、番号法上の委託に該当しますか。

A3-12 当該事業者が当該契約内容を履行するに当たって個人番号をその内容に含む電子データを取り扱うのかどうかが基準となります。当該事業者が個人番号をその内容に含む電子データを取り扱わない場合には、そもそも、個人番号関係事務又は個人番号利用事務の全部又は一部の委託を受けたとみることはできませんので、番号法上の委託には該当しません。
当該事業者が個人番号をその内容に含む電子データを取り扱わない場合とは、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。(平成27年4月更新・Q9-2に分割)

つまり、ITサービス業者が提供するサーバーにマイナンバーを登録したとしても、「ITサービス業者はそのマイナンバーを取扱わない」ことがサービス契約の中で謳われていて、かつ、実際にITサービス業者がマイナンバーにアクセスできないようシステム的な制限がかかっていれば、委託には該当しないことになります。これから、様々なITサービスがマイナンバーに対応していくことが予想されますが、契約内容や実際のアクセス制御がどうなっているか、提供業者に確認しておくことが重要です。

 

監修:社会保険労務士法人アクシス代表社員 樫葉 稔