今までいただいたご質問の中で多かった質問とその回答例です。
詳細画面から専門家に、メール相談や直接会っての面談などを申し込むことができます。
マイナンバーに対応した各種サービスへの外部委託をする場合、どのような留意点がありますか?
丸投げにせず、必ず必要かつ適切な監督を行うことです。
番号法では、個人番号関係事務および個人番号利用事務の一部または全部を委託・再委託することが認められていますが、外部委託をする際には、委託者は委託先において委託者と同等の安全管理措置が講じられるよう必要かつ適切な監督を行わなければならないとされています。このことから、外部委託をする場合には委託先に丸投げするのではなく、委託者としてしっかりとした管理監督を行うことが要求されます。なお、委託先を適切に監督するために必要な措置を講じず、又は、必要かつ十分な監督義務を果たすための具体的な対応を取らなかった結果、特定個人情報の漏えい等が発生した場合、番号法違反と判断される可能性があります。
「特定個人情報等の適正な取扱いに関するガイドライン」では、次の3つの対応を求めています(下図)。
① 委託先の適切な選定
② 委託先に安全管理措置を遵守させるために必要な契約の締結
③ 委託先における特定個人情報の取扱状況の把握
なお、番号法では、再委託も認めていますが、再委託を行う際には、常に本来の委託者の許可を得ることとされています。つまり、再委託が行われた際には、必ずその事実を委託者が確認することになり、再委託先に関しても本来の委託者は間接的に監督責任を有することになります。「委託先が別の再委託先に委託していたので、その再委託先が問題を起こしても知らなかった」ということは許されません。必ず再委託先に関しても、適切な選定先かどうかを把握し、委託先が再委託先に対して必要かつ適切な監督を行っているかどうかを監督することも含まれます。
例えば、特定個人情報ファイルを廃棄する作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、委託者は委託先が発行した証明書等により確認します。