水町 雅子
五番町法律事務所 弁護士
元内閣官房社会保障改革担当室参事官補佐
本連載では、マイナンバーのために今やるべきことは何か、マイナンバーの取り扱いのポイントは何かを、具体的に解説していく。
マイナンバー業務を委託しても、責任をすべて委託先に委ねられるわけではない。法律上、委託元は委託先を監督する義務がある。第6回は、「委託・調達の準備」について解説したが、今回は委託する場合に行うべき「委託先の監督」について説明する。
今回のポイント「委託先を監督するときの確認事項と方法を押さえよう」
● 法律上、委託先を監督する義務が生じる
● 自社以外の者がマイナンバーにアクセスできる状況にあれば、マイナンバーの委託に当たる
● 監督を避けるための方法を考えるよりも、今後無理なくマイナンバーを運用できるような検討が必要
● 委託先の監督とは、①委託先の選定、②委託契約、③取扱状況の把握
1.委託先を監督する義務がある
「マイナンバー対応」「マイナンバー運用」をなぜ委託できるのか。それは、法律上、マイナンバーの取り扱いを他者に任せてはいけないという禁止規定がないためである。このため、マイナンバー業務を社外に委託することができる。
では、マイナンバーや個人情報に限らず、通常、業務を委託するのはなぜか。自社で行うよりも、専門的なノウハウを持った会社に低価格で業務を行ってもらえたり、コア業務に集中できることで自社の売り上げアップにつながるなど、さまざまなメリットがあるからであって、自社の責任を回避できるからではない。これは、マイナンバーでも同様である。さらにマイナンバーや個人情報については、通常の業務全般とは異なり、法律で明確に委託先を監督しなければならないことが義務づけられている[図表1]。
つまり、委託すると、自社でその分の業務を行わないだけであり、すべての責任を免れるわけではない。マイナンバー法や個人情報保護法で課せられる義務は、マイナンバーを手元に持っている人にだけかかるものではない。マイナンバーがすべて委託先にあり、社内にはまったく存在しない場合であっても、マイナンバーの取り扱いに関して、もろもろの義務が生じ、委託先を監督する義務が発生する。
もっとも、これはマイナンバーに限った話ではない。個人情報の取り扱いを委託していた場合に、委託先が個人情報の不正利用、漏えい等をした場合であっても同じである。マイナンバーや個人情報に限らず、通常の業務、例えば商品販売や製造、施工などを委託していた場合に、委託先が違法行為、不正行為、社会的に非難される行為をした場合、「委託しているので当社は関係ない」と言うことが難しいのと同じように考えることができるだろう。
[図表1]マイナンバー業務と委託先の監督義務
2.そもそもマイナンバー業務の委託とは何か
では、そもそも「委託」とは何か。簡単にいうと、「他人に何かを頼む」こと。その際にマイナンバーが関係すれば、「マイナンバー業務の委託」に当たる。より正確にいうと、"自社以外の者がマイナンバーにアクセスできる状況"にあれば、マイナンバー業務の委託に当たると考えられる。
[1]委託の典型例
一番典型的な例は、A社がマイナンバーが記載された書類の廃棄をB社に依頼する場合である。この場合、B社はマイナンバーが記載された書類を見て、シュレッダーにかけたり溶解したりする。まさに、A社以外の者であるB社がA社のマイナンバーにアクセスできる状況にあるので、これは「マイナンバーの委託」に当たる。
ほかにもマイナンバー関連の税務手続きを税理士に依頼する場合がある。この場合、税理士は、A社従業員のマイナンバーを見て、利用して法定調書を作成する。A社以外の者である税理士がA社のマイナンバーにアクセスできる状況であるので、これも「マイナンバーの委託」に当たる。
[2]委託に当たるかは、マイナンバー自体を業務として取り扱うか
では、社内でマイナンバーを取り扱っている場合に、A社が社内の清掃をC社に委託していた場合はどうか。C社が清掃の際にマイナンバーを見る可能性がある場合は該当しないと考えられる。
思い出してみよう。マイナンバーは利用できる範囲が限定されていた(マイナンバー法9条)。民間企業がマイナンバーを利用できるのは、原則として税・社会保障の行政手続きのためだけだった。清掃にマイナンバーは必要ではない。また、マイナンバーは無関係の者にのぞき見されないよう注意する必要があった(マイナンバー法12条)。パーティションを設けたり、壁際の席にするなどして、マイナンバーを盗み見されないよう取り扱う場所を限定したり、マイナンバーが記載された書面は施錠管理するようにしなければならない。
つまり、C社はマイナンバーを見たり利用したりする必要がなく、委託元のA社としてはC社にマイナンバーを見せないよう、自社として安全管理をする必要がある。清掃時にマイナンバーがのぞき見られないよう、マイナンバー書面は机の上に放置したりせず、施錠する等の措置を行う。この場合には、C社がマイナンバーにアクセスできないようにしなければならないので、C社は、マイナンバーの委託先には当たらない。
もっとも、C社に委託している事項が清掃業務だけではなく、書類のシュレッダー、溶解も含んでいる場合は、上記の例のとおり、マイナンバーの委託に該当する。書類の溶解も清掃も税・社会保障の行政手続き自体ではないが、書類の溶解のためには、その行為をする者はマイナンバー自体を取り扱うことが必要である。一方で、清掃のためにはマイナンバー自体を取り扱うことは不要である。つまり、委託業務によって、委託先にマイナンバーを取り扱わせてよいかどうかが異なってくる。原則として、委託先には委託業務に必要な範囲内のマイナンバーしか取り扱わせることができないからである[図表2]。
[図表2]マイナンバー業務の委託に当たるか
[3]システム保守・クラウドも委託に当たる
マイナンバーの取得代行、本人確認代行サービスなどを利用する場合は、当然、自社以外の者にマイナンバーを触らせているのでマイナンバーの委託に当たる。では、マイナンバーを保管するシステムの運用・保守をITベンダーに依頼する場合やマイナンバーの保管をクラウドサービスの事業者に依頼する場合などはどうか。この場合も、マイナンバーの委託に当たる可能性が高い。
システム保守やクラウドは委託に該当しないと考える企業もあるかもしれない。しかし委託先がマイナンバーにアクセスできるならば、それは監督が必要なマイナンバーの委託に当たる。システム保守やクラウドというとマイナンバー自体は見ないイメージもあるが、実際はそうではない場合が多いだろう。マイナンバーの運用が始まった後は、システムやクラウドサービス上でマイナンバーを使っていくと思われるが、マイナンバーを見られなくなったといった障害が発生した際などには、委託先に、状況の確認やデータの修復などを依頼することがあり得る。そういった事態に備えて、通常は保守業者やクラウド業者がマイナンバーにアクセスできるようにしておくことが想定される。なぜなら、そうしなければ状況確認やデータ修復なども難しい場合が多いからである。結果的に、システム保守事業者やクラウドサービス事業者もマイナンバーにアクセスできるようにすると、その場合はマイナンバーの委託に当たるというわけだ。
[4]委託に当たらなければよいわけではない
このように、マイナンバー業務の委託に当たる場合は多く想定され、必然的に委託先を監督しなければならない場合も多い。そこで自社以外の者にマイナンバーを取り扱わせたとしても、監督が必要な委託に該当しないようにすればよいと考える向きも出てくる。
もちろん、自社以外の者がマイナンバーに触れられなくすることは、安全管理の面からもよいことであろう。しかし、システム保守やクラウドの例のように、外部の者がマイナンバーに触れられなくすることで、実務に影響が出ては問題がある。委託先の監督を避けるためだけに対応を考えるというのではなく、今後の運用・実務を考えて適切な対応が必要である。
また、監督が必要な委託に当たらなくても、会社はすでにマイナンバー法および個人情報保護法のさまざまな義務に服する必要がある。そのため、システム保守業者にマイナンバーに触れさせないようにして、委託先の監督を不要とすることに成功したとしても、結局、自社では安全管理措置その他さまざまな義務を履行しなければならないため、そこまで省力化を図れるかというと疑問な場合も多い。
繰り返しになるが、マイナンバー業務は、準備をすれば終わりというものではなく、今後長く使い続けなければならないものである。委託先の監督という一局面のみを考えるのではなく、今後無理なく運用できるよう全体を踏まえて対応方法を検討していくことが必要である。
3.委託先の監督とは何か
委託先の監督といっても「何をしてよいか分からない」という声もあるだろう。委託先の監督は、①委託先の選定、②委託契約、③取扱状況の把握の三つに大別できる[図表3]。
①委託先の選定
委託先が正しくマイナンバーを取り扱えるかどうか、委託先の設備や従業者への監督状況などを確認してから選定する。適切な取り扱いが期待できないような業者にはマイナンバー業務を委託しないように、委託先をあらかじめ確認する。
②委託契約
委託先が正しくマイナンバーを取り扱うよう、委託先と決め事をしておき、委託先における取り扱い体制、ルールなどを決めておく。
③取扱状況の把握
委託先が正しくマイナンバーを取り扱い続けるよう、一度委託先を選定して契約した後も、委託先がどのようにマイナンバーを取り扱っているかを点検する。
[図表3]委託先の監督とは何をするのか
4.委託先の監督のポイント[図表4]
[1]何を確認するのか
委託先にマイナンバーを取り扱わせると、自社でマイナンバーを取り扱う場合と比べ、具体的にどのように取り扱われるか、実態が不透明になるおそれがある。自社で取り扱う場合は、どこで誰が取り扱っているか見て確認できるが、委託先では分からないことも十分に考えられる。一方で、委託しても、自社で取り扱うときと同様に、マイナンバー法、個人情報保護法を遵守して、正しくマイナンバーを取り扱わなければならない。委託先がきちんと対応していることを確認することが重要である。つまり、委託先の監督とは、自社で取り扱う場合のマイナンバー対応とパラレルに考えることができる。
自社で取り扱う場合、誰が、いつ、どのようにマイナンバーを取得し、どこで、どのように保管し、いつ外部に提供し、廃棄するかをまず考える。そしてそのルールや体制づくりをする。委託先の監督でも、委託先において同様のことを示してもらえばよい。
[2]委託先におけるマイナンバー対応の確認方法
その方法は、特段定めはないので自由だが、委託先でも自社でもマイナンバー対応として、取扱規程を作成していると思われる。したがって、委託先の取扱規程を確認するとよいだろう。もっとも、委託先の取扱規程が法律やガイドラインのコピーのようなものだと、それを見たところで、実際に委託先が、どの従業員にどのように利用させ、どの外部に提供し、どのように安全に保管し、いつマイナンバーを返却したり廃棄したりするのかが分からない。その場合は、取扱規程を確認するのではなく、別途委託先に具体的な資料を作成してもらうことが考えられる。
また、マイナンバーや個人情報に関しては、「プライバシー影響評価」「特定個人情報保護評価」と呼ばれる仕組みもある。これは、マイナンバーや個人情報を取り扱うに当たって、他人のプライバシーを侵害したり、個人情報を不正に取り扱わないよう、どのようなリスク対策を行うかを体系的に示す仕組みであり、「評価書」がそれをまとめた文書となる。委託先が「プライバシー影響評価」「特定個人情報保護評価」を実施している場合は、プライバシーに対する意識も高く、取扱規程よりもさらに詳細な検討がなされていると思われるので、この「評価書」を確認することをお勧めする。
[3]確認のポイントは自社の苦労点
確認のポイントとして、マイナンバー対応に関し自社で困っている点、苦労している点を確認することも有用である。多くの企業が悩む点は、「マイナンバーをどうやって安全に保管するか」「マイナンバーを必要な範囲でのみ取り扱うように、どのようにルールを作るか」「マイナンバーを取り扱った記録をどう取得し保存するか」「本人確認をどのように行うか」「マイナンバーの廃棄タイミングをどう管理するか」「従業員の監督・教育をどうするか」等が考えられる。
自社が悩んでいる点を、委託先がどう解決して適切にマイナンバーを取り扱っていく予定なのか具体的に確認する。この点、「クラウドだから安心」「高セキュリティ」といった売り文句を唱える業者も多いが、そういった抽象的な説明ではなく、具体的にどう安全を守っていくのか、どう管理していくのかを確認する。
[4]運用後も確認を続ける
マイナンバー業務は準備だけで終わらず、今後もずっと使い続けることが予定されている。委託先の監督も同様であり、委託する時点で十分な確認を行ったとしても、その後、運用段階でも定期的な確認が重要である。
この場合も、自社で取り扱う場合と同様に、誰が、いつ、何をしたのかを確認しよう。例えば、定期的に、いつ委託先がマイナンバーを取得、利用、外部提供、再委託、廃棄、返却等したかの報告を受けることが考えられる。また、マイナンバーの保管等に関し、最初に取り決めたとおりの適切な対応をしているかどうか確認することも重要だ。当初は施錠管理、入退室管理、持ち出し禁止を約束していても、その後の運用で約束が守られていないことも考えられる。そのような事態が起こらないよう、約束した事柄が守られているか、適法な取り扱いが行われているか、定期的に書面などで報告を受けるとよいだろう。また、問題の兆候が生じた場合は至急の報告を求めたり、実地監査・立ち入り検査を行うことも考えられる。
[図表4]監督のポイント
 |
水町 雅子 みずまち まさこ 五番町法律事務所 弁護士 元内閣官房社会保障改革担当室参事官補佐 東京大学教養学部卒業後、現みずほ情報総研にてシステム関連業務に従事。東京大学法学政治学研究科法曹養成専攻を経て、西村あさひ法律事務所にてシステム案件・ファイナンス案件・企業法務案件に従事。その後、内閣官房社会保障改革担当室、特定個人情報保護委員会にて、マイナンバー法立法作業、プライバシー影響評価(特定個人情報保護評価)立案等に従事。現在は、五番町法律事務所を開設。 |