前回は「安全管理措置」について解説しました。
安全管理措置とは「社内」でマイナンバーを適切に管理するための対策なのですが、今回は「社外」の対策についてです。
マイナンバー法では、マイナンバー関連業務は「社外に委託」することができます。
それでは「社外」とはどこか?
ズバリ言ってしまえば「税理士」や「社会保険労務士」のことです。
多くの中小企業では税務や社会保険事務を、税理士や社会保険労務士に業務委託をしています。
いくら社内で対策を講じたとしても、委託先の管理体制に不備があれば、ここからマイナンバー情報が洩れます。
税理士や社会保険労務士は監督される立場
マイナンバー制度の開始に伴い、社内の体制について税理士や社会保険労務士に相談した企業も多いと思います。
しかし、注意して欲しいのは、税理士や社会保険労務士に業務委託しているのであれば、これら士業は社内の体制を監督する立場ではなく、逆に監督される立場であるということです。
マイナンバー法のガイドラインでは、委託先に対して「必要かつ適切な監督」をしなければならないと定められれています。具板的には、次の内容です。
- 委託先の適切な選定
- 安全管理措置に関する委託契約の締結
- 委託先における特定個人情報の取扱い状況の把握
ここで、ポイントになるのは「委託先の適切な選定」です。
これは、もう少し詳しく決めれられています。
委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。
具体的な確認事項としては、委託先の設備、技術水準、従業者(注)に対する監督・教育の状況、その他委託先の経営環境等が挙げられる。(注)「従業者」とは、事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいう。具体的には、従業員のほか、取締役、監査役、理事、監事、派遣社員等を含む。
つまり、「設備」「技術水準」「従業者に対する監督・教育の状況」などが、社内と同じレベルの安全管理措置が講じられた委託先でなければならないということです。
また、規定すべき委託先との「業務委託契約」の内容も定められています。
- 秘密保持義務
- 事業所内からの特定個人情報の持出しの禁止
- 特定個人情報の目的外利用の禁止
- 再委託における条件
- 漏えい事案等が発生した場合の委託先の責任
- 委託契約終了後の特定個人情報の返却又は廃棄
- 従業者に対する監督・教育
- 契約内容の遵守状況について報告
- 特定個人情報を取り扱う従業者の明確化(あると望ましい)
- 委託者が委託先に対して実地の調査(あると望ましい)
税理士や社会保険労務士に業務委託している場合は、現在の契約内容を確認してください。
もし、上記の内容が盛り込まれてない場合は、見直しが必要です。
再委託にも注意
マイナンバー法では、上記の外部委託に加えて、再委託も認められています。
A社
↓ 委託
B社
↓ 再委託(A社の許可が必要)
C社
再委託とは、上の図のようにA社はB社に業務委託し、B社はC社に業務委託するような体制です。
この再委託には委託元であるA社の許諾が必要です。
つまり、B社からC社への委託は、A社の許可が必要ということです。
また、A社はB社への監督義務に加えて、C社への監督義務もあります。
再委託を繰り返すことは可能ですが、常に下流の委託先への監督義務が生じることに注意してください。
不適切な業務委託は漏えいリスクの増大
マイナンバー制度については、社内の管理体制ばかりに注目されがちですが、リスク面に限って言えば、業務委託のような「社外の管理体制」が最も重要です。
ベネッセの顧客情報流出事件では、ベネッセ本体は委託先への監督義務を怠った責任があるとはいえ、その結果として失った社会的信用はあまりにも大きなものでした。
私の専門は、情報システムや情報セキュリティ対策です。
これはあくまで仮定の話ですが、私がもしマイナンバー情報を盗もうと考えるのであれば、マイナンバー情報を多数保有し、かつ情報セキュリティの理解の低い事業者を狙います。すなわち、多くの中小企業がお世話になっている税理士や社会保険労務士は、比較的狙われやすいと考えてください。
そのため、税理士や社会保険労務士に業務委託する際には、マイナンバー取得から廃棄までの手順、安全管理措置などの説明が、きちんとできるかどうかを確認することが大切です。
マイナンバー関連業務の委託先の監督は、事業者の義務です。
そのためには、まず社内の適切な管理体制を構築し、安全管理措置等の理解を深めてください。
そのうえで、適切な外部委託先の選定や監督を行ってください。