マイナンバー制度の導入に伴い、中小企業を含むすべての事業者には、従業員や顧客のマイナンバーを適切に管理する重大な責任があります。しかし、このマイナンバーの管理は中小企業にとって負担が大きく、管理プロセスを簡素化しようと業務を外部に委託する選択肢を検討するケースが増えています。

このコラムではマイナンバー業務の外部委託に焦点を当て、委託するメリットやデメリットと、適切な委託先を選定する際に考慮すべきポイントや知っておくべき法律の要件、安全管理措置についてなどについて解説します。

マイナンバーの管理は委託可能なのか？

マイナンバー管理は、税理士やITサービスを提供する業者などに一部あるいは全部の事務を委託することが可能です。委託という選択肢は、中小企業にとっては業務効率化と専門知識の活用の面で大きなメリットがありますが、委託元企業には委託先がマイナンバーを安全に管理しているかを継続的に監督する義務が生じるため、安全管理措置や費用面を踏まえて検討する必要があります。

重要なのは、効率化を追求するとともに、情報の安全管理に関する責務を適切に果たすことです。

マイナンバー委託の基礎知識

マイナンバー管理の外部委託を検討する際には、個人情報保護法とマイナンバー法の理解、そして必要かつ適切な監督を実施することが必要となります。

マイナンバーの委託に関する基礎知識を身につけることは、企業が法的責任を果たし、マイナンバーの適切な管理を確保する上で非常に重要です。ここでは、個人情報保護法とマイナンバー法の違いや安全管理措置、監督責任等のマイナンバー委託に関する基礎的な知識をご紹介します。

個人情報保護法とマイナンバー法の重要な違い

マイナンバーは「特定個人情報」であり、マイナンバー法に基づいて適切に管理する必要があるため、個人情報保護法だけではなく、マイナンバー法も遵守必要もある点に注意が必要です。

個人情報保護法とマイナンバー法では、委託先の監督義務や再委託時の要件などに違いがあります。個人情報保護法では、委託先の監督義務について「委託者が個人情報取扱事業者に該当する場合」に委託先の監督義務を負います（個人情報保護法第22条）。

委託先が再委託を行う場合は「個人情報取扱事業者に該当する場合」に再委託先の監督義務を負いますが、該当しない場合は監督義務を負いません。

一方、マイナンバー法では委託者が個人情報取扱事業者に該当するか否かは関係なく、マイナンバー業務の全部または一部を委託する者であれば、監督義務を負うことになります。
また、再委託について個人情報保護法では特に規定はありませんが、マイナンバー法では再委託以降の委託は最初の委託者の許諾を得ることが必須です。

マイナンバー法については、以下のコラムもご覧ください。

委託する際の監督責任や安全管理措置について

委託する際には、委託元の企業には委託先の監督義務が発生します。「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」（以下、「ガイドライン」）によれば、委託先に対して「必要かつ適切な監督」を実施するには適切な委託先を選定し、安全管理措置の遵守に必要な契約を締結し、委託先でのマイナンバーの取扱状況を把握できるようにすることが必要だとされています。

安全管理措置については、具体的には以下の4つの安全管理措置があり、それぞれが適切に行われているかを確認する必要があります。

・組織的安全管理措置：責任者の設置など、企業や組織がとるべき方針や体制
・人的安全管理措置：従業員などに対する安全管理教育や監督
・物理的安全管理措置：PCやUSBメモリなど、物理的な媒体に対する保護や措置
・技術的安全管理措置：ITシステム面で実施される委託先のセキュリティ対策

安全管理措置については、以下のコラムもご覧ください。

マイナンバーの取り扱いにおいて委託できる範囲とは？

マイナンバー関連業務は、「取得」「利用・提供」「保管」「廃棄・削除」という順序で運用されますが、どの業務も外部委託が可能です。

例えば、本人確認に手間がかかる「取得」のみを外部委託することもできます。会社として必要としている委託範囲を洗い出し、リスクなども含めて検討し確定させることが重要です。

委託契約や再委託の注意点

委託契約を結ぶ際には、契約締結後のトラブルを避けるためにマイナンバーを含む個人情報の安全管理措置や再委託の条件などを具体的に明記し、必要な記載事項を押さえた契約書を作ることが大事です。特に、「ガイドライン」にて契約内容に盛り込まなくてはならないとして挙げられているものは、以下の8項目となっています。

・秘密保持契約
・事業所内からの特定個人情報の持ち出しの禁止
・特定個人情報の目的外利用の禁止
・再委託における条件
・漏えい事案等が発生した場合の委託先の責任
・委託契約終了後の特定個人情報の返却又は廃棄
・従業者に対する監督・教育
・契約内容の遵守状況について報告を求める規定等

また、委託先からの再委託は可能とされていますが、マイナンバー法では「再委託以降の委託は、最初の委託者の許諾を得ることが必要」と規定されているため、再委託時の条件についても注意が必要となります。
契約時には項目の抜けがないよう、入念なチェックを心掛けましょう。

グループ会社間におけるマイナンバー管理

グループ会社間でのマイナンバーの一括管理や共同利用は、マイナンバー法上で同じグループ会社であっても別の会社とみなされる点から「第三者への提供」となるため、できません。他の人事情報とは扱いが違うため、注意が必要です。
また、出向元と出向先間でのマイナンバーのやり取りは法律上禁止されており、出向元からのマイナンバー取得は目的外利用となります。
そのため、必要な場合には、改めて本人確認と利用目的の明示を実施した上でマイナンバーの提出を求めましょう。

合併での事業継承や出向元と出向先でマイナンバーの取扱いに関する委託契約を締結している場合には例外となるケースもあり、状況に応じて取得方法が異なるため注意しましょう。

マイナンバー管理にクラウドサービスを利用する際の注意点

マイナンバーの管理でクラウドサービス利用を検討するケースもあると思いますが、重要な注意点があります。それは、委託に該当する場合としない場合がある点です。
該当するかの基準は「マイナンバーを含むデータの取扱を行うかどうか」です。

一般的なクラウドでマイナンバーの管理を行うサービスは、データの保存だけでなく更新やバックアップ、削除等の作業を行うため『委託』に該当します。
しかし、保存場所のみ提供するクラウドサービスや、データを取り扱わない契約が締結されていてアクセス制御を実施している場合には『委託』には該当しません。
そうした場合、クラウド事業者への監督責任は生じませんが、委託元の企業側に安全管理措置の責任がある点に注意しましょう。

データ保存のために利用する際には、クラウド事業者のアクセス制御を含めて信用できるサービスであるか検討し、自社内のアクセス制御やウイルス対策ソフトの導入も実施することをおすすめします。

マイナンバー業務の委託先を選定する際のポイント

マイナンバー業務の委託先を選定する際には、「ガイドライン」にも記載されているように、適切な委託先の選定が非常に重要となります。
ここからは、適切な委託先を選ぶ際の具体的なチェックポイントやメリット、デメリットについてご紹介します。

委託先の適切な選定とは？

委託先の選定において最も重視すべきは、その業者が個人情報保護法やマイナンバー法など、関連する法令を遵守しているかどうかです。安全管理措置に基づいてマイナンバー管理を実施できる業者を選定することが大事です。
また、他の委託元からの業務でトラブルを起こした経歴がないかについても確認しましょう。
マイナンバーの取扱いに関する信頼性と実績を持つ委託先を選ぶことで、業務の安全性や業務の効率性を確保できます。

委託先選定の落とし穴？知っておきたいメリットとデメリット

委託先を選定する際には、メリットとデメリットの両方を理解した上で検討することが重要です。メリットとしては、以下の点が挙げられます。

・マイナンバー業務に必要な人材の確保
・社内での教育コストや稼働効率を簡略化できる

一方、デメリットとしては、以下の点が挙げられます。

・委託の範囲や期間に応じた費用がかかる
・情報漏えい事故への対応が必要になる
・外部委託では、委託先を監督する義務と責任が伴う

メリットもありますが、委託先で情報漏えいや盗用が発生した場合は委託元も責任を問われるというデメリットもあります。また、マイナンバー業務は報告義務もあるため委託元が主体となって対応することが必要になってくるため、委託によって得られるメリットが予算に見合っているかどうかを含め、慎重な選定が求められます。

委託先選定時の具体的なチェックポイント

具体的なチェックポイントとしては、「ガイドライン」に挙げられている委託先選びのポイント4点が参考になるでしょう。

・委託先の設備
・技術水準
・従業者に対する監督・教育の状況
・その他委託先の経営環境等

委託先でマイナンバーを管理する場所の設備や、アクセス制御のような技術的なセキュリティ対策をはじめとした上記の点に加え、業務の報告体制などについても確認することが重要です。加えて、委託先のマイナンバー業務に対する知識や過去の実績も確認しましょう。また、委託契約の詳細について理解し、特に情報管理や安全保障に関する条項をしっかりとチェックすることが求められます。

適切な委託先を選ぶことは、マイナンバー業務の委託をスムーズにする上で不可欠です。委託先の選定段階において、具体的なチェックポイントを用いることで、最適なパートナー選びが可能となります。

まとめ：業務効率化を実現するなら、マイナンバー収集代行サービス！

今回は、マイナンバー業務の委託について取り上げ、個人情報保護法とマイナンバー法の違いや、委託の際の監督責任や安全管理措置、委託先選定時のポイントなどを紹介してきました。

委託する際には、委託元は委託先の企業やサービス提供者に対して監督責任があり、注意を払わなければなりません。マイナンバーを自社内で管理せず外部へ委託する場合には、法令への正しい理解やマイナンバー業務の委託に関する基礎的な知識が必須となります。適切な委託先を選定して安全管理措置を十分に実施していれば、業務効率化に繋がります。

ヤマトシステム開発のマイナンバー収集代行サービスのような委託サービスを適切に選定して業務効率化を実現しましょう。以下のページで詳細をご紹介しておりますのでぜひご覧ください。