個人情報の管理を業務委託する際のポイント！第三者提供の注意点

2023/06/15

公開日：2023/03/15
最終更新日：2026/01/28

個人情報業務の委託先、どう選べば安全なのか？個人情報業務を委託する際のポイントを解説いたします。
この記事では、個人情報保護法とマイナンバー法に基づく適切な管理方法を詳しく解説し、注意すべきポイントを明らかにします。個人情報漏えいや不適切な取扱いは、企業の信頼を大きく損ねる可能性があるため、個人情報業務を委託する際は委託先選定が重要になります。委託先を見極めるためのガイドとしてご活用ください。

個人情報・個人データとは？

個人情報と個人データの定義について改めて確認しましょう。

個人情報とは？

個人情報の保護に関する法律（個人情報保護法）では、「個人情報」が以下のように定義されています。

第二条　この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一　当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録（電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。）で作られる記録をいう。以下同じ。）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除く。）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）
二　個人識別符号が含まれるもの

分かりやすくまとめると、

情報単体で個人が特定できるもの
氏名、氏名が含まれるメールアドレス、本人が判別できる顔写真、防犯カメラの映像、音声（個人を特定できる場合など）
他の情報と照らし合わせれば、個人が特定できるもの
氏名と電話番号など
個人識別符号が含まれるもの
生体情報: 指紋、DNA、顔、目の虹彩、手指の静脈など身体の特徴データなど
公的番号: マイナンバー（個人番号）、運転免許証の番号、パスポートの番号、基礎年金番号など

個人データとは？

個人情報の保護に関する法律（個人情報保護法）で、「個人データ」は以下のように定義されています。

第十六条　この章及び第八章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの（利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。）をいう。
一　特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二　前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
２　この章及び第六章から第八章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一　国の機関
二　地方公共団体
三　独立行政法人等
四　地方独立行政法人
３　この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

分かりやすくまとめると、

電子データで管理されているデータ
顧客リスト、名刺管理ツールの名刺データ、人事管理システムの従業員データなど
紙媒体だが、整理されているデータ
五十音順に並べられた顧客台帳、見出しが付いていてすぐに探せるようにファイリングされた申込書など

「個人情報データ」とは、整理・分類されていて、検索しやすい状態になっている個人情報です。

個人情報保護法とマイナンバー法

以上で確認した個人情報を扱ううえでとても重要なのが、個人情報保護法とマイナンバー法の理解です。

個人情報保護法

2005年4月から全面施行された、個人の権利と利益を保護するための法律で、正式名称は「個人情報の保護に関する法律」です。当時は5,000名分以上の情報を持つ事業者が対象でしたが、2017年5月の改正で全ての事業者が対象となりました。 2022年4月の改正では、ペナルティ強化や漏えい時の報告義務化などが始まりました。

この法律が施行された背景には、急速に情報化が進展し個人情報の侵害のリスクが高まったことに加え、国際的な法制度の動向などがあげられます。また、個人情報保護法は時代に合わせた改正・施行がされています。個人情報を取り扱う業務に携わっている担当者は、最新情報の確認が必要です。

マイナンバー法

2015年10月に一部施行され、2016年1月に全面施行された、マイナンバー（個人番号）を取り扱うときの特別なルールを定めた法律です。正式名称は「行政手続における特定の個人を識別するための番号の利用等に関する法律」です。

マイナンバー（個人番号）は、国が国民一人ひとりに割り振った変わらない番号であり、あらゆる個人情報と結びつく個人情報です。そのため、通常の個人情報保護法だけでは守りきれないリスクがあり、特別に厳しいルールを上乗せするために作られました。

マイナンバーを利用する際は、限定的に定められた事務の範囲で具体的な利用目的を特定しなければならず、それ以外の利用は原則として認められていません。マイナンバーの利用範囲は主として以下の3つです。

社会保障（健康保険、厚生年金、雇用保険の手続きなど）
税（源泉徴収票の作成、年末調整など）
災害対策（被災者台帳の作成など）

健康保険証と一体化したマイナ保険証や、運転免許証と一体化したマイナ免許証など、さらに普及が進んでいます。正しい利用範囲を認識したうえで、取扱いには注意しましょう。

第三者提供とは

個人情報における第三者提供とは、個人データを直接収集し保有している事業者が、それ以外の者（第三者）に提供することです。事業者が委託先の事業者へ勝手に個人データを受け渡すことは認められていません。所定のルールを遵守しなければ、法令違反となりますので十分に注意しましょう。

第三者提供する場合の取扱いルール

第三者提供は、原則として本人の同意が必要です。個人情報の保護に関する法律（個人情報保護法）では、以下のように定められています。

第二十七条　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一　法令に基づく場合
二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。（後略）

個人データを提供する前に本人の同意を得ることを「オプトイン」といいます。事業者側はどのような目的・範囲でデータを利用するのか、あらかじめ本人に説明しなければなりません。

同意がなくても第三者提供ができる場合

以上の例外として、本人の同意なしに第三者提供ができる場合があります。大きく4つあります。警察、税務署など公的機関より要請があった場合人の生命・身体または財産の保護の必要がある場合児童の健全な育成または公衆衛生の向上で特に必要がある場合オプトアウトの方法を利用する場合（本人の事前の同意がなくても個人データを第三者へ提供でき、本人から第三者提供の停止要求があった際には、個人データの第三者提供をやめる方法）オプトアウトの方法を使うためには、個人情報保護委員会に届け出をしなければなりません。また、ホームページなどにオプトアウトを行うことを公表しなければなりません。業務やオプトアウトの方法によっても第三者提供は認められないデータがあります。

警察、税務署など公的機関より要請があった場合
人の生命・身体または財産の保護の必要がある場合
児童の健全な育成または公衆衛生の向上で特に必要がある場合
オプトアウトの方法を利用する場合（本人の事前の同意がなくても個人データを第三者へ提供でき、本人から第三者提供の停止要求があった際には、個人データの第三者提供をやめる方法）
オプトアウトの方法を使うためには、個人情報保護委員会に届け出をしなければなりません。また、ホームページなどにオプトアウトを行うことを公表しなければなりません。業務やオプトアウトの方法によっても第三者提供は認められないデータがあります。

マイナンバーや個人情報関係の業務を外部へ委託する場合

ここまで個人情報や個人データ、第三者提供について解説しました。ここからは、マイナンバーや個人情報関係の業務を外部へ委託する方法について解説します。

個人データの委託は第三者提供にあたらない

個人情報保護法では、個人データの提供を受ける事業者は第三者にあたらないとされています。したがって、委託の際に本人の同意を得たり、オプトアウトしたりしなくても提供ができます。同意がいらない代わり適切な管理が求められます。委託先の事業者が自分の目的のために自由に使用することができません。委託先をしっかり管理する義務（監督義務）する必要があります。
委託先がセキュリティ対策を確認していなかったり、契約書を結んでいなかったりする場合、もし漏えいが起きれば委託元が「安全管理義務違反」を問われます。例えば、商品を送るために配送業者に配送先の情報を渡すことはできますが、配送業者が配送以外の目的（自社のキャンペーン案内など）で使用することはできません。

個人情報保護法とマイナンバー法での取扱いの違い

個人情報保護法では、業務委託は第三者提供にあたらないため、必要な範囲内において個人データを提供できるとされています。
これに対し、マイナンバー法は、個人情報保護法の上乗せルール（特別法）であり、矛盾する場合はマイナンバー法が優先されます。

マイナンバー法では、以下のように定められています。

第十九条　何人も、次の各号のいずれかに該当する場合を除き、特定個人情報の提供をしてはならない。
一　個人番号利用事務実施者が個人番号利用事務を処理するために必要な限度で本人若しくはその代理人又は個人番号関係事務実施者に対し特定個人情報を提供するとき（個人番号利用事務実施者が、生活保護法（昭和二十五年法律第百四十四号）第二十九条第一項、厚生年金保険法第百条の二第五項その他の政令で定める法律の規定により本人の資産又は収入の状況についての報告を求めるためにその者の個人番号を提供する場合にあっては、銀行その他の政令で定める者に対し提供するときに限る。）。
二　個人番号関係事務実施者が個人番号関係事務を処理するために必要な限度で特定個人情報を提供するとき（第十二号に規定する場合を除く。）。
三　本人又はその代理人が個人番号利用事務等実施者に対し、当該本人の個人番号を含む特定個人情報を提供するとき（後略）

マイナンバー法において業務委託は第三者提供にあたり、本人の同意の有無にかかわらず、第十九条の各号に該当しない場合には、特定個人情報を提供してはならないとされています。ここが個人情報保護法とマイナンバー法での取扱いの大きな違いです。

委託元の責任

実際に個人情報を取扱う業務の委託を考えている事業者は、どういった点をおさえておけばよいのでしょうか。委託元の責任、委託先の責任、それぞれの観点から解説します。

委託元の責任

事業者に対しては、個人情報を扱う業務を委託するうえで、委託先の「必要かつ適切な監督」が義務とされています。個人情報の保護に関する法律では以下のように定義されています。

第二十二条
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない

「必要かつ適切な監督」とは具体的に遵守すべき項目は以下の3つです。

委託先の適切な選定

委託先を選定するポイントとしては、その委託先で4つの安全管理措置（組織的、人的、物理的、技術的）がなされ個人データを適切に取り扱うことができるのかどうかです。また、プライバシーマークやISO27001の取得の有無も選定の基準としてよいと考えられます。個人情報の保護に関する法律についてのガイドライン（通則編）では以下のように定義されています。

（1）適切な委託先の選定
委託先の選定に当たっては、委託先の安全管理措置が、少なくとも法第23条及び本ガイドラインで委託元に求められるものと同等であることを確認するため、「10（（別添）講ずべき安全管理措置の内容）」に定める各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認しなければならない。

10（（別添）講ずべき安全管理措置の内容）
法第23条に定める安全管理措置として、個人情報取扱事業者が具体的に講じなければならない措置や当該措置を実践するための手法の例等を次に示す（※1）。
安全管理措置を講ずるための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものであるため、必ずしも次に掲げる例示の内容の全てを講じなければならないわけではなく、また、適切な手法はこれらの例示の内容に限られない。
なお、中小規模事業者（※2）については、その他の個人情報取扱事業者と同様に、法第23条に定める安全管理措置を講じなければならないが、取り扱う個人データの数量及び個人データを取り扱う従業者数が一定程度にとどまること等を踏まえ、円滑にその義務を履行し得るような手法の例を示すこととする。もっとも、中小規模事業者が、その他の個人情報取扱事業者と同様に「手法の例示」に記述した手法も採用することは、より望ましい対応である。
（※1）法第23条に定める「その他の個人データの安全管理のために必要かつ適切な措置」には、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる。そのため、次に掲げる措置及び例示における「個人データ」には、当該個人情報も含まれる。
（※2）「中小規模事業者」とは、従業員（※3）の数が100人以下の個人情報取扱事業者をいう。ただし、次に掲げる者を除く。
・その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれかの日において5,000を超える者
・委託を受けて個人データを取り扱う者
（※3）中小企業基本法（昭和38年法律第154号）における従業員をいい、労働基準法（昭和22年法律第49号）第20条の適用を受ける労働者に相当する者をいう。ただし、同法第21条の規定により同法第20条の適用が除外されている者は除く。

委託契約の締結

個人情報保護法やガイドラインの遵守は個人情報を扱う事業者として当然です。ただ、それ以外の部分でも個人データの取扱いについて具体的に規定し、契約の締結をするのがよいとされています。契約内容として盛り込む例として、以下の項目があげられます。

個人データの具体的な利用目的
データの保管場所や、持ち出し
再委託を認めるか（再委託を認める場合はその条件）
秘密保持や従業員に対しての教育・監督
禁止事項

これ以外にも事業者間で必要とされる内容について検討、整備することが望ましいとされ、個人情報の保護に関する法律についてのガイドライン（通則編）では以下のように定義されています。

（2）委託契約の締結
委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましい。

委託先での個人データ取扱状況の把握

個人情報が正しく取り扱われているか、また契約内容が確実に実施されているのかを把握・確認するため、定期的に報告を受けるほか、実施検査、監査も行います。その結果を踏まえ、委託内容の見直しなどをするのが、適切な評価として望ましいとされています。また、委託先が再委託を行う場合は、委託を行う場合と同様、委託元は委託先が再委託先、再委託する業務内容、再委託先の個人データの取扱方法などについて、委託先から事前報告を受ける（または承認を行うこと）、および委託先を通じて（または必要に応じて自らが）定期的に監査を実施することなどにより、委託先が再委託先に対して本条の委託先の監督を適切に果たすことが望ましです。再委託先が再々委託を行う場合も同様です。個人情報の保護に関する法律についてのガイドライン（通則編）では以下のように定義されています。

（3）委託先における個人データ取扱状況の把握
委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。

まとめ：正しく取扱うことで、お客さまからの信頼を得る

個人情報の定義、第三者提供、業務委託の際のポイントについて解説しました。個人情報は自社内外問わず、厳格に取り扱わなければなりません。法律は固定されたルールではなく、時代の要請に応じて進化しています。その法律に遵守して業務を行う必要があります。お客さまの信頼や期待が損なわれないよう、正しく個人情報を扱うことが重要です。

ヤマトシステム開発はプライバシーマークを取得しています。これは、個人情報を適切に取扱う体制の整備が、所定の審査機関によって評価された証です。個人情報の保護および情報セキュリティ対策を徹底しておりますので、運転免許証、マイナンバーカードなどの本人確認書類収集業務はヤマトシステム開発にお任せください。「証明書類Web取得サービス」では、本人確認書類のコピーや郵送の手間を省け、Web上のみで本人確認書類の収集が完了できます。