マイナンバーの収集は外部委託できるのか？委託するときに確認したいポイント

「行政手続における特定の個人を識別するための番号の利用等に関する法律」（以下、番号法）が2013年5月に制定され、マイナンバー制度は2016年1月から本格的な利用がスタートしました。税務や社会保障、災害復旧の分野から導入され、現在は銀行口座にも適用され始めています。
番号法に基づき、税務関係では、支払い者となる事業者や法人（以下、会社）に対し、給与や退職金にかかわる源泉徴収票、賃貸住宅の家賃の支払いに関する法定調書などに、支払い相手となる個人の個人番号（以下、マイナンバー）の付番が義務づけられています。
社会保障の関係では、やはり会社に対し、健康保険、雇用保険や厚生年金の被保険者資格取得届等への従業員本人とその扶養家族のマイナンバーの付番が義務づけられています。
また、銀行や金融機関に対して、証券取引やマル優（障害者等の少額貯蓄非課税制度）、外国送金などの取引データに顧客のマイナンバーの付番が義務づけられています。
会社や金融機関はこの番号法の義務を履行するために、従業員や顧客等の個人からマイナンバーの提示を求めています。
 

■マイナンバーの取得や収集には厳密な本人確認と必要書類、その保全管理の手続きが必要！

番号法は、個人からのマイナンバー取得や収集を含むマイナンバー制度にかかわる事務として、会社や金融機関が以下のような手順を行うものと想定しています。
1. マイナンバー制度に関する社内研修の実施
2. 利用目的の特定と通知、目的が変更となった際の通知
3. 厳格な本人確認の手続き及び必要書類の取得
4. 取得したマイナンバーを含む個人情報ファイルの保全とアクセス管理、廃棄処理
5. 定期的な検査や監査
 

 ■マイナンバー制度にかかわる事務は第三者に委託できる！

こうしたマイナンバー制度にかかわる事務を行うには、人や組織、システムの整備等が必要となります。
会社の規模によっては人材やシステム不足のため、番号法の主旨である個人情報の保全管理を実現することが困難となるケースもあります。

（再委託）
第十条 　個人番号利用事務又は個人番号関係事務（以下「個人番号利用事務等」という。）の全部又は一部の委託を受けた者は、当該個人番号利用事務等の委託をした者の許諾を得た場合に限り、その全部又は一部の再委託をすることができる。
２ 　前項の規定により個人番号利用事務等の全部又は一部の再委託を受けた者は、個人番号利用事務等の全部又は一部の委託を受けた者とみなして、第二条第十二項及び第十三項、前条第一項から第三項まで並びに前項の規定を適用する。
（委託先の監督）
第十一条 　個人番号利用事務等の全部又は一部の委託をする者は、当該委託に係る個人番号利用事務等において取り扱う特定個人情報の安全管理が図られるよう、当該委託を受けた者に対する必要かつ適切な監督を行わなければならない。

出典：e-Gov Webサイト　行政手続における特定の個人を識別するための番号の利用等に関する法律
この点を考慮し、番号法第10条は、番号法の主旨に即した範囲内で、マイナンバー制度にかかわる事務の全部ないしは一部の委託、再委託を認めています。
同時に、第11条は、委託先や再委託先が番号法を順守していること、特に、個人情報の保全管理や安全管理措置を講じていることに対する会社側の「監督義務」を明記しています。
 

■マイナンバーの収集・管理等の事務を委託するメリット

一番のメリットは業務負担を軽減できることです。
先ほども記述したように、マイナンバーの収集や管理を含む事務を行うには、会社として、人や組織あるいはシステムの整備等が必要となります。
今後もマイナンバーを利用し、不正行為の発見や行政事務の効率化が図られ、番号法の法改正が行われるものと予想されます。
その都度、法改正の主旨、変更に合わせた社内研修を行い、システムや体制の整備を行うことは、会社にとってはかなりの業務負担となります。
経営資源の選択と集中という観点から考えれば、マイナンバーの収集・管理等の事務を外部に委託するメリットは十分にあります。
 

■マイナンバーの収集・管理等の事務を委託するデメリット

外部に管理業務を委託する場合、委託先との連絡事務が別途発生します。連絡がうまくとれない、フォローアップが遅いなど、煩雑さが増す可能性があるというデメリットがあります。
また、番号法第11条にも明記されているように、マイナンバー制度にかかわる事務の全部または一部を外部に委託あるいは再委託した場合でも、「監督義務」があるため依頼主である会社の責任は軽減されることはありません。
委託先の選定を適切にしなければ、リスクを伴う可能性があるというデメリットもあります。
 

■クラウドサービスへの委託

Q3-12　特定個人情報を取り扱う情報システムにクラウドサービス契約のように外部の事業者を活用している場合、番号法上の委託に該当しますか。
A3-12　当該事業者が当該契約内容を履行するに当たって個人番号をその内容に含む電子データを取り扱うのかどうかが基準となります。当該事業者が個人番号をその内容に含む電子データを取り扱わない場合には、そもそも、個人番号関係事務又は個人番号利用事務の全部又は一部の委託を受けたとみることはできませんので、番号法上の委託には該当しません。
当該事業者が個人番号をその内容に含む電子データを取り扱わない場合とは、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。（平成27年４月更新・Q9-2に分割）
Q3-13　クラウドサービスが番号法上の委託に該当しない場合、クラウドサービスを利用する事業者が、クラウドサービスを提供する事業者に対して監督を行う義務は課されないと考えてよいですか。
A3-13　クラウドサービスが番号法上の委託に該当しない場合、委託先の監督義務は課されませんが、クラウドサービスを利用する事業者は、自ら果たすべき安全管理措置の一環として、クラウドサービス事業者内にあるデータについて、適切な安全管理措置を講ずる必要があります。

出典：個人情報保護員会webサイト　「特定個人情報の適切な取り扱いに関するガイドライン」
マイナンバーにかかわる個人情報保護を所轄する個人情報保護委員会は、マイナンバー制度に係るガイドラインの「Q&A　3：委託の取扱い」（Q3-12及び13）において、クラウドサービスへの委託を想定しています。
ここでは、クラウドサービス事業者がマイナンバーに関するデータを取り扱わない場合は、委託に該当しないため、委託先の監督義務は課されないと記載されています。
一方マイナンバーに関するデータが取り扱われる場合、クラウドサービスを提供する事業者においても、番号法に則したデータ保護に関する安全管理措置が講じられる必要性について明確にしています。
当然のことながら、クラウドサービス業者に対する委託であっても、依頼主である会社の監督義務は残り、万が一漏えいした場合は依頼主も処罰の対象となるのです。クラウドサービスの選定は、料金の安さだけではなく堅牢性や企業としてしっかりしているかなども選定条件に入れることをお勧めします。
 

■マイナンバー制度にかかわる事務等を委託するときに注意すべきこととは

マイナンバー制度にかかわる事務は、以下のように多岐にわたっています。
・ マイナンバー制度に関する社内研修の実施
・ 利用目的の特定と通知、目的が変更となった際の通知
・ 厳格な本人確認の手続きおよび必要書類の取得
・ 取得したマイナンバーを含む個人情報ファイルの保全とアクセス管理、廃棄処理
・ 定期的な検査や監査
マイナンバーにかかわる事務等の外部委託を検討する場合、番号法の順守という点、個人情報保護違反という罰則を回避するという点で、細心の注意が必要です。
 

■委託する事務の範囲の洗い出しと確定

会社として、まず以下の観点から詳細な分析を行い、委託する事務の範囲を洗い出し、確定する必要があります。
・ 実際どのような事務が発生するか
・ どのような業務負担となるか
・ 自社内のスタッフやシステムあるいは体制でも対応可能か
・ 既に外部委託している業務に含むことが可能か
・ 委託先との連絡・監督体制はどうなるか
・ コスト面はどうなるか
・ 法的リスクをどのように回避するか
 

■適切な委託先を選ぶ為の選定手順

委託する事務範囲を確定した後、適切な委託先の選ぶため、次のような選定手順を行います。
1. 委託先候補の作成
2. 委託先候補への提案・依頼
3. 委託先からの提案書の評価と絞込み
4. 委託先に対するデューデリジェンス（評価・調査）訪問、事務を担当する者へのインタビュー
5. 契約書の作成と締結、新規/変更の判断
6. フォローアップ
 

■安全管理措置など詳細な契約をしっかり結ぶ

委託契約書の新規作成あるいは変更に際しては、法的リスクを回避する観点から、弁護士等に依頼し、以下の内容を含む詳細な検討が必要となります。
・ 依頼主との連絡体制その手順
・ 番号法に関する社内研修の実施
・ 番号法に則した事務手続きと管理体制の確立
・ 番号法に則した個人情報の保全管理および安全管理措置
・ 定期検査
・ 依頼主に対する検査委報告書の提供
・ 問題や違反があった場合
・ 費用
・ 契約の終了手続き
以上、全て網羅しているわけではないですが、項目をしっかりと洗い出し検討をしてください。
 

■漏えいしてしまったときはどうなるの？

委託先にてマイナンバーが不正に提供されたり漏えいがあった場合、違反者だけでなく、場合により委託先と依頼主の双方に対し罰則が科せられるケースがあります。
番号法は、マイナンバー制度に違反した場合の罰則規定を第9章に設けています。
マイナンバーにかかわる事務を委託した際、その委託先が個人情報ファイルの安全管理を怠り、依頼者である会社も監督義務を怠った結果として、個人情報ファイルの不正提供があると認められた場合には、違反を行った行為者に対し、第48条の規定によれば、4年以下の懲役もしくは200万円以下の罰金、場合によりその両方が科せられます。
また、第57条によれば、法人に対しても罰則が科せられることになっています。
委託先、依頼者とも監督責任を怠った認定される場合には、両者とも罰則が科せられます。
委託先が反社会的な勢力であった場合、マイナンバーの不正取得だけでなく、悪用や詐欺も考えられます。依頼者への罰則も十分あり得ますので注意が必要です。
 

■まとめ

マイナンバーの取得や管理を含め、マイナンバー制度にかかわる事務の全部または一部を外部の業者に委託あるいは再委託することは番号法も認めています。
また、番号法は今後も法改正が行われ、マイナンバー制度がより広く利用されるようになっていきます。
極端な話、マイナンバー管理を委託先に“丸投げ”して「あとはよろしく」としたとしても、依頼者にはその監督義務が残ります。つまり事故の際に委託先だけが責任を負うのではなく、依頼者も相当の責任を負うことになり、軽減されることはありません。
とはいえ、番号法の主旨や法改正の動向を理解した上で、マイナンバー制度にかかわる事務を委託することは、経営資源の選択と集中という観点からもメリットが大きいといえます。
 
参考：e-Gov Webサイト　行政手続における特定の個人を識別するための番号の利用等に関する法律