企業のマイナンバー運用における外部委託とセキュリティ
マイナンバーへの対応準備については企業によってかなりの「温度差」があったのが実情だ。2014年夏頃から検討を開始していた企業があるかと思えば、2015年夏になっても方針さえ決まっていない企業もあった。
そして比較的スタートが遅かった「後発」の企業を中心に、アウトソーシングサービスの利用を検討する傾向が強まり、各種の「マイナンバー関連サービス」が普及することになった。現在ではマイナンバーの収集や本人確認から、保管や処理の一部をビジネスアウトソーシング系のサービスを利用し、外部委託している企業はかなり増えていると思われる。
そこで浮かび上がるのが「マイナンバー関連のサービスは安全なのか」「マイナンバー関連サービスのセキュリティはどう確認すればよいのか」といった外部委託先におけるマイナンバーの保護に関する問題である。番号法では「個人番号関係事務又は個人番号利用事務の全部又は一部の委託をする者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない」としており、企業には外部委託先の監督義務がある。従って、委託先で行われる安全管理措置について、特定個人情報保護ガイドラインに基づいた十分なものであるかどうかを確認しなければならない。
業務を一部外部委託すること自体はマイナンバーに限ったことではないので、企業(特に金融機関など)によってはクラウドサービスなどを利用する場合の選定基準や、セキュリティチェックのための社内基準を持っている場合がある。その場合は既存の基準に対してマイナンバー用に必要な要素を加えて基準を改訂し、利用するサービスの安全管理措置の確認に利用することができる。
元々個人情報保護法において委託先の監督義務があり、それに加えて特定個人情報保護ガイドラインでは「個人番号を取り扱う事務の範囲の明確化」「特定個人情報等の範囲の明確化」「事務取扱担当者の明確化」「個人番号の削除、機器及び電子媒体等の廃棄」などを求めているため、これらに配慮した委託契約の締結と確認を行う必要がある。従ってこれらを既存の基準に付け加えれば、おおむねカバーできると考えられる。
こうした具体的な項目は、委託契約書そのものには書き込みにくいこともあるだろう。例えば「事務取扱担当者の明確化」については、後日担当者が交替する可能性を考慮すると、委託先の担当者名を契約書に書き込むのは難しい。こうした項目は覚書や附則など、変更しやすい別の形で明らかにしておくのが現実的であろう。
