編集部からのお知らせ
特集PDF1「導入期に入るマイクロサービス」
特集PDF2「DXレポート」
個人情報保護法改正後のデータ活用法

マイナンバーと個人情報保護法--外部委託サービスは“安全”か - (page 2)

北野晴人

2016-04-27 07:00

企業のマイナンバー運用における外部委託とセキュリティ

 マイナンバーへの対応準備については企業によってかなりの「温度差」があったのが実情だ。2014年夏頃から検討を開始していた企業があるかと思えば、2015年夏になっても方針さえ決まっていない企業もあった。

 そして比較的スタートが遅かった「後発」の企業を中心に、アウトソーシングサービスの利用を検討する傾向が強まり、各種の「マイナンバー関連サービス」が普及することになった。現在ではマイナンバーの収集や本人確認から、保管や処理の一部をビジネスアウトソーシング系のサービスを利用し、外部委託している企業はかなり増えていると思われる。

 そこで浮かび上がるのが「マイナンバー関連のサービスは安全なのか」「マイナンバー関連サービスのセキュリティはどう確認すればよいのか」といった外部委託先におけるマイナンバーの保護に関する問題である。番号法では「個人番号関係事務又は個人番号利用事務の全部又は一部の委託をする者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない」としており、企業には外部委託先の監督義務がある。従って、委託先で行われる安全管理措置について、特定個人情報保護ガイドラインに基づいた十分なものであるかどうかを確認しなければならない。

 業務を一部外部委託すること自体はマイナンバーに限ったことではないので、企業(特に金融機関など)によってはクラウドサービスなどを利用する場合の選定基準や、セキュリティチェックのための社内基準を持っている場合がある。その場合は既存の基準に対してマイナンバー用に必要な要素を加えて基準を改訂し、利用するサービスの安全管理措置の確認に利用することができる。

 元々個人情報保護法において委託先の監督義務があり、それに加えて特定個人情報保護ガイドラインでは「個人番号を取り扱う事務の範囲の明確化」「特定個人情報等の範囲の明確化」「事務取扱担当者の明確化」「個人番号の削除、機器及び電子媒体等の廃棄」などを求めているため、これらに配慮した委託契約の締結と確認を行う必要がある。従ってこれらを既存の基準に付け加えれば、おおむねカバーできると考えられる。

 こうした具体的な項目は、委託契約書そのものには書き込みにくいこともあるだろう。例えば「事務取扱担当者の明確化」については、後日担当者が交替する可能性を考慮すると、委託先の担当者名を契約書に書き込むのは難しい。こうした項目は覚書や附則など、変更しやすい別の形で明らかにしておくのが現実的であろう。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]