マイナンバー制度各論-委託の取扱い(その2)

今回のテーマは、前回に引き続き、番号法上の保護措置及び安全管理措置について各論として解説されている項目のうち「委託の取扱い」を取り上げます。ガイドライン案(事業者編)と同時に公表されている、「特定個人情報保護ガイドライン検討会(事業者グループ)等において寄せられた質問に係る考え方」を引用をしながら解説します。

*2014年12月11日に確定したガイドラインが公表されています。「特定個人情報保護ガイドライン検討会(事業者グループ)等において寄せられた質問に係る考え方」の一部は、Q&Aとしてガイドラインとともに公表されています(12月19日)。

再委託について

一般の事業者から、個人番号関係事務の全部又は一部の「委託を受けた者」は、委託者の許諾を得た場合に限り、再委託をすることができます。

例えば、事業者が従業員等の源泉徴収票作成事務について税理士(会計事務所)へ委託している場合、当該税理士(会計事務所)は委託者の許諾を得た場合に限り、その事務を別の事業者に委託することができます。

そして再委託を受けた事業者は、個人番号関係事務の全部又は一部の「委託を受けた者」とみなされ、再委託を受けた個人番号関係事務を行うことができるほか、最初の委託者の許諾を得た場合に限り、その事務を更に再委託することができます。

留意すべきなのは、委託者である事業者による税理士(会計事務所)に対する監督義務の内容には、再委託の適否だけではなく、税理士(会計事務所)が再委託した事業者に対して、必要かつ適切な監督を行っているかどうかを(間接的に)監督することも含まれることです。

以下、これに関連した質問と考え方をみてみます。

再委託先との業務委託契約

(質問)

委託先との業務委託契約にあたっては、委託先に安全管理措置を遵守させるために必要な契約の他、特定個人情報に係る各種規定を盛り込むことが規定されています。再委託先との業務委託契約にあたっても、委託先と同様に「業務委託契約書」等に、特定個人情報の取り扱いを委託する旨の特段の記載が必要になりますか。

(考え方)

業務委託契約を締結する場合には、通常、委託する業務の範囲を特定することになります。番号法においては、個人番号の利用範囲が限定的に定められていることから、委託先と再委託先との業務委託契約においても番号法で認められる業務の範囲内で委託する業務の範囲を特定していただく必要があります。

委託先と再委託先との業務委託契約についても安全管理措置を遵守させるための規定を盛り込む必要があります。前回のエントリーで委託契約に盛り込むべき項目として、「委託した事務を別の事業者に再委託する場合の条件」を入れていたことと関連します。

再委託の許諾

(質問)

再委託(再々委託以降を含む)を行うに当たって、最初の委託者から直接許諾を得ることは難しいのではないですか。

(考え方)

再委託につき許諾を要求する規定は、最初の委託者において、再委託先が十分な安全管理措置を行うことのできる適切な業者かどうかを確認させるため設けられたものであり、番号法第10条第1項により明示されていることから、これをガイドラインで緩和することはできません。したがって、最初の委託者の許諾を得る必要があります。なお、委託先や再委託先から個人番号や特定個人情報が漏えい等した場合には、委託元は、委託先に対する監督責任を問われることとなります。

委託者の許諾を得た場合に限り再委託することができる、という規定は再委託が繰り返される場合も同様に適用されるということです。これをしっかりと遵守するためには、委託先と再委託先との業務委託契約の中には、再委託を行う場合の条件のほか、再委託した場合の通知義務を盛り込むことも必要になってきます。

委託/再委託にまつわる別の論点

ところで、委託や再委託といったとき、次のように、個人番号関係の「事務作業」をイメージすると思います。

  • 例えば、事業者から従業員等の源泉徴収票作成事務について委託を受けた個人の税理士が、設備面などを理由にその事務を別の事業者(提携関係にある大規模な会計事務所)に委託するケース
  • また例えば、全国展開する事業者から個人番号の入手と本人確認やその登録・管理の委託を受けた大手SIベンダーが、その事務をグループの子会社や地方のSIベンダーに委託するケース

しかし、委託/再委託にまるわる論点には、特定個人情報ファイルの管理を情報システムを利用して行うことから、以下のような論点も出てきます。

給与計算等のASPサービスの例

(質問)

事業者(A社)が給与計算等のASP(アプリケーションサービスプロバイダ)サービスを利用することがありますが、そのASP事業者(B社)がさらにクラウドサービス事業者(C社)のファイルサーバサービス等を利用してASPサービスを提供する場合、これは再委託の取扱いになるのでしょうか。

(考え方)

B社とC社との契約内容によりますが、C社が特定個人情報に触れることができる場合には、再委託となります。一方、C社が特定個人情報に触れることが全くできない場合(アプリケーションを使えない場合)には、再委託となりません。なお、再委託とならない場合であっても、A社はB社に対する監督義務として、C社のクラウドサービス内にあるファイルについても適切な安全管理措置を講ずるよう、B社を適切に監督する必要があります。

ASP事業者が委託に基づいて、個人番号を含むデータの保守・点検を行うケースでは、事業者から預かったデータを使って個人番号関係事務の一部を遂行します。委託者である事業者は、ASP事業者が安全管理措置を講じているか必要かつ適切な監督を行う必要があります。そして、もし、ASP事業者がクラウドサービス事業者のファイルサーバサービス等を利用して当該サービスを提供している場合、再委託となるケースがあるということです。具体的には、クラウドサービス事業者が特定個人情報に触れることができるか否かで判断するとあります。

類似の質問と考え方をもう一つみておきましょう。

クラウドのサーバー運用・保守サービスの例

(質問)

クラウドのサーバー運用・保守を行っているベンダーは、そのサーバーに保存されているクライアント所有の個人番号又は特定個人情報について、データ保全上必要なバックアップを行った場合には、安全管理措置を講ずる必要はありますか。

(考え方)

クラウドサービスの形態によって異なるものと思われます。個人番号又は特定個人情報を管理しているアプリケーションをクライアントが所有している場合など(IaaS、PaaSの場合)は、ベンダー側でそれらを参照することができず、クライアント側が個人番号又は特定個人情報を直接管理しているといえるので、ベンダーは委託を受けた者とはみなされず、安全管理措置を義務付けられません。一方、アプリケーションをベンダー側が所有している場合(SaaSの場合)には、ベンダー側においてアプリケーション内で管理されている個人番号又は特定個人情報を参照できるので、委託を受けた者となり、安全管理措置を義務付けられることとなります。したがって、この場合にはバックアップ行為も安全管理措置の対象となるものと解されます。

個人番号又は特定個人情報のバックアップファイルも特定個人情報の作成に該当しますので、安全管理措置を講ずる必要があります。クラウドサービス事業者が「委託を受けたものとみなされるか否か」も考え方は上記と同じで、クラウドサービス事業者が特定個人情報に触れることができるか否かで判断するということです。

注:本記事は私個人の備忘録もかねています。今後、更新・追加されるガイドラインやFAQなどによって適宜内容は加筆・修正していきます。実務への適用にあたっては、関連する法令・ガイドラインなどの公表物をご自身でもチェックをお願いします。