前回に引き続き、ガイドライン案(事業者編)と同時に公表されている、「特定個人情報保護ガイドライン検討会(事業者グループ)等において寄せられた質問に係る考え方」をみていきます。
今回のテーマは番号法上の保護措置及び安全管理措置について各論として解説されている項目のうち「委託の取扱い」を取り上げて、寄せられた質問と委員会の考え方を引用をしながら解説します。
*2014年12月11日に確定したガイドラインが公表されています。「特定個人情報保護ガイドライン検討会(事業者グループ)等において寄せられた質問に係る考え方」の一部は、Q&Aとしてガイドラインとともに公表されています。以下の記事内では用語等の一部訂正を実施しました(12月19日)。
委託先の監督
一般の事業者が、個人番号関係事務の全部又は一部の委託をする場合は、委託先において、番号法に基づき、本来であれば「委託者自らが果たすべき安全管理措置と同等の措置」が講じられるように、必要かつ適切な監督を行わなければなりません。
身近な存在では、従業員等の源泉徴収票作成事務について税理士(会計事務所)等へ委託することがあると思いますが、この場合の税理士(会計事務所)等は委託先に該当します。
そして上記の事業者による必要かつ適切な監督には、次の3つの事項が含まれます。
- 委託先の適切な選定
- 委託先に安全管理措置を遵守させるために必要な契約の締結
- 委託先における特定個人情報の取扱状況の把握
以下、これに関連した質問と考え方をみてみます。
安全管理措置のレベル
(質問)
委託者が実際に講じている安全管理措置と同レベルの措置を、委託先においても求めなければいけないか(番号法が求める水準の安全管理措置が講じられていれば良いか)
(考え方)
委託先は番号法の求める水準の安全管理措置を講じていればよいので、委託者が番号法の求める安全管理措置よりも高度の措置をとっている場合にまで、それと同等の措置を求めているわけではありません。ただし、安全管理措置の検討に当たっては、番号法だけではなく、個人情報保護法等関係法令並びに本ガイドライン及び主務大臣のガイドラインを遵守する必要があります。
税理士(会計事務所)等で、従業員等の源泉徴収票作成事務など個人番号関係事務を受託している方(あるいは税理士(会計事務所)等に当該業務などを委託している事業者)は気になるところだと思います。
委託者からの問い合わせを受けて、または、委託先として自主的に番号法をはじめ関連法規やガイドラインを遵守した安全管理措置をとれることを説明できるよう準備しておく必要があります。仮に委託者が番号法よりも高度の安全管理措置をとっている場合において、委託先に対して同等の措置を求めているわけではない、という点はホッとするところでしょうか。
監督義務の内容
(質問)
特定個人情報における委託先の監督について、個人情報保護法に加えて求められる監督義務の内容は何ですか。
(考え方)
委託者は、委託先において、番号法で求められている安全管理措置が講じられているかを監督する義務があります。本ガイドラインの安全管理措置特有なものとしては、主に、「個人番号を取り扱う事務の範囲の明確化」、「特定個人情報ファイルの範囲の明確化」、「事務取扱担当者の明確化」、「個人番号の消去、機器及び電子媒体等の廃棄」が挙げられます。
個人番号を取り扱う事務の範囲の明確化
これは個人番号関係事務の場合、「源泉徴収票作成事務」、「健康保険・厚生年金保険加入等届出事務」のように、委託先に委託する事務の範囲を明確にすることを指します。
特定個人情報ファイルの範囲の明確化
これは、委託先に委託した事務において、使用される個人番号及び個人番号と関連付けて管理される個人情報(氏名、生年月日等)の範囲を明確にすることを指します。
事務取扱担当者の明確化
これは、上記で定めた委託先における「個人番号を取り扱う事務」に従事する事務取扱担当者を明確にすることを指します。
個人番号の消去、機器及び電子媒体等の廃棄
これは、上記で定めた委託した事務で使用される「特定個人情報ファイル」を範囲に、それらの事務を処理する必要がなくなり、保存期間を経過した場合には、委託先が使用していた個人番号をできるだけ速やかに廃棄又は削除することを指します。
国外事業者への委託
(質問)
特定個人情報の取扱いを国外の事業者に委託する場合に、委託者としての安全管理措置を担保する上で、国内で実施する場合に加えて考慮するべき追加措置等はありますか。
(考え方)
国内外を問わず、個人番号が漏えい等しないように、必要かつ適切な安全管理措置を講ずる必要があります。なお、必要かつ適切な監督には、①委託先の適切な選定、②委託先に安全管理措置を遵守させるために必要な契約の締結、③委託先における特定個人情報の取扱状況の把握が含まれます。ご質問につきましては、国外の委託先であっても、番号法ガイドラインの求める水準の安全管理措置を遵守させる必要があります。
委託先のロケーションにかかわらず、必要かつ適切な安全管理措置を講ずる必要があるということです。
以下では、ガイドライン案(事業者編)を参考に、①~③について補足しますが、個人番号関係事務、例えば、個人番号の入手と本人確認、個人番号の登録・管理など比較的まとまった事務を委託する場合の(ある程度大きな組織体としての)委託先を想定した方がイメージしやすいかもしれません。
なお、ガイドライン案(事業者編)では、中小規模事業者(従業員の数が100人以下の事業者)については、事務で取り扱う個人番号の数量が少なく、また、特定個人情報等を取り扱う従業者が限定的であること等から、特例的な対応方法を用意していますが、委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者についてはそのような特例的な対応は認めていません。
委託先の適切な選定
委託先の選定にあたっては、例えば次のような事項を検討します。
- 設備
- 技術水準
- 従業者に対する監督・教育
- 委託先の経営環境 など
委託先に安全管理措置を遵守させるために必要な契約の締結
委託先との契約では、委託する事務の範囲、特定個人情報の特定、事務取扱担当者、個人番号の消去、機器及び電子媒体等の廃棄などに関する項目のほか、次のようなものを定めます。
- 委託先にて秘密保持義務を負うこと
- 事業所内から特定個人情報の持ち出しを禁止すること
- 特定個人情報を委託した事務の目的外での利用を禁止すること
- 委託した事務を別の事業者に再委託する場合の条件
- 管理している特定個人情報が外部に漏洩した時の委託先の責任について
- 契約終了後の特定個人情報の返却又は廃棄について
- 従業者に対する監督・教育について
- 契約内容の遵守状況に関する報告について など
委託先における特定個人情報の取扱状況の把握
委託先において契約を遵守して運用しているか、その状況を確認するために、委託先から報告を受けたり、場合によっては委託者が委託先に対して実地の調査を行ったりします。
注:本記事は私個人の備忘録もかねています。今後、更新・追加されるガイドラインやFAQなどによって適宜内容は加筆・修正していきます。実務への適用にあたっては、関連する法令・ガイドラインなどの公表物をご自身でもチェックをお願いします。