事業者は、個人番号関係事務を他の事業者に委託することができます。
<関連記事>
個人番号関係事務を委託する場合にはどのような措置を講じなければならないの?
また、委託者が許諾した場合に限り、個人番号関係事務を再委託することができます。
<関連記事>
今回は、マイナンバー(個人番号)を取り扱う情報システムについて外部の事業者を活用している場合、個人番号関係事務の「委託」に該当するのかどうかについてご説明していきたいと思います。
解説ポイント
外部の事業者の利用は委託になるのか?
【マイナンバー(個人番号)を取り扱う情報システムについてクラウドサービス契約を締結している外部の事業者を活用している場合は「委託」に該当するの?】
個人番号関係事務の「委託」に該当するかどうかは、以下に挙げる点が基準になります。
契約の相手方事業者が契約内容を履行するに当たり、マイナンバー(個人番号)を含む電子データを取り扱うかどうか
つまり、相手方事業者がマイナンバー(個人番号)を含む電子データを取り扱わない場合には、個人番号関係事務の「委託」には当たらないということになります。
相手方事業者がマイナンバー(個人番号)を含む電子データを取り扱わない場合には、以下のようなことが考えられます。
◎契約条項により、相手方事業者がマナンバー(個人番号)を含む電子データを取り扱わない旨が定められている場合
◎適相手方事業者によるアクセス制御が適切に行われている場合
上記のような場合では、クラウドサービス事業者に対する監督義務は生じないことになります。
但し、クラウドサービスを利用して保管しているマイナンバー(個人番号)を含む電子データについては、安全管理措置を講じなければなりません。
【マイナンバー(個人番号)を取り扱う情報システムの保守に外部の事業者を活用している場合は「委託」に該当するの?】
保守サービスを提供している事業者がマイナンバー(個人番号)を含む電子データを取り扱う場合には、個人番号関係事務の「委託」に当たります。
一方で、以下に該当する場合には、個人番号関係事務の「委託」に当たりません。
○単純なハードウェア・ソフトウェア保守サービスのみを行う場合
○契約条項により、相手方事業者がマイナンバー(個人番号)を含む電子データを取り扱わない旨が定められている場合
○適切なアクセス制御が行われている場合
【まとめ】
ここまで、外部の事業者を活用する場合、個人番号関係事務の「委託」に該当するかどうかについて見てきました。
外部の事業者がマイナンバー(個人番号)を含む電子データを取り扱う場合には、個人番号関係事務の「委託」に該当することが分かりました。
「委託」の該当しなければ、相手方事業者に対する監督義務は発生しませんが、マイナンバー(個人番号)を含む電子データに対する安全管理措置を講じる必要があることに注意しましょう。