業務委託先への監督義務とは?

マイナンバー制度を導入するにあたり、個人番号などの情報漏洩が起こらないように安全管理対策を行う必要があります。

ただ、多くの会社がマイナンバーを取り扱う業務を社会保険労務士事務所などに外部委託する事が多いと想定されます。

その場合に、委託先から情報漏洩しないように、自社における監督と同様に取り締まったり、是正に向けた指図などが必要になってきます。

2014年にベネッセコーポレーションの業務委託社員が社内の個人情報を不正に取得して、数千万件の個人情報を名簿業者に売却してしまうという事件が発生しました。この事件で個人情報を漏洩させたのは、ベネッセコーポレーションの社員ではなく、業務委託先の社員でした。

このような状況でベネッセコーポレーションが業務委託先の監督義務を果たさなければいけないですし、マイナンバー制度においても業務を委託している場合は業務委託先に対して監督義務が生じます。

監督義務とは、委託者自らが果たすべき安全管理措置と同等の措置が講じられるように指図することをいい、委託者は委託先に対して漏洩の可能性が懸念される場合は、是正に向けた指図などをしなければいけません。

監督するにあたっての対応策として、、

(1)委託先の適切な選定
(2)安全管理措置に関する委託契約の締結
(3)委託先における特定個人情報の取扱状況の把握

第4-2-⑴ 委託の取扱い 要点

個人番号関係事務又は個人番号利用事務の全部又は一部の委託をする者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない。

「必要かつ適切な監督」には、①委託先の適切な選定、②安全管理措置に関する委託契約の締結、③委託先における特定個人情報の取扱状況の把握が含まれる。

引用:特定個人情報の適正な取扱いに関するガイドライン(事業者編)

業務委託先への監督義務の対応策

委託先の適切な選定

具体的には、下記について確認することが求められます。

・委託先の設備
・技術水準
・従業者に対する監督・教育の状況
・その他委託先の経営環境

従来のように、委託者に任せっきりという状況ではいけません。

セキュリティ環境が不十分であったり、従事者に対して情報管理に関する教育を行っていないということは、委託先の適切な選定の要件を満たさなくなってしまいます。

そのため、委託者は業務委託先に対して、どのようなシステムや体制によって処理をしているかという事を把握する必要があり、不十分である場合は改善に向けた是正を求める必要があります。

安全管理措置に関する委託契約の締結

特定個人情報保護委員会作成のガイドラインにおいて細かい内容が定められていますが、委託契約書を結ぶだけではなく、以下の内容も契約書に明文化しておくのが望ましいとのことです。

・秘密保持義務
・事業所内からの特定個人情報の持ちだしの禁止
・特定個人情報の目的外利用の禁止
・再委託における条件
・漏洩事案が発生した場合の委託先の責任
・委託契約終了後の特定個人情報の返却または廃棄
・従業者に対する監督、教育
・契約内容の遵守状況について報告を求める規定

第4-2-⑴ 委託の取扱い 
1 委託先の監督(番号法第11条、個人情報保護法第22条)

A 委託先における安全管理措置 個人番号関係事務又は個人番号利用事務の全部又は一部の委託をする者 (以下「委託者」という。)は、委託した個人番号関係事務又は個人番号 利用事務で取り扱う特定個人情報の安全管理措置が適切に講じられるよう 「委託を受けた者」に対する必要かつ適切な監督を行わなければならない。 このため、委託者は、「委託を受けた者」において、番号法に基づき委 託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要か つ適切な監督を行わなければならない。 なお、「委託を受けた者」を適切に監督するために必要な措置を講じず、 又は、必要かつ十分な監督義務を果たすための具体的な対応をとらなかっ た結果、特定個人情報の漏えい等が発生した場合、番号法違反と判断され る可能性がある。

B 必要かつ適切な監督 「必要かつ適切な監督」には、①委託先の適切な選定、②委託先に安全管理措置を遵守させるために必要な契約の締結、③委託先における特定個 人情報の取扱状況の把握が含まれる。 委託先の選定については、委託者は、委託先において、番号法に基づき 委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。具体的な確認事項としては、委託先の設備、技術水準、従業者(注)に対する監督・教育の状況、その他 委託先の経営環境等が挙げられる。委託契約の締結については、契約内容として、秘密保持義務、事業所内 からの特定個人情報の持出しの禁止、特定個人情報の目的外利用の禁止、 再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託 契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければなら ない。また、これらの契約内容のほか、特定個人情報を取り扱う従業者の明確化、委託者が委託先に対して実地の調査を行うことができる規定等を 盛り込むことが望ましい。

引用:特定個人情報の適正な取扱いに関するガイドライン(事業者編)

これを読むと、高い次元の安全管理対策が求められていることが分かるかと思います。

実際、委託会社にとっては、契約書を締結するにあたり自社の利益を保護するためのことが書かれています。

しかし、これまで契約書を締結してこなかった会社も多いことが想定される中で、改めて契約書を締結することが難しいことも予想されます。

そのため、契約書というよりも、覚書を締結する方が簡単かも知れません。

委託先における特定個人情報の取扱状況の把握

ガイドラインでは、委託者が業務委託先に対して調査を行うことが出来るのが望ましいと考えられています。

しかし、委託先では委託者以外の情報を扱っていることも考えられ、守秘義務の関係から十分な把握は難しいことが想定されます。

このような場合は、ヒアリングシートのような形式で把握することが現実的です。

再委託に関する要件

委託業務が多い場合は、委託先がさらに別の業者に委託することも(再委託)考えられます。

この場合の再委託についても要件が定められていて、委託者の許諾を受けることが前提条件となっています。

さらに、再々委託をする場合も、最初の委託者の許諾を得ることが求められています。

再委託や再々委託を行った場合でも、委託者は全てに対して監督義務を負うことになり、委託者にとっては大きな負担が生じることになります。

第4-2-⑴ 委託の取扱い
再委託(番号法第10条、第11条)

個人番号関係事務又は個人番号利用事務の全部又は一部の「委託を受けた者」は、委託者の許諾を得た場合に限り、再委託を行うことができる。

再委託を受けた者は、個人番号関係事務又は個人番号利用事務の「委託を受けた者」とみなされ、最初の委託者の許諾を得た場合に限り、更に再委託することができる。

更に再委託をする場合も、その許諾を得る相手は、最初の委託者である。 したがって、個人番号関係事務又は個人番号利用事務が甲→乙→丙→丁と順次委 託される場合、丙は、最初の委託者である甲の許諾を得た場合に限り、別の事業者 丁に再委託を行うことができる。更に再委託が繰り返される場合も同様である。 なお、乙は丙を監督する義務があるため、乙・丙間の委託契約の内容に、丙が再 委託する場合の取扱いを定め、再委託を行う場合の条件、再委託した場合の乙に対 する通知義務等を盛り込むことが望ましい。

引用:特定個人情報の適正な取扱いに関するガイドライン(事業者編)

 

業務委託先の監督方法

委託者は業務委託先を監督するにあたって、どのように監督すればよいでしょうか?

マイナンバー制度では、マイナンバーに関する業務を委託する場合は、委託者に対して業務委託先の監督義務が求められています。

情報漏洩が起こらないように監督する際に、委託先に対して実際に確認に訪れるという方法が望ましいですが、委託先において他の企業の情報を取り扱っていることもあり、現実的な方法とは言えません。

そこで、委託にあたっての実務面の細かい運用を確認する方法として、ヒアリングシートを用いる方法があります。

委託先にヒアリングシートを渡して実際に記入してもらうことになります。

このヒアリングシートに記載する際に委託先において十分な体制が構築されていない場合は、このシートへの記載を機に体制整備が行われることが期待出来るため、効果的な方法ともいえます。

そして、ヒアリングシートの回答結果の安全管理対策が不十分なものであれば、是正に向けて指図監督する必要があります。

口頭による指図指導では後で言った言わないの問題になりますので、書面などで通知するという方法が望まれます。

なお、委託先がISO27001、Pマークなど情報関連の認証規格を有している場合は、一定水準の安全管理体制が整備されている信頼性に繋がりますので、一つの指標として参考になります。