そもそも委託とは
マイナンバーの取扱いを委託できることはマイナンバー法第9条の規定から明らかです。
ところで、そもそも委託に該当するかはどのように判断するのでしょうか? 個人情報保護委員会のガイドラインQ&Aに記載があるのでご紹介します。
配送業者の利用は委託ではない
特定個人情報の受渡しに関して、配送業者による配送手段を利用する場合、当該配送業者は、通常、依頼された特定個人情報の中身の詳細については関知しないことから、着業者と配送業者との間で特に特定個人情報の取扱いについての合意があった場合を除き、委託には該当しない。
通信業者の利用も委託ではない
通信事業者による通信手段を利用する場合も、当該通信事業者は、通常、特定個人情報を取り扱っているのではなく、通信手段を提供しているにすぎないことから、委託には該当しない。
情報システムの保守は委託に該当
おなじくガイドラインQ&Aより。
特定個人情報を取り扱う情報システムの保守に外部の事業者を活用している場合は委託になるのでしょうか?
これに対する個人情報保護委員会の見解は、
当該保守サービスを提供する事業者がサービス内容の全部又は一部として個人番号をその内容に含む電子データを取り扱う場合には委託に該当する。
理由は説明されていませんが、特定個人情報の記録された機器を運ぶだけなら特定個人情報を取り扱うことにならないが、機器の保守管理はそこに含まれているデータの保守管理と同一視できるから、と整理しておけばよいでしょう。
安全管理措置に注意
つまるところ、外部のサービスを利用することが必ずしも全て委託になるわけではなく、特定個人情報の取扱いについて特に合意、依頼するのでなければそれは「利用」であって「委託」ではないと考えてよいのでしょう。
利用に過ぎない場合、次に説明する委託先の監督義務などは発生しないということになります。
しかし、(これも少し後で説明することになる)安全管理措置の対象ではあります。あまり信頼できないいい加減そうな業者を利用し、事故があったときは、マイナンバー法の安全管理措置義務違反ということにはなるのでご注意ください。
委託に関するその他のポイント
行政機関から民間事業者への委託
よく出題されるのは、行政機関から民間事業者が受託した場合にも、「特定個人情報の適正な取扱いに関するガイドライン(行政機関編)」の適用があるか?という問題です。
当然適用されます。
行政機関はガイドラインに沿った適切な取扱いをするけれども、行政機関から委託された民間事業者はガイドラインを無視してよいわけはありません。そのようなことがまかり通るのであれば委託自体禁止すべきです。
国外の事業者への委託
また、国外の事業者に委託する場合マイナンバー法の適用があるか、ということもしばしば聞かれます。
これも適用されます。
委託によって取扱いのレベルが下がってはいけないのです。
再委託には許諾が必要(10条)
委託者が受託した業務の全部または一部を別の業者に委託(再委託)するには委託者の許諾が必要です。
委託者は「この業者なら大丈夫」と見込んで委託するので、勝手に再委託され、しかもいい加減な取扱いをされると困るからです。
この許諾は口頭でもいいのか?という問題が出たことがあります。書面で確認するのが望ましいですしそれが通例でしょうが、方式は規定されていません。したがって、口頭の許諾でも結構です。
委託先の監督(11条)
委託者(委託元)は受託者に対する必要かつ適切な監督を行う義務を負います。
ガイドラインには「委託者が自ら果たすべき安全管理措置と同等の措置が講じられるよう、必要かつ適切な監督をおこなわなければならない」とあります。
監督方法としては
- 業務委託先の適切な選定
- 業務委託先との適切な委託契約の締結
- 業務委託先における特定個人情報の取扱状況の把握
が掲げられています。
再委託先も監督しなければならない
ここで注意を要するのは、AからB、BからCと再委託があった場合、AはCに対する監督義務をも負うということです。
Aが直接負うのはBに対する監督義務ですが、そこには「再委託先を適切に監督しているかどうかを監督する義務」も含まれると理解されているからです。
委託先(B)に対する監督義務を通じて間接的に再委託先(C)に対する監督義務を負うという構造になっているのです。