事務の委託、再委託

そもそも委託とは

マイナンバーの取扱いを委託できることはマイナンバー法第9条の規定から明らかです。

ところで、そもそも委託に該当するかはどのように判断するのでしょうか? 個人情報保護委員会のガイドラインQ&Aに記載があるのでご紹介します。

配送業者の利用は委託ではない

特定個人情報の受渡しに関して、配送業者による配送手段を利用する場合、当該配送業者は、通常、依頼された特定個人情報の中身の詳細については関知しないことから、着業者と配送業者との間で特に特定個人情報の取扱いについての合意があった場合を除き、委託には該当しない

通信業者の利用も委託ではない

通信事業者による通信手段を利用する場合も、当該通信事業者は、通常、特定個人情報を取り扱っているのではなく、通信手段を提供しているにすぎないことから、委託には該当しない

情報システムの保守は委託に該当

おなじくガイドラインQ&Aより。

特定個人情報を取り扱う情報システムの保守に外部の事業者を活用している場合は委託になるのでしょうか?

これに対する個人情報保護委員会の見解は、

当該保守サービスを提供する事業者がサービス内容の全部又は一部として個人番号をその内容に含む電子データを取り扱う場合には委託に該当する

理由は説明されていませんが、特定個人情報の記録された機器を運ぶだけなら特定個人情報を取り扱うことにならないが、機器の保守管理はそこに含まれているデータの保守管理と同一視できるから、と整理しておけばよいでしょう。

安全管理措置に注意

つまるところ、外部のサービスを利用することが必ずしも全て委託になるわけではなく、特定個人情報の取扱いについて特に合意、依頼するのでなければそれは「利用」であって「委託」ではないと考えてよいのでしょう。

利用に過ぎない場合、次に説明する委託先の監督義務などは発生しないということになります。

しかし、(これも少し後で説明することになる)安全管理措置の対象ではあります。あまり信頼できないいい加減そうな業者を利用し、事故があったときは、マイナンバー法の安全管理措置義務違反ということにはなるのでご注意ください。

委託に関するその他のポイント

行政機関から民間事業者への委託

よく出題されるのは、行政機関から民間事業者が受託した場合にも、「特定個人情報の適正な取扱いに関するガイドライン(行政機関編)」の適用があるか?という問題です。

当然適用されます。

行政機関はガイドラインに沿った適切な取扱いをするけれども、行政機関から委託された民間事業者はガイドラインを無視してよいわけはありません。そのようなことがまかり通るのであれば委託自体禁止すべきです。

国外の事業者への委託

また、国外の事業者に委託する場合マイナンバー法の適用があるか、ということもしばしば聞かれます。

これも適用されます。

委託によって取扱いのレベルが下がってはいけないのです。

再委託には許諾が必要(10条)

委託者が受託した業務の全部または一部を別の業者に委託(再委託)するには委託者の許諾が必要です。

委託者は「この業者なら大丈夫」と見込んで委託するので、勝手に再委託され、しかもいい加減な取扱いをされると困るからです。

この許諾は口頭でもいいのか?という問題が出たことがあります。書面で確認するのが望ましいですしそれが通例でしょうが、方式は規定されていません。したがって、口頭の許諾でも結構です。

委託先の監督(11条)

委託者(委託元)は受託者に対する必要かつ適切な監督を行う義務を負います。

ガイドラインには「委託者が自ら果たすべき安全管理措置と同等の措置が講じられるよう、必要かつ適切な監督をおこなわなければならない」とあります。

監督方法としては

  1. 業務委託先の適切な選定
  2. 業務委託先との適切な委託契約の締結
  3. 業務委託先における特定個人情報の取扱状況の把握

が掲げられています。

再委託先も監督しなければならない

ここで注意を要するのは、AからB、BからCと再委託があった場合、AはCに対する監督義務をも負うということです。

Aが直接負うのはBに対する監督義務ですが、そこには「再委託先を適切に監督しているかどうかを監督する義務」も含まれると理解されているからです。

委託先(B)に対する監督義務を通じて間接的に再委託先(C)に対する監督義務を負うという構造になっているのです。

個人番号の生成

個人番号はどのようにして決まるのか

個人番号は誰がどのようにして決めるのでしょうか。この点についてはマイナンバー法の8条に規定があります。

市町村長は、(中略)個人番号を指定するときは、あらかじめ機構に対し、当該指定しようとする者に係る住民票に記載された住民票コードを通知するとともに、個人番号とすべき番号の生成を求めるものとする。

マイナンバー法 第8条第1項

あなたの個人番号は何番ですよ、と指定するのは市町村長です。

個人番号を生成するのは総務省ではなく、市町村長でもなく「機構」(地方公共団体情報システム機構)です。

市町村ごとに番号を付けていくとするとダブりが出る危険があるので、機構が一元的に番号の生成を担うようにしているのです。

市町村長が機構にマイナンバーの生成を依頼するときに通知するのは住民票コードのみです。余計な情報を受け渡ししないということをおさえておいてください。

番号生成のルール

機構は次の条件を満たすように個人番号を生成します。

  1. 他のいずれの個人番号とも異なること
  2. 住民票コードを変換して得られるものであること
  3. 住民票コードを復元することのできる規則性を備えるものでないこと

他のいずれの個人番号とも異なること

同じ番号がダブってはいけない、ということです。

漏えいにより再生成することとなった従前の個人番号ともダブってはいけません。

住民票コードを変換して得られるものであること

元は住民票コードです。

住民票コードを復元することのできる規則性を備えるものでないこと

住民票コードが「復元できないこと」です。復元できてしまっては困るのです。

引っかけ問題

個人番号は生年月日や電話番号など類推されやすい番号を避けるように決めるということにはなっていません。

いかにも正しそうですが、そのような要件はありません。たまたま生年月日と同じ数字が含まれることもあるでしょうが構いません。パスワードとは違うのです。

そういった番号を避けなければならないとしたら市町村長は機構に生年月日やら電話番号やらを通知しなければならないはずですが、通知するのは住民票コードのみでしたね。そうすると、機構はどの番号がNGなのか把握できませんから避けようにも避けられないのです。

通知カード

通知カードには何が記載されているのか

通知カードとはあなたの個人番号は何番ですよ、と文字通り通知することを目的とするカードです。

記載事項はいわゆる基本4情報(氏名、住所、生年月日、性別)と個人番号だけです。個人番号の通知が目的ですからそれだけ記載しておけば十分なのです。

個人番号カードと異なり、有効期限というものはありません。顔写真は貼りません。個人番号カードはプラスチックでICチップ付ですが、通知カードはペラペラの紙です。

通知カードサンプル画像
通知カード(表)

転入届とセットで提出(7条4項)

通知カードを持っている人が転入届を提出するときは、通知カードも同時に提出します。

  • 転出届ではなくて転入届。
  • 転入届と同時に提出。

といったところが試験で問われています。

変更があったら14日以内に届出(7条5項)

通知カードの記載事項に変更があった場合、変更があった日から14日以内に市町村長に届け出なければなりません。

同一市町村内で引っ越しをした場合、転入届はいりません(転居届になります)が、記載事項である住所に変更が生じるわけですから14日以内に届出をしなくていはいけません。

紛失したら直ちに届出(7条6項)

通知カードを紛失した場合は直ちに市町村長に届け出なければなりません。

「直ちに」です。

個人番号カードの交付を受けるときに返納(7条7項)

個人番号カードの交付を受けようとする場合は通知カードを市町村長に返納しなくてはなりません。

マイナンバーの変更

マイナンバーは生涯不変

マイナンバーは生涯不変です。結婚して姓が変わったとか、引っ越しをして住所が変わったとかではマイナンバーは変更されません。

コロコロ番号が変わるようでは、同一人物であることの確認がとれなくなり、制度の目的が実現できなくなってしまうからです。

もっとも、通知カード(後で説明します)記載事項に変更があったときは、変更があった日から14日以内に市町村長に届け出なければなりません(第7条第5項)。

姓や住所は通知カード記載事項ですから、届出は必要ということになりますのでご注意ください。

マイナンバーが変更されることと、届出義務があることは全然別のことなのできちんと区別しておいてください。

唯一の例外は「不正利用のおそれがあるとき」

条文を見てみましょう。

市町村長は、当該市町村(特別区を含む。以下同じ。)が備える住民基本台帳に記録されている者の個人番号が漏えいして不正に用いられるおそれがあると認められるときは、政令で定めるところにより、その者の請求又は職権により、その者の従前の個人番号に代えて、次条第二項の規定により機構から通知された個人番号とすべき番号をその者の個人番号として指定し、速やかに、その者に対し、当該個人番号を通知カードにより通知しなければならない。

マイナンバー法 第7条第2項

個人番号カードが盗まれてしまった場合や、会社に提供した個人番号を誰かが不正に第三者に渡してしまった場合などが想定されています。

通知カードを誤って隣の家に配達してしまったケースや、誤って住民票にマイナンバーを記載して発行してしまったケースでマイナンバーの変更、再発行をしたという報道がありましたね。

市町村長の職権でも変更できる

不正利用のおそれがあるときに、本人が変更を請求できるのはいいですね。悪用されてまず困るのは本人だからです。

7条2項を見ると、市町村長の職権でも変更ができるとありますね。本人の請求がなくても市町村長が変更する必要があると考えるときは変更ができるということです。これはどういうことでしょうか。

漏えいの事実は明白だけれども、本人が放置している場合を考えてみてください。

悪用されてしまうと、いくら本人がいいといっているといってもマイナンバー制度の信頼が揺らぎます。制度に対する信頼という公益が害されるのです。

また、本人と連絡がとれない場合、本人の権利利益が害されるおそれがあるのに黙って見過ごすというのもよくないですよね。

そこで、あくまで漏えいによって不正利用のおそれがある場合ですが、市町村長も職権でマイナンバーの変更ができるとしているのです。

マイナンバー法は個人の権利利益を保護する側面もありますが、社会の基盤、公益という要素が強いということがここにも現れているといえますね。

事業者は定期的に確認を

事業者は雇用している従業員等からマイナンバーの提供を受けて源泉徴収票作成事務等を行います。

一度提供を受ければ翌年以降改めて提供を求める必要はないわけですが、少ないとはいえマイナンバーが変更されている可能性はあります。

そこで、定期的にマイナンバーに変更がないか確認をするべきです。そうでないと、書類に誤った番号を記載しつづけてしまうからです。

マイナンバーの基礎知識

個人番号(マイナンバー)とは

個人番号は「住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるもの」と定義されています(マイナンバー法第2条第5項)。

個人番号は、住民票コードを変換して得られる11桁と検査用の1桁の合わせて12桁の番号となっています。

また、住民票を発行時も(希望すれば)個人番号を記載して発行してもらえます。

どうやって作るのか

マイナンバーがどのようにして生成されるのかは別の機会に説明します。

ここでは、「住民票コードを変換して作る」ことだけおさえてください。

「住民票コード」が元ですので、海外に居住している日本人のように住民票がない=住民票コードもない人に個人番号は指定されません。

反対に、日本国籍がなくとも日本に住所があって住民票がある人には個人番号が指定されます。

マイナンバーは煮ても焼いてもマイナンバー

実務でマイナンバーを扱ってらっしゃる方はすでにご存じでしょうが、マイナンバーの取扱いはなかなか面倒です。

そこで番号を加工してしまえばよいのでは?とお考えになる方もいらっしゃると思います。しかし、結論から言えばそれは無駄な試みになります。マイナンバー法はそのような抜け穴を先回りしてふさいでいるからです。

マイナンバー法第2条第8項(特定個人情報の定義)を見ますと、

この法律において「特定個人情報」とは、個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。第七条第一項及び第二項、第八条並びに第四十八条並びに附則第三条第一項から第三項まで及び第五項を除き、以下同じ。)をその内容に含む個人情報をいう。

となっています。

この()書きの中が大事で、要するに、数字をアルファベットに置き換えたり暗号化したりしても個人番号でなくなるわけではないといっているんですね。

住民票コードは個人番号ではない

ここで、「住民票コード以外のもの」という箇所に注意してください。住民票コードは個人番号ではありませんよ、といっているのです。個人番号は住民票コードから生成するので、「個人番号に対応」してはいます。しかし住民票コードはすでにいろいろなところに転がっていますから急にこれも個人番号ですといわれても困るのです。なので形式的には個人番号に含まれてしまいそうですが、個人番号の定義からは除外しているのです。

バラバラにしても個人番号

個人番号をバラバラに分割すれば個人番号として取り扱わなくてよくなるのでしょうか?つまり、12桁の番号を例えば3桁ずつ4回に分けて相手に通知する場合、マイナンバー法の規定通りの取扱いをしなくてもよいのでしょうか?

確かに「置き換え」と「分割」は違います。条文で個人番号に含むといっているのは「置き換え」た場合であって「分割」した場合については個人番号に含むと明言されていませんね。

ある焼き肉屋さんが個人番号に29が入っていれば割引きします、というキャンペーンを行おうとしたところ、当局から「目的外利用にあたるかもしれないから自粛してください」と言われていましたね。はっきりとマイナンバー法違反とはいわれていなかったと記憶しています。

しかし、暗号化しても個人情報だといっているのですからそれより秘匿化の程度も安全性の程度も低い単純な分解で個人情報として扱わなくてよくなるというのはおかしいですよね。

バラバラに分割する場合も個人番号として取り扱わなければならないと考えるべきでしょう。

死者の個人番号も大切に

個人情報保護法の個人情報の定義は「生存する個人に関する情報であって」で始まっていましたが、個人番号の方にはそのような限定がないですね。

ということは、亡くなった方の個人番号についても、あとで解説する利用制限規定や安全管理措置の対象から外れない、ということです。

個人情報保護法とマイナンバー法の関係

一般法と特別法

法学上の概念に、一般法特別法というものがあります。

たとえば、モノの売り買いについては民法に規定がありますが、売買をビジネスとしておこなう場合も民法を適用するとちょっと具合が悪いのです。プロの売買ではスピードが要求されるなどの事情があるからです。そこで商法という特別法を作りました。この場合、民法が一般法で商法が特別法ということになります。

一般法と特別法の関係 ~特別法は一般法を上書きする~

一般法と特別法の適用関係はどうなっているのでしょうか。

結論を先に言いますと、特別法は適用範囲が狭いけれど、一般法より優先的に適用される、ということになります。

同一の事項が一般法と特別法に規定されている場合は特別法が適用されます。これはいいですね。そうするために特別法を作ったのですから。

しかし、あらゆる事項について一般法と特別法の両方に規定する必要はありません。特別法を作らなければならない理由がない事項についてまでわざわざ特別法に同じことを規定するのは無駄なのです。同一の事項について特別法に規定がない場合は一般法を適用します。

マイナンバー法は特別法、個人情報保護法は一般法

マイナンバー法も個人情報に関する法律ですが、個人情報の中でもとりわけ個人番号をその内容に含む個人情報(特定個人情報といいます)の取扱いについて定めた法律です。つまり、個人情報保護法は一般法、マイナンバー法はその特別法という関係にあります。

マイナンバー法に規定がない場合

たとえば、マイナンバー法には個人情報保護法第15条(利用目的の特定)に相当する規定がありません。だからといって、マイナンバーの提供を求めるときに利用目的を特定しなくてよいということにはなりません。

マイナンバーも個人情報ですから、個人情報保護法の規制を受けるからです。

特定個人情報(マイナンバーをその内容に含む個人情報)の取扱いに個人情報保護法上のガイドライン・指針を遵守する必要はありますか?というものがあります。もちろん遵守しなければなりません。特定個人情報も個人情報であることに変わりはないからです。

「利用目的による制限」(個人情報保護法第16条)は適用されない

個人情報保護法の規定のうち、マイナンバー法では適用を排除しているものがあります。つまり、マイナンバー法が優先適用される部分ということになります。

個人情報保護法をおさらいしましょう。

まず、取得に際しては利用目的を特定するのでしたね。そして、本人の同意を得ないで特定された利用目的を超えて個人情報を利用するのはダメでしたよね。逆に言えば、本人がいいといってくれればそれもOKということになります。

これをマイナンバー制度にあてはめるとどうでしょうか?

税務行政など、限られた場面でしか利用しませんよ、といって構築した制度なのに、一部の個人の意思によって必ずしもそうではないということになったらどうでしょう。制度の根幹が揺らいでしまいますよね。

そこで、マイナンバー法では、特定個人情報については、たとえ本人がいいですよといっても、利用目的の達成に必要な範囲を超える取扱いは認めないことにしました。

個人情報保護法の「利用目的による制限」(16条1項)は特定個人情報の取扱いに関しては適用されない、ということが個人情報保護士試験で毎回毎回でてきます。

ですから、みなさんも絶対に得点できるように、3回くらい唱えましょう。

「利用目的による制限」(個人情報保護法16条1項)は適用されない

「利用目的による制限」(個人情報保護法16条1項)は適用されない

「利用目的による制限」(個人情報保護法16条1項)は適用されない

いいですね? 個人情報保護法第16条はマイナンバー法第19条(特定個人情報の提供の制限)、第20条(収集等の制限)によって「上書き」されているとイメージしてください。

第三者提供の制限(個人情報保護法第23条)も適用されない

第三者提供についても本人の同意が必要でしたね。

これも特定個人情報の取扱いの場面でも適用されるとしてしまってはまずいですよね。

理由は利用目的による制限のところと同様です。マイナンバーを取り扱ってよい人(事業者)をマイナンバー法に定められた人に限定したのに、個人の意思で例外を作ることを認めてしまうのは不適当だからです。

こちらも、個人情報保護法第23条は、法律で定められた場合しか特定個人情報を提供してはならないと定めたマイナンバー法第19条によって上書きされているので、特定個人情報の取扱いに関しては適用されないのです。

第三者提供の制限(個人情報保護法第23条)も適用されない。

第三者提供の制限(個人情報保護法第23条)も適用されない。

第三者提供の制限(個人情報保護法第23条)も適用されない。

これでバッチリです。

個人情報保護法は個人の利益を保護するものだから本人の意思が重要、マイナンバー法は社会の基盤だから個人の意思で左右してはまずい、というイメージをもっているといいかもしれません。

繰り返しになりますが、15条(利用目的の特定)や、19条(データ内容の正確性の確保)についてマイナンバー法は規定していませんが、個人番号も個人情報なので個人番号を取り扱うときには個人情報保護法を守らなければいけません。

試験対策としては特定個人情報の取扱いに関しては適用されない上の2つの個人情報保護法の規定を覚えておけば必要にして十分でしょう。

マイナンバー制度の概要

法律の正式名称は「行政手続における特定の個人を識別するための番号の利用等に関する法律」

番号利用法とかマイナンバー法とか略されていますが、正式名称は「行政手続における~」です。

略称では文字通り略されてしまいますが、「行政手続」のための法律なんですね。この制度の性格を表していると思います。ここを「司法手続」と変えて出題されたことがありますのでご注意ください。

「個人番号」=「マイナンバー」

ところで、法律上の用語は「個人番号」ですが、「マイナンバー」という用語の方が通りがいいように思います。このブログでも法律を引用したりするときは「個人番号」という用語を使いますが、解説部分では「マイナンバー」という用語を使います。どちらも同じものです。また、「マイナンバー法」と略称を使用します。

制度の目的は3つ

  • 公平・公正な社会の実現(給付金などの不正受給の防止)
  • 国民の利便性の向上(面倒な行政手続が簡単に)
  • 行政の効率化(手続をムダなく正確に)

と説明されています。出題実績はありませんが、念のため。国民一人ひとりに番号を振って、行政機関ごとに保有しているデータを相互に照会できるようにすればムダもモレもなく行政手続が進むだろうという理屈です。

 個人情報はあくまで「分散管理」

マイナンバー制度は各行政機関が保有する個人情報を集めて巨大なデータベースを作って一元管理するというものではありません。

そうではなくて、各行政機関の保有するデータベースはそのままに、他機関のデータベースを参照する必要があるときは、マイナンバーをキーにして「情報提供ネットワークシステム」というものを介して相互に検索できるようにするだけです。

「分散管理」のしくみが維持されるということです。「分散管理」というキーワードは絶対におさえてください。頻出です。

各機関のデータベースは独立している
分散管理のイメージ

外国人にもマイナンバー、死者の番号の使い回しはしない

マイナンバーは住民票コードを変換して作ります。住民票のある人全員に番号が振られますので、外国人でも住民票があればマイナンバーが与えられます。

逆に言えば、日本人であっても海外に居住している人には住民票がありませんからマイナンバーは付番されません。

また、マイナンバーは引っ越しても、結婚等で姓が変わっても変わりません。

同じマイナンバーは2度と使いませんので、お亡くなりになった方のマイナンバーを他の人に使い回すということもしません。

平成27年9月に早くも改正、預貯金口座にマイナンバー。

この法律は平成25年5月に成立しました。平成27年10月に番号(マイナンバー)の通知を開始、平成28年の1月に制度運用が開始されました。

見逃していけないのは、番号通知の直前である平成27年9月に改正が入っているということです。本格運用もまだされていないのに、です。

具体的にはどこが変わったのでしょうか。いくつかあるのですが、最も重要なのは利用目的の拡大です。平成30年を目処に預貯金の口座へ個人番号を付すこととなったのです。

そんなことをしたら資産状態をすべて国に把握されてしまうのではないかと心配になりますが、利用目的はあくまで税務行政のため、です。

税法の改正によって、銀行はマイナンバーをキーに検索できる状態で預貯金の状態を管理できる体制を整備する義務を負うことになりました。マイナンバー法もこれに合わせ、預貯金口座の管理にマイナンバーを使えるように改正されたという訳です。

脱税はとってもやりにくくなるでしょうが、税務と無関係の目的でマイナンバーを利用するとは(今のところ)していません。

利用範囲は3分野以外に拡大される可能性あり

マイナンバー制度導入当初、マイナンバーは社会保障制度、税制、災害対策で利用するんですよ、という説明がされていました。

しかし、第3条第2項にご注目ください。

個人番号及び法人番号の利用に関する施策の推進は、個人情報の保護に十分配慮しつつ、行政運営の効率化を通じた国民の利便性の向上に資することを旨として、社会保障制度、税制及び災害対策に関する分野における利用の促進を図るとともに、他の行政分野及び行政分野以外の国民の利便性の向上に資する分野における利用の可能性を考慮して行わなければならない。

となっています。3分野以外どころか、民間部門でのマイナンバー利用も最初から視野に入っているのです。

マイナンバーカードを東京オリンピックの入場券として利用しよう、なんてアイディアもあるみたいですよ。

ただ、後で何度も説明することになりますが、マイナンバーの利用はマイナンバー法に定められた用途に限定されていて、目的外利用は厳禁です。実際に利用を開始するためには法律改正が必要で、ここで言っているのはあくまで3分野以外での利用も検討しましょう、ということです。

マイナンバー法の「キモ」

  1. マイナンバー制度は社会インフラ
  2. マイナンバーを取り扱ってよいのは特定個人情報利用事務実施者と特定個人情報関連事務実施者だけ
  3. マイナンバーの利用は法律で定められた目的に限定

個人情報保護法との違い

個人情報保護法とマイナンバー法の関係は次講でくわしく説明します。

ここでは、マイナンバー制度は個人情報を利用する社会基盤だ、という点を抑えておいてください。

社会基盤だから個人の意思でマイナンバーの利用法を自由に決定してはいけない、という制約が生じます。

マイナンバーを取り扱える人が限定されている

マイナンバーを取り扱うことが許されているのは、「特定個人情報利用事務実施者」と「特定個人情報関連事務実施者」だけです。

前者は、マイナンバーを利用して個人情報の照会・回答をする人のことです。つまりは行政機関のことです。

後者は、マイナンバーを行政機関に届け出る事務を行なう人のことです。具体的には社会保険や税務関係の届出をする企業の経理・総務担当者などです。

(試験には出ないと思いますが)「特定個人情報利用事務実施者」と「特定個人情報関連事務実施者」をひっくるめて「特定個人情報利用事務実施者等」と呼びます。とても紛らわしくて注意深く法文を読まないといけないんですね。

マイナンバーは法律で定められた目的のみに利用できる

マイナンバーの利用はマイナンバー法に定められた目的のために厳格に限定されています。

個人の意思で目的外利用を許すということもできません。利用範囲の拡大も検討されていますが、そのためには法律を改正する必要があります。

正答率をあげるために

以上3点はマイナンバー法のキモ(原則)です。

この試験は知っていれば得点できるし、知らなければ得点できない、という出題が多いので見たことのない問題がもし出たら基本的には失点を覚悟するしかないのですが、一応上記の原則に立ち返って問題を検討してみてください。単なるあてずっぽよりは正答率が上がると思います。