2015/5/12
2015/5/15更新
2015/12/7更新

2016年1月より「社会保障・税番号制度」(以下、「マイナンバー制度」)が開始されますが、企業の対応状況について、あまり進んでいないという報道が散見されます。
「マイナンバー制度」とは、現状様々な行政機関に存在する個々人の情報を、同一人であることを識別する個人番号(「マイナンバー」)を設定することで、行政事務の効率化を高めるとともに、利便性の高い公平・公正な社会を実現するための社会基盤と位置付けられています。国民の一人一人に12桁のユニークな個人番号である「マイナンバー」が割り当てられ、社会保障・税・災害対策の行政手続きで使用を開始します。これに伴って、企業等の民間事業者も、税や社会保険の手続きで、従業員等の「マイナンバー」を取り扱うことになります。
しかし、「マイナンバー」が漏えいしてしまうと、関連する個人情報がさらに漏えいする、不正利用により財産等に被害を受ける、といった懸念があります。ここで思い出されるのが、昨年のベネッセコーポレーションの事件のような、委託先の従業者による情報漏えいのリスクです。そのため、マイナンバー制度では業務委託先の監督等について、これまでよりも踏み込んだ内容となっています。
今回は「マイナンバー制度」における安全管理措置の中でも、委託先の監督に絞り込んで確認することにします。

※2015/12/7追記
ここ数か月、制度改正やFAQなどの更新が相次いでいます。12月初頭時点の更新情報を取り纏めたので、併せてご確認ください。
・「マイナンバー制度、変更情報の確認(1)」:厚生労働省、財務省、総務省関連
・「マイナンバー制度、変更情報の確認(2)」:国税庁、「番号制度」「本人確認」「法定調書」FAQ
・「マイナンバー制度、変更情報の確認(3)」:国税庁、「源泉所得税関係」FAQ

マイナンバー制度と個人情報保護法における委託先管理の比較

まず委託先の管理について、「マイナンバー制度」(番号法)と、これまでの個人情報保護法との違いがあるかを確認します。電子政府ポータルの法令データ提供システムによる出力結果から、委託先管理に該当する部分を抜粋したのが、以下の表になります。
番号法と個人情報保護法の比較
法律上、委託先管理に関する条文と委託先の監督に関する条文については、双方の法律においてあまり変わらない内容になっています。ただし、義務付けられている対象は、個人情報保護法では保有する個人情報が5,000件以上の個人情報取扱事業者のみですが、番号法ではほぼすべての事業者が対象になることです。
また、番号法で新たに追加されたのは、再委託に関する項目です。委託者がマイナンバー関連業務を再委託する場合は、委託元の許諾が必須条件となっております。

マイナンバー制度における安全管理措置としての委託先の監督

マイナンバー関連事務の全部、または一部を外部の事業者に委託する際、委託者は委託先がマイナンバーを含む特定個人情報に対して、委託者が果たすべき安全管理措置と同等の措置が講じられるよう、委託先に対して必要かつ適切な監督を行わなければなりません。
もし、委託先を適切に監督するために必要な措置を行わなかったり、必要十分な対応を取らなかったりした結果、特定個人情報の漏えい等が発生した場合、法令違反と判断される可能性があります。
委託先に対する、必要かつ適切な監督とは、以下の内容が含まれます。

①委託先の適切な選定
②委託先に安全管理措置を遵守させるために必要な契約の締結
③委託先における特定個人情報の取扱状況の把握

①委託先の選定

委託者は、委託を依頼しようとする事業者に対して、委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かを判断するため、設備、技術水準、従業者に対する監督や教育の状況、その他経営環境等をあらかじめ確認しなければなりません。

②委託先に安全管理措置を遵守させるために必要な契約の締結

委託先に対する契約内容として、以下の項目を盛り込む必要があります。
・秘密保持義務
・事業所内からの特定個人情報の持出しの禁止
・特定個人情報の目的外利用の禁止
・再委託における条件
・漏えい事案等が発生した場合の委託先の責任
・委託契約終了後の特定個人情報の返却又は廃棄
・従業者に対する監督や教育
・契約内容の遵守状況について報告を求める規定

また、これに追加して、以下の項目を盛り込むことが望まれています。
・特定個人情報を取り扱う従業者の明確化
・委託者が委託先に対して実地の調査を行うことができる規定

③委託先における特定個人情報の取扱状況の把握

ガイドライン上は明記されていませんが、上記契約内容の「契約内容の遵守状況について報告を求める規定」に基づいて実施することになります。
具体的な例として、
・定例会の実施
・安全管理措置に関するレポートの提出
特定個人情報に対するアクセス権限者の増減、従業者に対する教育状況、等
・安全管理措置に関する課題と改善対応
等が考えられます。

マイナンバー制度における安全管理措置としての再委託

マイナンバー関連事務に関しては、法律上に明記されている通り、委託者(委託を受けた事業者)は委託元の許諾を得た場合に限り、再委託をすることができます。再委託先が再々委託を行う場合、許諾は上位の委託元ではなく、最上位の委託元の許諾を得る必要があります。さらに再委託が続く場合も同様です。
また、再委託先の監督については委託先が行う一方で、委託元は委託先が再委託先に適切に監督業務を行っていることを監督する必要があります。
つまり委託元の監督業務は、以下の通りとなります。
・委託先に対する直接的な監督業務
・再委託先、再々委託先、以降に対する間接的な監督業務
マイナンバー制度における委託先監督イメージ
委託元の「間接的な監督業務」について、上記イメージ図を用いて補足すると、委託元が直接監督するのは、委託先である事業者Aです。一方で再委託先である事業者Bを直接監督するのは事業者A、再々委託先である事業者Cを直接監督するのは事業者Bとなります。つまり、委託元は再委託先、再々委託先を直接監督しません。それでは委託元は再委託先、再々委託先の状況がわからないため、事業者Bは事業者Cの監督状況を事業者Aに報告し、事業者Aは事業者Bから受けた報告と事業者Bに対する監督状況を委託元に報告することで、委託元は間接的に事業者B、事業者Cに対して監督を行っていると見なしています。

情報システムの委託業者も監督業務の対象に

以上がガイドラインに記載されている委託先の監督についてまとめた内容です。ここまで確認して、気づいたことがあります。上記の委託先はあくまでも「マイナンバー関連事務の全部または一部の委託を請け負う業者」です。しかし、マイナンバー関連事務を処理する機能を追加した情報システムを保守・運用する委託業者については触れていないようです。
情報システムの保守・運用担当者が派遣されている場合は、別途定める安全管理措置の中で直接管理することができますが、情報システムの保守・運用を業務委託している場合は、情報システムの保守・運用担当者を直接管理することができないため、監督業務が必要になります。
他でも触れていますが、情報システムに関する業務委託については、幾つかの課題があります。

1.外部委託先に強力なシステム権限が付与されていることが多い
2.外部委託先とのネットワーク接続が社内規程の枠外にある
3.システムの開発者や運用者はセキュリティ知識が十分とは言えない

1.外部委託先に強力なシステム権限が付与されていることが多い

一般的な業務委託であれば、委託先に対しては業務遂行に必要な範囲のみの情報を開示することで、情報漏えいのリスクを軽減することができます(例.顧客番号や居住地域のみを提供することで顧客名を特定することを防ぐ)。しかし、情報システムの構築・運営に関しては、委託元の従業員(情報システム子会社を含む)は企画・管理機能に注力し、実作業の大半を外部委託先に依存する傾向があります。そのため、個人情報等の重要情報が格納されたデータベースを直接操作できるスキルは社外に依存せざるを得ず、結果として外部委託先の従業者に強力なシステム権限が付与せざるを得ない状況となっています。

2.外部委託先とのネットワーク接続が社内規程の枠外にある

企業内の情報システムを社外から接続する際には、情報システム管理規定やセキュリティ管理規定などで厳しく制限されていたり、追加的な認証機能が設けられていたり等の措置で厳重に守られています。一方で、情報システムの保守・運用を委託する場合、委託元に常駐しない限りは、委託先から社内ネットワークに接続仕組みを別途構築することがあります。ここで問題となるのは、社内規定に定められている内容の枠外で構築され、かつ安全性を担保する個別のルールが運用されていない可能性があることです。過去、色々な企業でシステム監査を行ってきましたが、
・外部委託先との回線は常時接続されている
・外部委託先に設置されている端末の設置状況を把握していない(もしかしたら担当者以外の者も操作できる環境にある)
・外部委託先からのログイン状況や操作状況のログが取得されていない、またはモニタリングされていない
といったことが、散見されます。

3.システムの開発者や運用者はセキュリティ知識が十分とは言えない

最後ですが、一般的なビジネスアプリケーションの開発者や運用者はセキュリティ知識が十分にあるとは言えないことです。一般企業の方々はよく「ITのプロだからセキュリティも熟知しているでしょ」という発言をされることが多いのですが、情報セキュリティ関連の業務経験が無い限り、実際には一般企業で行われている年1回のセキュリティ研修と同等レベルの知識レベルであると理解した方が近いでしょう。
一方で、上記の発言の通り、レベルの差はあれ、「ITのプロ」であることは間違いないので、利便性を追求するあまり、システム管理者権限で安易にデータベースにアクセスするような操作も行われかねない状況にあります。

以上の理由から、情報システムを保守・運用する委託業者に対しても、何らかの監督業務が行われるべきだと考えております。マイナンバー制度に備えて改修したシステムの状況や、委託業者の作業範囲等を勘案し、業務委託会社と同等の監督を行える様、委託業者と協議し、実行することが望まれます。

情報システムの委託業者に対する監督業務の確立

これまでの情報漏えい事件を振り返ってもわかるように、情報システムに関する業務委託先の従業員が起こした事件であっても、社会的には監督が不十分ということで、委託元の会社が謝罪を行うことになります(もちろん、実行犯は別途処罰を受けることにはなりますが)。その際に、やるべきことをやってきたのかどうかは世間の印象が大きく変わります。また、積極的に監督を行うことによって、委託先の従業者に対して間接的な抑止効果となり得ます。
「マイナンバー制度」で実施すべき委託先の監督業務は、実際にはずっと以前から言われていた内容に過ぎません。本来であれば現在のシステム開発や運用、個人情報取扱い業務のアウトソース、といった委託先にも適用されるべき内容です。また、契約上は実施されていることになっていますが、実務上は委託先にお任せ状態ではないでしょうか。もちろん、委託先との調整は必要になりますが、これを機会に主だった委託契約の内容を再確認し、リスクの高低に応じて監督業務を実践する方向に動いてみてはいかがでしょうか。

参考
特定個人情報保護委員会ホームページ
「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」

上記内容に関するご相談やお問い合わせについては、「お問い合せ」のページからご連絡ください。

お問い合わせ

「マイナンバー制度対応サービス」を提供しています—>紹介ページ

デルタエッジコンサルタントでは、マイナンバー制度に一通り対応した事業者様の、

  • 運用上の様々なケースでアドバイスが欲しい
  • ヘルプデスク的な支援が欲しい
  • マイナンバー制度の運用開始後も細かい制度改正がありそうで不安だ

という要望に応えた、マイナンバー制度に特化したお手軽なアドバイザリサービスを低価格で提供しております。
なお、マイナンバー制度の対応が十分でない、手直しをしたい事業者様に対しては、制度対応を支援する従来通りのコンサルティングサービスを提供しております。
詳しい内容は、
「マイナンバー制度対応サービス」のページ
をご確認ください。
興味や関心がございましたら、ぜひご連絡ください。