個人番号を扱う情報システムに外部の事業者を活用している場合
個人番号を取り扱う情報システムに、クラウドサービス契約を締結して外部の事業者を活用している場合、個人番号関係事務の「委託」に該当するでしょうか。
個人番号関係事務の「委託」に該当するかどうかは、契約の相手方事業者が契約内容を履行するにあたって個人番号を含む電子データを取り扱うかどうかが基準となります。
相手方事業者が個人番号を含む電子データを取り扱わない場合
①契約条項によって相手方事業者が個人番号を含む電子データを取り扱わない旨が定められている
②適切に相手方事業者によるアクセスを制御している
等
相手方事業者が、個人番号を含む電子データを取り扱わない場合には、番号法における個人番号関係事務の「委託」に該当しないのです。
「委託」に該当しない場合、監督義務は生じません。
ただし、クラウドサービスを利用している事業者は、サービスを利用して保管している個人番号を含む電子データについて、安全管理措置を講ずる必要があると番号法で定められています。(番号法12、33)。
情報システムの保守に外部の事業者を活用している場合
個人番号を取り扱う情報システムの保守に外部の事業者を活用している場合で、保守サービスを提供する事業者がサービス内容として個人番号を含む電子データを取り扱う場合は、個人番号関係事務の「委託」に該当します。
ハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって相手方事業者が個人番号をその内容に含む電子データを取り扱わない旨を定めており、適切にアクセス制御が行われている場合等には、個人番号関係事務の「委託」に該当しません。
顧問契約との関係
帳票作成の依頼をするにあたり、個人番号の取扱いも委託することになります。
今まで契約していた顧問税理士や顧問社会保険労務士等に、引き続き帳票作成を依頼する場合には、顧問契約の内容を再確認する必要があると言えるでしょう。
契約に必要事項を欠いている場合には、顧問契約の内容変更を行う必要があると考えられます。
マイナンバー対応のシステムの導入
給与システムに連動させることができるマイナンバー対応のシステムを利用しようとした場合、その給与システムを利用することが個人番号関係事務の「委託」にあたるかどうかを判断する必要があります。
システム提供事業者が個人番号を含む電子データを取り扱うのかどうかを基準にして判断することができます。
「委託」に該当する場合は番号法11により、そのシステム提供事業者に対して必要かつ適切な監督を行う必要があります。
システムに頼って自ら講ずべき安全管理措置を放棄することはできません。
そのシステムを使用することにより、自社にとって必要な安全管理措置を講じていると言えるかどうかを検証し、導入後のシステム運用においても同様に検証を行う必要があるといえます。
まとめ
外部事業者利用時、それが個人番号関係事務の委託にあたるのか、該当する場合にはどのような義務が生ずるのか、それぞれ確認していきましょう。
個人番号を含む電子データについては安全管理措置を講ずる必要があるため、番号法の把握が必要でしょう。