http://www.gov-online.go.jp/tokusyu/mynumber/corp/ 政府公報オンライン:法人向けのご案内ページより。

02.マイナンバーの概略を知るで記載した資料をお読みいただけたでしょうか? この中に、委託先の管理という記述が有ったことは覚えていますか?

税理士・社会保険労務士さんへの対応確認

中小企業の委託先でマイナンバーが絡むと言えば、この2業種になります。この2業種の先生がたから、御社へ契約内容変更や、マイナンバー対応について連絡があり、新しい契約内容等について説明済みであれば問題有りません。

この時点で、なぜ、税理士さん、社労士さんへの連絡が必要かというと、場合によっては顧問先を再検討しなければならないからです。

21ページの記載

特定個人情報の適正な取扱いに関するガイドライン(事業者編)(本文及び(別添)特定個人情報に関する安全管理措置) (PDF:817KB)の21ページには、下記の記載がある。
つまり、事業者は委託先も、再委託先も自社での管理同様に監督しなければならないことになる。

必要かつ適切な監督

  1. 委託先の適切な選定
  2. 安全管理措置に関する委託契約の締結
  3. 委託先における特定個人情報の取扱状況の把握

具体的な確認事項

具体的な確認事項としては、委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等が挙げられる

締結する契約書に盛り込む内容

業務委託契約書(新規・または追加)には、安全管理措置を遵守してもらう事項が入っている必要が有ります。その契約には以下のような事項が入ることが必要です。

  1. 委託先にて秘密の秘密保持義務
  2. 事業所からの特定個人情報の持出しの禁止
  3. 特定個人情報を委託した目的外での利用の禁止
  4. 再委託する場合の条件(または再委託しないという明記)
  5. マイナンバーの漏洩事件が発生した場合の委託先の責任
  6. 委託契約終了後の特定個人情報の返却又は廃棄についての取扱い
  7. 委託先での従業者に関する監督,教育、従業者の明確化
  8. 契約内容の遵守状況について報告を求める規定
  9. 実地の調査を行うことができる規定

関連するQ/A

下記のQ/Aは特定個人情報保護委員会 > 法令・ガイドライン > ガイドライン > Q&A(回答):http://www.ppc.go.jp/legal/policy/answer/からの抜粋です。

Q3-2 特定個人情報に係る委託先の監督について、個人情報保護法に加えて求められる監督義務の内容は何ですか。
A3-2 委託者は、委託先において、番号法で求められている安全管理措置が講じられているかを監督する義務があります。本ガイドラインの安全管理措置特有なものとしては、主に、「個人番号を取り扱う事務の範囲の明確化」、「特定個人情報等の範囲の明確化」、「事務取扱担当者の明確化」、「個人番号の削除、機器及び電子媒体等の廃棄」が挙げられます。
Q3-3 特定個人情報の取扱いを国外の事業者に委託する場合に、委託者としての安全管理措置を担保する上で、国内で実施する場合に加えて考慮するべき追加措置等はありますか。
A3-3 国内外を問わず、委託先において、個人番号が漏えい等しないように、必要かつ適切な安全管理措置が講じられる必要があります。なお、必要かつ適切な監督には、本ガイドラインのとおり、(1)委託先の適切な選定(具体的な確認事項:委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等)、(2)委託先に安全管理措置を遵守させるために必要な契約の締結、(3)委託先における特定個人情報の取扱状況の把握が含まれます。
Q3-7 委託先・再委託先との業務委託契約を締結するに当たり、業務委託契約書等に、特定個人情報の取扱いを委託する旨の特段の記載が必要になりますか。
A3-7 業務委託契約を締結する場合には、通常、委託する業務の範囲を特定することとなります。番号法においては、個人番号の利用範囲が限定的に定められていることから、委託先・再委託先との業務委託契約においても番号法で認められる事務の範囲内で委託する業務の範囲を特定する必要があります。
Q3-12 特定個人情報を取り扱う情報システムにクラウドサービス契約のように外部の事業者を活用している場合、番号法上の委託に該当しますか。
A3-12 当該事業者が当該契約内容を履行するに当たって個人番号をその内容に含む電子データを取り扱うのかどうかが基準となります。当該事業者が個人番号をその内容に含む電子データを取り扱わない場合には、そもそも、個人番号関係事務又は個人番号利用事務の全部又は一部の委託を受けたとみることはできませんので、番号法上の委託には該当しません。
当該事業者が個人番号をその内容に含む電子データを取り扱わない場合とは、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。(平成27年4月更新・Q9-2に分割)