クラウドサービスを使うときに気をつけることは?
マイナンバーの収集や保管について、クラウドサービスを利用しようと考えています。社外の事業者を使ってマイナンバーを管理する場合、どんなことに気を付ければいいですか。
委託先が適切な安全管理措置を講じるかについて監督する義務があります。
委託先が適切な安全管理措置を講じるかについて監督する義務があります。クラウドを用いてデータを保管等する事業者を利用して、従業員等のマイナンバーを管理することは、マイナンバーに関する事務をその事業者に「委託」することにあたります。
マイナンバー法は、この場合に、委託する事業者に監督義務を負わせています。
具体的には、委託者は、委託先においてマイナンバー法が求める水準の安全管理措置が講じられるよう、必要かつ適切な監督を行わなければならないとしています。
ですので、マイナンバーを取り扱う事務の範囲の明確化、事務取扱担当者の明確化など、マイナンバー法が求める安全管理措置がきちんと行われるかを監督する必要があります。
また当然ではありますが、安全管理措置については、マイナンバー法だけでなく、個人情報保護法などの関連法令にも注意する必要があります。
適切な委託先を選び、安全管理措置を遵守させる契約を結び、取扱状況を把握し続けることが必要です。
適切な委託先を選び、安全管理措置を遵守させる契約を結び、取扱状況を把握し続けることが必要です。必要かつ適切な監督として、特にガイドラインが強調しているのは、以下の三点です。
- 委託先の適切な選定
- 委託先に安全管理措置を遵守させるために必要な契約の締結
- 委託先における特定個人情報の取扱状況の把握
まず、1.については、委託先において、「マイナンバー法が求める水準の安全管理措置を講じるか」について、あらかじめ確認する必要があるでしょう。
ガイドラインによりますと、選定にあたっての確認の対象として、委託先の設備、技術水準、従業者に対する監督・教育の状況などが挙げられています。
2.の契約内容として、ガイドラインは、次のような規定を入れておくことを求めています。それは、
「秘密保持義務、事業所内からの特定個人情報の持ち出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定」
です。
なお、個人情報に関する既存の委託契約がある場合、その契約において、マイナンバー法が求める水準の個人情報の取扱いの規定があり、その契約内容でマイナンバー法上必要な安全管理措置が講じられているのであれば、委託契約を再締結する必要はないとされています。
マイナンバーの保管のみならず、収集から破棄までが適切になされるかを確認しましょう。
マイナンバーの保管のみならず、収集から破棄までが適切になされるかを確認しましょう。マイナンバーの収集についても、これを委託すれば、委託先が従業員等から直接マイナンバーを収集することができます。
収集の段階から委託する場合は、業務上必要な場合のみ、従業員が自らクラウド上にマイナンバーを登録するという方法がとられることになるでしょう。
また、マイナンバーは、これを利用する事務を行うにあたって必要がなくなった場合には、書類やデータを廃棄する必要があります。データの破棄についても、適切に破棄することができるかを確認しておくとよいでしょう。
- ▼連載「中小企業とその社員のためのマイナンバー対応Q&A」
-
- 第12回 安全管理措置などの義務が守れそうにありません!
- 第11回 社員からマイナンバーの提供を受けるときの「本人確認」って?
- 第10回 そもそもマイナンバー制度を始めた目的は?
- 第9回 もしもマイナンバーの提出を拒否されてしまったら?
- 第8回 法人番号とは何? どんなときに使うものなの?
- 第7回 採用内定者や派遣社員からマイナンバーを取得するタイミングはいつ?
- 第6回 クラウドサービスを使って収集・保管するときに気をつけることは?
- 第5回 社員などから集めたマイナンバーを管理するうえでの注意点は?
- 第4回 マイナンバーについて、いつまでに、どのような内容の従業員教育が必要?
- 第3回 もしも、マイナンバーを漏えいさせてしまったら?
- 第2回 アルバイトからマイナンバーを取得するときに注意することは?
- 第1回 マイナンバー法は、すべての事業者に関係する法律なの?
