個人番号利用事務又は個人番号関係事務の全部又は一部の委託を行う者は、委託先においてマイナンバー法に基づき委託者自らが果たすべき安全管理措置と同等の措置が取られるよう、必要かつ適切な監督を行う必要があります。
上記の「必要かつ適切な監督」には、次のことが含まれます。
○委託先の適切な選定
○委託先に安全管理措置を遵守させるために必要な契約の締結
○委託先での特定個人情報の取扱状況の把握
委託先の選定に関しては、委託者は、委託先でマイナンバーに基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、事前に確認する必要があります。委託先に関する確認事項の具体例として、次の事項が挙げられます。
○設備
○技術水準
○従業者に対する監督・教育の状況
○経営環境
委託契約の締結に関して、例えば次の契約内容を定める必要があります。
○契約内容の遵守状況につき報告を求めること
○秘密保持義務
○従業者に対する監督・教育
○特定個人情報の目的外利用の禁止
○事業所内からの特定個人情報の持出しの禁止
○再委託における条件
○漏えい事案等が発生した場合における委託先の責任
○委託契約終了後の特定個人情報の返却又は廃棄
さらに、これらの契約内容以外に、特定個人情報を取り扱う従業者の明確化、委託者が委託先に対して実地の調査をすることができること等を定めることが好ましいといえます。
委託を受けた者は、委託者の許諾を得た場合にのみ、再委託をすることが認められています。再委託が行われた場合、最初の委託者は、再委託先に対しても間接的に監督義務を負うことになります。
なお、上記の「従業者」というのは、事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している人のことです。従業員以外に、取締役、監査役、理事、監事、派遣社員等も含まれます。
