コラム「マイナンバー導入における企業の実務対応」
第4回 マイナンバーにおける安全管理措置と委託

2015年3月3日公開

富士通総研 経済研究所 主席研究員
榎並利博

マイナンバー法では、「個人番号の適切な管理のために必要な措置を講じなければならない」と規定され、具体的には民間企業は「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」の最後に記載されている「安全管理措置」に従って準備を行う必要がある。

まず、企業はそれぞれの実務において、個人番号を取扱う事務の範囲、特定個人情報ファイルの範囲、個人番号を取扱う事務に従事する従業者の範囲を明確化したうえ、安全管理措置について検討し、実施しなければならないとされている。安全管理措置の項目としては、1. 基本方針の策定、2. 取扱規程の策定、3. 組織的安全管理措置、4. 人的安全管理措置、5. 物理的安全管理措置、6. 技術的安全管理措置の6項目が提示され、それぞれの具体的な措置が記載されている。

個人情報保護法が制定された時のガイドラインでは、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置の4つの項目だけが提示され、規定などについては組織的安全管理措置のなかに含まれていた。しかし、マイナンバーでは組織的安全管理措置よりも上のレベルで基本方針の策定と取扱規定の策定が要求されており、従来の個人情報保護法よりもより厳格かつ組織的な取組みが要求されている。

この安全管理措置について、その要求の度合いについては大規模事業者と中小規模事業者（従業員100人以下）で異なり、中小規模事業者にはそれほど多くが求められない。ただし、ここで注意が必要なのは、下記の企業は従業員が100人以下であっても大規模事業者とみなされることだ。

• 健康保険組合
• マイナンバー関連の事務を受託している事業者
• 個人情報取扱事業者（個人情報保護法の規制対象となっている企業）
• 金融分野（金融庁が所管する分野など）の事業者

なお、この安全管理措置と委託については深い関係がある。マイナンバー関連事務の委託においては委託先に対する管理監督責任が生じるが、具体的には委託先におけるこれらの安全管理措置を確認すること、安全管理措置に関して委託契約で縛りをかけること、委託先における特定個人情報の取扱い状況を把握することが要求される。

委託における管理監督責任について図で示すが、再委託や再々委託の場合はかならずA社の許諾が必要になる。そして、委託に伴いA社はB社に対する監督責任、B社はC社に対する監督責任、C社はD社に対する監督責任が発生する。さらに最初の委託者であるA社は、B社がC社を適切に監督しているか、C社がD社を適切に監督しているかという意味で、C社やD社に対しても間接的に監督義務を負うことになる。個人情報保護法においては、再委託先が個人情報取扱事業者でない場合に最初の委託者は監督義務を負わなかったが、マイナンバーではすべての場合において監督義務を負うことに注意が必要だ。