機能紹介
- 2015/06/10
民間企業・団体によるマイナンバー対応の勘所とは?
【第3回】盲点になりがちな「委託先に対する管理・監督義務」と対策
本連載(※1)では第2回までで、マイナンバー対応の全体像や弊社の対応例の一部をご紹介しました。
本連載の最後である第3回では、委託先の監督対応について、弊社の対応例をご説明します。
なお、今回の対応案には弊社製品「FinalCode」を利用しています。「FinalCode」の詳細につきましては、ぜひ当ブログの他のページでご確認ください。
※今後の法制度の状況や弊社内における検討により、内容が変更される可能性があります。
ガイドラインにおける「委託の取扱い」と弊社対応例
特定個人情報の適正な取扱いに関するガイドラインでは、以下の通り、委託先の取扱いが定められています。
第4-2-(1)
個人番号関係事務又は個人番号利用事務の全部又は一部の委託をする者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない。
「必要かつ適切な監督」には、(1) 委託先の適切な選定、(2) 安全管理措置に関する委託契約の締結、(3) 委託先における特定個人情報の取扱状況の把握が含まれる。
●「(1) 委託先の適切な選定」について
ガイドラインによれば
委託先の選定については、委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。
とされています。
アウトソーシング業者や社労士等の受託企業には、既に安全管理措置の対応を完了している企業もあります。弊社でも、現在の委託先における安全管理措置の構築状況を確認しながら、本件への対応を進めています。
●「(2) 安全管理措置に関する委託契約の締結」について
こちらについては、ガイドラインでは、
契約内容として、秘密保持義務、事業所内からの特定個人情報の持出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏洩事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければならない。
と定められています。
特定個人情報ファイルを委託先に渡した後、一般的には管理が不可能になるため、契約による“縛り”が必要になってきます。
そこで、弊社では上記契約に加え、「FinalCode」によって特定個人情報ファイルを保護したうえで委託先に情報を渡すプロセスを考えています。
契約で縛っているとはいえ、万が一事故があった場合は自社の過失と見なされてしまうためです。
具体的には、「FinalCode」で暗号化を行い、印刷やコピー&ペーストなどの操作を不可能にしたうえで情報を渡しています。また、閲覧権限は予め定められた特定個人情報取扱担当者のみに絞ることで、仮に流出した場合でも、第三者が閲覧できないようにする予定です。
マイナンバーの運用は未だ始まっていませんが、弊社と委託先の間では既に「FinalCode」を活用した情報の受け渡しを上記の通り行っております。
●「(3) 委託先における特定個人情報の取扱状況の把握」について
こちらについては、
これらの契約内容のほか、特定個人情報を取り扱う従業者の明確化、委託者が委託先に対して実地の調査を行うことができる規定等を盛り込むことが望ましい。
という記述になっております。(1)、(2)との違いは、本項は「任意」の規定であるという点です。
委託先の個人情報取扱状況を把握するということは、従来の業務の中では、ほぼ有り得なかったことではないでしょうか。もちろん本条文に従い、定期的に調査を行うことも有効と思いますが、制度がある限り、その運用を続けていくことは、なかなか難しいとも思います。
弊社では、調査を行うことも視野に入れながら、通常は「FinalCode」のログ監視を行うことを考えています。「FinalCode」のログでは、閲覧履歴のほか、不正アクセス、印刷ブロック等の不正な操作をリアルタイムで把握することができます。常にログを監視できるということは、委託先の不正に対する非常に強い抑止力になると考えています。
また、委託先での業務終了後は、委託先から連絡を受領し、その時点で渡したファイルを削除或いは閲覧権限を剥奪する運用を検討しています。これにより、委託先における操作ミス・不正を防ぐことができるとともに、削除或いは権限剥奪を行ったことが「FinalCode」のログに記録されるため、ガイドラインの要件を満たすこともできます。
パスワードロックなどの従来の方法では、特定個人情報ファイルを手放した後の管理は不可能ですし、ログも取れませんので、何かあった場合に自社に過失が無いことの証明も困難になりかねません。
特定個人情報ファイルの情報漏洩で重要なのは、(1) ファイル自体を直接守ること、(2) 常に操作ログを取得し、万が一の場合の原因追究・説明を可能にしておくことの2点だと考えます。
本連載はこれで最後の回となります。『「FinalCode」で“マイナンバー対応”』ページでは、今後もマイナンバー対応に関する情報を発信して参りますので、ぜひご覧ください。
<「FinalCode」製品担当:松森>
- (※1)【連載バックナンバー】民間企業・団体によるマイナンバー対応の勘所とは?
- ・【第2回 [後編]】マイナンバー対応の全体像と実際の対応例
- ・【第2回 [前編]】マイナンバー対応の全体像と実際の対応例
- ・【第1回】民間企業・団体によるマイナンバー対応の3つのポイント
- 2015年3月16日に実施した説明会「マイナンバー制度導入に伴い、民間企業に求められる今後の情報漏洩対策について」の資料を「FinalCode」のWebサイトでダウンロードいただけます。
資料のダウンロードはこちらから。