委託者の責任
マイナンバーの委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければなりません。
つまり委託先での情報漏えいは、適切な監督を行っていなかった委託者の責任でもあるわけです。
また、委託先が再委託する場合は、最初の委託者の許諾を得た場合に限り、再委託をすることができます。
※再々委託以降も同様です。
再委託先の直接的な監督義務は委託先にありますが、委託者も間接的な監督義務を負いますので、委託先、再委託先は慎重に検討すべきです。
必要かつ適切な監督
委託先に対する必要かつ適切な監督は、以下の手順で行います。
- 委託先の適切な選定
委託者は、委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等をあらかじめ確認しなければなりません。 - 委託先に安全管理措置を遵守させるために必要な契約の締結
契約内容として、秘密保持義務、事業所内からの特定個人情報の持出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込まなければなりません。 - 委託先における特定個人情報の取扱状況の把握
上記に基づいて、契約内容の遵守状況を確認するための報告書の提出、または査察による状況確認を行う必要があります。
繰り返しになりますが、委託者は、委託先だけではなく、再委託先・再々委託先に対しても間接的に監督義務を負いますので、情報漏えいをさせない仕組みを検討する必要があります。