一方、契約により事業者がマイナンバーにアクセスできないようにして、適切にアクセス制御を行っている場合などは、監督が必要な「委託」には該当しない。その場合には、クラウドサービスを利用する委託元(自社)がマイナンバー法上の安全管理措置の義務を負うので、適切な管理を自社として講じなければならない(「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及び「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」 に関するQ&A(平成26年12月11日)のQ3-12、3-13)。

(2)委託先に何を委託するかを明確化する

 自社で必要な監督等を行えば、委託先にマイナンバーを取り扱わせることは可能だ。ただしその際には、委託先に何を委託するのか、委託業務をまず明確化しよう。そして委託業務に必要な範囲のマイナンバー情報しか取り扱わせないようにしよう。

 例えば、税務手続きで利用する法定調書の印刷を委託するのであれば、そのために必要な範囲のマイナンバー情報とは、法定調書対象者の法定調書対象情報(マイナンバーを含む)である。ダメな例は、マイナンバーの一切の管理を委託するなどとして、すべてを委託先に丸投げすることである。

(3)適切な委託先を選定する

 次に、適切な委託先を選定する。どのような委託先を選んでもよいというものではない。マイナンバーを安全に守る能力のある委託先を選定しなければならない。例えば、委託先にITシステムでのマイナンバー管理を委託するのに、入退室管理の設備がない場合には、どのようにして安全管理措置義務を果たしていくつもりなのか、委託先に十分に確認する必要がある。また入退室管理にとどまらず、委託先がマイナンバーをどのように安全・適法に取り扱っていくつもりなのか、委託先が作成しているマイナンバー取扱規程や特定個人情報保護評価書(プライバシー影響評価書、PIA)をチェックすることで、具体的に確認するとよいだろう。

(4)委託先と契約する

 委託先がマイナンバーを安全・適法に取り扱うことを、委託契約などの中で具体的に約束してもらうことも必要である。法律・関連ガイドラインを順守することは当然として、委託先を選定する際に約束したマイナンバーの取り扱い方法(取扱規程・特定個人情報保護評価書記載事項)を守ることも約束してもらおう。

 さらに、法律・関連ガイドラインを順守するために、より具体的な重要事項、例えば、委託先でマイナンバーにアクセスできる従業員の決定・管理・報告方法、委託先がマイナンバーを利用する範囲(法定調書印刷のために必要な範囲、システム保守のために必要な範囲など)、委託契約終了後のマイナンバーの返却・廃棄等、再委託の許諾条件、委託先におけるマイナンバー取り扱いの定期的報告・委託元による実地監査などを、契約内容に盛り込むとよいだろう。

 なお、再委託は、委託元の許諾がなければできない(マイナンバー法10条1項)。再委託を一切許可しないという選択も、もちろん可能である。

(5)委託先の取り扱い状況を把握する

 委託先を選定し契約したら終わりではない。委託先にマイナンバーを渡した後も、定期的に委託先における取り扱い状況を把握する。いつ、どのような従業者がどのようにマイナンバーを取り扱ったのか、定期的に報告を受けたり、委託先で問題の兆候があった場合には、早急に報告を求めたり、実地監査・立ち入り検査を行ったりする。