いよいよ配布が始まったマイナンバー(特定個人情報)。
対応に追われている企業も多いと思います。大手企業はすでに対応計画を策定して、粛々と実際の対応を進められているころかと思いますが、中小企業においてはドタバタされているところも多いかと思います。
マイナンバーは「社会保障、税、災害対策」の3分野で活用されるため、管理部門の業務をアウトソースしている場合には、マイナンバーを外部に連絡する必要性が生じます。
会社側のガイドラインが公表されています(特定個人情報保護委員会HP)。詳しく知りたい方はガイドラインを見ると良いでしょう。
さて、ガイドラインには以下の規定があります。
個人番号関係事務又は個人番号利用事務の全部又は一部の委託をする 者は、委託先において、番号法に基づき委託者自らが果たすべき安全管 理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなけれ ばならない。「必要かつ適切な監督」には、1.委託先の適切な選定、2.安全管理措置 に関する委託契約の締結、3.委託先における特定個人情報の取扱状況の把 握が含まれる。
マイナンバーをアウトソース(外注)先へ提供する場合には結構厳しい対応が求められます。具体的には
委託先の選定については、委託者は、委託先において、番号法に基づき 委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かに ついて、あらかじめ確認しなければならない。具体的な確認事項としては、 委託先の設備、技術水準、従業者(注)に対する監督・教育の状況、その他 委託先の経営環境等が挙げられる。 委託契約の締結については、契約内容として、秘密保持義務、事業所内 からの特定個人情報の持出しの禁止、特定個人情報の目的外利用の禁止、 再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託 契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、 契約内容の遵守状況について報告を求める規定等を盛り込まなければなら ない。また、これらの契約内容のほか、特定個人情報を取り扱う従業者の 明確化、委託者が委託先に対して実地の調査を行うことができる規定等を 盛り込むことが望ましい。
なかなか大変です。
ところで、マイナンバーの取扱いには一部、刑事罰が適用されるのはご存知でしょうか。
簡単に言うと、「マイナンバーが外部に漏れた場合には刑事罰の対象になりますが、過失(落ち度)がなければ刑事罰は問われない」ということです。
罰には民事と刑事の2種類があり、民事責任は基本的に賠償責任を負うもので、刑事責任は罰金や服役になります。
刑事罰になると服役(最高懲役4年)の可能性がある点で経営者や担当者にとっては非常に慎重に対応する必要があります。自分たちに落ち度がないことを示すためしっかり対応しましょう。
マイナンバーに関連して会計事務所(税理士、税理士法人等)と見直すべきこと
契約の見直し
契約に盛り込まなければならない項目(必須項目)
- 秘密保持義務
- 事務所内からの特定個人情報の持出しの禁止(持ち出す場合の安全管理措置)
- 特定個人情報の目的外利用の禁止
- 再委託における条件
- 漏洩事案等が発生した場合の委託先の責任
- 委託契約終了後の特定個人情報の返却又は廃棄
- 従業者に対する監督・教育
- 契約内容の順守状況について報告を求める規定
これらを盛り込んでいなければ不備があります。しっかりと結ばれているか自社の状況を確認しましょう。
顧問先の税理士が特定個人情報を扱うのに適切か評価する
マイナンバーについて不適切な取り扱いをした場合には大きなトラブルになる可能性があります。顧問税理士がしっかりと理解し管理しているか確認しましょう。