1.「個人番号関係事務又は個人番号利用事務の全部又は一部の委託をする者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならない。」としているが、委託先において、番号法が求める水準の安全管理措置が講じられていればよく、委託者が実際に講じている安全管理措置と同等の措置まで求められているわけではないと考えてよいか。
→委託先は番号法が求める水準の安全管理措置を講ずるものであり、委託者が高度の措置をとっている場合にまで、それと同等の措置を求めているわけではない。ただし、安全管理措置の検討に当たっては、番号法だけではなく、個人情報保護法等関係法令並びに本ガイドライン及び主務大臣のガイドライン等を遵守する必要がある。
2.特定個人情報に係る委託先の監督について、個人情報保護法に加えて求められる監督義務の内容は何か。
→委託者は、委託先において、番号法で求められている安全管理措置が講じられているかを監督する義務がある。本ガイドラインの安全管理措置特有なものとしては、主に、「個人番号を取り扱う事務の範囲の明確化」、「特定個人情報等の範囲の明確化」、「事務取扱担当者の明確化」、「個人番号の削除、機器及び電子媒体等の廃棄」が挙げられる。
3.特定個人情報の取扱いを国外の事業者に委託する場合に、委託者としての安全管理措置を担保する上で、国内で実施する場合に加えて考慮するべき追加措置等はあるか。
→国内外を問わず、委託先において、個人番号が漏えい等しないように、必要かつ適切な安全管理措置が講じられる必要がある。なお、必要かつ適切な監督には、本ガイドラインのとおり、(1)委託先の適切な選定(具体的な確認事項:委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等)、(2)委託先に安全管理措置を遵守させるために必要な契約の締結、(3)委託先における特定個人情報の取扱状況の把握が含まれる。
4.特定個人情報を取り扱う委託契約を締結する場合、個人情報の取扱いと特定個人情報の取扱いの条項を分別した契約とする必要があるか。
→番号法上の安全管理措置が遵守されるのであれば、個人情報の取扱いと特定個人情報の取扱いの条項を分別する必要はない。
5.既存の委託契約で、本ガイドラインと同等の個人情報の取扱いの規定がある場合、特定個人情報も包含していると解釈して、委託契約の再締結はしなくてもよいか。
→既存の契約内容で必要な番号法上の安全管理措置が講じられているのであれば、委託契約を再締結する必要はない。
6.「委託先に安全管理措置を遵守させるために必要な契約の締結」について、実態として安全管理措置に係る委託者と委託先の合意が担保できる方法であれば、契約の締結以外の方法(例えば、誓約書や合意書の作成)も認められるか。
→委託者・委託先双方が安全管理措置の内容につき合意をすれば法的効果が発生するので、当該措置の内容に関する委託者・委託先間の合意内容を客観的に明確化できる手段であれば、書式の類型は問わない。
7.委託先・再委託先との業務委託契約を締結するに当たり、業務委託契約書等に、特定個人情報の取扱いを委託する旨の特段の記載が必要になるか。
→業務委託契約を締結する場合には、通常、委託する業務の範囲を特定することとなる。番号法においては、個人番号の利用範囲が限定的に定められていることから、委託先・再委託先との業務委託契約においても番号法で認められる事務の範囲内で委託する業務の範囲を特定する必要がある。
8.再委託(再々委託以降を含む。)を行うに当たり、最初の委託者から必ず許諾を得る必要があるか。
→再委託につき許諾を要求する規定は、最初の委託者において、再委託先が十分な安全管理措置を講ずることのできる適切な業者かどうかを確認させるため設けられたものであり、番号法第10条第1項により明示されている。したがって、最初の委託者の許諾を得る必要がある。
なお、委託先や再委託先から個人番号や特定個人情報が漏えい等した場合、最初の委託者は、委託先に対する監督責任を問われる可能性がある。
9.実務負荷の軽減のため、再委託を行う前に、あらかじめ委託者から再委託の許諾を得ることはできるか。
→再委託につき許諾を要求する規定は、最初の委託者において、再委託先が十分な安全管理措置を講ずることのできる適切な業者かどうかを確認させるため設けられたものである。したがって、委託者が再委託の許諾をするに当たっては、再委託を行おうとする時点でその許諾を求めるのが原則である。その際、再委託先が特定個人情報を保護するための十分な措置を講じているかを確認する必要がある。
しかしながら、委託契約の締結時点において、再委託先となる可能性のある業者が具体的に特定されるとともに、適切な資料等に基づいて当該業者が特定個人情報を保護するための十分な措置を講ずる能力があることが確認され、実際に再委託が行われたときは、必要に応じて、委託者に対してその旨の報告をし、再委託の状況について委託先が委託者に対して定期的に報告するとの合意がなされている場合には、あらかじめ再委託の許諾を得ることもできると解される。
10.再委託(再々委託以降を含む。)に係る委託者の許諾の取得方法について、書面、電子メール、口頭等方法の制限はあるか。
→委託者の許諾の方法について、制限は特段ないが、安全管理措置について確認する必要があることに鑑み、書面等により記録として残る形式をとることが望ましいと考えられる。
11.委託契約に定めれば、委託先が、委託者の従業員等の特定個人情報を直接収集することはできるか。
→個人番号の収集を委託すれば、委託先が収集することができます。
12.特定個人情報を取り扱う情報システムにクラウドサービス契約のように外部の事業者を活用している場合、番号法上の委託に該当するか。
→当該事業者が当該契約内容を履行するに当たって個人番号をその内容に含む電子データを取り扱うのかどうかが基準となる。当該事業者が個人番号をその内容に含む電子データを取り扱わない場合には、そもそも、個人番号関係事務又は個人番号利用事務の全部又は一部の委託を受けたとみることはできないので、番号法上の委託には該当しない。
当該事業者が個人番号をその内容に含む電子データを取り扱わない場合とは、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられる。(平成27年4月更新・Q9-2に分割)
13.クラウドサービスが番号法上の委託に該当しない場合、クラウドサービスを利用する事業者が、クラウドサービスを提供する事業者に対して監督を行う義務は課されないと考えてよいか。
→クラウドサービスが番号法上の委託に該当しない場合、委託先の監督義務は課されないが、クラウドサービスを利用する事業者は、自ら果たすべき安全管理措置の一環として、クラウドサービス事業者内にあるデータについて、適切な安全管理措置を講ずる必要がある。
14.特定個人情報を取り扱う情報システムの保守の全部又は一部に外部の事業者を活用している場合、番号法上の委託に該当するか。また、外部の事業者が記録媒体等を持ち帰ることは、提供制限に違反するか。
→当該保守サービスを提供する事業者がサービス内容の全部又は一部として個人番号をその内容に含む電子データを取り扱う場合には、個人番号関係事務又は個人番号利用事務の一部の委託に該当する。一方、単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人番号関係事務又は個人番号利用事務の委託に該当しない。
保守サービスを提供する事業者が、保守のため記録媒体等を持ち帰ることが想定される場合は、あらかじめ特定個人情報の保管を委託し、安全管理措置を確認する必要がある。
14-2.特定個人情報の受渡しに関して、配送業者、通信事業者等の外部事業者による配送・通信手段を利用する場合、番号法上の委託に該当するか。
→特定個人情報の受渡しに関して、配送業者による配送手段を利用する場合、当該配送業者は、通常、依頼された特定個人情報の中身の詳細については関知しないことから、事業者と配送業者との間で特に特定個人情報の取扱いについての合意があった場合を除き、個人番号関係事務又は個人番号利用事務の委託には該当しないものと解される。
また、通信事業者による通信手段を利用する場合も、当該通信事業者は、通常、特定個人情報を取り扱っているのではなく、通信手段を提供しているにすぎないことから、個人番号関係事務又は個人番号利用事務の委託には該当しないものと解される。
なお、事業者には、安全管理措置(番号法第12条等)を講ずる義務が課せられていますので、個人番号及び特定個人情報が漏えいしないよう、適切な外部事業者の選択、安全な配送方法の指定等の措置を講ずる必要があります。(平成27年4月追加)
15.委託の取扱いについて、個人情報保護法と番号法の規定の違いはあるか。
→委託先の監督義務について、個人情報保護法では、委託者が個人情報取扱事業者に該当する場合に委託先の監督義務を負う(個人情報保護法第22条)。また、委託先が再委託を行う場合において、その委託先が個人情報取扱事業者に該当する場合は再委託先の監督義務を負うが、個人情報取扱事業者に該当しない場合には再委託先の監督義務は負わない。
これに対して、番号法では、委託者が個人情報取扱事業者に該当するか否かに関係なく、個人番号関係事務又は個人番号利用事務の全部又は一部を委託する者であれば、委託先に対し監督義務を負うこととなる。
また、委託先が再委託を行う場合の要件について、個人情報保護法では特段の規定はないが、番号法では、再委託以降の全ての段階の委託について、最初の委託者の許諾を得ることを要件としている。