第98回 マイナンバー業務の外部委託
企業は行政機関の業務の代行をいくつか行っている。本来ならば税務署や年金、保険などの機関が徴収すべき税金や年金支払いの代行徴収である。マイナンバー制度下では、これらの代行業務に関係した届け出にマイナンバーが使われる。そのマイナンバーを付した個人情報(特定個人情報)の管理には特段の注意を払って取り扱わなければならない。
組織的安全管理、人的安全管理、物理的安全管理、技術的安全管理などの安全管理措置が企業が実施すべき措置としてガイドラインに明記されている。また、特定個人情報についてはそのファイルを故意に盗み出すのは刑罰を伴う厳罰規定が設けられたが、盗み出された企業も安全管理措置が不十分だったとして叱責を受けるので、厳格に安全管理措置を講じなければならない。中小企業などには負担が大きい。
パソコンで特定個人情報ファイルの作成作業を行うには、たとえばTCSI社が発表した「PASERI for PC」に凝縮されている。同製品はパソコンとUSBを組み合わせて使う簡便 なものだが、特定個人情報に関係する作業中には、外部に流出しないようにインターネットから遮断してしまう。サイバー攻撃や従業員のミスによってインターネットに流出するのはインターネットに接続しているからで、作業中に自動的に遮断すれば危険はなくなる。
さらに作成したファイルはUSBを挿した時にだけパソコン画面に現れる仮想ディスクに登録すると、ここで暗号化され、2 つに分割されて断片の1つはパソコン側、もう1 つはUSBに保管 される。USBを抜くと仮想ディスクはパソコン画面から消えて呼び出せなくなる。これでサイバー攻撃からも従業員のミスや不正からも完全に防御できる。
それでもなお、特定個人情報を取り扱うことに不安を感じる経営者には「ウルトラC」の方法がある。自社でマイナンバーを処理、保管せずに、外部の専門事業者に委託するという方法だ。
特定番号と社員番号を関係づけたリストを外部専門会社に委託する。委託する相手は普段から給与や年金・保険などで事務を委託している社会保険労務士事務所や税理士事務所が手数がかからなくて良いが、取引のある事務所がマイナンバーは苦手というケースもある。会計ソフトのサービスをしているソフトパッケージ会社などでマイナンバー預かりサービスを始めたところも多いので、そういう中から検討するのも良いだろう。
従来通り、社内で給与や年金の情報ファイル(マイナンバーが付かない)を作成して、これを委託事務所に送付して、委託会社で合体して税務署や保険事務所に提出する。社内でマイナンバーを取り扱わないので、この点については安全というわけだ。
ただし、委託したのですべてOKというわけではない。
発注者には委託した会社の監督義務が生じる。委託会社が別の事業者に再委託する際には発注元への許諾が必要だ。再々委託する際にも同様の手続きと、発注元には再々委託先の監督義務が生じる。事故が起これば、発注元の監督責任が問われる。
こういう状況では、「情報トレンド」にあるように、サーバーが米国に置かれているようなシステムの会社への委託は避けた方が良いだろう。セールスフォースやアマゾン、マイクロソフトなどは、こうした事態を避けるために、日本にもサーバーを設置して、日本のユーザー企業には日本のサーバーで処理することを選べるようにしている。委託先についても、慎重に検討して選ぶ必要がある。
【 筆者=JAPiCO理事長 中島洋 】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization
組織的安全管理、人的安全管理、物理的安全管理、技術的安全管理などの安全管理措置が企業が実施すべき措置としてガイドラインに明記されている。また、特定個人情報についてはそのファイルを故意に盗み出すのは刑罰を伴う厳罰規定が設けられたが、盗み出された企業も安全管理措置が不十分だったとして叱責を受けるので、厳格に安全管理措置を講じなければならない。中小企業などには負担が大きい。
パソコンで特定個人情報ファイルの作成作業を行うには、たとえばTCSI社が発表した「PASERI for PC」に凝縮されている。同製品はパソコンとUSBを組み合わせて使う簡便 なものだが、特定個人情報に関係する作業中には、外部に流出しないようにインターネットから遮断してしまう。サイバー攻撃や従業員のミスによってインターネットに流出するのはインターネットに接続しているからで、作業中に自動的に遮断すれば危険はなくなる。
さらに作成したファイルはUSBを挿した時にだけパソコン画面に現れる仮想ディスクに登録すると、ここで暗号化され、2 つに分割されて断片の1つはパソコン側、もう1 つはUSBに保管 される。USBを抜くと仮想ディスクはパソコン画面から消えて呼び出せなくなる。これでサイバー攻撃からも従業員のミスや不正からも完全に防御できる。
それでもなお、特定個人情報を取り扱うことに不安を感じる経営者には「ウルトラC」の方法がある。自社でマイナンバーを処理、保管せずに、外部の専門事業者に委託するという方法だ。
特定番号と社員番号を関係づけたリストを外部専門会社に委託する。委託する相手は普段から給与や年金・保険などで事務を委託している社会保険労務士事務所や税理士事務所が手数がかからなくて良いが、取引のある事務所がマイナンバーは苦手というケースもある。会計ソフトのサービスをしているソフトパッケージ会社などでマイナンバー預かりサービスを始めたところも多いので、そういう中から検討するのも良いだろう。
従来通り、社内で給与や年金の情報ファイル(マイナンバーが付かない)を作成して、これを委託事務所に送付して、委託会社で合体して税務署や保険事務所に提出する。社内でマイナンバーを取り扱わないので、この点については安全というわけだ。
ただし、委託したのですべてOKというわけではない。
発注者には委託した会社の監督義務が生じる。委託会社が別の事業者に再委託する際には発注元への許諾が必要だ。再々委託する際にも同様の手続きと、発注元には再々委託先の監督義務が生じる。事故が起これば、発注元の監督責任が問われる。
こういう状況では、「情報トレンド」にあるように、サーバーが米国に置かれているようなシステムの会社への委託は避けた方が良いだろう。セールスフォースやアマゾン、マイクロソフトなどは、こうした事態を避けるために、日本にもサーバーを設置して、日本のユーザー企業には日本のサーバーで処理することを選べるようにしている。委託先についても、慎重に検討して選ぶ必要がある。
【 筆者=JAPiCO理事長 中島洋 】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization