マイナンバーの管理代行を提供するクラウドサービスの検討をされている方は多いのではないでしょうか。クラウドサービスの利用を検討するにあたって気を付けなければならないのは、運営会社が委託先に該当するかどうかです。
マイナンバーを取り扱う個人番号関係事務を外部に委託する場合は、委託先に対して必要かつ適切な監督を行わなければなりません。必要かつ適切な監督としてやるべきことは3つあります。
1. 委託先の適切な選定
2. 安全管理措置に関する委託契約の締結
3. 委託先における特定個人情報の取扱状況の把握
そのため、運営会社が委託先に該当する場合は利用のハードルが高くなってしまいます。
運営会社が委託先に該当しない要件は次の2つです。
① 顧客の個人番号をその内容に含む電子データを取り扱わない
② 適切なアクセス制御を行う
クラウドサービスを利用するにあたっては、利用規約に上記2項目が明記されているかどうかで対応が異なることに注意が必要です。
(参考資料)
・ 特定個人情報の適正な取扱いに関するガイドライン(事業者編)
・ 特定個人情報の適正な取扱いに関するガイドライン(事業者編)Q&A
取扱規程などのテンプレート資料を無償提供しています。