- 3:委託の取扱い【マイナンバーの取扱いの委託・再委託、委託契約の内容や委託先の監督等について】
- Q3-14
特定個人情報を取り扱う情報システム(機器を含む。以下、この項において同じ。)の保守の全部又は一部に外部の事業者を活用している場合、番号法上の委託に該当しますか。また、外部の事業者が記録媒体等を持ち帰ることは、提供制限に違反しますか。
- A3-14
当該保守サービスを提供する事業者(以下「保守サービス事業者」という。)がサービス内容の全部又は一部として個人番号をその内容に含む電子データを取り扱う場合には、個人番号関係事務又は個人番号利用事務の一部の委託に該当します。
- 〔典型的な例〕
-
- 個人番号を用いて情報システムの不具合を再現させ検証する場合
- 個人番号をキーワードとして情報を抽出する場合
一方、単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該保守サービス事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人番号関係事務又は個人番号利用事務の委託に該当しません。
- 〔典型的な例〕
-
- システム修正パッチやマルウェア対策のためのデータを配布し、適用する場合
- 保守サービスの作業中に個人番号が閲覧可能となる場合であっても、個人番号の収集(画面上に表示された個人番号を書き取ること、プリントアウトすること等をいう。以下、この項において同じ。)を防止するための措置が講じられている場合
- 保守サービスの受付時等に個人番号をその内容に含む電子データが保存されていることを知らされていない場合であって、保守サービス中に個人番号をその内容に含む電子データが保存されていることが分かった場合であっても、個人番号の収集を防止するための措置が講じられている場合
- 不具合の生じた機器等を交換若しくは廃棄又は機器等を再利用するために初期化する場合等であって、機器等に保存されている個人番号をその内容に含む電子データを取り扱わないことが契約等で明確であり、取扱いを防止するためのアクセス制御等の措置が講じられている場合
- 不具合の生じたソフトウェアの解析をするためにメモリダンプの解析をする場合であって、メモリダンプ内の個人番号をその内容に含む電子データを再現しないこと等が契約等で明確であり、再現等を防止するための措置が講じられている場合
- 個人番号をその内容に含む電子データのバックアップの取得又は復元を行う場合であって、バックアップデータ内の当該電子データを取り扱わないことが契約等で明確であり、取扱いを防止するためのアクセス制御等の措置が講じられている場合
なお、個人番号関係事務又は個人番号利用事務の委託に該当しない保守サービスの場合は、従来の個人情報又は営業秘密等が保存されている情報システムの保守サービスにおける安全管理措置の考え方と同様と考えられます。
個人番号関係事務又は個人番号利用事務の一部の委託に該当する保守サービスであって、保守のために記録媒体等を持ち帰ることが想定される場合は、あらかじめ特定個人情報の保管を委託し、安全管理措置を確認する必要があります。(平成28年6月更新)