更新日 : 2025年8月26日

マイナンバー業務は委託できる！委託先選びや管理方法を解説

企業がマイナンバーを取り扱う際には、給与計算や社会保険手続きなど、さまざまな実務が発生します。これらの業務は専門性や法令遵守が求められるため、社労士やアウトソーシング会社、クラウドサービスなどへの外部委託が一般的になっています。しかし、業務を委託するということは、マイナンバーを第三者に預けることであり、委託元には委託先の管理状況を十分に監督する責任があります。

本記事では、マイナンバー業務を委託する場面から、委託先の選定基準、安全管理措置に関する契約内容、再委託への対応まで、対応のポイントを解説します。

マイナンバー業務を委託するのはどのような場面？
マイナンバー業務の委託は「委託先選び」から
マイナンバーの委託契約のポイントは「安全管理措置」
- 「委託先に安全管理措置を遵守させるために必要な契約の締結」とは
- どのような内容の契約が求められているか
特定個人情報の取扱状況を把握するための対応策
再委託に関する管理と許諾手続きの明確化
マイナンバー業務を委託する際は委託先の管理を徹底する

マイナンバー業務を委託するのはどのような場面？

マイナンバー制度の導入により、企業は従業員や扶養家族、外部関係者の個人番号を収集・管理・提供する業務が発生するようになりました。これらの業務は法的要件が多く、かつ情報漏えいリスクも高いため、外部の専門業者に委託するケースが増加しています。ここでは、どのような業務場面でマイナンバーの委託が発生するのかを整理します。

給与計算・年末調整業務

最も一般的なのが、給与計算や年末調整業務の委託です。企業は従業員の源泉徴収票や法定調書を作成・提出する際に、マイナンバーを記載する義務があります。これに伴い、給与計算を外部の社労士事務所や給与代行業者に委託する場合、必然的にマイナンバーも取り扱うことになります。

特に年末調整時には、多くの個人番号を集中的に処理する必要があるため、ミスや漏えいを避けるために外部専門家に任せる企業が増えています。

入退社手続き・社会保険届出業務

社員の入退社に伴う社会保険・雇用保険の届出書類（資格取得届・喪失届など）にもマイナンバーの記載が必要です。これらの手続きを社労士やアウトソーシング会社に任せている場合、マイナンバーの提供と管理も委託に該当します。

雇用形態や事業所の所在地が複数にわたる企業では、各拠点からの情報を集約して手続きを行う負担が大きくなるため、委託による業務効率化が有効です。

給与システム・クラウドサービスの利用

給与明細や年末調整をクラウドサービス上で提供する場合、マイナンバーがそのサービス上に保存・処理されることになります。これもマイナンバー業務の一部を「システム事業者」に委託しているとみなされます。

このため、クラウドベンダーとの契約に際しては、システムの安全性や再委託管理体制の確認が不可欠です。単なるデータ保管ではなく、機能提供の範囲が広い場合には、特に注意が必要です。

その他、外注先にマイナンバーを伝えるケース

例えば、税理士に支払調書（報酬・料金等の支払）作成を依頼する場合や、外部講師・業務委託先への支払いに伴うマイナンバー取得業務を外注する場合も、委託扱いとなります。

一時的な業務委託であっても、マイナンバーの取扱いが含まれる場合はすべて「委託」として法的要件を満たす必要があります。

マイナンバー業務の委託は「委託先選び」から

【「必要かつ適切な監督」3つのポイント】

委託先の適切な選定
委託先に安全管理措置を遵守させるために必要な契約の締結
委託先における特定個人情報の取扱い状況の把握

「委託先の適切な選定」とは

「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」（以下、「ガイドライン」）によれば「必要かつ適切な監督」には3つのポイントがあるとされています。
そのうちの1つが「委託先の適切な選定」です。委託する事業者は、委託先がマイナンバーをきちんと管理しているのかどうかをあらかじめ確認しておかなくてはなりません。これを怠ればマイナンバー法違反になる可能性もあります。

「きちんと管理している」の基準

委託先選びの際の基準は、「委託先がマイナンバー法に基づいて本来委託する側の事業者が果たすべき安全管理措置と同等の措置がとられているかどうか」です。
覚えておきたいのは委託先が満たすべき安全管理措置の水準は、あくまでマイナンバー法が求めているレベルで問題ないという点。仮に委託する側の事業者が特別にハイレベルな安全管理措置をとっていたとしても、委託先にそのレベルを求めなくても良いということです。

委託先選びの具体的なチェックポイント

「ガイドライン」に挙げられている委託先選びのチェックポイントは以下の4つです。

委託先の設備
技術水準
従業者に対する監督・教育の状況
その他委託先の経営環境等

1. 委託先の設備

まず重要なのは、物理的・技術的にマイナンバーを安全に取り扱える設備の整備状況です。たとえば、情報を保存・管理するサーバーがセキュリティ対策された専用環境に設置されているか、オフィスの入退室管理が厳格に行われているか、紙媒体での保管がある場合には施錠された保管庫を利用しているかなど、具体的な対策を確認する必要があります。

2. 技術水準

次に、システム面での技術的な安全管理措置が講じられているかどうかが問われます。ファイアウォールやウイルス対策ソフトの導入、アクセス制御の実施、ログ管理、暗号化処理などが行われているかを確認しましょう。また、クラウドを利用する場合は、通信の暗号化やバックアップ体制の有無も評価対象となります。

3. 従業者に対する監督・教育の状況

マイナンバーの漏えいリスクは、システム面だけでなく人為的なミスや不正によっても発生します。したがって、委託先においてマイナンバーを取り扱う従業員に対して、継続的な教育・研修が実施されているか、取り扱い権限が限定されているか、守秘義務契約が締結されているかなどを確認することが求められます。

4. その他委託先の経営環境等

最後に、委託先の経営状況や信頼性も選定の重要な判断材料です。たとえば、頻繁に人員が入れ替わる、経営が不安定で倒産リスクが高い、過去に情報漏えい事故を起こした実績がある、といった委託先は避けるべきです。継続的かつ安定したサービス提供が可能かどうかを見極めることが大切です。

マイナンバーの委託契約のポイントは「安全管理措置」

「委託先に安全管理措置を遵守させるために必要な契約の締結」とは

「必要かつ適切な監督」の2つ目のポイントは「委託先に安全管理措置を遵守させるために必要な契約の締結」です。

すでに個人情報の取り扱いに関する契約を締結していて、かつマイナンバー法が求めているレベルの安全管理措置が順守できるのであれば、別途契約を結ぶ必要はありません。
また委託する側の事業者と委託先双方の合意が証明できるものであれば、誓約書や合意書など書式の類型はどんなものでもいいとされています。

どのような内容の契約が求められているか

「ガイドライン」に挙げられているうち、契約内容に盛り込まなくてはならないとされているのは8項目です。

秘密保持契約
事業所内からの特定個人情報の持ち出しの禁止
特定個人情報の目的外利用の禁止
再委託における条件
漏えい事案等が発生した場合の委託先の責任
委託契約終了後の特定個人情報の返却又は廃棄
従業者に対する監督・教育
契約内容の遵守状況について報告を求める規定等

ガイドラインはこれらに加えて、委託先でマイナンバー業務を行う従業者の明確化、委託した側の事業者の委託先への実地調査を可能にする項目などを盛り込むことを推奨しています。

特定個人情報の取扱状況を把握するための対応策

「必要かつ適切な監督」の3つ目のポイントは「委託先における特定個人情報の取扱状況の把握」です。
適切な委託先選びをし、契約を締結したからといって、マイナンバーの漏えいや紛失が起きた場合に全て委託先の責任になるというわけありません。特定個人情報保護委員会のガイドラインQ&Aは委託した側の事業者の監督義務として次の4点を挙げています。

個人番号を取り扱う事務の範囲の明確化
特定個人情報等の範囲の明確化
事務取扱担当者の明確化
個人番号の削除、機器及び電子媒体等の廃棄

1. 年1回以上の書面によるチェックリスト提出

もっとも一般的な手法として、委託先に対し年1回以上の頻度で安全管理措置に関するチェックリストの提出を求める方法があります。このチェックリストには、物理的安全管理（施錠、入退室管理）、技術的対策（アクセス制御、ウイルス対策）、組織的措置（責任者の設置、教育訓練）などの項目を含め、実施状況を自己申告形式で確認します。

提出された内容は委託元側で精査し、不備や懸念点があれば補足説明を求めるか、監査につなげるなど、アクションにつなげることが重要です。

2. 委託先に対する訪問監査の実施

より実態に即した把握方法として、現地訪問による監査（オンサイト監査）があります。実際の管理状況、セキュリティ対策の運用実態、書類の保管状況などを視察することで、書面では見えない実態を把握することが可能です。たとえば、施錠が形骸化していないか、端末に無防備なログインがされていないかなど、現場レベルでの確認ができる点で有効です。

また、訪問が難しい場合はオンライン監査（Web会議＋資料提出）を代替手段として取り入れる企業も増えています。

3. 業務実施報告書の提出

委託業務の内容が定常的である場合でも、業務実施報告書（四半期または年次）を提出させることで、業務フローの中でマイナンバーがどのように処理されているか、管理ルールが遵守されているかを確認できます。特に、人員変更や業務手順の変更があった際には、影響範囲を把握するうえでも報告書は有効です。

4. トラブル発生時の即時報告体制の整備

万が一、特定個人情報に関する漏えいや紛失などのトラブルが発生した場合に備え、即時報告体制を契約書に明記し、実際に運用されているかを定期的に確認することも重要です。連絡先や報告方法が不明確であれば、初動が遅れ、被害が拡大するリスクが高まります。

再委託に関する管理と許諾手続きの明確化

マイナンバーを含む業務を外部に委託する場合、委託先がさらに第三者に再委託を行うことがあります。この「再委託」についても、委託元には適切な管理責任が求められ、許諾の有無や監督体制を明確にしておかなければなりません。ここでは、再委託に関する管理・許諾手続きのポイントを整理します。

再委託とは

「再委託」とは、一次委託先（最初に契約した業者）が、業務の全部または一部を別の業者にさらに委託することを指します。たとえば、給与計算業務をA社に委託し、そのA社がB社にシステム開発や保守業務を再委託する場合、B社が「再委託先」に該当します。

再委託であっても、マイナンバーを取り扱う限り、個人情報保護法およびマイナンバー法に基づいた管理と監督が必要です。

委託元による事前許諾の必要性

ガイドラインでは、再委託を行う場合、元の委託者（企業）の事前許諾を得ることが必要とされています。つまり、委託契約を結んだA社が勝手にB社へ再委託することは認められておらず、あらかじめ書面での同意を取り付ける必要があります。

許諾を得る際には以下の点を契約に盛り込むことが望まれます。

再委託を行う業務の範囲
再委託先の名称・管理責任者
再委託先への安全管理措置の義務
許諾条件および変更時の通知義務

委託元企業の再委託先に対する監督義務

委託元企業は、再委託先に対しても間接的に監督責任を負うことになります。したがって、一次委託先（A社）が再委託先（B社）に対し、安全管理措置や教育・誓約などを適切に実施しているかどうかを確認する必要があります。

実務上は、以下のような対応が求められます。

委託元による監査権限の明記（再委託先を含む）
再委託先との契約条項の開示請求
業務遂行状況の定期報告
万が一の事故時の報告ルール・連絡体制の明文化

契約終了時の取り扱いと再委託先への対応

再委託契約終了後のマイナンバーの取り扱いにも注意が必要です。再委託先が保有するデータについても、委託元のルールに基づいて返却・廃棄が確実に実行されるよう管理する義務があります。

契約には「再委託先における終了時のデータ処理手順」「廃棄証明の取得」などを明記し、実行されたことを記録・保存しておくことで、法的リスクを最小限に抑えることができます。

マイナンバー業務を委託する際は委託先の管理を徹底する

マイナンバー業務は委託、再委託、再々委託が可能です。しかしいずれにも委託する側の事業者は「必要かつ適切な監督」の義務を負っています。この言葉をよく理解して、委託業者を利用するようにしましょう。

※ 掲載している情報は記事更新時点のものです。

【監修】マネーフォワードクラウドマイナンバー
マイナンバーに関するお役立ち情報をマネーフォワードクラウドマイナンバーが提供します。マネーフォワードクラウドは会計から人事労務までクラウドでDXを推進、バックオフィスの業務効率化を応援します。
監修：土屋英則 (税理士)
税理士法人ゆびすい
ゆびすいグループは、国内8拠点に7法人を展開し、税理士・公認会計士・司法書士・社会保険労務士・中小企業診断士など約250名を擁する専門家集団です。
創業は70年を超え、税務・会計はもちろんのこと経営コンサルティングや法務、労務、ITにいたるまで、多岐にわたる事業を展開し今では4500件を超えるお客様と関与させて頂いております。
「顧問先さまと共に繁栄するゆびすいグループ」をモットーとして、お客さまの繁栄があってこそ、ゆびすいの繁栄があることを肝に銘じお客さまのために最善を尽くします。
お客様第一主義に徹し、グループネットワークを活用することにより、時代の変化に即応した新たなサービスを創造し、お客様にご満足をご提供します。