- 更新日 : 2025年10月24日
マイナンバーの委託先の管理責任を果たすには?選び方や契約も解説
マイナンバー関連業務は、外部の専門業者へ委託できますが、その場合、委託元企業には委託先を「必要かつ適切に監督する責任」が法律で定められています。そのため、委託先の選定から契約、日々の管理までを徹底しないと、万が一の情報漏洩時に法的責任を問われることになります。
企業の担当者が実務で直面しがちな、委託先の管理不行き届きによるトラブルや、煩雑な監督業務を避けるためにも、適切な知識と対応が不可欠です。
本記事では、マイナンバー業務の委託先選定から契約、具体的な管理方法、そして再委託の注意点まで、委託元が果たすべき管理責任を網羅的に解説します。
目次
マイナンバー業務を委託するのはどのような場面?
マイナンバー制度の導入により、企業は従業員や扶養家族、外部関係者の個人番号を収集・管理・提供する業務が発生するようになりました。これらの業務は法的要件が多く、かつ情報漏えいリスクも高いため、外部の専門業者に委託するケースが増加しています。ここでは、どのような業務場面でマイナンバーの委託が発生するのかを整理します。
給与計算・年末調整業務
一般的なのが、給与計算や年末調整業務の委託です。企業は従業員の源泉徴収票や法定調書を作成・提出する際に、マイナンバーを記載する義務があります。これに伴い、給与計算を外部の社会保険労務士(社労士)事務所や給与代行業者に委託する場合、必然的にマイナンバーも取り扱うことになります。
特に年末調整時には、多くの個人番号を集中的に処理する必要があるため、ミスや漏えいを避けるために外部専門家に任せる企業が増えています。
入退社手続き・社会保険届出業務
従業員の入退社に伴う社会保険・雇用保険の届出書類(資格取得届・喪失届など)にもマイナンバーの記載が必要です。これらの手続きを社労士やアウトソーシング会社に任せている場合も、マイナンバーの提供と管理を委託していることになります。
事業所が複数にまたがっていたり、多様な雇用形態の従業員が在籍していたりする企業では、各所からの情報を集約して手続きを進める負担が大きいため、委託による業務効率化が図られています。
給与システム・クラウドサービスの利用
給与明細の発行や年末調整申告をクラウドサービス(SaaS)上で行う場合、そのサービスを提供するシステム事業者にマイナンバーの管理・処理を委託していると見なされます。この形態では、マイナンバーがサービス提供事業者のサーバー上に保存・処理されるため、クラウドベンダーとの契約時には、システムのセキュリティ対策やデータの管理体制、再委託先の状況などを十分に確認しなければなりません。単なるデータ保管に留まらず、業務処理機能まで提供される場合は、特に慎重な確認が求められます。
その他、外注先にマイナンバーを伝えるケース
例えば、税理士に支払調書(報酬・料金等の支払)作成を依頼する場合や、外部講師・業務委託先への支払いに伴うマイナンバー取得業務を外注する場合も、委託扱いとなります。
たとえ一時的な業務委託であっても、マイナンバーを取り扱うのであれば、すべて個人番号法(マイナンバー法)で定められた委託のルールに則って対応する必要があります。
マイナンバー業務の委託先はどのように選定すべき?
委託元が監督責任を果たすために委託先の選定は特に重要です。委託先の選定を怠り、不適切な業者に委託した結果、情報漏洩などの事故が発生すれば、委託元がマイナンバー法違反に問われるおそれがあります。
個人情報保護委員会が公表している「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」では、委託元の監督義務として「委託先の適切な選定」「安全管理措置に関する委託契約の締結」「委託先における特定個人情報の取扱状況の把握」の3点を挙げています。
まずは、このうち「委託先の適切な選定」について、具体的な基準とチェックポイントを解説します。
参照:特定個人情報の適正な取扱いに関するガイドライン(事業者編)|個人情報保護委員会
選定基準は「委託元と同等の安全管理措置」を講じているか
委託先を選ぶ際の基準は、「委託先が、マイナンバー法に基づき委託元が本来果たすべき安全管理措置と、同等の措置を講じているかどうか」です。覚えておきたいのは委託先が満たすべき安全管理措置の水準は、あくまでマイナンバー法が求めているレベルで問題ないという点です。
仮に委託する側の事業者が特別にハイレベルな安全管理措置をとっていたとしても、委託先にそのレベルを求めなくても良いということです。
法の要件を満たしているかどうかが判断の基準となります。
委託先選びの4つのチェックポイント
「ガイドライン」に挙げられている委託先選びのチェックポイントは以下の4つです。
- 委託先の設備
- 技術水準
- 従業者に対する監督・教育の状況
- その他委託先の経営環境等
1. 委託先の設備
マイナンバーを物理的・技術的に安全に取り扱える設備が整っているかを確認します。
- 物理的安全管理:
マイナンバーを扱う区画への入退室管理、施錠可能なキャビネットでの書類保管 - 技術的安全管理:
セキュリティ対策が施されたサーバー環境、不正アクセス防止策 - 書類管理:
紙媒体の書類が適切に施錠・管理されているか
2. 技術水準
システム面での技術的な安全管理措置が適切に講じられているかを確認します。
- システムセキュリティ:
ファイアウォール、ウイルス対策ソフトの導入と更新、アクセス制御 - データ管理:
アクセスログの取得・保管、データの暗号化、定期的なバックアップ - クラウド利用時:
通信経路の暗号化(SSL/TLS)、データセンターの物理的セキュリティ
3. 従業者に対する監督・教育の状況
情報漏洩はシステムだけでなく、人的な要因でも発生します。そのため、委託先の従業員管理体制の確認は欠かせません。
- 教育・研修:
従業員への定期的なセキュリティ教育やマイナンバー研修の実施 - 権限管理:
マイナンバーを取り扱う担当者の限定、権限の適切な設定 - 契約・誓約:
従業員との間で秘密保持契約(NDA)や誓約書を締結しているか
4. その他委託先の経営環境等
委託先の経営状況や信頼性も、継続的かつ安定的に業務を任せられるかどうかの判断材料になります。
- 経営の安定性:
経営状況は安定しているか、倒産リスクは高くないか - 実績と評判:
同様の業務実績は豊富か、過去に情報漏洩事故を起こしていないか - 人員体制:
従業員の離職率は高くないか、担当者が頻繁に変わらないか
マイナンバーの委託先にはどこまで責任がある?
マイナンバーの取り扱いを外部委託した場合、責任は委託元と委託先の双方に生じますが、その性質は異なります。委託元は委託先に対する「監督責任」を負い、委託先は委託された業務を遂行する上での「安全管理措置の実施義務」を負います。
この責任分界点を正しく理解していないと、万が一事故が発生した際に「委託先に任せていたから自社に責任はない」という主張は通用しません。ここでは、委託元と委託先のそれぞれの責任範囲と、事故発生時の法的リスクについて解説します。
委託元が負う「監督責任」とは?
委託元が負う最も大きな責任は、委託先がマイナンバーを適切に取り扱っているかを監督する「必要かつ適切な監督」の義務です。これは、業務を委託した後も、委託元が最終的な責任を負うことを意味します。具体的には、前述した「委託先の適切な選定」「安全管理措置に関する委託契約の締結」「委託先における特定個人情報の取扱状況の把握」を確実に実行する責任を指します。
監督を怠った結果、委託先で情報漏洩などの事故が発生した場合、委託元もその責任を問われることになります。
委託先が負う「安全管理措置」の義務
一方、委託先は、委託されたマイナンバーを安全に管理するための具体的な措置(安全管理措置)を講じる義務を負います。これには、組織的、人的、物理的、技術的な側面からの対策が含まれます。委託契約で定められた範囲で、漏えい、滅失、毀損の防止その他の適切な管理のために必要な措置を講じなければなりません。
もし委託先がこの義務を怠り事故を引き起こした場合は、委託契約上の債務不履行や、被害者に対する損害賠償責任を負うことになります。
情報漏洩が発生した場合の法的リスク
委託先の管理不行き届きにより情報漏洩などの事故が発生した場合、委託元は以下のような複数のリスクを負います。
| リスクの種類 | 内容 |
|---|---|
| 行政指導・罰則 | 個人情報保護委員会による指導、勧告、命令の対象となります。命令に従わない場合、罰則(拘禁刑や罰金)が科されるおそれがあります。 |
| 損害賠償請求 | 情報漏洩の被害者(従業員など)から、監督責任を怠ったことを理由に損害賠償を請求されるリスクがあります。 |
| 社会的信用の失墜 | 「マイナンバーを適切に管理できない企業」という評価が広がり、企業イメージの悪化や顧客離れ、取引停止につながるおそれがあります。 |
想定されるトラブルと具体的な防止策
委託先管理で起こりがちなトラブルを防ぐには、事前の対策が肝心です。
トラブル例1:委託先の従業員が情報を持ち出し、漏洩した
防止策: 契約時に、委託先における従業員教育の実施状況や、秘密保持誓約書の取得状況を確認する。また、アクセスログの取得や、取り扱い担当者の限定が適切に行われているかを定期的に報告させる。
トラブル例2:委託先が許可なく再委託し、再委託先で事故が発生した
防止策: 契約書に「再委託を行う場合は委託元の事前承諾を要する」旨を明記する。再委託を許諾する場合も、再委託先が一次委託先と同等の安全管理措置を講じているかを確認させる。
トラブル例3:契約終了後、委託先がマイナンバーデータを廃棄せずに保持していた
防止策: 契約書に「契約終了後は速やかにデータを返却または廃棄し、廃棄証明書を提出する」という条項を盛り込む。
マイナンバーの委託先との契約で盛り込むべき内容は?
委託先の選定後、監督責任を果たすための次のステップが「委託先に安全管理措置を遵守させるために必要な契約の締結」です。この契約は、万が一のトラブル発生時に委託元と委託先の責任範囲を明確にし、自社を守るための重要な証拠となります。
すでに個人情報の取り扱いに関する基本契約を締結済みで、その内容がマイナンバー法が求める水準を満たしていれば、必ずしも新たな契約を結び直す必要はありません。ただし、その場合でもマイナンバーの取り扱いに関する覚書などを取り交わしておくことが望ましいでしょう。
書式は契約書に限らず、双方の合意が証明できるものであれば、誓約書や合意書といった形式でも問題ありません。
契約に盛り込むべき8つの必須項目
「ガイドライン」に挙げられているうち、マイナンバーの委託先との契約内容に盛り込まなくてはならないとされているのは8項目です。
- 秘密保持契約
委託先が業務上知り得たマイナンバーを正当な理由なく第三者に漏らさないことを定めます。 - 事業所内からの特定個人情報の持ち出しの禁止
物理的な書類やデータを保存した電子媒体などを、許可なく事業所の外へ持ち出すことを禁止します。 - 特定個人情報の目的外利用の禁止
委託された業務(例:給与計算)以外の目的でマイナンバーを利用・加工することを禁止します。 - 再委託における条件
再委託を行う際のルールを定めます。原則として委託元の事前承諾を必須とし、再委託先にも同等の義務を課すことを明記します。 - 漏えい事案等が発生した場合の委託先の責任
事故発生時の報告義務、原因調査への協力、損害賠償の範囲などを具体的に定めます。 - 委託契約終了後の特定個人情報の返却又は廃棄
契約終了後、委託先が保持するマイナンバーを速やかに返却または廃棄し、その証明を求めることを規定します。 - 従業者に対する監督・教育
委託先がその従業者に対して、適切な監督と教育を行う義務を負うことを明記します。 - 契約内容の遵守状況について報告を求める規定等
委託元が委託先に対して、定期的に取り扱い状況の報告を求められる権利を定めます。
これらの必須項目に加え、ガイドラインは「マイナンバー業務を行う従業者の明確化」や「委託元による実地調査(監査)を可能にする条項」などを盛り込むことを推奨しています。
マイナンバーの委託先の管理・監督は具体的にどう行うべき?
適切な委託先を選び、契約を締結したとしても、委託元の監督責任は終わりません。契約内容が遵守されているかを定期的に確認する「委託先における特定個人情報の取扱状況の把握」が不可欠です。
この監督業務を怠れば、たとえ契約書を交わしていても、事故発生時に「監督義務違反」を問われる可能性があります。
特定個人情報保護委員会のガイドラインQ&Aは委託した側の事業者の監督義務として次の4点を挙げています。
- 個人番号を取り扱う事務の範囲の明確化
- 特定個人情報等の範囲の明確化
- 事務取扱担当者の明確化
- 個人番号の削除、機器及び電子媒体等の廃棄
また、ここでは、委託先を実務的に管理・監督するための具体的な方法を4つ紹介します。
1. 年1回以上の書面によるチェックリスト提出
もっとも一般的な手法として、委託先に対し年1回以上の頻度で安全管理措置に関するチェックリストの提出を求める方法があります。このチェックリストには、物理的安全管理(施錠、入退室管理)、技術的対策(アクセス制御、ウイルス対策)、組織的措置(責任者の設置、教育訓練)などの項目を含め、委託先が自己評価した結果を報告させます。
- 物理的安全管理:
マイナンバーを保管するサーバールームや執務室への入退室管理は適切か。書類は施錠された書庫で保管されているか。 - 技術的対策:
端末のウイルス対策ソフトは最新の状態か。マイナンバーへのアクセス制御は適切に行われているか。 - 組織的措置:
マイナンバー取扱責任者が任命されているか。従業員への教育は計画的に実施されているか。
提出された内容は委託元側で精査し、不備や懸念点があれば補足説明を求めるか、監査につなげるなど、アクションにつなげることが重要です。
2. 委託先に対する訪問監査の実施
より実態に即した把握方法として、現地訪問による監査(オンサイト監査)があります。実際の管理状況、セキュリティ対策の運用実態、書類の保管状況などを視察することで、書面では見えない実態を把握することが可能です。たとえば、施錠が形骸化していないか、端末に無防備なログインがされていないかなど、現場レベルでの確認ができる点で有効です。
また、訪問が難しい場合はオンライン監査(Web会議+資料提出)を代替手段として取り入れる企業も増えています。
3. 業務実施報告書の提出
委託業務の遂行状況について、四半期または年次で報告書を提出させることも監督の一環です。報告書には、期間中のマイナンバーの取り扱い件数、担当者の変更、業務フローの変更点、発生したインシデント(軽微なものも含む)などを記載させます。これにより、業務の実態を継続的に把握し、リスクの兆候を早期に検知することにつながります。
4. トラブル発生時の即時報告体制の整備
万が一、特定個人情報に関する漏えいや紛失などのトラブルが発生した場合に備え、即時報告体制を契約書に明記し、実際に運用されているかを定期的に確認することも重要です。
契約書に報告義務、報告ルート、報告内容を具体的に明記し、その体制が実際に機能するかを定期的に(例:年に一度の連絡網テストなどで)確認しておきましょう。初動の遅れは被害の拡大に直結するため、この体制整備は不可欠です。
連絡先や報告方法が不明確であれば、初動が遅れ、被害が拡大するリスクが高まります。
委託先からさらに再委託する場合の管理と注意点は?
マイナンバーを含む業務を外部に委託する場合、委託先がさらに第三者に再委託を行うことがあります。この「再委託」についても、委託元には適切な管理責任が求められ、許諾の有無や監督体制を明確にしておかなければなりません。
ここでは、再委託に関する管理・許諾手続きのポイントを整理します。
再委託とは
「再委託」とは、一次委託先(最初に契約した業者)が、業務の全部または一部を別の業者にさらに委託することを指します。たとえば、給与計算業務をA社に委託し、そのA社がB社に業務の一部を再委託する場合、B社が「再委託先」に該当します。
再委託であっても、マイナンバーを取り扱う限り、個人情報保護法およびマイナンバー法に基づいた管理と監督が必要です。
再委託には委託元の事前許諾が必須
再委託は、委託元が事前に書面などで許諾した場合にのみ認められます。一次委託先が、委託元の許可なく勝手に再委託を行うことは契約違反であり、ガイドラインでも禁止されています。
つまり、委託契約を結んだA社が勝手にB社へ再委託することは認められておらず、あらかじめ書面での同意を取り付ける必要があります。
再委託を許諾する際の確認事項
再委託を許諾する際には、委託元は一次委託先に対し、再委託先が自社と同水準の安全管理措置を講じていることを確認する責任があります。
許諾を得る際には以下の点を契約に盛り込み、書面で合意することが望ましいでしょう。
- 再委託先の情報: 再委託先の名称、所在地、責任者
- 再委託する業務範囲: どの業務を再委託するのかを具体的に特定
- 安全管理措置の確認: 一次委託先が、再委託先の選定基準や管理体制を確認した際の記録を提出させる
- 契約内容: 一次委託先と再委託先との間で、委託元と一次委託先との契約内容と同等の義務(秘密保持、目的外利用の禁止など)を課す契約が結ばれているか
再委託先に対する監督責任
委託元企業は、再委託先に対しても間接的に監督責任を負うことになります。したがって、一次委託先(A社)が再委託先(B社)に対し、安全管理措置や教育・誓約などを適切に実施しているかどうかを確認する必要があります。
実務上は、以下のような対応が求められます。
- 委託元による監査権限の明記(再委託先を含む)
- 再委託先との契約条項の開示請求
- 業務遂行状況の定期報告
- 万が一の事故時の報告ルール・連絡体制の明文化
契約終了時の取り扱いと再委託先への対応
再委託契約終了後のマイナンバーの取り扱いにも注意が必要です。再委託先が保有するデータについても、委託元のルールに基づいて返却・廃棄が確実に実行されるよう管理する義務があります。
契約には「再委託先における終了時のデータ処理手順」「廃棄証明の取得」などを明記し、実行されたことを記録・保存しておくことで、法的リスクを最小限に抑えることができます。
適切な委託先管理でマイナンバーのリスクに備える
マイナンバー業務は委託、再委託、再々委託が可能です。しかしいずれにも委託する側の事業者は「必要かつ適切な監督」の義務が伴います。この責任を果たすためには、信頼できる委託先の慎重な選定、責任範囲を明確にした契約の締結、そして契約後の継続的な管理・監督という一連のプロセスを確実に実行しなければなりません。
万が一の情報漏洩は、企業の信用を大きく損なう事態につながりかねません。本記事で解説したポイントを参考に、自社の委託先管理体制を今一度見直し、マイナンバーの取り扱いに関する法的リスクにしっかりと備えましょう。
※ 掲載している情報は記事更新時点のものです。
人事労務の知識をさらに深めるなら
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
マイナンバーで脱税はなくなる?知っておきたい制度の知識
脱税は犯罪です。しかし、マイナンバー法が施行されると、気づかぬうちに「脱税」になるケースがあるといいます。 悪意は無くとも、「脱税」とならないために、特に扶養家族をお持ちの方に知ってほしい情報をご紹介します。 マイナンバーは、脱税を暴く画期…
詳しくみるマイナンバーの収集、その手続をわかりやすく解説
マイナンバーを収集する範囲とは マイナンバーの収集にあたって、マイナンバーはどのような人から集めなければならないのでしょうか? まずは、従業員です。従業員に関しては、本人はもとより、扶養家族のマイナンバーも収集する必要があります。 次に、有…
詳しくみるマイナポータルの便利な機能と利用するための注意点
平成29年1月より運用開始となったマイナポータルは、パソコンや携帯端末から自分の個人番号に関する情報にアクセスすることのできるサービスです。 マイナポータルを利用することによって、 ・誰がどのように自分の個人番号にアクセスしたのか確認するこ…
詳しくみるマイナンバーのガイドラインをわかりやすく解説
マイナンバーを取り扱うのは国や自治体などの行政機関だけではありません。中小企業をはじめとする民間事業者も、従業員の源泉徴収票作成時などで、マイナンバーを取り扱うことになります。 ここではマイナンバーを取り扱う際のガイドラインについて解説して…
詳しくみるマイナンバーの規程整備について、事業者なら知っておきたいこと
マイナンバーは、支払調書や源泉徴収票提出時に使用します。従業員が数名しかいなくても、きちんと考えておきたいのがマイナンバーの規程整備です。 個人情報であるマイナンバーは、情報漏えいしないように徹底した保管や管理が求められるものです。いずれの…
詳しくみるマイナンバーが導入されることになった目的とは
マイナンバーが保険証の代わりになるなど、生活での利用シーンが広がっています。マイナンバーの目的や使用用途について、イマイチピンとこない方もいらっしゃるでしょう。 ここでは、マイナンバーの基本情報や目的についてわかりやすく解説します。マイナン…
詳しくみる