クラウドサービスを使って当社従業員のマイナンバーを管理する予定です。この場合、クラウドサービス提供事業者に番号法上の「委託」を行うことになるのでしょうか。(運送業)

 クラウドサービスを使ってマイナンバーを管理する場合、クラウドサービス提供事業者への「委託」に該当するケースと、該当しないケースの両方が考えられます。一般的に「マイナンバーを保管する専用サービスをクラウド環境で提供する」ケースは前者で、「データ保存エリアのみを提供し、その管理は利用者に任せる」ケースは後者に該当します。

 個人情報保護委員会(平成28年1月に「特定個人情報保護委員会」から改称)のガイドラインでは、「委託」に該当するかどうかは、「当該事業者が当該契約内容を履行するにあたって、個人番号をその内容に含む電子データを取り扱うのかどうかが基準となります。(中略)当該事業者が個人番号をその内容に含む電子データを取り扱わない場合とは、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます」とあります。

 この「個人番号をその内容に含む電子データを取り扱わない場合」について、個人情報保護委員会に問い合わせたところ、「クラウドサービス提供事業者が、預かるデータに特定個人情報を含んでいる認識があるか否かによって判断する」とのことでした。

 この見解は、「データ保存エリアのみを提供し、その管理は利用者に任せる」形態のクラウドサービスまでを「委託」としてしまうと、クラウドサービス提供事業者側には、特定個人情報が保管されているとの認識がないままに、個人番号関係事務の一部を受託していることになってしまうことを防止する意図があると考えます。

 一方、「マイナンバーを保管する専用サービスをクラウド環境で提供する」形態のクラウドサービスでは、クラウドサービス提供事業者がマイナンバーを含むデータバックアップを実施したり、サービス解約時に、利用者のデータを削除できる契約になっていることが一般的です。これらは「個人番号をその内容に含む電子データを取り扱っている」ことになり、「委託」に該当すると考えてよいでしょう。

「委託」のメリット

 「委託」ではないクラウドサービスを利用するということは、マイナンバーを安全に管理する責任を、利用者自らが負う、ということです。したがって、データバックアップやアクセス制御等は、自己責任で行う必要があります。

 一方、「委託」に該当するクラウドサービスの場合、契約内容によりますが、クラウドサービス提供事業者が安全管理の責任を一定程度負うことになります。

 当社の場合、正社員が24時間365日運営する当社のデータセンター(TISC)を利用して、クラウド環境へのマイナンバー保管サービス『PXまいポータル』を提供しています。

 当社では、このサービスを、利用者からの「委託」を受けて提供するサービスと捉え、マイナンバーを安心して預けていただけるよう万全な対策を講じています。

 特にTISCは、ISO/IEC27018という国際規格を取得しています。これは、個人情報に関する収集の制限や正確性、透明性などを、国際規格に基づいて保護していることを公言するものです。他の国際規格と同じように、第三者のチェックが定期的にされるため、継続的な信頼性も担保できます。

掲載:『戦略経営者』2016年1月号