◆特定個人情報を「提供」できる場合は限定されている

特定個人情報（マイナンバーをその内容に含む個人情報）を第三者に提供できるのは、番号法１９条各号に列挙されている場合に限られます。

個人情報保護法では、本人の同意があれば第三者提供が認められますが（同法２３条１項１号）、番号法では、本人の同意があっても第三者提供が認められません。

そして、前回のコラムでも指摘したとおり、特定個人情報ファイルを正当な理由がないのに提供した場合、違反者には４年以下の懲役もしくは２００万円以下の罰金またはこれらが併科されます（番号法６７条）。

したがって、特定個人情報の提供を求められた場合には、その提供が番号法１９条各号に該当するものかどうかを吟味しなければなりません。

◆委託にともなう提供の注意点

さて、特定個人情報を第三者提供できる場合の１つとして、委託にともなう提供があります（番号法１９条５号）。

特定個人情報の取扱いをシステムベンダーに委託する事業者も多いと思われますが、その場合、委託者は、委託先に対し、「必要かつ適切な監督」を行わなければなりません（番号法１１条）。

「必要かつ適切な監督」の内容については、①委託先の適切な選定、②安全管理措置に関する委託契約の締結、③委託先における特定個人情報の取扱状況の把握などが考えられます。

◆クラウドサービスの活用と委託との関係

委託にともなう提供との関係では、特定個人情報を取り扱うシステムとして外部の事業者の提供するクラウドサービスを活用することが「委託」にあたるのかが問題となります。

結論としては、当該外部の事業者がマイナンバーの含まれたデータを取り扱わない場合には、「委託」にはあたらないことになります。この場合、個人番号利用事務または個人番号関係事務の全部または一部の委託を受けたとみることはできないからです。

例えば、契約条項において当該外部の事業者がマイナンバーの含まれたデータを取り扱わない旨が定められ、適切なアクセス制御が行われている場合などは、「委託」にはあたらないと考えられます（この機会にぜひ契約条項をチェックしてみてください）。

もっとも、「委託」にあたらず、委託先の監督義務が課されないとしても、クラウドサービスを活用する事業者は、クラウドサービスのシステム内にあるデータについて、自ら適切な安全管理措置を講じる必要があるので注意してください。

本ブログ及びこれに関連する法律相談等については、下記ＵＲＬからお問い合わせください。
http://kondo-law.com/contact/