COLUMN
公開日:2023.04.10
2013年に制定された「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律(番号法)」により、さまざまな取引の際にマイナンバーの付番が求められるようになりました。従業員や顧客などからマイナンバーを収集し、管理する必要に迫られている事業者の方も多いことでしょう。
今回は、マイナンバーの収集・管理にBPO(外部委託)が活用できるのか、活用するメリット・注意点と併せてわかりやすく解説します。BPOサービス事業者を選定するポイントも併せて紹介していますので、ぜひ参考にしてください。
目次 ➖
そもそもマイナンバーに関わる業務には、どのようなものがあるのでしょうか。とくに今後、従業員や顧客からマイナンバーを収集し管理していく必要がある事業者の方は、マイナンバー関連業務の全体像を把握しておく必要があります。事業者に求められる主な業務は次の3点です。
番号法では、マイナンバーに関する利用目的の特定と通知、目的が変更となった際の通知を事業者に義務づけています。マイナンバーの収集は適切な利用目的に限られており、収集にあたって必ず利用目的を通知しなくてはなりません。利用目的が変更となった場合も同様に、従業員や顧客に対して変更に関する通知を行う義務があります。
また、番号法ではマイナンバー制度に関する社内研修を実施することもマイナンバー関連業務の1つと位置づけています。マイナンバーの収集・管理に携わる従業員には社内研修を行い、制度の趣旨や実務での注意点について周知徹底を図ることが大切です。マイナンバーを記載する欄を設けた書類などを従業員や顧客に送付する際は、必ず利用目的の通知が必須となることを浸透させておく必要があるでしょう。
マイナンバーを収集する際には、厳格な本人確認手続きのために必要書類を取得する必要があります。マイナンバーの収集時には「番号確認」と「身元確認」の2段階を踏まなければなりません。
番号確認は個人番号カードまたは個人番号が記載された住民票の写しなどを用いて行います。身元確認の際は個人番号カードのほか、運転免許証やパスポートなどが必要です。つまり、収集する相手が個人番号カードを取得済みであれば番号確認と身元確認を個人番号カードのみで行うことができます。一方、個人番号カード以外の書類で番号確認を行う場合は身元確認書類も併せて取得しなければなりません。従業員や顧客に対して提示を求める書類は、必ずしも一点だけとは限らないことがポイントです。
従業員や顧客から収集したマイナンバーは個人情報であり、厳格な管理が求められます。情報の漏洩や紛失が生じることのないよう安全管理措置を講じることも、マイナンバー収集・管理に関する重要な業務の1つです。
マイナンバー収集担当者を明確に定め、専任の担当者以外が従業員や顧客のマイナンバーを保有することのないよう注意する必要があります。たとえば、営業担当者が顧客からマイナンバーを収集する際には、マイナンバー収集担当者から別途連絡する旨を伝えておくなど、業務フローを決めておくことが大切です。
収集したマイナンバーの保管場所や管理方法に関しても、番号法に則って適切に運用しなければなりません。このように、マイナンバー関連業務には番号の収集だけでなく、収集後の個人情報ファイルの保全やアクセス管理、廃棄処理の徹底も含まれているのです。
番号法では、マイナンバーの収集・管理に関わる業務に際してBPO(外部委託)の活用を認めています。事務手続きの一部または全てを委託できるだけでなく、再委託も可能です。
ただし、番号法を遵守した管理・運用が徹底された委託先・再委託先を選定する必要があることに加え、委託する側の事業者には監督義務が生じます。どこにでも委託してよいわけではなく、委託すれば責任の所在が委託・再委託先へと全面的に移行するわけではない点に注意が必要です。したがって、BPOサービスを活用する場合もマイナンバー制度への正確な理解と、運用に際して求められる要件の社内共有は必須となることを押さえておきましょう。
BPOはアウトソーシングの一種ですが、一般的なアウトソーシングが業務の一部を切り出して委託するのに対して、業務の企画・実行・分析・改善まで一括して委託できる点が異なります。マイナンバーの収集・管理にBPOサービスを活用すると、具体的にどのようなメリットを得られるのでしょうか。
マイナンバー関連業務を一括で外部委託することにより、業務の負担軽減につながります。マイナンバーの収集・管理は番号法により厳格なルールが定められているため、全てを社内で処理しようとすると大きな負担となりかねません。担当者が長時間労働を余儀なくされたり、人員増強のための採用コストを投じざるを得なくなったりするのを避けるには、BPOは有効な選択肢といえます。
また、マイナンバーの管理に必要なシステムの構築やセキュリティ対策に際して、膨大な時間とコストが必要になることも想定されます。すでに必要なシステムを構築済みの委託先であれば、こうした時間やコスト面での負担を大幅に軽減できることは大きなメリットといえるでしょう。
番号法が将来的に改定される可能性は十分にあります。マイナンバー制度に改定・変更が生じた際は、システムの改修や業務フローの見直しが必要になるでしょう。法改正の頻度やタイミングは予測できるものではないため、事業計画や資金計画に影響を及ぼすことが予想されます。
マイナンバー関連業務をBPOサービスに委託することで、法改正にも適時対応できます。法律違反のない管理・運用方法が実現できているか専門家がチェックしてくれるため、自社の法務部門にとって負担軽減につながるでしょう。コンプライアンスの観点からも、法改正に適時対応できる体制を整えておくことは重要なポイントといえます。
マイナンバー関連業務を社内で回していると、特定の担当者だけが業務内容を把握している状況が生まれやすくなります。結果として業務が属人化し、マイナンバーの収集・管理に関する業務全体がブラックボックス化しかねません。異動や休職・退職などによる担当者の変更があれば、後任者の選定や指導・教育に社内リソースが割かれる可能性も十分にあります。
マイナンバーの収集・管理にBPOサービスを活用することで、業務の属人化を回避できます。中長期的に安定した業務遂行が可能となり、社内リソースをコア業務へと集中させやすくなるでしょう。マイナンバー制度への正確な理解と厳格な管理・運用が求められる業務だからこそ、BPOサービスを活用するメリットを得られるのです。
マイナンバー関連業務にBPOを活用することで多くのメリットを得られる一方で、外部委託を検討する際には注意すべき点もあります。委託する業務には個人情報の取り扱いが含まれる上に、委託する側の事業者にも監督責任が発生するからです。次に挙げる3つの注意点を押さえた上で、BPOを適切に活用しましょう。
BPOサービス事業者の選定は慎重に行い、サービス内容を適切に見極める必要があります。委託先を見極めるポイントの1つが、個人情報保護委員会が公表している「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」です。ガイドラインでは、委託する側の事業者に求められる監督責任には次の3点が含まれるとしています。
(個人情報保護委員会「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」より抜粋)
委託先の安全管理措置や個人情報の取扱状況について事前にヒアリングし、問題ないことを確認した上で委託先を決定しましょう。コスト面や利便性だけを重視して委託先を選定しないことが大切です。
選定したBPOサービス事業者と契約を締結する際には、委託契約書に必須事項が確実に記載されているか入念に確認しましょう。とくに次の項目が含まれているか、十分にチェックする必要があります。
【契約書に必須の記載事項】
万が一トラブルが発生した場合に実地調査が可能か、定期的に報告・確認を行う場を設ける規程が含まれているかどうかも必ず確認してください。委託先としても責任の所在を明確にする上で重要な規程であることから、適切な管理・運用が行き届いている事業者であれば契約書に上記が盛り込まれているはずです。
番号法ではマイナンバー関連業務の再委託を認めているものの、多重委託は極力避けるのが得策です。委託先が別の事業者へ再委託した場合、委託した企業は全ての再委託先について監督責任を負うことになります。監督責任が多重化するほど目が行き届かなくなるリスクも高まるため、可能な限り一次委託先で業務が完結するほうが望ましいでしょう。
BPOサービス事業者を選定する際に、確認しておくべきポイントをまとめました。次に挙げるポイントを押さえた上で、委託先として適切であるか判断してください。
「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」では、具体的な確認事項として委託先の設備、技術水準を挙げています。情報を管理する方法や保管場所、アクセス制御などの対応状況を詳細に確認し、十分な設備や技術水準を備えた委託先かどうかを判断することが重要です。
たとえば、マイナンバーを扱う全てのPC・サーバーにアクセス可能な人員の権限が明確か、外部からの侵入に備えるためのセキュリティ対策が十分に施されているか、といった点を確認しましょう。物理的な書類に関しても、鍵付きの棚などを備えているか、マイナンバーを扱う専用の管理区域を設けているかなど、詳細にわたり確認しておく必要があります。
ガイドラインでは従業者に対する監督・教育の状況も要確認事項として挙げています。単に教育や研修などの機会を設けているだけでなく、番号法が定める安全管理措置を遵守できるレベルに達しているか、慎重に見極めてください。
従業者の研修を実施しているのであれば、実施頻度や内容についてもできるだけ詳しくヒアリングすることをおすすめします。実務担当者はもちろんのこと、管轄部門の管理職や役員に関しても監督・教育の対象となっているか、対象者ごとに適切な水準の研修などが実施されているかを把握しておくことが大切です。
ガイドラインでは委託先の「経営環境等」も確認事項として挙げています。過去および直近の決算や業務実績、取引先企業の状況を確認し、経営環境や財務状況に問題がないか把握しておく必要があるでしょう。
経営環境が悪化している事業者に委託した場合、近い将来、事業の継続が困難になる恐れがあります。預けていたマイナンバーをどのような形で返却・破棄するのか、間違いなく処理されるのかが懸念されることから、安定的に事業を持続できる委託先かどうかは十分慎重に判断してください。
マイナンバーの収集・管理の実務はBPOを活用することができます。ただし、どのような委託先でもマイナンバーを適切に扱えるという保証はありません。委託先を選定する際には、注意すべきポイントを慎重に確認した上で契約を締結しましょう。
エイジェックグループには、これまで全国45自治体様とのマイナンバー関連業務に従事してきた実績があります。事業者様のニーズに合わせて、窓口運用やコールセンター運用、WEB予約システム構築など、包括運営による業務負担の軽減をご提案可能です。マイナンバー関連業務のBPOをご検討中の事業者様は、ぜひエイジェックグループにご相談ください。
【 マイナンバー関連業務包括委託 】
マイナンバー関連業務運営にお困りの自治体職員様の負担軽減対策として、窓口・コールセンター運用、WEB予約システム構築など全国の自治体様と多数の業務実績があるエイジェックグループがあらゆるニーズに合わせて包括受託致します。