全5回シリーズでお届けしているコラム「マイナンバーで何が変わるか」の最終回(「上・下」に分けてお届けします)です。コラムを担当するのは、井上禎男准教授(法学部)です。
井上准教授は、法学部で行政法、情報法を担当しています。行政法の中でも、特に情報法・情報政策が専門分野です。社会的には、経済産業省(原子力関係)や 福岡市などの情報公開・情報保全に関する委員、佐賀県や福岡県内の各自治体での個人情報保護に関する委員、プライバシーマークの審査委員等を歴任していま す。また、個人情報保護に関する審議会・審査会委員の立場から、複数の自治体でマイナンバー、特定個人情報保護に関する評価やその支援業務に携わっています。
- 第1回:「私」の番号は、どこで、何に使われるのか
- 第2回:管理する側(組織)とされる側(「私」「本人」「個人」)との関係
- 第3回:行政の効率化と行政サービスの利便性向上〔上〕〔中〕〔下〕
- 第4回:事業者がなすべきこと ①〔上〕〔中〕〔下〕
■委託、委託先による再委託、再委託先からの再再委託
個人・本人あるいは「私」「私以外」の立場で気を付けるべきこと(第3回〔下〕を参照)とは別に、事業者が組織として安全管理措置を講ずる場合に特に考えておかなければならないのは、事業者が日常的に行っている業務の委託、さらには委託先による再委託、再委託先からの再々委託等の際の対応と責任です。
この点について特定個人情報保護委員会事務局は次のように説いています。委託等の際の関係性も明確に示されていて分かりやすいので、そのまま図表・ポイントを引かせてもらいます。
【出典】特定個人情報保護委員会事務局「社長必見≪ここがポイント≫マイナンバーガイドライン(事業者編)(平成27年2月版)」4頁から参照・引用(2015年10月時点でアクセス可能)
■"パートナー"とは一心同体
第2回で取り上げた、個人情報の場合の「"パートナー"の選択と信頼」に関する視点は、特定個人情報の場合にもそのまま当てはまるはずです。ただし、特定個人情報の場合には扱う情報が一般の個人情報よりも限定的ですので(第4回〔上〕を参照)、単純に数の上だけでみると、個人情報よりも特定個人情報の方が対象としては少なくなるでしょう。
しかし、ここで数の多寡を問題にすべきではありません。顧客情報であろうが従業員情報であろうが、あくまで管理される側(「私」「本人」「個人」)の立場に立ったルールの策定と運用が不可欠であり、事業者が組織的に継続して徹底する姿勢が求められる点に、変わりはありません(第2回を参照)。
特定個人情報の場合に求められる物理的・技術的・人的安全管理措置(第4回〔中〕〔下〕で概観しました)の根底には、組織的安全管理措置があります(第4回〔上〕を参照)。そして、新たな特定個人情報の"ルール"が「絵に描いた餅」にならないための組織自らの意識は、実は「"パートナー"の選択と信頼」にこそ、端的に現れます。
事業者が特定個人情報への自主的な対応が難しいと判断した場合、コンサルティング会社やアドバイザー等の"専門家"に組織的な対応を相談することもあるでしょう。また、現に日常的な種々の業務委託の場面で行われている"パートナー"選びは、特定個人情報の場合にも妥当するでしょう。しかしここで考えるべきは、"安上がり"であるといった経済性、あるいは"分かりやすい"といった単純さに惑わされることなく、あくまで自己の情報を他者に委ねることの意味を、事業者として本質的に理解しておくことです。
