近時、プライバシーマーク付与事業者がマイナンバーを取り扱う業務を受託した際に、関係法令の規定（※）に反し、マイナンバーを取り扱う業務の一部を外部の第三者に再委託する事案が複数生じています。このことは、A3.3.2（法令、国が定める指針その他の規範）への対応が不適切であったことによる個人情報の取扱いに関する事故に該当します。

これらの事案については、プライバシーマーク制度を運用しているJIPDECとして、誠に遺憾なことと重く受け止めており、プライバシーマーク付与事業者に対し、随時、注意喚起及び情報提供を行ってまいります。

プライバシーマーク付与事業者におかれましては、関係法令を踏まえ、マイナンバーを取り扱う業務を受託しこれを再委託する場合には、当該業務の全部又は一部を外部の第三者に再委託することについて委託元の許諾を得ること、再委託先がマイナンバーを保護するための十分な措置を講じているか等を確認する等、組織として責任ある判断ができる仕組みを構築し運用するよう、十分ご留意ください。

（※）行政手続における特定の個人を識別するための番号の利用等に関する法律
第10条第1項　個人番号利用事務又は個人番号関係事務（以下「個人番号利用事務等」という。）の全部又は一部の委託を受けた者は、当該個人番号利用事務等の委託をした者の許諾を得た場合に限り、その全部又は一部の再委託をすることができる。

一覧に戻る