マイナンバー情報連携事業届出

この届出が必要になる場面

マイナンバー法において、情報提供ネットワークシステムを通じた「情報連携」は、行政機関・地方公共団体・健康保険組合など法律別表で明示された機関に限って認められています。民間事業者が自由に情報連携の主体になれる制度ではない点が、この分野の出発点です。

実務上「マイナンバー情報連携事業」として関与する民間事業者の多くは、自治体の住民記録システムや社会保障系システムの開発・運用を受託する立場、あるいは特定個人情報を取り扱う委託先・再委託先です。デジタル化支援を掲げてこの領域に参入する場合、求められるのは「届出による許可」よりも、委託元(行政機関)との契約と、マイナンバー法が課す安全管理措置への適合です。

求められる要件

• 特定個人情報の安全管理措置(組織的・人的・物理的・技術的の4区分)を、個人情報保護委員会のガイドラインに沿って整備していること
• 取扱区域の入退室管理、アクセス制御、暗号化、ログ管理など技術的措置の実装
• 委託元が実施する特定個人情報保護評価(PIA)に対応できる体制
• 再委託する場合は委託元の許諾を得る仕組み

資格者の必置義務はありませんが、情報セキュリティ(ISMS/Pマーク等)の認証取得を委託の入札条件とされるケースが一般的です。

申請・参入の流れ

1. 委託元(自治体・所管省庁)の調達要件・仕様を確認 2. 安全管理措置と社内規程を整備し、必要に応じてISMS等を取得 3. 入札・契約を経て委託契約を締結 4. 特定個人情報を取り扱う前に、委託元のPIA・監査に対応

費用の幅が20万〜100万円超と大きいのは、社内規程整備や認証取得、システムのセキュリティ対応のコストが事業規模により大きく異なるためです。届出そのものの手数料というより、参入準備にかかる総額と捉えてください。具体的な手続・様式は委託元の行政機関により異なります。

つまずきやすい点

• 「情報連携の主体になれる」と誤解して事業設計する(法律別表に列挙された機関のみが主体)
• 安全管理措置の文書整備が不十分で、委託元の監査で是正を求められる
• 再委託の許諾手続を欠いたまま外注し、契約違反となる

関連して確認すべき事項

個人情報保護法に基づく体制整備、特定個人情報を扱う以上は個人情報保護委員会への対応が前提です。電子申請システムを構築する場合は、政府情報システムの調達基準(政府情報システムのためのセキュリティ評価制度=ISMAP)登録が要件化されることもあります。制度・運用は流動的なため、最新の調達仕様と個人情報保護委員会ガイドラインを必ず一次情報で確認してください。