2016.09.29(木)

マイナンバー流出の場合、企業への罰則は?

製品・サービス・業界動向 業界動向

 10月5日、ついにスタートしたマイナンバー制度。同月中旬からは、全国各地でマイナンバー通知カードの配達が開始されるなど、国民の手に渡りはじめている。

 ただ、マイナンバー制度に関する具体的な内容への理解や認識については、まだまだ浸透していないのも事実だ。そこで本コラムでは、制度に詳しい専門家が素朴な疑問に対して回答。今回は、公認会計士・税理士の森滋昭氏が解説する。

[質問]
・流出してしまった場合、企業に罰則はあるのか?

[回答&解説]
 今年、年金機構から約100万人の基礎年金番号が漏えいし、2014年には、ベネッセの2,070万人分の顧客情報が流出したのは、記憶に新しいところです。

 これまでも個人情報が流出し社会問題となっていますが、こうした事件と同様に、会社で保管するマイナンバーが流出する恐れもあります。

 今、マイナンバーが漏えいしないよう、どのような対策がとられているのか。さらに、もし万が一、会社からマイナンバーが漏えいした場合、どのような対応が迫られるのでしょうか。

■マイナンバーの重要性と管理体制

 マイナンバーは、すべての個人に割り振られた12桁の番号で、税金や社会保険などの情報とひもづけられています。こうした重要性から、当然のことながら、厳しい管理体制が求められています。

まず、マイナンバーを取得・保管している会社は、
・組織的な安全措置
・人的な安全措置
・物理的な安全措置
・技術(システム)的な安全措置
など、多角的な安全措置を講じ、具体的な管理方針を遵守するよう求められています。

 しかし、実際に個々の企業の管理に負うだけでは対策が充分ではないため、「特定個人情報保護委員会」という第三者機関が設けられました。この委員会は、民間企業などがマイナンバーの取り扱いを適正に行うよう、監視・監督をする組織になります。

■マイナンバーの法的な枠組み

 そもそもマイナンバーは、法的にも従来とは異なる扱いとなっています。現在も、「個人情報」は、「個人情報保護法」により保護されていますが、マインバーは、従来の個人情報とは異なる「特定個人情報」とされ、改めてマイナンバー法も制定されました。

 これまでの個人情報保護法では、たとえ個人情報を漏えいしても刑事罰の対象とはなりませんでした。しかし、マイナンバー法では、不正の意図をもってマイナンバーを漏えいした場合、刑事罰の対象となります。

 ただし、うっかりミスのように、誤ってマイナンバーを漏えいした場合までも刑事罰の対象となるものではありません。

■具体的な罰則は?

 実際に、マイナンバーが漏えいされた場合、具体的にはどのような罰則が、誰に科せられるのかを見ていきます。

(1)不正の意図があった場合の刑事罰

 会社で、個人番号を取り扱っている担当者が、正当な理由なくマイナンバーを含んだ特定個人情報ファイルを誰かに提供した場合、4年以下の懲役または200万円以下の罰金、場合によっては、懲役と罰金の両方を科されます。

 また、不正な利益を得るためにマイナンバーを誰かに提供した場合、3年以下の懲役または150万円の罰金、または懲役と罰金が併科されます。

 さらに、これら罰則の対象は、実際にマイナンバーなどを漏えいさせた担当者に限りません。担当者を、管理・監督をしていた会社も罰則の対象となるのです。

(2)特定個人情報保護委員会の指導等に対する命令違反等

 過ってマイナンバーを漏えいさせた場合、刑事罰の対象とはなりませんが、漏えいの状況によっては、特定個人情報保護委員会から改善の指導や勧告などを受ける可能性があります。

 もし、特定個人情報保護委員会の命令に違反した場合や、虚偽の報告や虚偽の資料を提出した場合は、懲役や罰金などが科されます。

(3)民事責任について

 今まで見てきたように、過ってマイナンバーを漏えいしても、特定個人情報保護委員会の指導等への対応に問題がなければ、刑事罰にまで問われることはありません。しかし、民事責任については、過失の場合であっても損害賠償請求が起される可能性がありますので注意が必要です。

■万が一、漏えいした場合の対応は?

 万が一、マイナンバーが漏えいした場合、会社は、どのように対応したらいいでしょうか。

(1)報告義務

 まず、漏えいが起きた場合、主務大臣などに報告をする必要がありますが、事業者によって報告の経路が異なります。個人情報取扱事業者の場合、主務大臣へ、個人情報取扱事業者ではない場合や主務大臣が明らかではない場合は、特定個人情報保護委員会へ報告することになります。

 一方、全ての漏えいが報告対象となっているわけではありません。以下の全てにあてはまる場合はそれほど影響が大きくないと考えられるため、報告までは求められていません。
・影響を受ける可能性のある本人に連絡した場合
・外部に漏えいしていない場合
・従業員等の不正目的での漏洩ではない場合
・調査により事実関係が明らかになり、再発防止策をたてた場合
・特定個人情報の本人の数が100人以下の場合

(2)漏えい後の対策

 会社は、特定個人情報が漏えいした場合に、
・内部での報告と被害の防止拡大
・事実関係の調査、原因の究明
・影響範囲の特定
・再発防止策の検討・実施
・影響を受ける可能性のある本人への連絡等
・事実関係、再発防止策等の報告・公表
 といった措置をとることにより、被害の拡大を最小限にする必要があります。

●筆者プロフィール
森 滋昭(もり・しげあき):公認会計士・税理士(東京都)。会社設立や創業融資のサポートを中心に、成長した企業の管理会計の構築支援なども行う。昨年、東京マラソンに出場したので、今年は水泳にチャレンジ中。

【Q&A】マイナンバーを流出してしまった場合、企業に罰則はあるの?

《森 滋昭@RBB TODAY》

編集部おすすめの記事

特集

製品・サービス・業界動向 アクセスランキング

  1. 金融機関の口座データとFinTechサービスをセキュアに連携(日立)

    金融機関の口座データとFinTechサービスをセキュアに連携(日立)

  2. 日本発のクラウドセキュリティ認証がISO 27017として発行、ISMS認証も対応(JIPDEC)

    日本発のクラウドセキュリティ認証がISO 27017として発行、ISMS認証も対応(JIPDEC)

  3. 標的型攻撃向けの特化型対策製品が22%で拡大、サービスも7.6%で成長(IDC Japan)

    標的型攻撃向けの特化型対策製品が22%で拡大、サービスも7.6%で成長(IDC Japan)

  4. 保護者がスマートフォンへの理解を深めるパンフレットを公開、Wi-Fiの危険性やセキュリティ対策についても解説(愛知県)

  5. 「どんちゃんねぶた」で情報モラルの実施を呼びかけ(ACCS)

  6. ファイル暗号化・追跡ソリューション「FinalCode」の新版、AD連携など強化(デジタルアーツ)

  7. ゼロデイ攻撃やランサムウェアにも対応するエンドポイント新製品(ソフォス)

  8. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  9. 横浜市港湾病院の元医師が患者約1万3千人分の個人情報を持ち出し

  10. 社内のファイル管理に特化した「FinalCode」の機能限定版を提供開始(デジタルアーツ)

  11. サイトの閲覧を制限するPS4向けのWebセキュリティサービスを提供開始(トレンドマイクロ)

  12. 「過去のエンドポイント保護は不要」、機械学習のマルウェア対策Cylance日本法人(Cylance)

  13. 仮想ブラウザとファイル無害化ソリューションを連携、自治体にも有効(アシスト、イーセクター)

  14. AWS 向け SaaS 型セキュリティサービス Alert Logic 概要と提供価格

  15. ドメイン名をランダム生成し続けるC&Cサーバを検知、RedSocks社製品の新版(ネットワールド)

  16. ISMSクラウドセキュリティ認証の認定を開始、認証基準を公表(JIPDEC)

  17. ワークスがISO27017認証を取得、国内クラウドERPベンダとして初(LRM)

  18. 大学生・大学院生を対象にした無償のサイバーセキュリティ体験講座を開講(PwCコンサルティング)

  19. Linkedinでの情報流出を受け、一部ユーザーにパスワード変更を呼びかけ(Dropbox)

  20. 「LINEモバイル」に「i-フィルター」を提供、ユーザは無料で利用可能(デジタルアーツ)

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★10月7日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★10月7日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×