マイナンバー流出の場合、企業への罰則は？

10月5日、ついにスタートしたマイナンバー制度。同月中旬からは、全国各地でマイナンバー通知カードの配達が開始されるなど、国民の手に渡りはじめている。

製品・サービス・業界動向業界動向

2016年1月3日（日） 10時00分

　10月5日、ついにスタートしたマイナンバー制度。同月中旬からは、全国各地でマイナンバー通知カードの配達が開始されるなど、国民の手に渡りはじめている。

　ただ、マイナンバー制度に関する具体的な内容への理解や認識については、まだまだ浸透していないのも事実だ。そこで本コラムでは、制度に詳しい専門家が素朴な疑問に対して回答。今回は、公認会計士・税理士の森滋昭氏が解説する。

［質問］
・流出してしまった場合、企業に罰則はあるのか？

［回答&解説］
　今年、年金機構から約100万人の基礎年金番号が漏えいし、2014年には、ベネッセの2,070万人分の顧客情報が流出したのは、記憶に新しいところです。

　これまでも個人情報が流出し社会問題となっていますが、こうした事件と同様に、会社で保管するマイナンバーが流出する恐れもあります。

　今、マイナンバーが漏えいしないよう、どのような対策がとられているのか。さらに、もし万が一、会社からマイナンバーが漏えいした場合、どのような対応が迫られるのでしょうか。

■マイナンバーの重要性と管理体制

　マイナンバーは、すべての個人に割り振られた12桁の番号で、税金や社会保険などの情報とひもづけられています。こうした重要性から、当然のことながら、厳しい管理体制が求められています。

まず、マイナンバーを取得・保管している会社は、
・組織的な安全措置
・人的な安全措置
・物理的な安全措置
・技術（システム）的な安全措置
など、多角的な安全措置を講じ、具体的な管理方針を遵守するよう求められています。

　しかし、実際に個々の企業の管理に負うだけでは対策が充分ではないため、「特定個人情報保護委員会」という第三者機関が設けられました。この委員会は、民間企業などがマイナンバーの取り扱いを適正に行うよう、監視・監督をする組織になります。

■マイナンバーの法的な枠組み

　そもそもマイナンバーは、法的にも従来とは異なる扱いとなっています。現在も、「個人情報」は、「個人情報保護法」により保護されていますが、マインバーは、従来の個人情報とは異なる「特定個人情報」とされ、改めてマイナンバー法も制定されました。

　これまでの個人情報保護法では、たとえ個人情報を漏えいしても刑事罰の対象とはなりませんでした。しかし、マイナンバー法では、不正の意図をもってマイナンバーを漏えいした場合、刑事罰の対象となります。

　ただし、うっかりミスのように、誤ってマイナンバーを漏えいした場合までも刑事罰の対象となるものではありません。

■具体的な罰則は？

　実際に、マイナンバーが漏えいされた場合、具体的にはどのような罰則が、誰に科せられるのかを見ていきます。

(1)不正の意図があった場合の刑事罰

　会社で、個人番号を取り扱っている担当者が、正当な理由なくマイナンバーを含んだ特定個人情報ファイルを誰かに提供した場合、4年以下の懲役または200万円以下の罰金、場合によっては、懲役と罰金の両方を科されます。

　また、不正な利益を得るためにマイナンバーを誰かに提供した場合、3年以下の懲役または150万円の罰金、または懲役と罰金が併科されます。

　さらに、これら罰則の対象は、実際にマイナンバーなどを漏えいさせた担当者に限りません。担当者を、管理・監督をしていた会社も罰則の対象となるのです。

(2)特定個人情報保護委員会の指導等に対する命令違反等

　過ってマイナンバーを漏えいさせた場合、刑事罰の対象とはなりませんが、漏えいの状況によっては、特定個人情報保護委員会から改善の指導や勧告などを受ける可能性があります。

　もし、特定個人情報保護委員会の命令に違反した場合や、虚偽の報告や虚偽の資料を提出した場合は、懲役や罰金などが科されます。

(3)民事責任について

　今まで見てきたように、過ってマイナンバーを漏えいしても、特定個人情報保護委員会の指導等への対応に問題がなければ、刑事罰にまで問われることはありません。しかし、民事責任については、過失の場合であっても損害賠償請求が起される可能性がありますので注意が必要です。

■万が一、漏えいした場合の対応は？

　万が一、マイナンバーが漏えいした場合、会社は、どのように対応したらいいでしょうか。

(1)報告義務

　まず、漏えいが起きた場合、主務大臣などに報告をする必要がありますが、事業者によって報告の経路が異なります。個人情報取扱事業者の場合、主務大臣へ、個人情報取扱事業者ではない場合や主務大臣が明らかではない場合は、特定個人情報保護委員会へ報告することになります。

　一方、全ての漏えいが報告対象となっているわけではありません。以下の全てにあてはまる場合はそれほど影響が大きくないと考えられるため、報告までは求められていません。
・影響を受ける可能性のある本人に連絡した場合
・外部に漏えいしていない場合
・従業員等の不正目的での漏洩ではない場合
・調査により事実関係が明らかになり、再発防止策をたてた場合
・特定個人情報の本人の数が100人以下の場合

(2)漏えい後の対策

　会社は、特定個人情報が漏えいした場合に、
・内部での報告と被害の防止拡大
・事実関係の調査、原因の究明
・影響範囲の特定
・再発防止策の検討・実施
・影響を受ける可能性のある本人への連絡等
・事実関係、再発防止策等の報告・公表
　といった措置をとることにより、被害の拡大を最小限にする必要があります。

●筆者プロフィール
森滋昭（もり・しげあき）：公認会計士・税理士（東京都）。会社設立や創業融資のサポートを中心に、成長した企業の管理会計の構築支援なども行う。昨年、東京マラソンに出場したので、今年は水泳にチャレンジ中。

【Q&A】マイナンバーを流出してしまった場合、企業に罰則はあるの？

《森滋昭@RBB TODAY》