マイナンバー流出の場合、企業への罰則は? | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.02.28(火)

マイナンバー流出の場合、企業への罰則は?

製品・サービス・業界動向 業界動向

 10月5日、ついにスタートしたマイナンバー制度。同月中旬からは、全国各地でマイナンバー通知カードの配達が開始されるなど、国民の手に渡りはじめている。

 ただ、マイナンバー制度に関する具体的な内容への理解や認識については、まだまだ浸透していないのも事実だ。そこで本コラムでは、制度に詳しい専門家が素朴な疑問に対して回答。今回は、公認会計士・税理士の森滋昭氏が解説する。

[質問]
・流出してしまった場合、企業に罰則はあるのか?

[回答&解説]
 今年、年金機構から約100万人の基礎年金番号が漏えいし、2014年には、ベネッセの2,070万人分の顧客情報が流出したのは、記憶に新しいところです。

 これまでも個人情報が流出し社会問題となっていますが、こうした事件と同様に、会社で保管するマイナンバーが流出する恐れもあります。

 今、マイナンバーが漏えいしないよう、どのような対策がとられているのか。さらに、もし万が一、会社からマイナンバーが漏えいした場合、どのような対応が迫られるのでしょうか。

■マイナンバーの重要性と管理体制

 マイナンバーは、すべての個人に割り振られた12桁の番号で、税金や社会保険などの情報とひもづけられています。こうした重要性から、当然のことながら、厳しい管理体制が求められています。

まず、マイナンバーを取得・保管している会社は、
・組織的な安全措置
・人的な安全措置
・物理的な安全措置
・技術(システム)的な安全措置
など、多角的な安全措置を講じ、具体的な管理方針を遵守するよう求められています。

 しかし、実際に個々の企業の管理に負うだけでは対策が充分ではないため、「特定個人情報保護委員会」という第三者機関が設けられました。この委員会は、民間企業などがマイナンバーの取り扱いを適正に行うよう、監視・監督をする組織になります。

■マイナンバーの法的な枠組み

 そもそもマイナンバーは、法的にも従来とは異なる扱いとなっています。現在も、「個人情報」は、「個人情報保護法」により保護されていますが、マインバーは、従来の個人情報とは異なる「特定個人情報」とされ、改めてマイナンバー法も制定されました。

 これまでの個人情報保護法では、たとえ個人情報を漏えいしても刑事罰の対象とはなりませんでした。しかし、マイナンバー法では、不正の意図をもってマイナンバーを漏えいした場合、刑事罰の対象となります。

 ただし、うっかりミスのように、誤ってマイナンバーを漏えいした場合までも刑事罰の対象となるものではありません。

■具体的な罰則は?

 実際に、マイナンバーが漏えいされた場合、具体的にはどのような罰則が、誰に科せられるのかを見ていきます。

(1)不正の意図があった場合の刑事罰

 会社で、個人番号を取り扱っている担当者が、正当な理由なくマイナンバーを含んだ特定個人情報ファイルを誰かに提供した場合、4年以下の懲役または200万円以下の罰金、場合によっては、懲役と罰金の両方を科されます。

 また、不正な利益を得るためにマイナンバーを誰かに提供した場合、3年以下の懲役または150万円の罰金、または懲役と罰金が併科されます。

 さらに、これら罰則の対象は、実際にマイナンバーなどを漏えいさせた担当者に限りません。担当者を、管理・監督をしていた会社も罰則の対象となるのです。

(2)特定個人情報保護委員会の指導等に対する命令違反等

 過ってマイナンバーを漏えいさせた場合、刑事罰の対象とはなりませんが、漏えいの状況によっては、特定個人情報保護委員会から改善の指導や勧告などを受ける可能性があります。

 もし、特定個人情報保護委員会の命令に違反した場合や、虚偽の報告や虚偽の資料を提出した場合は、懲役や罰金などが科されます。

(3)民事責任について

 今まで見てきたように、過ってマイナンバーを漏えいしても、特定個人情報保護委員会の指導等への対応に問題がなければ、刑事罰にまで問われることはありません。しかし、民事責任については、過失の場合であっても損害賠償請求が起される可能性がありますので注意が必要です。

■万が一、漏えいした場合の対応は?

 万が一、マイナンバーが漏えいした場合、会社は、どのように対応したらいいでしょうか。

(1)報告義務

 まず、漏えいが起きた場合、主務大臣などに報告をする必要がありますが、事業者によって報告の経路が異なります。個人情報取扱事業者の場合、主務大臣へ、個人情報取扱事業者ではない場合や主務大臣が明らかではない場合は、特定個人情報保護委員会へ報告することになります。

 一方、全ての漏えいが報告対象となっているわけではありません。以下の全てにあてはまる場合はそれほど影響が大きくないと考えられるため、報告までは求められていません。
・影響を受ける可能性のある本人に連絡した場合
・外部に漏えいしていない場合
・従業員等の不正目的での漏洩ではない場合
・調査により事実関係が明らかになり、再発防止策をたてた場合
・特定個人情報の本人の数が100人以下の場合

(2)漏えい後の対策

 会社は、特定個人情報が漏えいした場合に、
・内部での報告と被害の防止拡大
・事実関係の調査、原因の究明
・影響範囲の特定
・再発防止策の検討・実施
・影響を受ける可能性のある本人への連絡等
・事実関係、再発防止策等の報告・公表
 といった措置をとることにより、被害の拡大を最小限にする必要があります。

●筆者プロフィール
森 滋昭(もり・しげあき):公認会計士・税理士(東京都)。会社設立や創業融資のサポートを中心に、成長した企業の管理会計の構築支援なども行う。昨年、東京マラソンに出場したので、今年は水泳にチャレンジ中。

【Q&A】マイナンバーを流出してしまった場合、企業に罰則はあるの?

《森 滋昭@RBB TODAY》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 産業サイバーセキュリティセンター発足、受講300万円の教育プログラムに30社参加表明(IPA)

    産業サイバーセキュリティセンター発足、受講300万円の教育プログラムに30社参加表明(IPA)

  2. 日本発のクラウドセキュリティ認証がISO 27017として発行、ISMS認証も対応(JIPDEC)

    日本発のクラウドセキュリティ認証がISO 27017として発行、ISMS認証も対応(JIPDEC)

  3. ゲーム形式の対サイバー演習のオンライン版を提供開始(カスペルスキー)

    ゲーム形式の対サイバー演習のオンライン版を提供開始(カスペルスキー)

  4. 新たに3製品を発表、人工知能により既知および未知の脅威を検出(ウェブルート)

  5. 脅威の検知から自動初期対応、フォレンジックにも対応するエンドポイント製品(CTC)

  6. ユーザのふるまいを自動学習し異常を検知する「Exabeam」の取扱いを開始(マクニカネットワークス)

  7. 漫画を交えて解説、スマートフォンのセキュリティハンドブックを無償提供(トレンドマイクロ)

  8. 内製化に向けた脆弱性診断のトレーニングコースを開始、講師は上野宣氏(BSIグループジャパン)

  9. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  10. DDoS攻撃やWebアプリケーション攻撃からビジネスを保護する製品など発表(アカマイ)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×