マイナンバーの不適切な取扱いと事業者の責任
1 漏洩と不適切対応の責任
最近,マイナンバー制度に注目が集まっています。
マイナンバー制度というのは,行政などの効率化のために,国民ひとりひとりに12桁の番号を付与し,
来年度から,まずは社会保険,税,災害対策の3分野などで利用を開始するというものです。
当事務所でも,私と内山雅視社労士とで,
6月15日,30日,7月6日とマイナンバー対策について,
制度の概要とどのような対策をすべきか,というセミナーを開催し,
すでに多くの方に参加して頂いているところです。
(今後も,引き続き,これからでも間に合う駆け込みセミナーとして,長岡や上越での開催を予定しています。)
※こちらのセミナーは終了いたしました。
今回は,セミナーでお話ししている「どのような対策を打つか」とは反対に,
「対策を打たずにマイナンバーが漏洩してしまった場合や対策を打たずに不適切な取扱をした場合に,
どのような問題が生じるか」という観点について,説明したいと思います。
2 民事上の損害賠償責任
まず,マイナンバーが漏洩したときには,民事上の責任の問題が生じる可能性があります。
要するに,適切な対策を打たずにマイナンバーを漏洩させてしまうと,
会社は,民事上の損害賠償請求により金銭的な負担を負う可能性がある,ということです。
ちなみに,漏洩事故が発生した場合の賠償額ですが,個人情報が漏洩した場合は,
たとえば,氏名,生年月日,性別,住所等の基本4情報が漏洩した場合には,
裁判では,一人につき5000円から1万5000円の慰謝料が認められるというのが一つの傾向といわれています。
これに対し,マイナンバーを含む個人情報が漏洩した場合は,
上記の個人情報などの基本4情報だけが漏洩した場合に比べて,
なりすましなど,悪用による実害が生じかねませんので,より損害賠償額が大きくなることが予想されます。
3 社会的な批判・企業信用の低下
次に,これは法律上の問題ではありませんが,
マイナンバーを漏洩された場合には,社会的な批判の的になり,
企業信用が低下することが予想されます。
大きな情報漏洩が発生すると,繰り返し報道されることは皆さんもご存じのとおりです。
マイナンバーは,今後の利用方法の拡大の議論と関係して,
社会的な関心が大きい問題であるだけに,
マイナンバーの漏洩が起こると大きく報道されてしまう可能性があるわけです。
4 行政による指導勧告
さらに,マイナンバーの漏洩等が発生した場合には,行政による監視監督の対象となります。
法律上,特定個人情報保護委員会が設置され,
マイナンバーの管理について不適切なものがある場合には,勧告や命令等の対象となります。
勧告がなされると,それ自体が報道されることが予想されますし,
勧告に対して適切な対応を取らないと,改善を求める命令が発せられ,
最悪の場合は罰則が適用されることがあります。
5 罰則(刑事上の責任)
最後に,マイナンバー法では,
これまでの個人情報保護法よりも広い範囲で適用される,重い罰則があります。
要するに,マイナンバーについて法律違反の扱いをすると,
懲役刑や罰金刑などを科される可能性があるということです。
これまで情報漏洩といっても,個人情報保護法の場合には,
罰則があるのは勧告を受けてなお是正されない場合など,限定されたものでした。
これに対し,マイナンバー法では,罰則が適用される範囲が大幅に拡大されています。
法律上,いくつかのケースで罰則が予定されていますが,一番,問題になりやすいと予想されるのは,
「個人番号関係事務などに従事する者や従事していた者」が
「正当な理由なく,業務で取る扱う個人の秘密が記録された特定個人情報ファイルを提供した」という場合と思われます。
この規定によれば,会社のマイナンバーを取り扱う総務担当者や委託を受けて取り扱う税理士,社労士などが,
業務で利用する秘密の記載されたマイナンバーの記録されたファイル(特定個人情報ファイル)を,
理由もなく誰かに提供すれば,
「4年以下の懲役または200万円以下の罰金」を受ける可能性が出てくることになります。
これは,「知らなかった」では済まされないでしょう。
6 おわりに
以上のとおり,マイナンバーの漏洩や不適切管理の結果としては,
民事上の損賠償責任,社会的な批判等の責任,行政指導及び刑事罰が予想されるところですので,
適切な対策をしていくことが必要です。
マイナンバー法の罰則
本文中でマイナンバーの罰則について触れました。
この罰則の範囲拡大と厳罰化というと,なにか事故などで過失により情報漏洩させるだけで,
事業主は刑務所に行かなければならないのか?とまで思うかもしれませんが,そうではありません。
処罰の対象となるのは,基本的には,不正アクセス行為などによりマイナンバーを取得する,
あるいは,業務に関して知り得たマイナンバーを自己や第三者の不正な利益を図る目的で提供し,
または盗用するなどの「故意犯」であり,情報漏洩させるつもりはなかったのに漏洩させてしまった,
という「過失犯」を処罰の対象とする規程はありません。
マイナンバーの管理を徹底させるといっても,さすがにミスで漏洩させたときまで,
すぐさま刑事罰を科すというのは行き過ぎである,という判断なのでしょう。
<初出:顧問先向け情報紙「こもんず通心」2015年7月1号(vol.177)>
※掲載時の法令に基づいており,現在の法律やその後の裁判例などで解釈が異なる可能性があります。