マイナンバー制度が始まってから数年経ちましたが、重要な個人情報であるため取り扱いには注意が必要です。マイナンバーに関連した情報漏えいなどに対してはマイナンバー法が適用されます。
この法律では、漏えいに関わった従業員個人だけではなく事業者も罰則を科されるケースがあります。

そこで今回はマイナンバー法に違反した法人が問われる責任について解説します。

▼そもそもマイナンバー法とは？という方は、お先にこちらをお読みください。
マイナンバー法とは？企業の人事担当が知っておくべき基礎知識

1.マイナンバー法に違反すると懲役や罰金などの罰則が科せられる

マイナンバー法（番号利用法）ではマイナンバーの取り扱いにおける違反行為や罰則が定められています。その罰則は個人情報保護法よりも厳しいのが一般的です。マイナンバー法で定められている主な違反行為と罰則は次の通りです。

• 特定個人情報ファイルの不正提供（第67条）
• マイナンバーの漏えい（第68条）
• 詐欺行為等によるマイナンバーの取得（第70条）
• マイナンバーカードの不正取得（第75条）
• 特定個人情報保護委員会の命令に対する違反・検査忌避等（第73条・第75条）

その他にもマイナンバー法で定められている主な違反行為と罰則は次の通りです。

関連記事：マイナンバー法に関する罰則の内容や対象となる事例を紹介

1-1.特定個人情報ファイルの不正提供の具体例

業務中に情報漏えいが起きた場合、情報漏えいを行った者だけではなくマイナンバーの管理・利用者となる事業者にも罰則が科せられるケース（両罰規定）があります。これは行為者を処罰するだけでは不十分とみなされるためです。

両罰規則の対象は次のようなケースです。

• 電子媒体や紙媒体のファイルを交付
• 電子メールやインターネットを使って交付
• 管理システムを操作するためのパスワードを知らせて操作させる
• 個人の秘密に属する事項が記載された特定個人情報ファイルが表示されたパソコンを自由に閲覧できる状態にする

1-2.詐欺行為等によるマイナンバーやマイナンバーカードの不正取得

詐欺や脅迫、施設への侵入行為など不正な手段によってマイナンバーを取得した場合、詐欺罪や暴行罪、脅迫罪、窃盗等が別途適用される可能性があります。

また、他人になりすまして不正にマイナンバーカードを取得した場合にもマイナンバー法の罰則に加えてそれ以外の刑罰の対象となる可能性が高いでしょう。

1-3.特定個人情報保護委員会の命令に関する罰則

事業者がマイナンバー関連の法令違反を行っている旨の勧告や命令を特定個人情報保護委員会から受けた場合、その命令に従わないと罰則が科せられます。

また、委員会による検査対象者が虚偽の報告や資料提出、検査拒否などを行った場合も罰則が科せられます。

2.マイナンバー法に違反しないために企業が行うべき4つの安全管理措置

マイナンバー法では業務中に情報漏えいが起こった場合、事業者もその責任が問われる可能性も高く、その対策として４つの安全管理措置を行うことをおすすめします。

2-1.組織的安全管理措置

組織的安全管理措置とは、次のような組織体制の整備を行うことです。

• 事務責任者・事務取扱担当者を設置し、その役割を明確化する
• 情報漏えいなどの発生時における報告連絡体制の確立

2-2.物理的安全管理措置

物理的安全管理措置とは、次のような対策をとることで紛失・盗難など物理的な情報流出を防ぐことです。

• マイナンバーの管理区域の明確化
• 保管場所の施錠
• 暗号化・パスワードによる保護
• 廃棄は復元不可能な手段で行う

2-3.人的安全管理措置

人的安全管理措置とは、マイナンバーの事務取扱担当者に定期的な研修を受けさせ、マイナンバーの正しい取り扱い方を理解させることです。

また、取扱規定を設け、それに基づく適切な情報の取り扱いがされているか監督する体制を整える必要があります。

2-4.技術的安全管理措置

技術的安全管理措置とは、情報システムを使ったマイナンバー関係事務に対して次のような対策を行うことです。

• ユーザーIDやパスワードによる担当者の識別・認証
• アクセス制御
• ファイアウォールの設置・セキュリティ対策ソフトなどで外部からの不正アクセス防止
• 安全管理措置を実施しているかどうかで罰則の対象から外れるケースもある

業務中にマイナンバーの情報が漏えいした場合には、漏えいに直接関係した人物だけではなく法人も罰則の対象となる可能性があります。

しかし、安全管理措置を実施しているか、漏えいが行われたのが過失か故意かで罰則の対象とならないケースもあります。

3. こんな場合はどうなる？安全管理措置に関連する罰則

安全管理措置を適切に実施していない場合、マイナンバー法に違反するリスクが高まり、さまざまな罰則が科せられることがあります。

たとえば、企業が安全管理措置を遵守しているにもかかわらず過失によって情報漏えいが発生した場合、ペナルティは軽減される可能性があります。

しかし、故意による漏えいがあった場合や、そもそも安全管理措置を実施していなかった場合には、厳しい罰則が適用されるため、予防策としての管理体制の整備が不可欠です。

3-1.安全管理措置を実施している・過失による漏えいの場合

安全管理措置を実施している事業者で、従業員の過失によって特定個人情報が漏えいした場合、従業員はマイナンバー法の罰則の対象とはなりません。

また、事業者は安全管理措置を実施していても従業員に対する教育・監督が不十分だったと認定されれば、特定個人情報保護委員会の指導や勧告の対象となる可能性があります。

3-2.安全管理措置を実施している・故意による漏えいの場合

安全管理措置を実施している事業者で従業員が故意に特定個人情報を漏えいさせた場合、従業員はマイナンバー法の罰則が適用され、両罰規定の要件を満たしていれば事業者も処罰の対象になります。

ただし、事業者が安全管理措置を遵守し、従業員に対する選任・監督責任に過失がないと立証できた場合は適用されない可能性もあります。
この場合でも、特定個人情報保護委員会の勧告・命令の対象となる可能性は高いでしょう。

3-3.安全管理措置を実施していない場合

事業者が安全管理措置をしていなくても過失の漏えいの場合、従業員は罰則の対象外となります。

事業者は安全管理措置を実施していないため、特定個人情報保護委員会の指導・韓国の対象となります。

漏えいが故意に行われた場合、従業員はもちろんのこと、事業者も両罰規定の要件を満たしていればマイナンバー法の罰則が科せられます。さらに、安全管理措置を実施していないことで特定個人情報保護委員会の勧告・命令の対象となります。

4. マイナンバーの取り扱いにおいて注意すべきポイント

ここまで説明してきたような罰則の対象にならないためにも、マイナンバーの取り扱いにおいて注意すべきポイントを解説していきます。

4-1. 従業員にマイナンバー法の教育をおこなう

従業員にマイナンバー法の教育をおこなうことは、法令遵守の基本です。マイナンバーを取り扱う部署だけでなく、他の部署や外部委託先の担当者にも教育を行うことが重要です。これにより、全員がマイナンバーの重要性や取り扱いルールを理解し、トラブルを未然に防ぐことができます。

また、万が一の情報漏えいや管理トラブルに備え、事務責任者や事務取扱担当者を設置し、責任の所在を明確にすることで、迅速な報告体制を整えることが可能になります。教育を徹底し、企業全体の意識を高めることが、リスク管理に繋がります。

4-2. マイナンバーを管理するセキュリティの対策

マイナンバーの取り扱いにおいて注意すべきポイントとして、特に「マイナンバーを管理するセキュリティの対策」は不可欠です。

マイナンバーを適切に保護するためには、ユーザーIDやパスワードによる担当者の識別・認証、アクセス制御の徹底、ファイアウォールの設置やセキュリティ対策ソフトの導入が求められます。

これらの対策を講じることで、外部からの不正アクセスを防ぎ、マイナンバー法に基づく罰則リスクを低減させることができます。

4-3. マイナンバーを保管・管理する環境を整える

特定個人情報としてのマイナンバーは、法律で定められた条件と期間内でのみ保管が許可されています。

このため、企業はマイナンバーを適切に保管・管理する環境を確立し、保管期間が過ぎた場合には迅速に廃棄または削除を行う必要があります。その際、廃棄は復元不可能な方法で行うことが必須であり、情報漏えいを未然に防ぐための重要な対策と言えます。

したがって、マイナンバーを収集する前から、廃棄・削除を考慮した管理体制を整えることが肝要です。

5.マイナンバーを取り扱う事業者は安全管理措置を実施することが重要

マイナンバーは個人の重要な情報と紐づけられているため、取り扱いには特に注意が必要です。
情報漏えいなどのマイナンバー法における違反が起きた場合、両罰規定の要件を満たしていると事業者も罰則の対象となる可能性があります。

4つの安全管理措置を実施することで情報漏えいのリスクが抑えられ、事案によっては罰則の対象とならないこともあるでしょう。