マイナンバー法は、2013年に公布された比較的新しい法律です。そのため、内容が周知されておらず、違反による罰則を受けるリスクも高いと考えられます。

そこで今回は、マイナンバー法の罰則内容を紹介し、罰則を受けないために企業が取れる対策を解説します。

▼そもそもマイナンバー法とは？という方は、お先にこちらをお読みください。
マイナンバー法とは？企業の人事担当が知っておくべき基礎知識

1. マイナンバー法の罰則内容

マイナンバー法の罰則が記載された法律は、「行政手続における特定の個人を識別するための番号の利用等に関する法律」です。

上記の法律では、第9章（第48条～第57条）に罰則規定が記載されています。事業者が関与する主な罰則は、次のとおりです。

行為	罰則
正当な理由のない特定個人情報ファイルの提供（第48条）	4年以下の拘禁刑もしくは200万円以下の罰金、あるいは両方を科す
マイナンバーの提供・盗用（第49条・第50条）	3年以下の拘禁刑もしくは150万円以下の罰金、あるいは両方を科す
マイナンバーを管理する施設や不正アクセスによってマイナンバーを取得した場合（第51条）	3年以下の拘禁刑または150万円以下の罰金
職権濫用によるマイナンバー関連書類の取得（第52条）	2年以下の拘禁刑または100万円以下の罰金
特定個人情報保護委員会の命令違反（第53条）	2年以下の拘禁刑または50万円以下の罰金
特定個人情報保護委員会への虚偽報告に対する虚偽答弁・検査拒否・逃避（第54条）	1年以下の拘禁刑または50万円以下の罰金
偽りその他不正の手段によりマイナンバーカードを取得（第55条）	6カ月以下の拘禁刑または50万円以下の罰金

参考：行政手続における特定の個人を識別するための番号の利用等に関する法律｜e-Gov法令検索

マイナンバー法違反の罰則は、重いもので拘禁刑4年以下もしくは200万円以下の罰金、あるいは両方を科せられます。

個人情報の中でも、マイナンバーは氏名・住所などの個人が特定できる情報です。そのため、個人情報保護法よりも厳しい罰則が設けられています。

関連記事：マイナンバー法に違反したらどうなる？法人に問われる責任

2. マイナンバー法の罰則対象となるケース

個人の特定情報にあたるマイナンバーの取り扱いを間違えると、マイナンバー法により厳しい罰則を受けるリスクがあります。

マイナンバー法の違反による罰則を受けないために、罰則対象となるケースを確認しておきましょう。ここでは、次の3つのケースを詳しく解説します。

1. 情報漏えいした場合
2. 個人情報保護委員会の勧告に従わなかった場合
3. 正当な理由なくマイナンバーを収集した場合

2-1. 情報漏えいした場合

前述のとおり、マイナンバーは個人を特定できるリスクの高い情報です。そのため、情報漏えいに対しても、厳しい罰則が与えられます。

マイナンバー法で罰則対象となる情報漏えいとは、次の場合です。

第48条
個人番号利用事務等又は第七条第一項若しくは第二項の規定による個人番号の指定若しくは通知、第八条第二項の規定による個人番号とすべき番号の生成若しくは通知若しくは第十四条第二項の規定による機構保存本人確認情報の提供に関する事務に従事する者又は従事していた者が、正当な理由がないのに、その業務に関して取り扱った個人の秘密に属する事項が記録された特定個人情報ファイル（その全部又は一部を複製し、又は加工した特定個人情報ファイルを含む。）を提供したとき

第49条
業務に関して知り得た個人番号を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したとき

第50条
第二十五条（第二十六条において準用する場合を含む。）の規定に違反して秘密を漏らし、又は盗用した者

引用：行政手続における特定の個人を識別するための番号の利用等に関する法律｜e-Gov法令検索

つまり、以下の場合を指しています。

• 特定個人情報ファイルの提供
• マイナンバーの提供・盗用
• 情報提供等事務に従事する者や過去に従事していた者によるマイナンバーの提供・盗用

2-2. 個人情報保護委員会の勧告に従わない場合

虚偽報告や虚偽書類の提出によって、特定個人情報保護委員会から答弁・検査を要求された際、虚偽の答弁をしたり検査を拒んだりした場合も罰則を受けます。

2-3. 正当な理由なしに情報を収集した場合

マイナンバーを不正に取得し第三者へ提供するのはもちろん、適正な利用のため以外のマイナンバー保管も罰則対象です。

つまり、正当な理由なく他人のマイナンバーを持っているだけでも、罰則を受ける恐れがあります。

3. マイナンバー法の罰則対象者と違反行為

マイナンバー法の罰則は、すべての人に一律に適用されるわけではありません。違反行為の内容や立場によって、罰則の対象者と適用される条文が異なります。ここでは、罰則の対象の対象者と、それぞれに該当する違反行為について解説します。

参考：マイナンバー制度における罰則の強化（令和４年５月２５日現在）｜デジタル庁

3-1. 特定の公務員

特定の公務員が罰則の対象となるのは、マイナンバー法第50条と第52条に違反した場合です。

第50条に関しては、情報提供等事務または情報提供ネットワークシステムの運営に関する事務に従事している（過去に従事していた者も含む）公務員が対象となります。

また、第52条については、国や地方公共団体の機関の職員や、独立行政法人または地方独立行政法人の役員や職員が罰則の対象です。

3-2. マイナンバーの取扱者

マイナンバーの取扱者に適用される罰則は、マイナンバー法の第48条と第49条です。ここでいうマイナンバーの取扱者とは、個人番号利用事務または個人番号関係事務に従事する者を指します。

個人番号利用事務とは、行政機関や地方公共団体、独立行政法人が保有する特定個人情報ファイルにおいて個人情報を効率的に検索・管理するために必要な限度で個人番号を使用して処理する事務のことです。一方で、個人番号関係事務とは、法令に基づき必要な限度でマイナンバーを使用する事務を指します。

たとえば、事業者がマイナンバーを支払調書や被保険者資格取得届などに記載して作成し、各行政機関に提出をすることが個人番号関係事務に該当するのに対し、行政機関がそれらの書類を受け取り、個人情報の検索・管理のためにマイナンバーを利用することが個人番号利用事務に該当します。

参考：マイナンバーガイドライン入門｜個人情報保護委員会

3-3. すべての人

誰でもマイナンバー法の罰則対象になりうるのが、第51条と第53条～第55条に違反した場合です。マイナンバー取扱者だけでなく、一般の個人や民間企業の従業員であっても、以下のような行為を行った場合には罰則が科される可能性があります。

4. マイナンバー法の両罰規定とは？

両罰規定とは、違反行為をおこなった個人だけでなく、その個人が所属する法人や事業者も併せて処罰する制度のことです。

マイナンバー法にも両罰規定が設けられており、従業員がマイナンバーに関する違反行為をおこなった場合、行為者本人だけでなく、所属する法人にも以下の罰金刑が科される可能性があります（マイナンバー法第57条）。

• 第48条、第49条、第53条に違反した場合…1億円以下の罰金刑
• 第51条、第53条の2～第55条の2に違反した場合…各本条の罰金刑

「違反したのは従業員個人であり、会社は関係ない」という言い訳は通用しません。企業は、マイナンバーの適切な取り扱いを組織全体で徹底するための体制づくりに取り組む必要があります。

5. マイナンバー法の罰則を受けないための対策

マイナンバー法ではマイナンバーを取り扱う事業者に、個人情報保護法より厳しい保護措置を求めています。

過失にて情報が漏えいした場合は罰則が適用されなくとも、民事上の責任が生じるリスクもあります。また、企業としての信頼が低下してしまう結果を招くことにもなりかねません。

そのため、これまでに個人情報保護法の対策をしてきた事業者も、マイナンバー法の罰則を受けないように、新たな対策を講じる必要があります。

ここでは、マイナンバー法の罰則を受けないための対策を紹介します。

5-1. 責任の所在を明らかにしておく

マイナンバー法の罰則を受けないためには、マイナンバーを取り扱う責任者を決め、責任の所在を明らかにしておきましょう。

定期的なセキュリティ―システムの更新や、マイナンバーを保管する端末・電子媒体の管理を任せられる人材が必要です。責任の所在を明らかにしておけば、万一があってもすぐに対応できます。

5-2. セキュリティ対策のなされた人事管理システムを導入する

マイナンバー情報の漏えい対策として、ネットワークセキュリティの向上も不可欠です。マイナンバーを管理する人事管理システムで、特に重要なポイントは次のとおり。

• ID・パスワードの設定
• 履歴の管理
• 利用者制限

情報漏えいを防ぐ上記の機能に加え、セキュリティソフトウェアの導入も重要です。

また、人事管理システムを利用すると、マイナンバーの管理も効率的におこなえます。データの収集や廃棄などをする際に、確実に実行できる人事管理システムの導入が効果的です。

5-3. 従業員への教育をおこなう

マイナンバー法で罰則を受けないように情報漏えいの対策として、従業員への教育も大切です。

従業員への教育を徹底し、マイナンバー法に抵触する行為や必要なセキュリティ―対策に関しての研修をおこないます。マイナンバーを取り扱う部署の従業員はもちろん、その他の従業員への教育も必要です。

5-4. 適切に保管・廃棄する

マイナンバーは、法律で定められた事務を処理するために必要な場合に限り保管が認められます。そのため、該当する事務が不要になり、法令で定められた保管期間を経過した場合には、できるだけ速やかに廃棄・削除しなければなりません。

廃棄の方法としては、紙媒体はシュレッダーや溶解処理、電子データは復元できない形での完全消去が必要です。なお、マイナンバー部分を復元できない程度にマスキング・削除したうえで書類を保管し続けることは可能ですが、その情報が個人データに該当する場合は、利用の必要がなくなった時点で遅滞なく消去するよう努めなければなりません。廃棄の際は日時・担当者・方法を記録に残しておくと、トラブル発生時の対応にも役立ちます。

参考：特定個人情報の適正な取扱いに関するガイドライン（事業者編）｜個人情報保護委員会

5-5. 情報漏洩時の対応を決めておく

万全の対策を講じていても、情報漏えいのリスクをゼロにすることは困難です。漏えい発生時の対応手順をあらかじめ定めておくことが、被害の最小化につながります。漏えいが発覚した際は、事実確認や被害範囲の特定、流出経路の把握を迅速におこない、経営層や担当部署への報告ラインを明確にしておきましょう。

特定個人情報の漏えい等が発生した場合、事業者はマイナンバー法第29条の４および関連規則に基づき、個人情報保護委員会への報告等が義務付けられています。速やかに報告ができるよう、手続きの流れを事前に整理しておくことが必要です。

漏洩発覚から報告・本人通知・再発防止策の策定・公表に至るまでの一連の対応フローをマニュアル化しておくことで、いざというときに組織として迅速かつ適切に対応することができます。

参考：特定個人情報の適正な取扱いに関するガイドライン（事業者編）｜個人情報保護委員会

6. マイナンバーの管理はセキュリティを意識する

マイナンバー法に関する罰則は、「行政手続における特定の個人を識別するための番号の利用等に関する法律」の第9章（第48条～第57条）に記載されています。

罰則の対象となる主なケースは、次のとおりです。

• 情報漏えいした場合
• 個人情報保護委員会の勧告に従わなかった場合
• 正当な理由なくマイナンバーを収集した場合

マイナンバー法違反による罰則を防ぐには、マイナンバーの管理方法や従業員への教育が重要です。マイナンバー法の基礎知識だけでなく、取り扱い方法や違反による罰則も研修で教育する必要があります。

また、マイナンバーの管理には堅牢度の高いセキュリティ対策が必要です。マイナンバー管理のために人事管理システムを導入するときは、セキュリティ面の安全性も十分に検討しましょう。