マイナンバー制度が始まってから数年経ちましたが、重要な個人情報であるため取り扱いには注意が必要です。マイナンバーに関連した情報漏えいなどに対してはマイナンバー法が適用されます。
この法律では、漏えいに関わった従業員個人だけではなく事業者も罰則を科されるケースがあります。

そこで今回はマイナンバー法に違反した法人が問われる責任について解説します。

▼そもそもマイナンバー法とは？という方は、お先にこちらをお読みください。
マイナンバー法とは？企業の人事担当が知っておくべき基礎知識

1. マイナンバー法に違反すると懲役や罰金などの罰則が科せられる

マイナンバー法（番号利用法）ではマイナンバーの取り扱いにおける違反行為や罰則が定められています。その罰則は個人情報保護法よりも厳しいのが一般的です。マイナンバー法で定められている主な違反行為と罰則は次の通りです。

• 特定個人情報ファイルの不正提供（第67条）
• マイナンバーの漏えい（第68条）
• 詐欺行為等によるマイナンバーの取得（第70条）
• マイナンバーカードの不正取得（第75条）
• 特定個人情報保護委員会の命令に対する違反・検査忌避等（第73条・第75条）

その他にもマイナンバー法で定められている主な違反行為と罰則は次の通りです。

関連記事：マイナンバー法に関する罰則の内容や対象となる事例を紹介

2. マイナンバー法に違反するケース

マイナンバー法に違反するケースについて解説します。

違反行為には特定個人情報ファイルの不正提供や、詐欺行為を用いたマイナンバーの不正取得が含まれます。また、特定個人情報保護委員会の命令に従わない場合も、厳しい罰則が科せられるため、注意が必要ですので詳しくみていきましょう。

2-1. 特定個人情報ファイルの不正提供

業務中に情報漏えいが起きた場合、情報漏えいを行った者だけではなくマイナンバーの管理・利用者となる事業者にも罰則が科せられるケース（両罰規定）があります。これは行為者を処罰するだけでは不十分とみなされるためです。

両罰規則の対象は次のようなケースです。

• 電子媒体や紙媒体のファイルを交付
• 電子メールやインターネットを使って交付
• 管理システムを操作するためのパスワードを知らせて操作させる
• 個人の秘密に属する事項が記載された特定個人情報ファイルが表示されたパソコンを自由に閲覧できる状態にする

2-2. 詐欺行為等によるマイナンバーやマイナンバーカードの不正取得

詐欺や脅迫、施設への侵入行為など不正な手段によってマイナンバーを取得した場合、詐欺罪や暴行罪、脅迫罪、窃盗等が別途適用される可能性があります。

また、他人になりすまして不正にマイナンバーカードを取得した場合にもマイナンバー法の罰則に加えてそれ以外の刑罰の対象となる可能性が高いでしょう。

2-3. 特定個人情報保護委員会の命令に従わない

事業者がマイナンバー関連の法令違反を行っている旨の勧告や命令を特定個人情報保護委員会から受けた場合、その命令に従わないと罰則が科せられます。

また、委員会による検査対象者が虚偽の報告や資料提出、検査拒否などを行った場合も罰則が科せられます。

3. マイナンバー法に違反しないために企業が行うべき4つの安全管理措置

マイナンバー法では業務中に情報漏えいが起こった場合、事業者もその責任が問われる可能性も高く、その対策として４つの安全管理措置を行うことをおすすめします。

3-1. 組織的安全管理措置

組織的安全管理措置とは、次のような組織体制の整備を行うことです。

• 事務責任者・事務取扱担当者を設置し、その役割を明確化する
• 情報漏えいなどの発生時における報告連絡体制の確立

また、定期的な内部監査を実施し、安全管理体制が適切に機能しているかを確認することも重要です。

これにより、潜在的なリスクを事前に把握し、未然に防ぐことが促進されます。そのため、組織全体でセキュリティ意識を高め、業務プロセスにおいてマイナンバーの取り扱いに関するルールを徹底させることが求められます。

3-2. 物理的安全管理措置

物理的安全管理措置とは、次のような対策をとることで紛失・盗難など物理的な情報流出を防ぐことです。

• マイナンバーの管理区域の明確化
• 保管場所の施錠
• 暗号化・パスワードによる保護
• 廃棄は復元不可能な手段で行う

加えて、管理区域へのアクセス制限を設け、必要な人員のみが入室できるようにすることが重要です。

入退室管理を行い、誰がいつ出入りしたかを記録することで、不正アクセスのリスクを減少させることができます。また、ハードウェアや周辺機器に対しても適切なセキュリティ対策を講じ、特にデータを保存しているデバイスについては、持ち出しの制限や監視を強化することが求められます。

これらの対策によって、物理的な情報流出をさらに防ぐことが可能になります。

3-3. 人的安全管理措置

人的安全管理措置は、従業員がマイナンバーの重要性を理解し、適切に取り扱えるようにするために不可欠です。

定期的な研修には、法律の改正や最新のセキュリティ対策に関する情報を反映させ、従業員が常に最新の知識を保てるように工夫することが求められます。さらに、実際の事例を交えたケーススタディを導入し、具体的な対応策やリスクを学ぶことも効果的です。

これにより、従業員は自らの行動がもたらす影響を理解し、常に注意を払った業務を遂行できるようになるでしょう。また、評価制度を設け、研修の受講状況や業務におけるマイナンバー管理の適切さを定期的に見直すことで、継続的な改善を促進する仕組みが必要です。

3-4. 技術的安全管理措置

技術的安全管理措置とは、情報システムを使ったマイナンバー関係事務に対して次のような対策を行うことです。

• ユーザーIDやパスワードによる担当者の識別・認証
• アクセス制御
• ファイアウォールの設置・セキュリティ対策ソフトなどで外部からの不正アクセス防止
• 安全管理措置を実施しているかどうかで罰則の対象から外れるケースもある

業務中にマイナンバーの情報が漏えいした場合には、漏えいに直接関係した人物だけではなく法人も罰則の対象となる可能性があります。しかし、安全管理措置を実施しているか、漏えいが行われたのが過失か故意かで罰則の対象とならないケースもあります。

さらに、技術的安全管理措置は新しい脅威にも対応できるように定期的に見直し、システムのアップデートを行うことが求められます。特に、マイナンバーを扱うシステムは最新のセキュリティ技術を取り入れ、外部からの攻撃に対する耐性を高めることが重要です。

また、定期的なセキュリティ診断を実施し、不審なアクセスや脆弱性を早期に発見して対策を講じる体制を整えることで、情報漏えいのリスクをさらに軽減することができます。これらの技術的措置をしっかり整えることで、管理業務の安全性が向上し、法令遵守の精神にも適応できるでしょう。

4. こんな場合はどうなる？安全管理措置に関連する罰則

安全管理措置を適切に実施していない場合、マイナンバー法に違反するリスクが高まり、さまざまな罰則が科せられることがあります。

たとえば、企業が安全管理措置を遵守しているにもかかわらず過失によって情報漏えいが発生した場合、ペナルティは軽減される可能性があります。

しかし、故意による漏えいがあった場合や、そもそも安全管理措置を実施していなかった場合には、厳しい罰則が適用されるため、予防策としての管理体制の整備が不可欠です。

4-1. 安全管理措置を実施している・過失による漏えいの場合

安全管理措置を実施している事業者で、従業員の過失によって特定個人情報が漏えいした場合、従業員はマイナンバー法の罰則の対象とはなりません。

また、事業者は安全管理措置を実施していても従業員に対する教育・監督が不十分だったと認定されれば、特定個人情報保護委員会の指導や勧告の対象となる可能性があります。

4-2. 安全管理措置を実施している・故意による漏えいの場合

安全管理措置を実施している事業者で従業員が故意に特定個人情報を漏えいさせた場合、従業員はマイナンバー法の罰則が適用され、両罰規定の要件を満たしていれば事業者も処罰の対象になります。

ただし、事業者が安全管理措置を遵守し、従業員に対する選任・監督責任に過失がないと立証できた場合は適用されない可能性もあります。
この場合でも、特定個人情報保護委員会の勧告・命令の対象となる可能性は高いでしょう。

4-3. 安全管理措置を実施していない場合

事業者が安全管理措置をしていなくても過失の漏えいの場合、従業員は罰則の対象外となります。

事業者は安全管理措置を実施していないため、特定個人情報保護委員会の指導・勧告の対象となります。

漏えいが故意に行われた場合、従業員はもちろんのこと、事業者も両罰規定の要件を満たしていればマイナンバー法の罰則が科せられます。さらに、安全管理措置を実施していないことで特定個人情報保護委員会の勧告・命令の対象となります。

5. マイナンバーの取り扱いにおいて注意すべきポイント

ここまで説明してきたような罰則の対象にならないためにも、マイナンバーの取り扱いにおいて注意すべきポイントを解説していきます。

5-1. 従業員にマイナンバー法の教育をおこなう

従業員にマイナンバー法の教育をおこなうことは、法令遵守の基本です。マイナンバーを取り扱う部署だけでなく、他の部署や外部委託先の担当者にも教育を行うことが重要です。これにより、全員がマイナンバーの重要性や取り扱いルールを理解し、トラブルを未然に防ぐことができます。

また、万が一の情報漏えいや管理トラブルに備え、事務責任者や事務取扱担当者を設置し、責任の所在を明確にすることで、迅速な報告体制を整えることが可能になります。教育を徹底し、企業全体の意識を高めることが、リスク管理に繋がります。

5-2. マイナンバーを管理するセキュリティの対策

マイナンバーの取り扱いにおいて注意すべきポイントとして、特に「マイナンバーを管理するセキュリティの対策」は不可欠です。

マイナンバーを適切に保護するためには、ユーザーIDやパスワードによる担当者の識別・認証、アクセス制御の徹底、ファイアウォールの設置やセキュリティ対策ソフトの導入が求められます。

これらの対策を講じることで、外部からの不正アクセスを防ぎ、マイナンバー法に基づく罰則リスクを低減させることができます。

5-3. マイナンバーを保管・管理する環境を整える

特定個人情報としてのマイナンバーは、法律で定められた条件と期間内でのみ保管が許可されています。

このため、企業はマイナンバーを適切に保管・管理する環境を確立し、保管期間が過ぎた場合には迅速に廃棄または削除を行う必要があります。その際、廃棄は復元不可能な方法で行うことが必須であり、情報漏えいを未然に防ぐための重要な対策と言えます。

したがって、マイナンバーを収集する前から、廃棄・削除を考慮した管理体制を整えることが肝要です。

6. マイナンバーを取り扱う事業者は安全管理措置を実施することが重要

マイナンバーは個人の重要な情報と紐づけられているため、取り扱いには特に注意が必要です。
情報漏えいなどのマイナンバー法における違反が起きた場合、両罰規定の要件を満たしていると事業者も罰則の対象となる可能性があります。

4つの安全管理措置を実施することで情報漏えいのリスクが抑えられ、事案によっては罰則の対象とならないこともあるでしょう。