マイナンバー法に違反したらどうなる?法人に問われる責任 | jinjerBlog

マイナンバー法に違反したらどうなる?法人に問われる責任

責任

マイナンバー制度が始まってから数年経ちましたが、重要な個人情報であるため取り扱いには注意が必要です。マイナンバーに関連した情報漏えいなどに対してはマイナンバー法が適用されます。
この法律では、漏えいに関わった従業員個人だけではなく事業者も罰則を科されるケースがあります。

そこで今回はマイナンバー法に違反した法人が問われる責任について解説します。

▼そもそもマイナンバー法とは?という方は、お先にこちらをお読みください。
マイナンバー法とは?企業の人事担当が知っておくべき基礎知識

マイナンバー管理にお困りの人事担当者の方へ

非常に複雑で手間のかかる、従業員のマイナンバー管理。

誤ってマイナンバー情報を流出させてしまった場合、個人情報保護委員会から勧告を受ける可能性もあります。多忙な中でそのような事態になることを防ぐためには、万全なセキュリティ体制やルールについてしっかりと把握しておく必要があるでしょう。

当サイトでは、マイナンバーの収集から保管、廃棄まで段階ごとの対応と、安全な管理方法について細かく解説した資料を無料で配布しています。人事や総務の担当でマイナンバー管理にお困りの方は、ぜひダウンロードしてご覧ください。

マイナンバーebook

ダウンロードボタン

1.マイナンバー法に違反すると懲役や罰金などの罰則が科せられる

マイナンバー法(番号利用法)ではマイナンバーの取り扱いにおける違反行為や罰則が定められています。
その罰則は個人情報保護法よりも厳しいのが一般的です。

マイナンバー法で定められている主な違反行為と罰則は次の通りです。

マイナンバー法における主な違反行為と罰則

関連記事:マイナンバー法に関する罰則の内容や対象となる事例を紹介

2.情報漏えいが起きた法人が罰せられるケースもある

ペナルティ

業務中に情報漏えいが起きた場合、情報漏えいを行った者だけではなくマイナンバーの管理・利用者となる事業者にも罰則が科せられるケース(両罰規定)があります。

これは行為者を処罰するだけでは不十分とみなされるためです。

両罰規定の対象は次の5つです。

1. 特定個人情報ファイルの不正提供(第67条)
2. マイナンバーの漏えい(第68条)
3. 詐欺行為等によるマイナンバーの取得(第70条)
4. マイナンバーカードの不正取得(第75条)
5. 特定個人情報保護委員会の命令に対する違反・検査忌避等(第73条・第75条)

この中でも特に注意が必要なものを個別に解説します。

2-1.特定個人情報ファイルの不正提供の具体例

正当な理由なく(マイナンバー法第19条に該当しない)特定個人情報ファイルを提供した場合、マイナンバー利用事務(マイナンバー関係事務も含む)に従事する人に罰則が科されます。

例えば次のようなケースです。

・電子媒体や紙媒体のファイルを交付
・電子メールやインターネットを使って交付
・管理システムを操作するためのパスワードを知らせて操作させる
・個人の秘密に属する事項が記載された特定個人情報ファイルが表示されたパソコンを自由に閲覧できる状態にする

2-2.詐欺行為等によるマイナンバーやマイナンバーカードの不正取得

詐欺や脅迫、施設への侵入行為など不正な手段によってマイナンバーを取得した場合、詐欺罪や暴行罪、脅迫罪、窃盗等が別途適用される可能性があります。

また、他人になりすまして不正にマイナンバーカードを取得した場合にもマイナンバー法の罰則に加えてそれ以外の刑罰の対象となる可能性が高いでしょう。

2-3.特定個人情報保護委員会の命令に関する罰則

事業者がマイナンバー関連の法令違反を行っている旨の勧告や命令を特定個人情報保護委員会から受けた場合、その命令に従わないと罰則が科せられます。

また、委員会による検査対象者が虚偽の報告や資料提出、検査拒否などを行った場合も罰則が科せられます。

3.マイナンバー法に違反しないために企業が行うべき4つの安全管理措置

安全管理

マイナンバー法では業務中に情報漏えいが起こった場合、事業者もその責任が問われる可能性も高く、その対策として4つの安全管理措置を行うことをおすすめします。

3-1.組織的安全管理措置

組織的安全管理措置とは、次のような組織体制の整備を行うことです。

・事務責任者・事務取扱担当者を設置し、その役割を明確化する
・情報漏えいなどの発生時における報告連絡体制の確立

3-2.物理的安全管理措置

物理的安全管理措置とは、次のような対策をとることで紛失・盗難など物理的な情報流出を防ぐことです。

・マイナンバーの管理区域の明確化
・保管場所の施錠
・暗号化・パスワードによる保護
・廃棄は復元不可能な手段で行う

3-3.人的安全管理措置

人的安全管理措置とは、マイナンバーの事務取扱担当者に定期的な研修を受けさせ、マイナンバーの正しい取り扱い方を理解させることです。

また、取扱規定を設け、それに基づく適切な情報の取り扱いがされているか監督する体制を整える必要があります。

3-4.技術的安全管理措置

技術的安全管理措置とは、情報システムを使ったマイナンバー関係事務に対して次のような対策を行うことです。

・ユーザーIDやパスワードによる担当者の識別・認証
・アクセス制御
・ファイアウォールの設置・セキュリティ対策ソフトなどで外部からの不正アクセス防止

・安全管理措置を実施しているかどうかで罰則の対象から外れるケースもある
業務中にマイナンバーの情報が漏えいした場合には、漏えいに直接関係した人物だけではなく法人も罰則の対象となる可能性があります。

しかし、安全管理措置を実施しているか、漏えいが行われたのが過失か故意かで罰則の対象とならないケースもあります。

3-5.安全管理措置を実施している・過失による漏えいの場合

安全管理措置を実施している事業者で、従業員の過失によって特定個人情報が漏えいした場合、従業員はマイナンバー法の罰則の対象とはなりません。

また、事業者は安全管理措置を実施していても従業員に対する教育・監督が不十分だったと認定されれば、特定個人情報保護委員会の指導や勧告の対象となる可能性があります。

3-6.安全管理措置を実施している・故意による漏えいの場合

安全管理措置を実施している事業者で従業員が故意に特定個人情報を漏えいさせた場合、従業員はマイナンバー法の罰則が適用され、両罰規定の要件を満たしていれば事業者も処罰の対象になります。

ただし、事業者が安全管理措置を遵守し、従業員に対する選任・監督責任に過失がないと立証できた場合は適用されない可能性もあります。
この場合でも、特定個人情報保護委員会の勧告・命令の対象となる可能性は高いでしょう。

3-7.安全管理措置を実施していない場合

事業者が安全管理措置をしていなくても過失の漏えいの場合、従業員は罰則の対象外となります。

事業者は安全管理措置を実施していないため、特定個人情報保護委員会の指導・韓国の対象となります。

漏えいが故意に行われた場合、従業員はもちろんのこと、事業者も両罰規定の要件を満たしていればマイナンバー法の罰則が科せられます。さらに、安全管理措置を実施していないことで特定個人情報保護委員会の勧告・命令の対象となります。

4.マイナンバーを取り扱う事業者は安全管理措置を実施することが重要

ビックリマーク

マイナンバーは個人の重要な情報と紐づけられているため、取り扱いには特に注意が必要です。
情報漏えいなどのマイナンバー法における違反が起きた場合、両罰規定の要件を満たしていると事業者も罰則の対象となる可能性があります。

4つの安全管理措置を実施することで情報漏えいのリスクが抑えられ、事案によっては罰則の対象とならないこともあるでしょう。

マイナンバー管理にお困りの人事担当者の方へ

非常に複雑で手間のかかる、従業員のマイナンバー管理。

誤ってマイナンバー情報を流出させてしまった場合、個人情報保護委員会から勧告を受ける可能性もあります。多忙な中でそのような事態になることを防ぐためには、万全なセキュリティ体制やルールについてしっかりと把握しておく必要があるでしょう。

当サイトでは、マイナンバーの収集から保管、廃棄まで段階ごとの対応と、安全な管理方法について細かく解説した資料を無料で配布しています。人事や総務の担当でマイナンバー管理にお困りの方は、ぜひダウンロードしてご覧ください。

マイナンバーebook

ダウンロードボタン