現在地

個人のデザイナーや開発者、コンサルタントに業務を委託している通販・EC企業はマイナンバー対策が必須です(詳しくはこちらから)。そうした個人事業主とやり取りをする際、どこで、どんなときに収集したマイナンバーが漏えいするかわかりません。漏えいしたら企業も罰則を受ける可能性があるんです。今回はマイナンバー制度にはどんな罰則があるかを理解し、万が一のために危機管理体制を作るための方法論などを解説します。

マイナンバー違反は即時罰則、最高罰は懲役4年又は罰金200万円

今回施行されたマイナンバー制度は、罰則が強化されたという点が大きな特徴です。最も厳しい罰則は懲役4年または罰金200万円、またはその併科、かつ、両罰規定があり、さらに直罰(違法行為があった場合、行政指導や行政命令で自主的な改善を促すといった過程を経ずに、即時に罰則を適用することを定めた規定)もあります。

併科は懲役と罰金のどちらも科されることがあるというもので、両罰は罪を犯した本人だけでなく、属している企業にも罰金という刑罰が科される可能性があるというものです。

懲役の期間や罰金の金額の大きさ(4年とか200万円とか)が注目されているようですが、特に注意したい規定は直罰です。

よくありがちな制度では、違法行為があった場合、行政指導や行政命令が出され、それにも従わなかった場合にはじめて罰則を与えるというものです。しかし、このマイナンバー制度では、そういう過程を経ることが無く即時に適用できる「直罰」制度になっています。

直罰規定で近年成立した法令といえば2012年の「改正暴対法」。それ以前の暴力団排除条例では無かった直罰規定が、改正暴対法によってより強化となり直罰が盛り込まれたというものです。

2005年に施行された「個人情報保護法」では、まず主務大臣が是正勧告を行い、それに従わなかった場合に罰則を科す「間接罰」の形になっています。つまり、直罰規定はありませんでした。

しかし、今回のいわゆるマイナンバー法では、直罰が織り込まれています。このマイナンバー制度の成立に至る過程では、「直罰は厳しすぎる」「対象となる取り扱い者には民間の事業者もあるので間接罰がふさわしいのでは」といった議論があったと報道されています。マイナンバーは非常に機密レベルが高く、ひとたび漏えいしてしまった場合、間接罰では罰則を科すまでに時間がかかり過ぎてしまい、情報漏えいの流れをくい止めることが難しくなる、といった理由もあり直罰となったようです。

不正手段によるマイナンバー取得は懲役6か月または罰金50万円

「安心して下さい!」。過剰に神経質になる心配はありません。普通にちゃんと業務をこなしていれば、罰則規定に抵触することは基本的にないと思います。ただし、そのためには罰則の内容をちゃんと理解しておくことがとても重要です。

マイナンバー制度の罰則規定を整理しておきましょう。以下が事業者に関わる罰則規定です。

  1. マイナンバーを管理する者が正当な理由なく特定個人情報ファイルを提供した場合
    ⇒懲役4年以下、または200万円以下の罰金、または併科
  2. マイナンバーを管理する者が不正な利益を図る目的でマイナンバー等を提供または盗用した場合
    ⇒懲役3年以下、または150万円以下の罰金、または併科
  3. 人を欺き、あるいは、人に暴行、脅迫、窃盗、不正アクセス等によりマイナンバーを取得した場合
    ⇒懲役3年以下、または150万円以下の罰金
  4. 偽りやその他の不正手段によってマイナンバーを取得した場合
    ⇒懲役6ヶ月以下、または50万円以下の罰金
  5. 特定個人情報保護委員会から命令を受けた者が、委員会の命令に違反した場合
    ⇒懲役2年以下、または50万円以下の罰金
  6. 特定個人情報保護委員会に対する虚偽の報告、資料提出、または検査拒否等をした場合
    ⇒懲役1年以下、または50万円以下の罰金
  7. この他、国や自治体、情報提供ネットワークシステムに従事する者、および特定個人情報保護委員会の委員に対する罰則規定があります。

罰則を恐れないですむためにはまず社内教育

上記の通り、懲役あるいは罰金などの刑になるケースは、故意や悪意があったといった人が問題となる場合です。

うっかりミスの場合や過失が無い場合で、たとえ罰則規定に引っかからない場合であっても、特定個人情報ファイルを本来の目的以外で提供してはいけません。事故を起こしてしまえば、マスコミの格好の餌食になることは、第1回目の寄稿でも書いた通りです。

善意であり、正しい業務だと思い込んでマイナンバーを取得した場合でも、マイナンバーの目的外で取得した場合には、もしかするとマイナンバーを提出する側の相手からクレームの対象になることもあります。

ですから、まずは社員への教育が重要になります。

一般社員向けの教育の大原則は、

  • 他人のマイナンバーはなるべく見ない
  • 見ても忘れる
  • 写真は決して撮らない
  • メモはしない

自分や家族のマイナンバーを提供する時は、必ずその利用目的を確認し理解することが重要です。マイナンバーをツイッターやFacebookにアップしたりすることは、もってのほか。

夏に実施した当社のセミナーでは、「『俺んちにこんな番号が届いたぜー』といって自社の社員がツィッターにアップしてしまうと大変ですから、しっかりと教育しましょう」と言って笑いを取りましたが、現実にSNSへ投稿されたという事故が発生してしまいました。すぐに指導があり削除されています。ですので、こういった細かな点についても注意喚起が必要になります。

主に人事の担当者であるマイナンバーの取扱担当者に対する教育は、ここだけでは書ききれませんが、これまで人事情報という重要な個人情報を取扱ってきましたので、その延長線で考えることが重要になります。マイナンバーについての特別な取り扱いをあえて言うならば、この連載をしっかり読み込んでください。

内部プロセスの整備は超重要。危機管理の業務フロー構築は特にです

もう1つ重要な点が、社内の内部プロセスの整備です。それにより、不正を起こそうとさえ思わせない風土作りが期待できます。

プロセス整備とは、

  • 規程やルールの文書化
  • 業務フローによる安全で確実な運用
  • リスクやコントロールの明確化
  • 組織体制の整備
  • システムの構築など

具体的には次回以降の寄稿でも記しますが、例として、危機管理の業務フローを以下に記します。

危機管理の業務フローとは、情報漏えいなどの事故が発生した時に発動するフローです。できることならば、机上のプランだけで済ませ、全く発動しないでいて欲しいフローですが。しかし、前もって議論し、いざという時に正しく機能できるように体制を整えておくことは重要です。起きては困るけど、毎年、避難訓練を実施するのと似ています。

危機管理の業務フローを考える場合、最悪のシナリオを想定してそのフローを構築しなければなりません。その上でいくつかの場面で判断が入ります。真っ先に判断しなければならないのが、その事故は、盗難または故意による情報流出といった事件性の高い案件なのか、それとも、書類の紛失であって事件性が低い事故であるのか、の判断です。

前者のように事件性が高い場合は、直ちに対策委員会を招集して、原因の究明、影響範囲の見極め、しかるべき機関(特定個人情報保護委員会および主務大臣)への報告、そして、被害拡大防止策と再発防止策を検討し、公表しなければなりません。

マイナンバーの漏えいには超~厳しい罰則規定があるのはご存知?①
インタセクトが提供しているマイナンバー業務フローテンプレートの「危機管理フロー」

業務委託しているから大丈夫、では済まされません

罰則には過剰に神経質になる必要はありませんが、過信は禁物です。

「自社は大丈夫」と思っている経営者も多いと思いますが、その1つの要因となっているのが業務委託でしょう。士業の方やBPO企業にアウトソースしているから大丈夫、というのがその理由です。

専門家である士業の方も、士業の方が集まる協会や団体等では頻繁にマイナンバーの勉強会が開催されていたり、より明示的に安全性を示せるようにプライバシーマークを取得しているという話はよく聞きます。

BPOの受託企業も顧客からより高い信頼を得るために最前線のアルバイトに至るまでちゃんと教育していると思います。ということが、安全であり、大丈夫だと思う根拠になっています。しかし、実際に発注しているBPO企業や士業の方が本当に大丈夫なのかは正しく評価する必要があります

万が一、漏えい事故が起きた場合でも、委託元の自分たちは責任が無く大丈夫、と思っているとすればそれは大きな間違いです。

委託する場合、委託先で適切な安全管理措置が講じられるよう、委託元は委託先に対して必要かつ適切な監督を行う義務があるとされています。委託元がこの監督義務を怠り、その結果としてマイナンバーが漏洩するようなことがあった場合には、たとえそれが委託先のミスであったとしても委託元も法令違反に問われる可能性が十分あります

さらに、委託先が再委託する場合、さらに再々委託する場合であっても、最初の委託元にも間接的な監督義務がありますので、それに伴い責任もあります。

では、必要かつ適切な監督とは、どんなことでしょうか。

ガイドラインでは、以下の3つがあげられています。

  1. 委託先の適切な選定
  2. 委託先に安全管理措置を遵守させるために必要な契約の締結
  3. 委託先におけるマイナンバーの取扱い状況の把握

1. の委託先の適切な選定とは、安全管理措置がちゃんと講じられているか確認しなければならないとされています。具体的にはプライバシーマークやISMS等、第三者機関による認証を受けていることは一つの判断材料になると思います。

2. の委託契約の締結については、以下の条項を盛り込むべきとされています。

① 秘密保持義務
② 特定個人情報の持ち出し禁止
③ 目的外利用の禁止
④ 再委託の条件
⑤ 事故発生時の責任
⑥ 委託終了後の特定個人情報の返却/廃棄
⑦ 従業者への監督・教育
⑧ 契約内容遵守状況についての報告
⑨ 取扱従業者の明確化
⑩ 委託先に対しての実地調査の規定

ガイドラインでは、このうち①から⑧まではほぼ義務的であり、⑨と⑩は望ましいという表現がされています。ですので、これから委託する場合には、これらの条項を織り込まなければなりませんし、すでに以前から委託している場合でも、この機会に契約内容の見直しが必要となります。

3. の取扱い状況の把握については、委託契約の⑧あるいは、⑩にもとづき、委託先から報告を受けたり、実地調査をすることになります。

このように「業務委託しているから安心」には一部理解しますが、大丈夫であるか否かについては、自らの監督義務がちゃんとなされているか次第となりますので、注意が必要です。

ネット通販のための5分でわかるマイナンバー対策」は全6回の連載コラムです。各バックナンバーはこちら。

【筆者からのお知らせ】

インタセクト・コミュニケーションズは、実務に即したマイナンバー対応のためのツールを提供しています。

この記事が役に立ったらシェア!
記事カテゴリー: 
記事種別: 

櫻井 隆博

インタセクト・コミュニケーションズ株式会社

櫻井 隆博(さくらい・たかひろ)

インタセクト・コミュニケーションズ株式会社 新規事業本部 コンサルティングチーム 部長

外資系石油会社、経済研究所、コンサルティング会社勤務などを経て現職。大学では化学を専攻するも卒業後は化学と一切無関係に過ごす。もったいない。

現職ではマイナンバーセミナーで語ったり、企業のプロセス改善などに従事。

週末は町内会対抗のソフトボールリーグで汗を流してはホップ入り飲料で補てん。2015年の成績は、リーグ・18チーム所属している中で、中の下。残念です。2人の子供は社会人となり、家族みんな専ら単独行動が多いこの頃。

 

ネットショップ担当者フォーラムを応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]

[ゴールドスポンサー]
楽天株式会社 eBay(イーベイ) ecbeing.
[スポンサー]
株式会社アイル Wowma! クリームチームマーケティング合同会社