マイナンバーの漏えいには超きびし～い罰則規定があるのは知っていますか?

マイナンバー違反は即時罰則、最高罰は懲役4年又は罰金200万円

今回施行されたマイナンバー制度は、罰則が強化されたという点が大きな特徴です。最も厳しい罰則は懲役4年または罰金200万円、またはその併科、かつ、両罰規定があり、さらに直罰（違法行為があった場合、行政指導や行政命令で自主的な改善を促すといった過程を経ずに、即時に罰則を適用することを定めた規定）もあります。

併科は懲役と罰金のどちらも科されることがあるというもので、両罰は罪を犯した本人だけでなく、属している企業にも罰金という刑罰が科される可能性があるというものです。

懲役の期間や罰金の金額の大きさ（4年とか200万円とか）が注目されているようですが、特に注意したい規定は直罰です。

よくありがちな制度では、違法行為があった場合、行政指導や行政命令が出され、それにも従わなかった場合にはじめて罰則を与えるというものです。しかし、このマイナンバー制度では、そういう過程を経ることが無く即時に適用できる「直罰」制度になっています。

直罰規定で近年成立した法令といえば2012年の「改正暴対法」。それ以前の暴力団排除条例では無かった直罰規定が、改正暴対法によってより強化となり直罰が盛り込まれたというものです。

2005年に施行された「個人情報保護法」では、まず主務大臣が是正勧告を行い、それに従わなかった場合に罰則を科す「間接罰」の形になっています。つまり、直罰規定はありませんでした。

しかし、今回のいわゆるマイナンバー法では、直罰が織り込まれています。このマイナンバー制度の成立に至る過程では、「直罰は厳しすぎる」「対象となる取り扱い者には民間の事業者もあるので間接罰がふさわしいのでは」といった議論があったと報道されています。マイナンバーは非常に機密レベルが高く、ひとたび漏えいしてしまった場合、間接罰では罰則を科すまでに時間がかかり過ぎてしまい、情報漏えいの流れをくい止めることが難しくなる、といった理由もあり直罰となったようです。

不正手段によるマイナンバー取得は懲役6か月または罰金50万円

「安心して下さい!」。過剰に神経質になる心配はありません。普通にちゃんと業務をこなしていれば、罰則規定に抵触することは基本的にないと思います。ただし、そのためには罰則の内容をちゃんと理解しておくことがとても重要です。

マイナンバー制度の罰則規定を整理しておきましょう。以下が事業者に関わる罰則規定です。

罰則を恐れないですむためにはまず社内教育

上記の通り、懲役あるいは罰金などの刑になるケースは、故意や悪意があったといった人が問題となる場合です。

うっかりミスの場合や過失が無い場合で、たとえ罰則規定に引っかからない場合であっても、特定個人情報ファイルを本来の目的以外で提供してはいけません。事故を起こしてしまえば、マスコミの格好の餌食になることは、第1回目の寄稿でも書いた通りです。

善意であり、正しい業務だと思い込んでマイナンバーを取得した場合でも、マイナンバーの目的外で取得した場合には、もしかするとマイナンバーを提出する側の相手からクレームの対象になることもあります。

ですから、まずは社員への教育が重要になります。

一般社員向けの教育の大原則は、

• 他人のマイナンバーはなるべく見ない
• 見ても忘れる
• 写真は決して撮らない
• メモはしない

自分や家族のマイナンバーを提供する時は、必ずその利用目的を確認し理解することが重要です。マイナンバーをツイッターやFacebookにアップしたりすることは、もってのほか。

夏に実施した当社のセミナーでは、「『俺んちにこんな番号が届いたぜー』といって自社の社員がツィッターにアップしてしまうと大変ですから、しっかりと教育しましょう」と言って笑いを取りましたが、現実にSNSへ投稿されたという事故が発生してしまいました。すぐに指導があり削除されています。ですので、こういった細かな点についても注意喚起が必要になります。

主に人事の担当者であるマイナンバーの取扱担当者に対する教育は、ここだけでは書ききれませんが、これまで人事情報という重要な個人情報を取扱ってきましたので、その延長線で考えることが重要になります。マイナンバーについての特別な取り扱いをあえて言うならば、この連載をしっかり読み込んでください。

内部プロセスの整備は超重要。危機管理の業務フロー構築は特にです

もう1つ重要な点が、社内の内部プロセスの整備です。それにより、不正を起こそうとさえ思わせない風土作りが期待できます。

プロセス整備とは、

• 規程やルールの文書化
• 業務フローによる安全で確実な運用
• リスクやコントロールの明確化
• 組織体制の整備
• システムの構築など

具体的には次回以降の寄稿でも記しますが、例として、危機管理の業務フローを以下に記します。

危機管理の業務フローとは、情報漏えいなどの事故が発生した時に発動するフローです。できることならば、机上のプランだけで済ませ、全く発動しないでいて欲しいフローですが。しかし、前もって議論し、いざという時に正しく機能できるように体制を整えておくことは重要です。起きては困るけど、毎年、避難訓練を実施するのと似ています。

危機管理の業務フローを考える場合、最悪のシナリオを想定してそのフローを構築しなければなりません。その上でいくつかの場面で判断が入ります。真っ先に判断しなければならないのが、その事故は、盗難または故意による情報流出といった事件性の高い案件なのか、それとも、書類の紛失であって事件性が低い事故であるのか、の判断です。

前者のように事件性が高い場合は、直ちに対策委員会を招集して、原因の究明、影響範囲の見極め、しかるべき機関（特定個人情報保護委員会および主務大臣）への報告、そして、被害拡大防止策と再発防止策を検討し、公表しなければなりません。

インタセクトが提供しているマイナンバー業務フローテンプレートの「危機管理フロー」

業務委託しているから大丈夫、では済まされません

罰則には過剰に神経質になる必要はありませんが、過信は禁物です。

「自社は大丈夫」と思っている経営者も多いと思いますが、その1つの要因となっているのが業務委託でしょう。士業の方やBPO企業にアウトソースしているから大丈夫、というのがその理由です。

専門家である士業の方も、士業の方が集まる協会や団体等では頻繁にマイナンバーの勉強会が開催されていたり、より明示的に安全性を示せるようにプライバシーマークを取得しているという話はよく聞きます。

BPOの受託企業も顧客からより高い信頼を得るために最前線のアルバイトに至るまでちゃんと教育していると思います。ということが、安全であり、大丈夫だと思う根拠になっています。しかし、実際に発注しているBPO企業や士業の方が本当に大丈夫なのかは正しく評価する必要があります。

万が一、漏えい事故が起きた場合でも、委託元の自分たちは責任が無く大丈夫、と思っているとすればそれは大きな間違いです。

委託する場合、委託先で適切な安全管理措置が講じられるよう、委託元は委託先に対して必要かつ適切な監督を行う義務があるとされています。委託元がこの監督義務を怠り、その結果としてマイナンバーが漏洩するようなことがあった場合には、たとえそれが委託先のミスであったとしても委託元も法令違反に問われる可能性が十分あります。

さらに、委託先が再委託する場合、さらに再々委託する場合であっても、最初の委託元にも間接的な監督義務がありますので、それに伴い責任もあります。

出典は政府広報オンライン

では、必要かつ適切な監督とは、どんなことでしょうか。

ガイドラインでは、以下の3つがあげられています。

1. 委託先の適切な選定
2. 委託先に安全管理措置を遵守させるために必要な契約の締結
3. 委託先におけるマイナンバーの取扱い状況の把握

1. の委託先の適切な選定とは、安全管理措置がちゃんと講じられているか確認しなければならないとされています。具体的にはプライバシーマークやISMS等、第三者機関による認証を受けていることは一つの判断材料になると思います。

2. の委託契約の締結については、以下の条項を盛り込むべきとされています。

ガイドラインでは、このうち①から⑧まではほぼ義務的であり、⑨と⑩は望ましいという表現がされています。ですので、これから委託する場合には、これらの条項を織り込まなければなりませんし、すでに以前から委託している場合でも、この機会に契約内容の見直しが必要となります。

3. の取扱い状況の把握については、委託契約の⑧あるいは、⑩にもとづき、委託先から報告を受けたり、実地調査をすることになります。

このように「業務委託しているから安心」には一部理解しますが、大丈夫であるか否かについては、自らの監督義務がちゃんとなされているか次第となりますので、注意が必要です。