マイナンバーで罰則!?個人も企業も知らないとマズい規定と対策

もうすぐ始まるマイナンバー制度。みなさんもこれから、大変になることが出てくるかもしれません。特に、「個人情報の管理」という面では、企業は更なる「強化」が必要となるでしょう。もし、企業でマイナンバーなど個人情報が漏洩した場合、「罰則」があるのをご存知でしょうか?情報漏えい防止も含めた、罰則対策についてまとめました!



マイナンバー制度の概要

マイナンバーについて

マイナンバーは、日本に住民票をおく、各個人へ割り当てられる12桁の「個人番号」のことを言います。また、法人(企業)へ割り当てる13桁の「法人番号」もあります。

それぞれの番号は、重複しない番号となっており、「個人番号」は、一生涯にわたって利用することになりますので、厳重な管理が必要となるでしょう(番号が変わることはありません)。

2015年10月より、通知カードにて個人番号が通知されており、2016年1月から、個人番号カードとの「交換」が可能となります。このカードは、身分証明書としても利用することが可能になるでしょう。また、「法人番号」については、国税庁より各法人へ通知されることになっています。

何のための制度になるの?

平成28年1月以降、これらの行政手続きにおいて、マイナンバーが必要になってきます。

■社会保障
・「年金」の資格取得や給付確認
・「雇用保険」の資格取得や給付確認
・「医療保険」の給付請求や福祉関連
・「生活保護」給付確認など

■税
・税務署へ提出する「確定申告書」
・「届出書」や「調書」などに記載
・税務署の「事務的書類」など

■災害対策
・「被災者生活再建支援金」の支給
・「被災者台帳」の作成など

※上記以外での使用は、個人情報保護の観点から禁じられておりますので、ご注意下さい!

マイナンバーの必要性とは?

■行政の効率化

マイナンバーにて、個人情報の管理をすることにより、行政機関や地方公共団体などで、情報の照合や入力に「かかる時間」の削減などが可能となるでしょう。各行政機関が個人情報データを「共有」することになりますので、作業の重複を省くことが出来るようになると思います。

■国民の利便性向上

これまで必要だった「証明書の添付」など、その手間が減ることも予想されます。行政での手続きなどが簡素化されるようになりますので、とても便利になるでしょう。 また、行政機関から、個人宛にサービス(手当てなど)の連絡を受けることもできるようになると思います。

■公平公正の社会を実現

個人の所得や、行政からの受給状況(生活保護などの手当て)を把握することになるため、不正給付している者を突き止め、支援の停止をすることも可能となります。それに併せて、本当に困っている方へ、必要な支援を行うことも可能になると思われますので、必要性の高い制度と言えるでしょう。 平成28年から、順次開始されるマイナンバー制度ですが、将来的には、金融機関なども「個人番号」について、扱うことになってくるでしょう。

マイナンバー法案の概要:内閣府
参照元:内閣府(2015年12月時点、著者調べ)

制度開始による不安要素について

国民の私たちが感じている「不安要素」ですが、これらのことが大きいように思います。

■マイナンバーを用いた「個人情報の追跡や突合」による、外部への情報漏えいについての不安。
■ 他人のマイナンバーを用いた「なりすまし」による、被害に関しての不安。
■ 様々な個人情報が、マイナンバーによって、管理されることに大きな不安。

そのため、マイナンバー制度の施行について、未だに反対されている方々もいらっしゃるように思います。



一般企業への影響について

マイナンバーの取り扱いが必要になる

一般企業は、従業員への「給与」支払いや「健康保険」等の手続きを行っている関係上、「税金」や「社会保障」、「災害対策」の面において、従業員(その家族も含め)の「マイナンバー」の使用が必要となります。

そのため、企業が「個人番号」を含めた個人情報を厳重に管理し、行政へ提出する書類へ記載することになります。また、退職した従業員の「個人情報」についても、法令に基づき、廃棄する必要があります。さらに、その廃棄した「記録」についても、残す必要となるでしょう。

特定個人情報の適正な取扱いに関するガイドライン:特定個人情報保護委員会事務局
参照元:特定個人情報保護委員会事務局(2015年12月時点、著者調べ)

マイナンバーを扱うための準備について

企業においては、マイナンバーを厳重に管理するため、「特定個人情報の適正な取扱いに関するガイドライン」に沿って、「安全管理措置」などの準備を講じる必要があると思います。

<特定個人情報の適正な取扱いに関するガイドライン(事業者編)>

A.基本方針の策定
○特定個人情報等の適正な取扱いの確保について組織として取り組むた
めに、基本方針を策定し、従業者に周知徹底することが重要です。

B.取扱規程等の策定
○特定個人情報等の具体的な取扱いを定める取扱規程等を策定しなけれ
ばなりません。

C.組織的安全管理措置
○組織体制の整備、取扱規程等に基づく運用、取扱状況を確認する手段
の整備、情報漏えい等事案に対応する体制の整備、取扱状況の把握及
び安全管理措置の見直し

D.人的安全管理措置
○事務取扱担当者の監督・教育

E.物理的安全管理措置
○特定個人情報等を取り扱う区域の管理、機器及び電子媒体等の盗難等
の防止、電子媒体等を持ち出す場合の漏えい等の防止、個人番号の削
除、機器及び電子媒体等の廃止

F.技術的安全管理措置
○アクセス制御、アクセス者の識別と認証、外部からの不正アクセス等
の防止、情報漏えい等の防止

出典:

www.keidanren.or.jp
社内対応に関するものとして考えられるものは、

■組織的安全管理措置
・取り扱う担当部署の設立や、情報管理の責任者を立てる。
・個人情報へのアクセス方法など、細かなルールを確立。
・管理体制の見直しや、その評価を適宜に行う必要性。
・もし情報漏洩が起こった場合の対処に関する対策について。

■人的安全管理措置
・従業員へその「取り扱い」についての重要性を教育し、理解を得る。
・秘密保持の内容について、企業規則に提示する必要なども。 システム対応に関するものとして考えられるものは、

■技術的安全管理措置
・アクセスに関する記録について(誰がいつアクセスしたか)
・アクセス権限(情報管理担当者、責任者など)
・ウイルスソフトを導入する(外部からのアクセス対策)
・不正アクセスの防止対策(アクセス遮断など)

■物理的安全管理措置
・その情報を管理する部屋について、「セキュリティシステム」の導入
・サーバーやPC機器などの「盗難防止」に関して
・防犯カメラを設置し、その管理状況を「24時間監視」するなど こうして考えると、企業にはかなりの負担が強いられる状況になっているように思います。特に、もう時間も無くなっていますので、担当者の方は、かなり大変な状況かもしれませんね。

特定個人情報の適正な取扱いに関するガイドライン:特定個人情報保護委員会事務局
参照元:特定個人情報保護委員会事務局(2015年12月時点、著者調べ)

罰則規定について

マイナンバー法では、懲役を含む「罰則規定」が設けられているのをご存知でしょうか?これまでの「個人情報保護法」がさらに厳しくなっている規定と言えるでしょう。一般企業においても、個人情報の取り扱いについて、厳しい管理体制や、ネットワークなどのセキュリティー対策が必要となることが考えられるわけです。

その「罰則規定」について、詳しくみていきましょう。

不正に情報を「漏洩」した者への罰則

個人番号(マイナンバー)は、それを悪用して不当利用される可能性が高いと言えるため、情報が漏えいした場合、個人の「利益」に関わる「重大な問題」をもたらすことも考えられます。

そのため、正当な理由もなく、情報のファイルを提供する(漏洩する)行為については、処罰の対象となっています。また、第三者へ個人データを「売り渡した」場合にも、罰則規定に該当することになるでしょう。

<個人番号を利用する者に関する罰則>
(第62条~第64条、第66条)

○正当な理由なく、特定個人情報ファイルを提供(個人番号利用事務等に従事する者等)
⇒4年以下の懲役若しくは200万円以下の罰金又は併科

○不正な利益を図る目的で、個人番号を提供又は盗用(個人番号利用事務等に従事する者等)
⇒3年以下の懲役若しくは150万円以下の罰金又は併科

○情報提供ネットワークシステムに関する秘密の漏えい又は盗用(情報提供ネットワークシステムの事
務に従事する者)
⇒3年以下の懲役若しくは150万円以下の罰金又は併科

○特定個人情報が記録された文書等を収集(国の機関等の職員)
⇒2年以下の懲役又は100万円以下の罰金

出典:

www.cas.go.jp

不正に情報を「取得」した者への罰則

個人情報を盗みとったり、企業内部の人間を脅して手に入れたりなど、いろいろ「不正」入手方法が考えられます。しかしながら、その情報を手にした者に対しても、罰則が適用されるわけです。

これまでは、企業でデータを盗んだ者だけが「悪者」となっていましたが、これからは、データを入手した者へも罰則適用となるわけです。さらに、個人番号を「口頭」で聞き取ることも含まれるため、会話の内容や盗聴、電波傍受などから、「個人番号」の情報を得た場合も罰則が適用されるでしょう。

また、その不正入手したデータを利用し、「個人番号カード」の交付を受けた場合も、罰則が適用されることになると思います。いつの間にか、「誰かが」自分のカードを手にしていたなんてことが考えられるわけですので、想像するとこわい話ですよね。そのため、不正取得を許さない!ことが目的なのです。

<個人番号等を不正に取得する行為等に対する罰則>
(第65条、第70条)

○人を欺き、人に暴行を加え、人を脅迫し、又は、財物の窃取、施設への侵入等により個人番号を取得
⇒3年以下の懲役又は150万円以下の罰金

○偽りその他不正の手段により個人番号カードの交付を受ける行為
⇒6月以下の懲役又は50万円以下の罰金

出典:

www.cas.go.jp
また、日本国外から不正アクセスがあった場合でも、処罰規定がありますので、そう簡単にはいかないというのがこの「罰則」のポイントであるように思います。

第七十六条 第六十七条から第七十二条までの規定は、日本国外においてこれらの
条の罪を犯した者にも適用する。

出典:

www.cas.go.jp

特定個人情報保護委員会の「命令違反」による罰則

特定個人情報保護委員会とは、特定個人情報(マイナンバー等)を保有するであろう

■国の行政機関
■地方公共団体
■民間事業者(一般企業)

など、全てを監視や監督を行う機関です。

・個人情報保護の有識者
・情報処理技術の有識者
・社会保障、税制の有識者
・民間企業の実務経験者
・地方団体の推薦者

を含む方々で組織されています。また、「特定個人情報保護委員会」は、国の行政機関を含める、公平な監視を行う必要があるため、監督対象から「独立」した存在という位置づけになります。例えていうなら、「裁判所」のような位置づけになっているわけです。

もし、特定個人情報保護委員会から、

■「業務改善命令」などを受けたが、その改善に従わなかった。
■「虚偽の報告」などの違反行為をした。

このような場合、「懲役または、罰金刑」が科せられることになるでしょう。悪気が無かったとしても、かなり厳しいペナルティーが科せられることが予想されます。

個人番号情報保護委員会に関する罰則
(第67条~第69条)

○職務上知り得た秘密を漏えい又は盗用(委員会の委員など)
⇒2年以下の懲役又は100万円以下の罰金

○委員会の命令に違反(委員会から命令を受けた者)
⇒2年以下の懲役又は50万円以下の罰金

○委員会による検査等に際し、虚偽の報告、虚偽の資料提出をする、検査拒否等(委員会による検査
の対象者)
⇒1年以下の懲役又は50万円以下の罰金

出典:

www.cas.go.jp

使用者への監督責任を問われる罰則(法人処罰)

もし、会社の従業員が「情報漏えい」を行った場合において、その従業員が罰せられるのは、当然のことと言えますが、それだけでは終わらないのが、この「罰則規定」の中身です。

その従業員を十分「監督」していなかった企業への「責任問題」が問われることになるでしょう。そのため、その企業(法人)へ対しても、処罰の対象となることが定められています。

これまでには無かった法律「規定」となりますので、企業からすると、慌てる状況になっているかもしれません。そのため、「常に」情報管理体制や状況に関しては、目を光らせておかなければならないわけです。

<77 条(両罰規定)>
第七十七条 法人(法人でない団体で代表者又は管理人の定めのあるものを含む。
以下この項において同じ。)の代表者若しくは管理人又は法人若しくは人の代理
人、使用人その他の従業者が、その法人又は人の業務に関して、第六十七条、第
六十八条、第七十条又は第七十三条から第七十五条までの違反行為をしたときは、
その行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。
2 法人でない団体について前項の規定の適用がある場合には、その代表者又は管
理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は
被疑者とする場合の刑事訴訟に関する法律の規定を準用する。

出典:

www.cas.go.jp



企業がするべき罰則対策とは?

情報を取り扱う「従業員」へ教育と監督

企業が出来ることの対策として、「使用者や従業員」の教育と監督が挙げられます。これに力を入れておくことで、あとで痛い目に遭うか遭わないか?差が出てくるように思われます。

昨年、ベネッセホールディングスで起こった「顧客情報の流出事件」を覚えていらっしゃいますでしょうか?この事件では、外部のシステムエンジニア(派遣で来ていた使用者)が、顧客情報を故意に持ち出し、その情報を売っていたことが判明しましたよね。

この事件で、元システムエンジニアが逮捕されましたが、ここで一番重要視する点とは、「簡単に」情報が持ち出せる状態であったことではないかと考えられます。派遣で来ているエンジニアだったからとは言え、その使用者が行っている業務は、その企業の「重要」な部分であることを知らせる「教育」が不十分だったように思います。

その他にも、「情報の取り扱い」について、その状況を常に監督する必要があるでしょう。「誰が」どのような目的でその情報にアクセスしているのか?その詳細も管理する必要が出てくる思います。監督する業務も「常に」なるわけですから、結構大変な業務であることが考えられるわけです。

ベネッセ顧客情報流出問題:朝日新聞デジタル
参照元:朝日新聞デジタル(2015年12月時点、著者調べ)

不正手段による「情報漏えい」の対策

企業は、不正にその「個人情報データ」を持ち出せないよう、先手を打つ必要があると考えられます。先ほどご紹介した、従業員の教育や監督もそうですが、不正アクセスなどにより、データが流出することがないよう、その情報管理の徹底についてです。

ネットワークセキュリティの対策にも繋がりますが、データへのアクセスが内部からあったのか?外部からあったのか?その不正アクセスに対する対応についても、アクセスを「遮断」するような防止策をとる必要が考えられるでしょう。

まとめ

ここまで、マイナンバー制度の罰則規定とその対策について、いろいろとみてきましたが、いかがでしたでしょうか?便利な制度であることも確かですが、やっぱり制度の始まりというのは、本当に大変なことが色々と出てくることが予想されますね。

実は、アメリカにも、日本のマイナンバーに相当する「社会保障番号」というものが存在しています。この「社会保障番号」により、本人の認証が可能となっている現実があります。そのため、銀行での口座開設の際など、「社会保障番号」を伝えるだけで、本人証明(ID)提示の必要が無いというメリットもあるようです。

しかしながら、それがデメリットでもあることも言えるでしょう。「社会保障番号」を用いた「なりすまし」の被害が、多発しているのも現状です。さらに、官公庁や企業、銀行のネットワークへのハッキングも横行しており、「社会保障番号」が流出することも大きな問題となっています。

これらの問題を解決するべく、わが国では、この「罰則規定」が確立されたように思います。もうすぐ始まる「マイナンバー制度」、成功して欲しいの一言に尽きます!ぜひ、参考にして下さい。