マイナンバーが漏洩した時の罰則は? 安全管理措置を4つ紹介します

平成28年から施行されたマイナンバー制度。企業としては従業員のマイナンバーを収集したり、安全に保管するために設備を整えたり、準備が大変だったと思います。施行されてから今までの間に、さまざまな業務でマイナンバーを使ってきたことと思いますが、これから継続的に運用していく中で漏洩のリスクがつきまといます。

漏洩をしないことが一番ですが、危機管理として、もし漏洩した場合のリスクを正確に把握しておきましょう。

目次

マイナンバーの漏洩とは

「マイナンバーの漏洩」は、どのような状態を指すか分かりますか?

平成29年個人情報保護委員会告示第1号「個人データの漏えい等の事案が発生した場合等の対応について」(PDF)を読んでみましょう。

(1)個人情報取扱事業者が保有する個人データ(特定個人情報に係るものを除く。)の漏えい、滅失又は毀損
(2)個人情報取扱事業者が保有する加工方法等情報(個人情報の保護に関する法律施行規
則(平成28年10月5日個人情報保護委員会規則第3号)第20条第1号に規定する加工方法等情報をいい、特定個人情報に係るものを除く。)の漏えい
(3)上記(1)又は(2)のおそれ

個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)(PDF)

以上のような状態にあると「マイナンバーが漏洩している」と言います。

今回は、いざ漏洩が発生した場合の対処法から、そもそも漏洩が発生しないために気をつけるべき収集時や保管時の安全管理措置について具体的な運用方法を解説します。

いわゆるマイナンバー法というのは、正式名称「行政手続における特定の個人を識別するための番号の利用等に関する法律(番号法)」のことです。この法律は平成28年1月から「行政手続における特定の個人を識別するための番号の利用等に関する法律(番号利用法)」というようにカッコ内が改正されました。これによって、番号利用法という略称が使用されるようになりました。

ただし、この記事では定着している通称の「マイナンバー法」を使用します。

なお、平成29年個人情報保護委員会告示第1号「個人データの漏洩等の事案が発生した場合等の対応について」をはじめ、個人情報が漏洩した際の対応は、個人情報保護委員会の漏えい等の対応(個人情報)に詳細がありますので、一度目を通すといいでしょう。

マイナンバーが漏洩してしまった場合

考えたくもないことですが、万が一、マイナンバーが漏洩してしまったらどうなるのでしょうか。

あまりの事態の大きさに周りに知られる前に解決させたいという考えが一瞬頭をよぎってしまうかもしれませんが、マイナンバーの漏洩は隠さずに公表してください。

「マイナンバー」というのは、マイナンバー法に基づいて日本国内に住民票がある全ての人に割り当てられる「個人番号」のことです。つまり、一人一人が固有のマイナンバーを持っているということですね。

ご存じの方も多いと思いますが、このマイナンバーを使って公共機関などの個人情報にアクセスすることができますし、将来的には医療や金融関係にもアクセスできるようになるとも言われています。

ちなみに、特定個人情報というのはマイナンバーやそれに代わる番号や記号などを含む個人情報の総称のことです。住民票コードはここに含まれませんが、マイナンバーの漏洩と同じように特定個人情報の漏洩にも注意しなければなりません。マイナンバーを漏洩させてしまった場合には罰則が課されることもありますので、取り扱いはより慎重に行ってください。

マイナンバーの漏洩は374件で前年比2.3倍

個人情報保護委員会が平成30年6月に発表した「平成29年度 個人情報保護委員会 年次報告(概要)について」によると、2017年度に個人情報保護委員会が報告を受けたマイナンバーの関連事故数は374件で、そのうち5件が「重大な事態」と判断される内容だったそうです。

事故374件の他には指導・助言が173件、立入検査が27件あった
個人情報保護委員会 平成29年度 個人情報保護委員会 年次報告(概要)について(PDF)より

ちなみに、同委員会の「平成28年度 個人情報保護委員会年次報告」では、特定個人情報の漏洩事案等の報告の受付件数は165件(うち重大な事態6件)ですので、漏洩件数がわずか1年の間に約2.3倍にもなっていることが分かります。この数を見ただけでも、マイナンバーの漏洩は決して人ごとではないことが分かります。

マイナンバーの導入が決まったのは平成19年。「消えた年金問題」の頃ですね。その後、本格的な運用が始まったのが平成28年1月でした。導入された平成28年の漏洩事案等が165件、翌年が約2.3倍の374件。この先のことを考えると、より慎重な運用・管理が必要なのは言うまでもありません。

個人情報保護委員会の年次報告の詳細は、こちらでご確認ください。
→ 平成29年度 個人情報保護委員会 年次報告(概要)について
→ 平成28年度 個人情報保護委員会年次報告

マイナンバーの漏洩の原因に多いのは

こんなにも多くのマイナンバーの漏洩があったわけですが、どのような経緯で漏洩してしまったのかが最も気になるところではないでしょうか。漏洩の原因について平成29年度年次報告(PDF)からの抜粋を以下に載せておきます。

1漏えい事案等に関する報告の受付状況等

平成29年度において、特定個人情報の漏えい事案その他のマイナンバー法違反の事案又はそのおそれのある事案について、374件の報告を受けた。このうち、「重大な事態」については、地方公共団体から1件、事業者から4件の報告を受けた(マイナンバー法第29条の4。付章6)。
漏えい事案等の報告の多くは、地方公共団体におけるマイナンバーを含んだ書類の誤送付・誤交付であった。また、重大な事態については、マイナンバーが記載された書類が滅失した事案等であり、いずれもマイナンバーが悪用されたとの報告は受けていない。
漏えい事案等の報告を受けて、再発防止策等の確認を行うとともに、同種の事態が起きないよう指導等を行った。

2立入検査等の実施状況

立入検査を行うに当たり、平成29年度検査計画を策定し、検査の実施方針として、行政機関等に対する定期的な検査を行うとともに、地方公共団体に対しては、規模、特性及び事務の内容等を勘案の上、選択的に実施することなどを定めている。平成29年度において、法令及び「特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)」(平成26年特定個人情報保護委員会告示第6号)等の遵守状況、特定個人情報保護評価書に記載された事項の実施状況等を実地に確認するため、行政機関等6件、地方公共団体18件、事業者3件の立入検査を実施し、指摘した事項について改善を求めた(マイナンバー法第35条及び第29条の3第1項。付章6)。
また、地方公共団体のシステムセキュリティ面に重点を置く実地調査を4件実施し、特定個人情報の適正な取扱いに関して改善を求めた。
なお、地方公共団体に対しては、これらの調査結果等を踏まえ、システムセキュリティ面に限らず、広く特定個人情報の取扱状況を実地に確認することが重要であるとの観点から、試行的に検査項目を絞った立入検査も13件実施した。

個人情報保護委員会 平成29年度年次報告(PDF)より ※強調は筆者

要約すると、マイナンバーを含んだ書類の誤送付・誤交付やマイナンバーが記載された書類が滅失という事案が多かったことが分かります。

!ポイント!マイナンバー漏洩の原因に多いもの

  • マイナンバーを含んだ書類の誤送付・誤交付、書類の紛失には特に注意する。

個人情報保護委員会が掲げる漏洩時の「望ましい対応」

個人情報保護委員会というのは、マイナンバーなどの重要な個人情報を正しく取り扱うために設置された行政機関です。マイナンバー法や個人情報保護法などの下で、特定個人情報の監視や監督、あるいは苦情相談を受けたり、個人情報保護などに関する基本方針を作ったりしています。

個人情報保護委員会は、マイナンバーに関する監督権限を持っているので、その個人情報保護委員会が作った基準や望ましい対応方法に準拠することが望ましいでしょう。

望ましい対応(努力義務)

では、ここからは個人情報保護委員会が公表しているマイナンバー漏洩時の望ましい対応(努力義務)に沿ってお話を進めていきたいと思います。個人情報保護委員会ではマイナンバーが漏洩してしまった時の対処方法について発表しています。

(1)事業者内部における報告及び被害の拡大防止

担当者で抱え込まずに、責任ある立場の者に直ちに報告するとともに、漏洩等事案による被害が発覚時よりも拡大しないよう必要な措置を講じてください。下記の(2)と併せて行うとやりやすいですね。例えば、マイナンバーの漏洩が外部からの不正なアクセスが原因であった場合などには、端末などのLANケーブルは抜いてネットワークから分離させてください。

(2)事実関係の調査及び原因の究明

→漏洩等事案の事実関係の調査及び原因の究明に必要な措置を講じてください。

(3)影響範囲の特定

→どのくらいの人数分のマイナンバーが漏洩してしまったのか、どんな内容だったのか、どんな方法で漏洩したのかなどを調べて被害状況と影響のある範囲を特定させます。もし、住所や電話番号などのデータと紐づけしてあると、何らかの実被害が生じる恐れが大きくなります。

(4)再発防止策の検討及び実施

→上記(2)の結果を踏まえ、漏洩等事案の再発防止策の検討及び実施に必要な措置を速やかに講じてください。

(5)影響を受ける可能性のある本人への連絡

→漏洩等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係等について、速やかに本人へ連絡し、又は本人が容易に知り得る状態にしてください。書面やメール、ホームページや専用窓口の設置など可能な限り、被害者本人に連絡してください。

(6)事実関係及び再発防止策等の公表(事案に応じて)

→漏洩等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表してください。

以上を通してみると、マイナンバーの漏洩時には情報の開示と再発の防止が必要なことが分かります。それらを行ったうえで、企業としての信頼の回復に努めてください。漏洩してしまった情報の回収が完全な形でできれば良いのですが、実際にはなかなか完全な回収は難しいところがあるかもしれません。特に電子データの場合には回収はほぼ不可能と言っても過言ではないようなケースも起こりやすくなります。

個人情報保護委員会が示す漏洩時の望ましい対応(努力義務)について、詳細はこちらでご確認ください。
個人データの漏えい等の事案が発生した場合等の対応について(PDF)2ページめ

漏洩の原因によって対応方法は違う

ただし、マイナンバーが漏洩してしまった原因によって二次被害の防止策や再発防止策は変わってきますので、何が原因で漏洩してしまったのかは早めに確認してください。例えば、FAXを間違って送ってしまった場合とパソコンがウイルスに感染してしまった場合では対応方法が違いますよね。

なお、マイナンバーの漏洩に関しては、漏洩した内容によっては主務大臣への報告が必要なケースもありますが、報告の必要性の有無については各監督官庁のガイドラインを参照して判断します。

個人情報保護委員会では、「事業者における特定個人情報の漏洩事案等が発生した場合の対応について」(平成27年特定個人情報保護委員会告示第2号)で、マイナンバー漏洩時の報告方法などの詳細についての規定を公表しています。改正が行われる場合もありますので、ぜひ最新の情報を確認するようにしてください。報告の方法については、後程お話ししたいと思います。

!ポイント!マイナンバー漏洩時の最優先事項

  • 二次被害の防止と追加漏洩の防止を速やかに行う。

マイナンバー漏洩時の報告方法などの詳細についての規定の詳細はこちらでご確認ください。
→ 事業者における特定個人情報の漏洩事案等が発生した場合の対応について(PDF)

二次被害防止のための処置

では、二次被害の防止についてもう少し具体的にお話を進めていきたいと思います。

マイナンバーが漏洩してしまった時に、絶対にやらなければいけないのは二次被害の防止とその後の漏洩の防止です。

どのような経緯でマイナンバーが漏洩してしまったのか、それ以上の漏洩が起こりうる状況にはないか?個人情報保護委員会が掲げる漏洩時の「望ましい対応」を参考に早急に対応してください。

マイナンバーの漏洩時に最優先で対応すべきは二次被害の防止

マイナンバーが漏洩したことによる二次被害には、なりすましや、なりすましによる被害の発生などが考えられます。例えば、住所や電話番号などのデータがマイナンバーと紐づけしてあった場合などには、なりすまし詐欺などの可能性もあります。

二次被害の危険性をなくし、被害拡大の危険視がなくなったら再発防止策を行ってください。とにかく、二次被害あるいは被害の拡大は絶対に避けなければなりません。

個人情報保護委員会が掲げる漏洩時の「望ましい対応」

マイナンバーが漏洩した場合の罰則など

マイナンバーを漏洩させてしまった場合の、社会的な制裁や罰則について考えたことはありますか?

マイナンバーの漏洩は両罰規定の対象にもなる

マイナンバーの漏洩には罰則があるのですが、マイナンバーを漏洩させてしまった個人だけが罰せられるのではなく、その行為が法人の業務の中で行われたことが認められた場合には行為者だけではなく両罰規定の対象として法人も処罰されます。

もちろん、それがどのような漏洩だったのかによって事後が変わってきますが、法人としてマイナンバーの保管についての安全管理措置を実施していなかった場合には、法人は指導や勧告を受ける可能性もあることに留意しておいてください。

マイナンバーを漏洩させてしまった労働者の雇用主である事業主は、その労働者を管理・監督する立場にあるわけですから、その責任を問われることになります。

この両罰規定の対象になるのは、以下のものです。

  • 特定個人情報ファイルの不正提供
  • 個人番号の漏えい
  • 詐欺行為等による個人番号の取得
  • 個人番号カードの不正取得
  • 特定個人情報保護委員会の命令などの命令違反
  • 検査忌避など

最大で4年以下の懲役や200万円以下の罰金

具体的な罰則の内容については、後で詳しくお話ししますが、「個人番号利用事務等に従事する者が、正当な理由なく特定個人情報ファイルを提供すると、4年以下の懲役または200万円以下の罰金、もしくはその両方」という処罰を受けることが明文化されています。このような事態は招かないようにしなければなりませんが、万が一のことも事前に考えておかなければなりませんよね。

条文 対象となる行為 罰則の内容
48条 特定個人情報ファイルを提供 4年以下の懲役もしくは200万円以下の罰金、又は両方
49条 不正な利益のために提供、又は盗用 3年以下の懲役もしくは150万円以下の罰金、又は両方
50条 秘密を漏らし、又は盗用 3年以下の懲役もしくは150万円以下の罰金、又は両方
51条 不正アクセス行為など 3年以下の懲役または150万円以下の罰金
52条 職権濫用での電磁的記録の収集 2年以下の懲役または100万円以下の罰金
55条 詐欺行為で通知カードや個人番号カードを取得 6月以下の懲役または50万円以下の罰金

!ポイント!マイナンバー漏洩時の罰則

  • 特定個人情報ファイルを提供などの場合、4年以下の懲役もしくは200万円以下の罰金、又は両方。
  • 法人の業務内での場合、両罰規定で法人も処罰される。

それから、マイナンバーに関する罰則以外にも、参考までに同種の法律での他の似たような規定の罰則も確認しておきたいと思います。

マイナンバーについて違反行為と罰則
東京都北区 マイナンバー制度における罰則(PDF)より

この表を見ても、マイナンバーに関する罰則が他の同種の法律よりも強化されていることが分かりますね。最も重い場合には4年以下の懲役または200万円以下の罰金、もしくはその両方です。マイナンバーも個人情報の一つですが、マイナンバー法は一般法である個人情報保護法の特別法として定められています。一般法と特別法の両方に規定がある場合には特別法が優先されますので、個人情報保護法よりもマイナンバー法の規定が優先されます。そのため、マイナンバーの漏洩に関してはより罰則の厳しいマイナンバー法の規定が適用されます。

社会的信用は地に落ちる

それから、忘れてはならないのが、法定の罰則以外の部分です。つまり、マイナンバーの漏洩は社会的にも非常に大きなニュースになり企業としての信用が失墜してしまうというのは企業にとって非常に大きなダメージになります。
ここで大切なのが事前の漏洩対策です。マイナンバーを適正に管理する為に必要であるのはもちろんのこと、いざというときに「これだけの漏洩対策をしていた」と言えるような万全な対策をしておきたいものです。

!ポイント!マイナンバー法と同種法の関係

  • マイナンバー法は一般法である個人情報保護法の特別法。
  • マイナンバーの漏洩の場合、より罰則の厳しいマイナンバー法の規定が適用される。

マイナンバーの漏洩に罰則がある理由

なぜマイナンバーの漏洩に罰則があるのでしょう。
マイナンバー法では、マイナンバーに関する不正行為などに厳格に対処する為に罰則を規定しています。マイナンバーに関する罰則が個人情報保護法や住民基本台帳法などよりも強化されているのはより厳格な運用が求められるためです。

マイナンバーを取り扱う際には、以下の点に特に注意してください。

  1. マイナンバーは、法令で定められた事務でしか利用できません。目的外利用を禁止しています。
  2. マイナンバーを他の機関に提供する場合、法令で定められた事務に限られます。 他人にマイナンバーの提供を求める場合も、法令で定められた事務に限られます。
  3. 特定個人情報ファイルを保有する行政機関や地方公共団体の長などは、事前に特定個人情報保護評価を行うことが義務付けられています。

このように、マイナンバー法ではマイナンバーの漏洩や不正あるいは悪用を防ぐためにマイナンバーの厳格な保護措置が義務付けられています。

マイナンバーとは直接的な関係ありませんが、以前に大手通信教育会社から約3,000万件という大量の個人情報の漏洩があったことは多くの方の記憶にあると思います。この事件の詳細は省略しますが、事件の影響で大量の顧客が離れ、その企業の経営は赤字に転落するなどしましたね。

このように、企業からの情報の漏洩は経営にも大きな影響をもたらします。危機管理として、漏洩した場合のリスクを正確に把握しておきましょう。

漏洩に関する報告と参考資料

では、実際にマイナンバーの漏洩が起きてしまった場合の報告についてお話しします。

漏洩時の報告先

マイナンバーの漏洩が起きてしまった場合には、漏洩の内容によっては主務大臣や個人情報保護委員会への報告もすぐに行ってください。特定個人情報の安全の確保に係る「重大な事態」(※)が生じたときに個人情報保護委員会に報告することは、法令上の義務とマイナンバー法第29条の4に規定されていますので、すぐに対応しましょう。

(特定個人情報の漏えい等に関する報告)
第二十九条の四 個人番号利用事務等実施者は、個人情報保護委員会規則で定めるところにより、特定個人情報ファイルに記録された特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態が生じたときは、委員会に報告するものとする。

行政手続における特定の個人を識別するための番号の利用等に関する法律 第二十九条の四

※重大な事態

重大な事態とは、以下のものを指します。

  1. 漏洩・滅失・毀損又はマイナンバー法に反して利用・提供された特定個人情報に係る本人の数が100人を超える事態
  2. 特定個人情報ファイルに記録された特定個人情報を電磁的方法により不特定多数の者が閲覧することができる状態となり、かつ、その特定個人情報が閲覧された事態
  3. 不正の目的をもって、特定個人情報ファイルに記録された特定個人情報を利用し、又は提供した者がいる事態 等

主務大臣への報告が必要な場合は、下の表を参考に対応してください。

報告先のリスト
個人情報保護委員会 事業所管大臣等に報告する場合の報告先はこちら(PDF)より

漏洩時の報告様式と参考資料

それから、個人情報保護委員会への報告は以下の様式に従って行ってください。

・事業者における特定個人情報の漏洩事案等の報告様式 → 個人情報保護委員会への報告様式は以下を利用します。
Word形式PDF形式
なお、重大事態に該当しない事案の報告は、報告先が事業所管大臣等となっている場合には、この報告先が定めている様式等で報告することもできます。

・行政機関又は独立行政法人等及び地方公共団体等における特定個人情報の漏洩事案等の報告様式→ 個人情報保護委員会への報告様式は以下を利用します。
Word形式PDF形式

マイナンバーに関して、個人情報保護委員会の「特定個人情報の適正な取扱いに関するガイドライン」と、「マイナンバー(個人番号) ハンドブック 」が非常に参考になります。

!ポイント!マイナンバー漏洩時の報告

  • 個人情報保護委員会への報告は法令上の義務。
  • 内容によっては主務大臣への報告が必要。
  • 報告は指定の様式で行う。

委託業者による漏洩に対して注意すべきこと

マイナンバーの取扱いには漏洩のリスクもあるので、外注業者に委託してしまいたくなることもありますよね。

でも、ちょっと待ってください。
委託業者にマイナンバーの保管を依頼しても漏洩時には委託元も責任を負う場合もあるんです。外部に委託する場合にも、漏洩対策は必須ですので、委託相手の状況は必ず確認しておきましょう。

これは、マイナンバーの「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(以下、ガイドラインと言います)に書かれているのですが、マイナンバーを取得するのには大きな制限があります。しかし、マイナンバーを取り扱う業務を外部に委託することに関しては禁止されていません。マイナンバーを使用する業務には、身近なものでは源泉徴収票や支払調書の作成、社会保険関係の書類などがあります。雇用契約を結んでいる企業と労働者の間以外にも、個人事業主で原稿料や講演料などを得ている人の場合もマイナンバーが関係してきますね。

企業の中には社外の税理士や社会保険労務士などと業務委託契約をしているところも多くあります。委託業者によるマイナンバーの漏洩があった場合にも、漏洩時には委託元も責任を負うことになります。

というのは、委託先の監督(マイナンバー法第11条、個人情報保護法第22条)に関する規定があるためです。

(委託先の監督)
第十一条 個人番号利用事務等の全部又は一部の委託をする者は、当該委託に係る個人番号利用事務等において取り扱う特定個人情報の安全管理が図られるよう、当該委託を受けた者に対する必要かつ適切な監督を行わなければならない。

行政手続における特定の個人を識別するための番号の利用等に関する法律 第十一条

(委託先の監督)
第二十二条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

個人情報の保護に関する法律 第二十二条

上の両条文にあるように、「『委託を受けた者』に対する必要かつ適切な監督を行わなければならない」ことが規定されています。そのため、委託者は「委託を受けた者」がマイナンバー法に基づいて委託元が果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければならないとガイドラインに記載されています。「委託を受けた者」を適切に監督するために必要な措置を講じなかったり、必要かつ十分な監督義務を果たすための具体的な対応をとらなかったりした場合で、特定個人情報の漏洩等が発生した際には、マイナンバー法違反と判断される可能性があるともガイドラインには記載されています。

!ポイント!マイナンバーの委託

  • 委託先だけではなく、委託元も責任を負う。

各資料の詳細は以下のPDFでご確認ください。
→ マイナンバー(個人番号) ハンドブック
→ 特定個人情報の適正な取扱いに関するガイドライン(事業者編)

必要かつ適切な監督

ガイドラインに繰り返し記載されている「必要かつ適切な監督」というのは、以下を指します。

  1. 委託先の適切な選定
  2. 委託先に安全管理措置を遵守させるために必要な契約の締結
  3. 委託先における特定個 人情報の取扱状況の把握

委託先を探す際にも委託元は必要かつ適切な監督をしなければなりませんが、社内の事務取扱担当者に対しても同様ですので、自らがマイナンバーを取り扱うのと同様以上に安全管理措置がされるように十分に注意してください。

マイナンバーを外部委託する場合にチェックすべきこと

外部にマイナンバーを委託する場合には、先ほどの3つの注意点を守らなければなりませんが、そのために具体的にチェックしておきたいことについてもう少しお話ししておきたいと思います。

委託先の適切な選定

委託先を適切に選定するために、委託先の設備や教育体制、安全管理措置がどのようになっているか、自分の目で確認しましょう。マイナンバーの管理規定があるかどうか、LANと切り離して管理できるか。組織の体制(事務取扱責任者と事務取扱担当者、情報管理責任者の選任など)、情報漏洩に対する認識や報告体制がどうなっているか、保管方法(電子データ、紙など)には特に注意しましょう。

ガイドラインでは、「委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認しなければならない。具体的な確認事項としては、委託先の設備、技術水準、従業者(注)に対する監督・教育の状況、その他委託先の経営環境等」と記載していますので、マイナンバーを外部に委託する前には、事前に必要かつ適正な監督に関して確認をした上で選定するようにしてください。

安全管理措置を改めてチェックしましょう

ガイドラインでは、事業者に対して安全管理措置の検討をする際に、マイナンバー法・個人情報保護法等関係法令、ガイドライン、個人情報保護法ガイドライン等を遵守することを義務付けています。

マイナンバーを自社で管理するか、外部に委託するかのどちらを選択するかに関わらず、安全管理措置がどのようになっているのかを、ぜひ再チェックしてみてください。特に注意したい4つのポイントについてご紹介します。中小規模事業者として、どのような点に気をつければ良いのか、ガイドラインに沿ってお話ししていきます。

ポイント1)物理的安全管理措置

物理的安全管理措置のポイントは4点あります。

マイナンバーを取り扱う作業区域の管理

→マイナンバー等の情報漏洩等を防止するために、特定個人情報ファイルを取り扱う情報システムを管理する区域(以下「管理区域」と言います。)や特定個人情報等を取り扱う事務を実施する区域(以下「取扱区域」と言います。)を明確にしてください。ガイドラインでは、管理区域に関する物理的安全管理措置としては入退室管理(ICカード、ナンバーキー、指紋認証等による入退室管理システムの設置等)や管理区域へ持ち込む機器等の制限が方法として挙げられています。取扱い区域に関する物理的安全管理措置としては壁又は間仕切り等の設置や座席配置の工夫等があります。

適正な盗難防止

→管理区域や取扱区域での特定個人情報等を取り扱う機器、電子媒体や書類等の盗難や紛失等を防止するために、物理的な安全管理措置を講じてください。ガイドラインでは、機器や電子媒体、書類等を施錠できるキャビネットや書庫等に保管することが挙げられています。

電子媒体等の取扱いにおける漏洩等の防止

→ガイドラインでは、特定個人情報等が記録された電子媒体又は書類等を持ち運ぶ場合、容 易に個人番号が判明しないよう、安全な方策を講ずるように記載しています。基本的に、マイナンバーのような重要なものは、管理部署外への持ち出しは複数の責任者の許可を必要とするなど、簡単には持ち出せないようにしておきましょう。

データの削除、機器及び電子媒体等の廃棄

→マイナンバー利用事務を行う必要がなくなり、所定の保存期間などを経過した場合にはできるだけ早くデータの削除・廃棄をしてください。その際に、データを復元できないようにしてください。

ポイント2)技術的安全管理措置

アクセス制御

→パソコン等を使用してマイナンバーの取扱い事務を行う場合には、適正なアクセス制御を行ってください。これは、事務取扱担当者がその事務で取り扱う特定個人情報ファイルの範囲を限定するためです。ガイドラインでは、マイナンバーと紐付けてアクセスできる情報の範囲をアクセス制御により限定することなどを挙げています。また、ユーザーIDごとにアクセスに制限を付けることも有効です。なお、マイナンバーの事務で使用する機器を限定したり、事務取扱担当者も不特定多数ではなく特定の者にするなどしてください。

アクセス者の識別と認証

→マイナンバーを取り扱うシステムは、事務取扱担当者が正当な アクセス権を有する者かどうかを識別できるものにしてください。

不正アクセスなどの防止

→外部からの不正なアクセス、不正なソフトウェアには特に注意してください。例えば、社内の情報システム室などでも、外部からの不正なアクセスやウイルスをすぐに発見できるようなシステムをご検討ください。他にも、社内の情報システムと外部ネットワークとの接続箇所にはファイアウォール等を設置して不正アクセスを遮断したり、セキュリティソフトの導入(自動更新も含む)、定期的なログ解析なども有効とガイドラインでは記載されています。

情報漏洩の防止

→ガイドラインでは、インターネットなどを使って外部に重要な情報を送信する際には、通信内容の暗号化やパスワードの保護なども挙げています。

ポイント3)組織的安全管理措置

→組織体制の整備を行ってください。ガイドラインでは、以下の項目を整備しなければなりません。

組織体制の整備

  • 事務責任者の設置と責任の明確化
  • 事務取扱担当者の明確化と役割の明確化
  • 事務取扱担当者が取り扱う特定個人情報等の範囲の明確化
  • 事務取扱担当者の違反等に関する責任者への報告連絡体制
  • 情報漏洩等の事案等に関する責任者等への報告連絡体制
  • 特定個人情報等を複数の部署で取り扱う場合の各部署の役割と責任の明確化

取扱規程等に基づく運用

→マイナンバーの取扱規程等の下で運用を行い、その状況を確認するために システムログや利用実績を記録してください。これが、この利用実績(履歴)は収集時から廃棄・削除時まで記録し続けてください。どのような履歴の管理が必要なのかは、「マイナンバーの収集時」の章でお話しします。

取扱状況を確認する手段の整備

→の取扱状況を確認するための手段を整備してください。ただし、その記録自体にはマイナンバーなどを記載しないようにご注意ください。どのような履記録が必要なのかは、「マイナンバーの収集時」の章でお話しします。

他に、情報漏えい等事案に対応する体制の整備するために普段から取り扱い状況を把握し、安全管理措置の評価や見直しを適時行うことがガイドラインの方針に従うことになります。

ポイント4)人的安全管理措置

マイナンバーの適正な取扱いのためは、人的安全管理措置も必要です。

事務取扱担当者の監督

→事業者は、事務取扱担当者にマイナンバーの取扱いに関して取扱規程等に基づき適正に取り扱われるように、必要かつ適切な監督を行ってください。事業主は、マイナンバーの漏洩に関して、管理・監督責任がありますので、適切な対応をお願いします。取扱規程に関しても定期的にチェックしていけると良いですね。

事務取扱担当者の教育

→事業者は、事務取扱担当者にマイナンバーの取扱いに関して、適正な取扱いの周知徹底と適切な教育を行ってください。

マイナンバーの収集時

マイナンバーには収集制限があります。これは、マイナンバー法第20条に規定されているのですが、「何人も、前条各号のいずれかに該当する場合を除き、特定個人情報(他人(※)の個人番号を含むものに限る。)を収集し、又は保管してはならない。」というものです。収集時から漏洩対策を考えておくのも大切ですね。

※他人
ここで言う「他人」とは、自己と同一の世帯に属する者以外の者」を指します。子や配偶者等の自己と同一の世帯に属する者の特定個人情報は、マイナンバー法第19条各号に該当していなくても収集・保管することが認められています。

これから、マイナンバーを収集するのは採用時が多くなります。収集の時から将来の廃棄・削除時のことを念頭に置くと、紙ベースで回収し、個人ごとの封筒に履歴管理用のシートを貼り付けてファイリングすることをお勧めします。基本は一従業員に対し、用紙1枚に記入してもらいます。個人ごとの用紙にし、履歴の管理として「マイナンバーの管理の履歴」、「取り扱い状況を確認するもの」を記入できる履歴管理用のシートを貼り全て一つの封筒で行うようにすると非常に便利です。ファイリングしたものは書庫やキャビネットにカギをかけて厳重に管理してください。

マイナンバーの管理の履歴

マイナンバーを管理する上で必要な履歴は、以下のものです。

  • 特定個人情報ファイルの利用
  • 出力状況の記録
  • 書類や媒体等の持ち運びの記録
  • 特定個人情報ファイルの削除・廃棄記録
  • 削除・廃棄を委託した場合、これを証明する記録等
  • 特定個人情報ファイルを情報システムで取り扱う場合、事務取扱担当者の情報システムの利用状況(ログイン実績、アクセスログ等)の記録

取り扱い状況を確認するもの

  • 特定個人情報ファイルの種類、名称
  • 責任者、取扱部署
  • 利用目的
  • 削除、廃棄状況
  • アクセス権を有する者

パソコンなどで管理する場合には、LANやWANとは接続しないでください。外部との接続ができたり、多数の人がアクセスできたりしてしまうと不正アクセスの餌食になってしまう恐れがあります。

就業規則の改定も

ガイドラインでは、マイナンバーを取り扱うためには秘密保持に関する項目を就業規則などに入れることも掲げています。必ずしも「就業規則」に限定するわけではありませんが、マイナンバーを安全に適正に管理するためにも就業規則に盛り込んでおくのが安心です。例えば、紛失・漏洩などによってマイナンバー自体の変更がされた場合には直ちに事業主に届け出ることや、一定のタイミングでマイナンバーの確認をするなど、予め必要な項目を就業規則に盛り込んで、最新の就業規則を周知させておきましょう。なお、就業規則の改定には必要な届け出がありますので、届け出を忘れることのないようにご注意ください。

就業規則に関しては、岡山労働局のサイトが分かりやすいのでこちらをご覧ください。 
→ 就業規則の作成・変更・届出の義務

マイナンバーの収集時

他社のマイナンバーの保管例

では、他社ではどのようにマイナンバーを保管しているケースが多いのか、少しお話ししておきたいと思います。

保管方法は大きくアナログとデジタルに分けられます。それぞれのメリットとデメリットは以下の通りです。

保管方法 メリット デメリット
アナログ ・コストがあまりかからない
・目視で管理しやすい
・ネットワーク上のリスクにさらされない
(ウイルスやハッキングなど)
・大量になると管理しにくい
・火災、盗難、紛失のリスクがある
デジタル ・業務の効率化がはかれる
・外部のクラウドサービスを利用しやすい
・大量でも管理しやすい
・システムの導入にコストがかかる
・ネットワーク上のリスクがある

保管の履歴を作ること

マイナンバーを実務で取り扱う場合には、マイナンバーの取扱い履歴を残すことが必要です。ですから、紙で保管する場合には労働者ごとに封筒を用意して、封筒の表面に管理の履歴を、パソコンなどで管理する場合にはエクセルなどで管理の履歴票を作って使用するようにしてください。このように管理することで、労働者が退職する場合等の廃棄・削除も行いやすくなります。

繰り返しになりますが、マイナンバーは収集から廃棄・削除まで一貫した管理が必要です。保管中の履歴も必要ですので、漏洩事故を防止するためにも、法的な義務を果たすためにも履歴も正確に記録してください。

マイナンバーを使う実務

マイナンバーが運用されるようになって、実際に事業所でマイナンバーを使って実務を行うようになりましたが、この実務には以下のものがあります。雇用契約が継続している場合には、継続してマイナンバーを保管する必要がありますので、番号に変更があった場合には最新のものを使用してください。

  • 税務署に提出する源泉徴収票(受給者交付用には記載しない)
  • 税務署に提出する支払調書
  • 市区町村に提出する給与支払報告書
  • 雇用保険関連書類(雇用保険被保険者資格取得届、資格喪失届など)
  • 労災関連書類(労災保険、労働保険など)
  • 健康保険・厚生年金保険関連書類(被保険者資格取得届など)

例えば、雇用契約が継続している場合には、各従業員の賃金の源泉徴収事務や社会保険(健康保険・厚生年金保険届出)事務等のために継続的に利用することになります。なお、扶養控除等申告書に関しては、国税庁のFAQのQ1-5-1(扶養控除等申告書の個人番号欄に「給与支払者に提供済みのマイナンバー(個人番号)と相違ない」旨の記載をすることで、マイナンバー(個人番号)の記載に代えることはできますか。(平成28年5月17日更新))をご参照ください。

基本的にマイナンバーの記載が必要になるのは、公的な機関への提出物です。それ以外のものに関しては、マイナンバーの記載は原則として必要ないと考えて差し支えありません。

このように、マイナンバーを利用する書類に関しても必要な期間が経過したら速やかに廃棄・削除するようにしてください。また、マイナンバーを含む情報を電子データ化して保管している場合には、廃棄・削除する際のことも考えてシステムを構築しておくことが望ましいでしょう。

廃棄・削除もきちんと行う

マイナンバーは、収集・利用・保管を適正にするのはもちろんですが、これらと同様に廃棄も非常に重要なポイントです。マイナンバーの管理は、最後の廃棄までをしっかりと行って成立します。廃棄の際にもマイナンバーが漏洩しないように十分に注意しなければ、それまでの努力も意味をなさなくなります。マイナンバー法では、そのマイナンバーを保管する必要性がなくなった場合には速やかに廃棄もしくは削除することが義務として規定されています。これは、マイナンバー法第20条にあるマイナンバーには収集制限と関係しています。マイナンバー法第20条は「何人も、前条各号のいずれかに該当する場合を除き、特定個人情報(他人(※)の個人番号を含むものに限る。)を収集し、又は保管してはならない。」というものでしたね。

担当者だけでなく、社内全体への教育が肝心

マイナンバーの導入にあたっては、賛否両論がありました。実際に運用がはじまり各種業務に必要であることに変わりありません。ただ、マイナンバーの運用が始まって漏洩事故が増えてきているという現実を目の当たりにして、私たちはどのようにしてマイナンバーの漏洩を防ぐか、厳格に管理するためにはどうすれば良いのかを改めて考え直す時期になっています。重要なのは漏洩させないための準備と、漏洩時の迅速な対応ですが、未然に漏洩させないためにできる限りのことをしていきましょう。

特に従業員の入社・退職時の取扱いについてはこれから関わる人事の方も多いはず。担当者だけでなく、経営陣含めた社内教育を定期的に行っていきましょう。

カテゴリ
人事・労務管理
労働契約と就業規則