個人事業主は、マイナンバーを含む特定個人情報の取り扱いには注意が必要です。漏洩対策を取らずにうっかり漏れてしまうと、会社にも罰則が与えられ会社のイメージも下がります。特定個人情報保護委員会も不正使用には目を光らせています。
預かった個人情報の保管にヒヤヒヤ
と言うのも、マイナンバー(個人番号)は多額の予算と人材を投入して国が開発し、将来多方面で有効活用していく基幹システムの根本なので、流出によるトラブルは運用面で致命的なダメージを与えるからです。
一部の社員が不正に入手した個人の住所や氏名、電話番号、アドレスなどの情報とは重要度が全く異なるからです。
従業員が特定個人情報を名簿屋に売却してしまうと
もしも、従業員が個人情報つきの番号を名簿屋に売却したことが分かると、従業員は4年以下の懲役、200万円以下の罰金刑のどちらか、または両方を科されることになります。
さらに、両罰規定があり、従業員が罪を犯すと、会社も200万円以下の罰金刑を科されるのです。
従業員が故意に情報を盗むことに対して、罰則が厳しくなっています。ただ、安全管理措置を講じていたのに、うっかり事故を起こしてしまった場合にまで、直ちに罰則があるわけではありません。
特定個人情報保護委員会
マイナンバーの取り扱いには注意が必要であることは、充分認識されています。
しかし、もし故意に漏れてしまうようなことに関する事案については、特別の委員会が設置されているのです。
マイナンバーの不適切な取り扱い(適切な取扱い体制を整えていないことを含む)について、外部通報並びに従業員からの内部通報を受け付ける「特定個人情報保護委員会」を内閣府の外局(内閣総理大臣所管)として設置したことです。
この「特定個人情報保護委員会」は、特定個人情報の取り扱いに関して違反行為をした者に対して、期限を定めて違反行為の中止、その他違反を是正するために必要な措置を取るべき旨を勧告することができるとされています。
さらに、勧告を受けた者が正当な理由がなく勧告にかかわる措置を取らなかった場合は、期限を定めて勧告にかかわる措置を取るべきことを命ずることができます。また違反行為が行われた場合において、個人の重大な権利を害する事実があるため、緊急に措置を取る必要があると認められるときは、違反行為をした者に、期限を定めて違反行為の中止その他の違反を是正するために必要な措置を取るべき旨を命ずることができるとされています。
問題企業に対する立入調査権、警察への告発権限もあります
特定個人情報を取り扱う関係者に対し、必要な報告もしくは資料の提出を求めたり、委員会の職員に直接事務所等に立ち入らせ、質問や帳簿書類その他の物件を検査することができます。この立入検査権は、これまでの個人情報保護法では存在していなかった強力な権限で、特定個人情報の取り扱い上、何らかの違反行為が疑われると、いきなり委員会が踏み込んでくるという企業にとっては大変な混乱を招く事態が引き起こされます。さらに恐ろしいのは、特定個人情報保護委員会はマイナンバーについて何も対策を行っていない(適切な取扱い体制を整えていないことを含む)民間企業の代表者を警察へ告発する権限を有しているということです。
今回の制度は国の権力と威信にかけて国の所有物である「マイナンバー」を全国民に発行し、今後50年、100年と恒久的に国の基幹システムとして使用していこうとするものでありますから、「個人情報保護法」の時とは、官僚の本気度が全く違うことの表れです。
したがって、恐らく施行後、刑罰を課される社長さんが続出し、「こんなはずじゃなかった・・・」という事態が続出すると思われます。今後のマイナンバー制の安定的な運用のためにも、国のプライドに掛けて、本気でマイナンバー情報を流出させた(流出させる危険性のある)会社の経営者を摘発するでしょう。
個人情報保護委員会の業務とは
個人情報保護委員会は、個人情報(マイナンバー(個人番号)を含む。)の有用性に配慮しつつ、その適正な取扱いを確保するために設置された独立性の高い機関です。
具体的には、個人情報保護法及びマイナンバー法に基づき、次のような業務を行っています。1.特定個人情報の監視・監督に関すること
特定個人情報の取扱者に対して、必要な指導・助言や報告徴収・立入検査を行い、法令違反が あった場合には勧告・命令等を行う。
2.苦情あっせん等に関すること
特定個人情報の取扱い等に関する苦情の申出についての必要なあっせんを行うため、苦情斡旋相談窓口を設置して相談を受け付けます。
3.特定個人情報保護評価に関すること
マイナンバー(個人番号)を利用する行政機関等が、総合的なリスク対策を自ら評価し公表する特定個人情報保護評価を行う際の内容や手続を定めた指針の作成等。
4.個人情報の保護に関する基本方針の策定・推進
官民の個人情報の保護に関する取組の推進。
5.国際協力
個人情報の保護に関する国際会議へ参加するほか、海外の関係機関と情報交換を行い、協力関 係の構築に努める。
6.広報・啓発
パンフレット、ウェブサイト、説明会等を活用した広報・啓発活動。
7.その他
委員会の所掌事務の処理状況を示すための国会報告や必要な調査・研究等。
もう一度確認、特定個人情報を提供できる場合とは
事業主が従業員に対して個人番号の提供を求めることとなるのは、社会保障、税、災害対策に関する特定の事務の場合です。具体的には1)個人番号利用事務実施者から提供される場合
例えば、個人番号利用事務実施者である市区町村長は、住民税を徴収(個人番号利用事務)するために、事業者に対し、その従業員等の個人番号と共に特別徴収税額を通知することができます。
2)個人番号関係事務実施者から提供される場合
市区町村長が法令に基づき、行政機関等、健康保険組合等又はその他の者に特定個人情報を提供することが認められている場合。
3)本人又は代理人からの提供される場合
例えば、給与の源泉徴収事務、健康保険・厚生年金保険届出事務等のために、個人番号関係事務実施者である事業者に対し、自己又はその扶養親族の個人番号を書類に記載して提出する必要がある場合。
4)委託、合併に伴う提供される場合
例えば、事業者が、源泉徴収票作成事務を含む給与事務を子会社に委託する場合。および甲社が乙社を吸収合併したとき、吸収される乙社はその従業員等の個人番号を含む給与情報等を存続する甲社に提供する場合。
5)情報提供ネットワークシステムを通じた提供される場合
行政機関等及び健康保険組合等の間で、情報提供ネットワークシステムを使用して特定個人情報の提供を行う場合。
健康保険組合等以外の事業者は、情報提供ネットワークシステムを使用することはありません。
6)委員会からの提供を求められた場合
7)各議院審査等その他公益上の必要があるときの提供される場合
・各議院の審査、調査の手続に必要な場合
・訴訟手続その他の裁判所における手続に必要な場合
・裁判の執行に必要な場合
・刑事事件の捜査に必要な場合
・租税に関する法律の規定に基づく犯則事件の調査に必要な場合
・会計検査院の検査に必要な場合
・公益上で必要な場合 など
8)人の生命、身体又は財産の保護のための提供される場合
人の生命、身体又は財産の保護のために必要がある場合において、本人の同意があり、又は本人の同意を得ることが困難であるときは、特定個人情報を提供することが認められています。 例えば、客が小売店で個人番号カードを落としていった場合、その小売店は警察に遺失物として当該個人番号カードを届け出ることができます。
特定個人情報の適正な取扱いに関するガイドライン(事業者編)Q&A 平成27年10月5日更新
特定個人情報の適正な取扱いに関するガイドラインに関するQ&Aが更新されています。
詳細については、個人情報保護委員会のガイドラインをご参照ください。項目を箇条書きにまとめました。
事業者編
1:個人番号の利用制限
2:特定個人情報ファイルの作成の制限
3:委託の取扱い
4:個人番号の提供の要求
5:個人番号の提供の求めの制限、特定個人情報の提供制限
6:収集・保管制限
7:個人情報保護法の主な規定
8:個人番号利用事務実施者である健康保険組合等における措置等
9:その他
【(別添)安全管理措置】
10:安全管理措置の検討手順
11:講ずべき安全管理措置の内容
12:基本方針の策定
13:取扱規程等の策定
14:組織的安全管理措置
15:物理的安全管理措置
【(別冊)金融業務】
16:個人番号の利用制限
17:個人番号の提供の要求
18:個人番号の提供の求めの制限、特定個人情報の提供制限
19:安全管理措置
特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及び「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」 に関するQ&A(平成26年12月11日)(平成27年10月5日更新)
http://www.ppc.go.jp/legal/policy/faq/