思ったよりも重たい？「マイナンバー」で漏洩・・罰則ってどれくらい？

マイナンバーは、住民票を有する全ての方に１人１つの番号を付して、社会保障、税、災害対策の分野で効率的に情報を管理し、複数の機関に存在する個人の情報が同一人の情報であることを確認するために活用されるものです。

個人識別のための12桁の番号が個人1人に1つ、法人識別のための13桁の番号が1社に1つ割り振られますが、その番号の総称を「マイナンバー」と呼びます。この番号は、一生涯変わる事がなく、また、悪用の恐れがあるなどの特別な事情がない限り、変更も出来ません。

人が亡くなった場合や法人が閉鎖した場合、その番号は再利用されず、いわば永久欠番となります。そして、本人以外の勝手な利用禁止を法律で厳格に定め、厳しい罰則もありますので、大事に取り扱って下さい。

国の行政機関や地方公共団体などにおいて、マイナンバーは、社会保障、税、災害対策の分野で利用されることとなります。
　 このため、国民の皆様には、年金・雇用保険・医療保険の手続、生活保護・児童手当その他福祉の給付、確定申告などの税の手続などで、申請書等にマイナンバーの記載を求められることとなります。
　 また、税や社会保険の手続きにおいては、事業主や証券会社、保険会社などが個人に代わって手続きを行うこととされている場合もあります。このため、勤務先や証券会社、保険会社などの金融機関にもマイナンバーの提出を求められる場合があります。

民間企業は、従業員の健康保険や厚生年金の加入手続を行ったり、従業員の給料から源泉徴収して税金を納めたりしています。また、証券会社や保険会社等の金融機関でも、利金・配当金・保険金等の税務処理を行っています。平成２８年１月以降（厚生年金、健康保険は平成２９年１月以降） は、これらの手続を行うためにマイナンバーが必要となります。そのため、企業や団体にお勤めの方や金融機関とお取引がある方は、勤務先や金融機関にご本人やご家族のマイナンバーを提示する必要があります。
　 また、民間企業が外部の方に講演や原稿の執筆を依頼し、報酬を支払う場合、報酬から税金の源泉徴収をしなければいけません。そのため、こうした外部の方からもマイナンバーを提供してもらう必要があります。

特定個人情報が漏洩するロジックは、本連載でも解説してきた「外部犯行」（端末をウイルス感染などさせ制御を奪い、不正アクセスなどを実行する犯行）もありますが、「内部犯行」（組織内の権限のある人間が意図的に情報をサーバなどから窃取する）による漏洩ケースの方の多いのではと推察しています。

「外部犯行対策もままならないのに、内部犯行対策まで考慮する事は現実的に不可能ではないか」との声が聞こえてきそうですが、現状のセキュリティ対策の思考ではその通りです。

　特定個人情報の保護に関しては、経営陣が先導に立ち、外部犯行と内部犯行の対策を真剣に考えなければ、漏洩による罰則規定に抵触するリスクが高まります。特定個人情報保護に関しては、情報を取り扱うすべての企業や機関が該当するため、企業規模の大小は関係はありません。マイナンバーを預かるすべての組織が対策を講じることが求められます。

　一方で、内部犯行対策を強化することは、必然的に外部犯行（いわゆる標的型攻撃対策）にもきわめて有効に働きます。対策のプロセスさえ間違えなければ、抜本的な対策強化につながります。

企業にとって重要な点が「特定個人情報」（12桁の個人番号＝マイナンバーそのものと、マイナンバーに紐付けた氏名や従業員番号などの情報）が漏洩した際に、新たな罰則規定が設けられていることです。

　2001年に個人情報保護法が制定し、国内でもセキュリティ対策は一斉に強化されてきましたが、マイナンバー制度の施行に伴う特定個人情報の漏洩については、既存の個人情報保護とは次元の違う罰則となっています。

　たとえば、もっとも重い刑事罰は「4年以下の懲役または200万円以下の罰金」もしくはその両方を科せられます。経営者は正面からこの点を検討しておかないと、特定個人情報の漏洩により、事業継続にも影響が出ることにもなりかねません。

　「セキュリティ対策は生産性を生まないコストだから」という言い訳が通用しないマイナンバー制度の施行が目前に迫っているのです。

1. 正当な理由なく特定個人情報ファイルを提供した場合
4年以下の懲役か200万円以下の罰金又はこれらの併科

2. 不正利益目的で個人番号を提供・盗用・漏えいした場合
3年以下の懲役か150万円以下の罰金又はこれらの併科

3. 人をあざむく、暴行、施設への侵入など不正行為で個人番号を取得した場合
3年以下の懲役又は150万円以下の罰金

4. 偽りなどの不正手段により個人番号カードを取得した場合
6ヶ月以下の懲役又は50万円以下の罰金

この他、国や地方公共団体，会社，個人事業主など個人番号を取り扱う機関が情報漏えいした場合や，特定個人情報保護委員会の検査拒否、虚偽申告などの場合にも罰則があります。マイナンバーについての罰則は、個人情報保護法など他の関係法律の罰則よりも厳しいものとなっています。

実は法曹の世界では4年という数字には意味があります。法令上、3年を超えると執行猶予がつけられないとされており、あまりに悪質な事案であれば執行猶予のない実刑もあり得るということのメッセージだと理解すべきです。

　それぐらい重い刑事罰で対処するという意思の表れだと考えられます。企業には懲役刑があるわけではありませんが、両罰規定によって重い罰金刑が科される可能性は十分考えられます。

従業員が退職するなどマイナンバーがその企業にとって不要になった場合は、原則として7年間厳重に保管した上で復元不可能な形で破棄するというルールも定められています。

　つまり、従業員が入社してから退社した後も厳格な管理が必要となるのです。

前提としては、故意に番号を不正取得した場合に処罰するという故意犯処罰の原則に則っており、過失での情報漏えいはこの限りではありません。

　この刑事罰については、不正行為を行った従業員に対してのものになりますが、雇用している企業に対しても罰金刑が科せられる両罰規定も存在しています。

　一度漏えいしてしまうと取り返しのつかない情報だからこそ、重い刑罰をもって対応するということが明確に示されているのです。

ずさんな安全管理措置がなされている場合は、企業名を公表して是正を促すということも場合によっては考えられます。

　最後のレピュテーションはあえて言う必要もないと思いますが、社会からの信用を失うことに対するダメージは計り知れないものです。近時の大手企業の情報漏えい事件の例を見ても明らかな通り、漏えい発覚後ユーザーからの解約が相次ぐケースもある等、その損害額は甚大と言えます。