特定個人情報に含まれるマイナンバーは、行政の効率化や国民の利便性の向上、公平・公正な社会の実現に向けて活用される重要な個人番号です。それだけに、この情報が漏えいすることは、制度の運用にとって大きな問題です。
個人情報とは? 特定個人情報とは? 再確認しておきましょう!
個人情報保護法では、保護が必要な情報を「個人情報」、「個人データ」、「保有個人データ」の3つの概念に分けています。
3つの概念ごとに、実施しなくてはならない義務が定められています。個人情報よりも個人データ、個人データよりも保有個人データの方が、守るべき義務が増えていきます。
それぞれを、簡単に述べると、
①個人情報
生存する特定の個人を識別できる情報です。(名前、住所、年齢、注文商品など)
②個人データ
個人情報をソフトに入力してデータベースにして検索ができるようにしたもの。
③保有個人データ
個人データの開示、訂正、消去等の権限を有し、かつ6か月を越えて保有するもの。
ということができます。
この3つの概念に、マイナンバーの情報が盛り込まれました。
④特定個人情報
マイナンバー(個人番号)を含む個人データのことを、特定個人情報と言います。
万一、特定個人情報が漏れることが発覚し、それによって重大な被害が想定される時は、すぐさま個人情報保護委員会への報告と被害防止対策を講じることが急務です。
どこに連絡をするのか、重大事態とはどのような状況なのか、以下に解説します。
特定個人情報が漏れた時の対応について規則が改正されました
平成28年1月1日から改正番号法の施行に伴い、平成27年12月25日に「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」(平成27年特定個人情報保護委員会規則第5号)が制定されました。
併せて、
「行政機関における特定個人情報の漏えい事案等が発生した場合の対応について」、
「独立行政法人等及び地方公共団体等における特定個人情報の漏えい事案等が発生した場合の対応について」及び
「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」も改正されました。
漏れた情報の重要性については次に「重大事態」として定義されています。
重大事態とは
重大事態又はそのおそれのある事案が発覚した時点で、直ちに個人情報保護委員会に報告します。(第一報)
「重大事態」とは、以下の場合を指します。
① 情報提供ネットワークシステム又は個人番号利用事務を処理する情報システムで管理される特定個人情報の漏えい等が起きた場合。
② 漏えい等した特定個人情報の本人の数が101人以上である場合
③ 電磁的方法によって、不特定多数の人が閲覧できる状態となった場合
④ 職員等(従業員等)が不正の目的で利用し、又は提供した場合【報告の方法】
重大事態又はそのおそれのある事案が発覚した場合は、まずは個人情報保護委員会あてにFAXで報告します。
FAX:03-3582-8286
その後、事実関係や再発防止策等について、規則に基づき、個人情報保護委員会に報告することとなります。(規則第3条)
【報告の方法】
規則に基づく報告は、郵送で報告してください。
宛先: 〒107 – 0052
東京都港区赤坂1-9-13 三会堂ビル8階
漏えいのヒヤリハット事例
1.住民票(写)の「個人番号」欄に記載されている番号が、マイナンバー(個人番号)であることを知らずに、住宅ローンの申込みのために金融機関に提出しようとした。2.個人ローンの申込のため、金融機関から住民票の提出を求められ、マイナンバー(個人番号)の記載された住民票(写)の交付を申し込んでしまった。
など、住民票や源泉徴収票などの公的書類に、マイナンバーが記載されていることをつい忘れて利用してしまった場合です。マイナンバーが必要ない場合は、マイナンバーが記載されない書類を請求します。。市役所等の窓口で受け取る書類は、マイナンバー記載の有無を確認するよう習慣づけることも大切です。
もしマイナンバーが記載された住民票(写)を受け取ってしまった時に、金融機関等に提出する場合は、マイナンバー部分をマスキング(マジックインキなどで塗りつぶす)して提出します。
重大事態でない事案の場合の報告について
(1)個人情報取扱事業者並びに個人情報取扱事業者以外の事業者(主務大臣のガイドライン等に従う場合)が漏えいを起こした場合
→主務大臣(認定個人情報保護団体)又は地方公共団体の長等(主務大臣のガイドライン等に報告先として規定されている場合)に報告します。(2)個人情報取扱事業者(主務大臣が明らかでない場合又は報告する主務大臣を直ちに特定できない場合)が漏えいを起こした場合
→個人情報保護委員会に報告します。(3)個人情報取扱事業者以外の事業者
→個人情報保護委員会に報告します。しかし、個人情報取扱事業者以外の事業者が報告を要しないケースがあります。それは次の①~④全てに当てはまる場合です。
① 影響を受ける可能性のある本人全てに連絡した場合
(本人への連絡が困難な場合には、本人が容易に知り得る状態に置くことを含む。)
② 外部に漏えいしていないと判断される場合
③ 事実関係の調査を了し、再発防止策を決定している場合【報告の方法】
委員会へ直接報告する事案が発生した場合は、郵送で報告します。
宛先: 〒107 – 0052
東京都港区赤坂1-9-13 三会堂ビル8階
個人情報取扱事業者についても、もう一度確かめます
「個人情報取扱事業者」って誰のことでしょうか?
2015年12月の改正では、個人情報保護法上の義務を負う「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者です。
しかし、現実には、ほとんどの事業者がこの定義に該当すると考えられます。個人事業主や、NPO等の非営利組織であるからと言って、法律上の義務の対象にならないわけではありません。分かりやすく言うと、情報処理やソフトウェア開発等をしている会社ばかりが対象ではありません。
メールソフトのアドレス帳、仕事で使う携帯電話の電話帳、ソフトウェア等でリスト化された従業者や顧客台帳、五十音順に整理してインデックスを付してファイル化した登録カードなど。
さらには、氏名、住所、企業別に分類されている市販の人名録など。
これらを業務に利用している会社は「個人情報取扱事業者」となります。また、法人には限定されないので個人事業主も、営利か非営利かも問わないのでNPOなども「個人情報取扱事業者」となります。
特定個人情報の漏えいが発覚した場合の対応
漏えいが発覚した場合の講ずべき措置は、
(1) 事業者内部における報告、被害の拡大防止
→責任ある立場の者に直ちに報告するとともに、被害の拡大を防止する。
(2) 事実関係の調査、原因の究明
→事実関係を調査し、番号法違反又は番号法違反のおそれが把握できた場合には、その原因の究明を行う。
(3) 影響範囲の特定
→(2)で把握した事実関係による影響の範囲を特定する。
(4) 再発防止策の検討・実施
→(2)で究明した原因を踏まえ、再発防止策を検討し、速やかに実施する。
(5) 影響を受ける可能性のある本人への連絡等
→事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係等について、速やかに、本人へ連絡し、又は本人が容易に知り得る状態に置く。
(6) 事実関係、再発防止策等の公表
→事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点から、事実関係及び再発防止策等について、速やかに公表する。
その後、速やかに報告することになります。
まずは、決められた公的書類への記載以外は、マイナンバーの使用はありません。