《重い罰則》こんなに重要なことなんだ。企業のマイナンバーの取り扱い。

マイナンバーの最大のリスクは情報漏えいです。企業は管理する側になります。漏えいや盗用には重い罰則がかせられます。しかし、漏洩するつもりが無くてもマイナンバー取り扱いには気をつけないと罰則を受けることになりますので注意が必要になります。

マイナンバーの最大のリスクは情報漏えいです。
企業は管理する側になります。漏えいや盗用には重い罰則がかせられます。
しかし、漏洩するつもりが無くてもマイナンバー取り扱いには気をつけないと罰則を受けることになってしまうのです。
マイナンバーの管理は罰則を受けることもあるという心構えが必要になります。

マイナンバーは大切な個人情報です。

内部犯行 - Google 検索 (25443)

マイナンバーは、一生使うものです。番号が漏えいし、不正に使われるおそれがある場合を除き、一生変更されませんので、大切にしてください。
マイナンバーは個人情報の一種である「特定個人情報」です。
特定個人情報とは、一言で言うと「マイナンバーを内容に含む個人情報」です。
個人情報よりも厳重な位置づけにあり、大小問わず全ての企業や個人事業主に
厳格な情報管理体制が義務付けられます。
マイナンバーは「特定個人情報」なんですね。

だからこそ、丁重に扱わなくては悪用される可能性があるのです。

自分自身がわざと漏洩したのでなくても罰則があります。

他人のマイナンバーを不正に入手することや、他人のマイナンバーを取り扱う者がマイナンバーや個人の秘密が記録された個人情報ファイルを不当に提供することは、処罰の対象となります。
社内ネットワークに対する定期的なセキュリティチェックを行っていなかったため、パソコンがウイルスに感染し、第三者に個人情報が漏えいした場合。
個人データに対してアクセス制御が実施されておらず、アクセスを許可されていない従業員がそこから個人データを入手して漏えいした場合。
個人データが、システム障害や人為的ミスにより消去され、バックアップも取られておらず、結果的に個人データを復旧できなかった場合。
実力行使によるマイナンバーの取得にも当然罰則が規定されています。この場合は、「3年以下の懲役」または「150万円以下の罰金」が科されます。
自分はわざと漏洩したのではない!という「うっかり」や「おどされただけ」でも

罰則はかせられます。

わざとではない・・・では許されないのです。

預かったマイナンバー漏洩で4年以下の懲役も。

内部犯行 - Google 検索 (25442)

たとえ公的機関の職員であっても、正当な目的がない場合にはマイナンバーを取り扱うことはできません。職務とは無関係で個人情報を収集したり閲覧したりすれば、これは明らかな職権乱用です。
この場合は、「2年以下の懲役」または「100万円以下の罰金」が科されます。
企業にとって重要な点が「特定個人情報」(12桁の個人番号=マイナンバーそのものと、マイナンバーに紐付けた氏名や従業員番号などの情報)が漏洩した際に、新たな罰則規定が設けられていることです。
 2001年に個人情報保護法が制定し、国内でもセキュリティ対策は一斉に強化されてきましたが、マイナンバー制度の施行に伴う特定個人情報の漏洩については、既存の個人情報保護とは次元の違う罰則となっています。
 たとえば、もっとも重い刑事罰は「4年以下の懲役または200万円以下の罰金」もしくはその両方を科せられます。経営者は正面からこの点を検討しておかないと、特定個人情報の漏洩により、事業継続にも影響が出ることにもなりかねません。
 「セキュリティ対策は生産性を生まないコストだから」という言い訳が通用しないマイナンバー制度の施行が目前に迫っているのです。
思った以上に重い罰則が設けられていますね。

罰則には物事を牽制する力もあります。

こうなりたくなければ・・・と管理者には言い聞かせ、管理の徹底を心がけましょう。

罰則の根拠となる2つの法律。

内部犯行 - Google 検索 (25444)

(1)個人情報保護法

個人情報保護法(正式名:「個人情報の保護に関する法律」)は、平成17年4月から施行されている法律です。国民のプライバシーを守るために、個人情報を取り扱う業者がそれらの情報を厳格に管理することが求められています。
マイナンバーは新しい制度ですが、マイナンバーも個人情報の一種ですので、個人情報保護法の適用範囲となります。ただし、マイナンバーの取り扱いに関する罰則を直接規定しているものではありません。

マイナンバー法

マイナンバー法(正式名:「行政手続における特定の個人を識別するための番号の利用等に関する法律」)は平成25年に公布された法律です。完全施行はマイナンバーのスタート時に行われる予定です。
こちらは文字どおりマイナンバーのために作られた法律ですので、より限定的にマイナンバーに関するルールが取り決められています。
マイナンバーが漏えいした際の罰則も、このマイナンバー法によって規定されています。刑罰は全体的に個人情報保護法よりも重くなります。

特に内部犯行に注意しなければならない。

内部犯行 - Google 検索 (25441)

特定個人情報が漏洩するロジックは、本連載でも解説してきた「外部犯行」(端末をウイルス感染などさせ制御を奪い、不正アクセスなどを実行する犯行)もありますが、「内部犯行」(組織内の権限のある人間が意図的に情報をサーバなどから窃取する)による漏洩ケースの方の多いのではと推察しています。
犯罪行為の事実を発見し、漏洩していない事を“証明”するという点です。発見する為にはモニタリングを行い、その対象はネットワークインフラで既に稼働している機器群の「ログ(記録)」になります。
 端末の操作ログなども重要ですが、それだけでは把握ができない外部犯行による漏洩なども考慮する必要があります。
 さらにそのログを踏まえ、漏洩の事実を時系列的にトレースし、捜査機関が理解して納得出来るレベルの証明が求められるでしょう。
 ここまで読むと、「外部犯行対策もままならないのに、内部犯行対策まで考慮する事は現実的に不可能ではないか」との声が聞こえてきそうですが、現状のセキュリティ対策の思考ではその通りです。