もしも従業員のマイナンバーを漏洩させてしまったら？

個人情報保護法には、行政機関の命令に従わない場合に初めて刑事罰が適用されるという間接的な罰則規定しか置かれていません。しかし、マイナンバー法では、行政命令等を経ることなく直ちに刑事罰の適用がある直罰規定が置かれています。
　この点にまず、罰則の厳しさがみてとれます。

　法定刑の重さについても、マイナンバー法は厳しい内容となっています。

　例えば、個人番号利用事務に従事する者が、正当な理由なく、個人の秘密に属する事項が記録された特定個人情報ファイル（マイナンバーをその内容に含む個人情報ファイル）を提供した場合には、最高で４年以下の懲役刑が科されます。

　原則として、不正行為を行った従業員個人に対して罰則が科されますが、両罰規定というものが置かれているものもあり、会社にも罰金刑が科される場合があります。

損害賠償請求については、管理していた会社に対する使用者責任や監督責任の追及がそれに該当します。

　もともと個人情報や住民基本台帳に関する情報漏えいの場合は、おおよそ1件あたり15,000円というのが相場観となっていますが、マイナンバーは現時点でその価値を正確に想定するのは難しい状況です。

　それでも、所得に関する情報や健康に関する情報が紐づいている番号だけに、前述の相場は大きく崩れる可能性は十分考えられます。

今回のマイナンバー制度について注意すべきは、今回日本政府はマイナンバーの不適切な取り扱い（適切な取扱い体制を整えていないことを含む）について、外部通報並びに従業員からの内部通報を受け付ける「特定個人情報保護委員会」を内閣府の外局（内閣総理大臣所管）として設置したことです。

恐らく、この特定個人情報保護委員会が設置された意味を９９％の会社の社長さんたちは理解しておりません。

この「特定個人情報保護委員会」は、特定個人情報の取り扱いに関して違反行為をした者に対して、期限を定めて違反行為の中止、その他違反を是正するために必要な措置を取るべき旨を勧告することができるとされています。さらに、勧告を受けた者が正当な理由がなく勧告にかかわる措置を取らなかった場合は、期限を定めて勧告にかかわる措置を取るべきことを命ずることができます。また違反行為が行われた場合において、個人の重大な権利を害する事実があるため、緊急に措置を取る必要があると認められるときは、違反行為をした者に、期限を定めて違反行為の中止その他の違反を是正するために必要な措置を取るべき旨を命ずることができるとされています。

◆ある意味もっとも怖いレピュテーションリスク

さらに無視できないのがレピュテーションリスクです。近時、個人情報が漏えいした場合に社会的信用に傷がつき、顧客からの解約が相次いだり、客足が遠のいたりする結果、莫大な損害が生じるケースが見受けられますが、これはマイナンバー情報の漏えいの場合も同様です。

Ｑ5－4　税の情報や社会保障の情報を同じ番号で管理すると、マイナンバーが漏えいしたときに、それらの情報も芋づる式に漏えいしてしまうのではないですか？
Ａ5－4　マイナンバー制度では、①個人情報が同じところで管理されることはありません。例えば、国税に関する情報は税務署に、児童手当や生活保護に関する情報は市役所に、年金に関する情報は年金事務所になど、これまでどおり情報は分散して管理されます。②また、役所の間で情報をやり取りする際には、マイナンバーではなく、役所ごとに異なるコードを用いますので、一か所での漏えいがあっても他の役所との間では遮断されます。　したがって、仮に一か所でマイナンバーが漏えいしたとしても、個人情報が芋づる式に抜き出せない仕組みとなっています。（2015年6月回答）