個人情報の集積体であるマイナンバーは罰則がとても重いです。
従業員のマイナンバーの取り扱いには注意しなければなりません。
経営者が注意していても、従業員が情報を漏えいさせてしまう場合もあります。
経営者が注意していても、従業員が情報を漏えいさせてしまう場合もあります。
マイナンバーの安全管理措置
事業者は、マイナンバー及び特定個人情報の漏えい、滅失又は毀損の防止その他の適切な管理のために、必要かつ適切な安全管理措置を講じなければなりません。また、従業者に対する必要かつ適切な監督を行わなければなりません。
マイナンバー制度の罰則(第8章 第62条~第72条)
会社のパソコン内に入ったマイナンバーリストを、会社の従業員がUSBに保存して持ち帰り、高く売り飛ばす。または本人に成りすます。など悪用しようとすればどこまでもできてしまうマイナンバー制度。なのでこのような厳しい罰則が設けられています。
1. 正当な理由なく特定個人情報ファイルを提供した場合
4年以下の懲役か200万円以下の罰金又はこれらの併科2. 不正利益目的で個人番号を提供・盗用・漏えいした場合
3年以下の懲役か150万円以下の罰金又はこれらの併科3. 人をあざむく、暴行、施設への侵入など不正行為で個人番号を取得した場合
3年以下の懲役又は150万円以下の罰金4. 偽りなどの不正手段により個人番号カードを取得した場合
6ヶ月以下の懲役又は50万円以下の罰金
上記の様に、「個人情報保護法」よりも厳しい罰則があります。
違反者は執行猶予なしの実刑になることもあるという。
個人認識番号を管理しなければなりません。
違反者は執行猶予なしの実刑になることもあるという。
個人認識番号を管理しなければなりません。
マイナンバー制度罰則についての対応
不正流出など故意ではなく、過ってマイナンバーを漏えいさせた場合、刑事罰の対象とはなりませんが、漏えいの状況により、改善の指導や勧告を受ける可能性があります。
万が一、マイナンバーが漏えいした場合、会社は、どのように対応したらいいでしょうか。(1)報告義務
まず、漏えいが起きた場合、主務大臣などに報告をする必要がありますが、事業者によって報告の経路が異なります。個人情報取扱事業者の場合、主務大臣へ、個人情報取扱事業者ではない場合や主務大臣が明らかではない場合は、特定個人情報保護委員会へ報告することになります。
一方、全ての漏えいが報告対象となっているわけではありません。以下の全てにあてはまる場合はそれほど影響が大きくないと考えられるため、報告までは求められていません。
・影響を受ける可能性のある本人に連絡した場合
・外部に漏えいしていない場合
・従業員等の不正目的での漏洩ではない場合
・調査により事実関係が明らかになり、再発防止策をたてた場合
・特定個人情報の本人の数が100人以下の場合(2)漏えい後の対策
会社は、特定個人情報が漏えいした場合に、
・内部での報告と被害の防止拡大
・事実関係の調査、原因の究明
・影響範囲の特定
・再発防止策の検討・実施
・影響を受ける可能性のある本人への連絡等
・事実関係、再発防止策等の報告・公表
といった措置をとることにより、被害の拡大を最小限にする必要があります。
情報漏えいの対策
個人情報は厳重に管理していても、情報漏えいは度々起こっています。マイナンバーが流出しない、しっかりとした対策が必要です。
ルールに基づいた管理が必要になります。「取得」、「利用」、「保存」、「提供」、「削除・廃棄」それぞれの管理段階でのルールや、組織的・人的・物理的・技術的という視点からの安全管理措置を定め、運用をする必要があります。
企業向けマイナンバー制度ガイドライン
ガイドライン資料集
特定個人情報保護委員会におけるガイドライン資料集
via stat.ameba.jp
