マイナンバーを情報漏洩すれば厳しい罰則が科されると言われて恐怖感が先行していますが、実際のところうっかり漏えいしただけで罰則が適用されるというわけではないようです。マイナンバーの罰則についてきちんと理解した上で対策しましょう。
不注意で漏えいしても罰則が科されることはない?
マイナンバーのセミナー中、たいへん関心の高い内容が情報漏洩に関するものです。最初に「番号情報が不注意で漏洩した場合、罰則はありません。刑事罰があるのは故意犯の場合です。不注意で漏れたときに、担当者が業務上の過失を問われたり、総務部長のような上司が管理監督責任を問われることはない」と話すと、みなさん一斉にメモを取られます。
さすがに悪意なくうっかり漏えいしてしまった場合にまで刑事罰を科すことはできないようです。
ただし不注意でも民事責任は問われるかも!
via img.yaplog.jp
次に、損害賠償責任という民事的なリスクがあります。刑事罰は、故意がない場合には科されませんが、民事上の損害賠償については、過失であっても責任を負うリスクがあります。
従業員の過失による漏えいが起きた場合には、使用者責任が問題とされ、会社に対する損害賠償責任が追及されるリスクがあります。
何より安全管理措置を講じずに情報漏えいが起こった場合、法的な処罰以上に企業にとって痛手となるのは、「企業の評判」を失うことではないでしょうか。社会、取引先、何より社員からの信頼を失いますから、しっかりと管理を行いましょう。
不注意でも損害賠償などの民事責任や報道による企業評判の失墜はあり得るため、うっかりでも情報漏洩することがないよう対策を講じるべきです。
故意の場合は刑事罰!特に注意すべきは社員による情報漏洩!
ミラサポ事務局:マイナンバー制度のリスクとしては、どのような事が考えられるのでしょうか。影島弁護士:「従業員が個人情報つきの番号を名簿屋さんに売却する」などでしょうか。この場合、4年以下の懲役、200万円以下の罰金刑のどちらか、または両方を科されます。また、両罰規定があり、従業員が罪を犯すと、会社も200万円以下の罰金刑を科されます。
一方、故意に個人番号を横流しした場合は、横流しした担当者に刑事罰が科せられ、会社も罪に問われて社長が裁判所に出廷することもありえます。
マイナンバー法には両罰規定があるため、故意にマイナンバーを流出させた場合、横流しした本人だけでなく会社や経営者も責任を問われることになります。
行政対応にコストがかかることも?
情報漏洩すれば対応にコストがかかります!場合によっては報告義務も!
1.特定個人情報の漏えい事案等が発覚した場合に講ずべき措置 事業者は、その取り扱う特定個人情報(委託を受けた者が取り扱うものを含 む。以下同じ。)について、漏えい事案その他の番号法違反の事案又は番号法 違反のおそれのある事案が発覚した場合には、次の事項について必要な措置を
講ずることが望ましい。
(1) 事業者内部における報告、被害の拡大防止
責任ある立場の者に直ちに報告するとともに、被害の拡大を防止する。
(2) 事実関係の調査、原因の究明
事実関係を調査し、番号法違反又は番号法違反のおそれが把握できた場合
には、その原因の究明を行う。
(3) 影響範囲の特定 (2)で把握した事実関係による影響の範囲を特定する。
(4) 再発防止策の検討・実施 (2)で究明した原因を踏まえ、再発防止策を検討し、速やかに実施する。
(5) 影響を受ける可能性のある本人への連絡等 事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点か
ら、事実関係等について、速やかに、本人へ連絡し、又は本人が容易に知り
得る状態に置く。
(6) 事実関係、再発防止策等の公表
事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点か ら、事実関係及び再発防止策等について、速やかに公表する。
○ 重大事態又はそのおそれのある事案が発覚した時点で、直ちに個人情報 保護委員会へ報告してください。(第一報)
(注) 「重大事態」とは、以下の場合を指します。
1 情報提供ネットワークシステム又は個人番号利用事務を処理する情報システムで管理される特定個人情報の漏えい等が起きた場合。
2 漏えい等した特定個人情報の本人の数が101人以上である場合
3 電磁的方法によって、不特定多数の人が閲覧できる状態となった場合
4 職員等(従業員等)が不正の目的で利用し、又は提供した場合
場合によっては立入検査が入ることも!
個人情報保護委員会の存在も気になるところです。委員会が安全管理措置を怠ったと判断すると、その会社は勧告・命令の対象となります。委員会は公正取引委員会と同レベル(内閣府外局の第三者機関)に位置づけられ、民間企業に対する立入検査権が認められています。どんな検査を行うかはまだ不明ですが、私は立入検査をある程度積極的に行うと見ています。とくに気をつけたいのは大企業。多くの大企業は、早くからマイナンバー対策チームを立ち上げて対応していますが、仮に「立ち入り第1号」となれば、会社の受けるダメージは計り知れないほど大きなものになるでしょう。
委員会は、特定個人情報の取り扱いに関して違反行為をした者に対して、期限を定めて違反行為の中止、その他違反を是正するために必要な措置を取るべき旨を勧告することができるとされています。さらに、勧告を受けた者が正当な理由がなく勧告にかかわる措置を取らなかった場合は、期限を定めて勧告にかかわる措置を取るべきことを命ずることができます。また違反行為が行われた場合において、個人の重大な権利を害する事実があるため、緊急に措置を取る必要があると認められるときは、違反行為をした者に、期限を定めて違反行為の中止その他の違反を是正するために必要な措置を取るべき旨を命ずることができるとされています。
また、委員会は特定個人情報を取り扱う関係者に対し、必要な報告もしくは資料の提出を求めたり、委員会の職員に直接事務所等に立ち入らせ、質問や帳簿書類その他の物件を検査することができます(図表2)。この立入検査権は、これまでの個人情報保護法では存在していなかった強力な権限で、特定個人情報の取り扱い上、何らかの違反行為が疑われると、いきなり委員会が踏み込んでくるという企業にとっては大変な混乱を招く事態が引き起こされます。
立入検査がどのようなものになるか実際のところは不明ですが、かなり踏み込んで検査されることが予想されます。「立ち入り第1号」となってしまい会社に行政の職員が踏み込んでいる様子をテレビで放映されるなんて考えただけでもゾッとしますよね。立入検査されるのは安全管理措置を怠った場合や重大な違反を疑われた場合なのでもしもの時に備えて安全管理措置をきちんとしておきましょう。