このままでは2016年、12桁の個人番号(マイナンバー)そのものとマイナンバーにひも付けた氏名や従業員番号などを含む「特定個人情報」が企業から大量に盗み出される危険性が高い。
知らなくてはいけないマイナンバー制度において特定個人情報
特定個人情報とは
特定個人情報は、一言で言うと、「個人番号を内容に含む個人情報」のことを言います。
番号法では、個人情報保護法とは異なり、本人の同意があったとしても、利用目的を超えて特定個人情報を利用してはならないと定められています。
よって、個人番号についても利用目的(個人番号を利用できる事務の範囲で特定した利用目的)の範囲内でのみ利用することができます。
特定個人情報の提供についての基本知識
事業者が個人番号の提供を求めることとなるのは、従業員等に対し、社会保障、税及び災害対策に関する特定の事務のために個人番号の提供を求める場合等に限定されています。
例えば、事業者は給与の源泉徴収事務を処理する目的で、従業員等に対し、個人番号の提供を求めることはできますが、従業員等の営業成績等を管理する目的で、個人番号の提供を求めることはできません。
同様に、番号法で限定的に明記された場合を除き、特定個人情報を提供することも認められていません。
2016年に逮捕者続出?企業に迫るマイナンバーの落とし穴
企業は2016年から税や社会保障に関する書類に、従業員のマイナンバーを記載する必要がある。16年初めにも従業員からマイナンバーを集める作業が始まるとみられるが、「アルバイトを雇うにも、配当金を支払うのにもマイナンバーの収集と管理、書類への記載が必要になる」。
マイナンバーを含む特定個人情報は個人情報よりも一段上の管理体制が求められ、罰則規定も強化されている。仮に社員が特定個人情報を横流しした場合、その雇用主である企業も責任を問われるほどの厳しさだ。
サイバー攻撃による不正アクセスや内部犯行に遭い、特定個人情報の漏えいを防げなかった場合はどうだろう。内閣府が公開する資料にはそういった記載がない。
問い合わせてみると「過失がないと証明できれば刑事責任は問われないが、民事責任はわからない」との回答だった。
「特定個人情報」としてのマイナンバー
個人を特定できるデータについては、個人情報保護法に基づき保護される必要があるが、今回さらにマイナンバー(個人番号)が付与されることで、マイナンバーとマイナンバーを含む個人情報(これを特定個人情報という)については、個人情報保護法の定めるよりも、強固かつ厳重な管理が番号法に基づき求められる。個人情報取扱事業者だけでなく、全事業者が対象となることを留意しなければならない。
マイナンバー制度にかかる特定個人情報保護評価について
マイナンバー制度の導入にあたっては、情報漏えい等のリスク軽減を目的として、法律の規定に従い、特定個人情報保護評価を実施する必要があります。
特定個人情報保護評価とは、行政機関が管理するシステム内にマイナンバーを含む個人情報のファイルを保有する場合に、実施することとなる情報漏えいその他のリスク対策の内容について、住民からの意見を求め、さらに有識者からなる第三者機関からの点検を経て、特定個人情報の保護を住民に対して宣言するものです。
企業からマイナンバーが漏洩した際に求める対応案公表
特定個人情報保護委員会は2015年7月25日、企業でマイナンバーが漏洩した場合の対応方法を定めた案を公表し、8月24日までパブリックコメント(意見募集)をすると公表した。特定個人情報が漏洩した人数が101人以上の場合や、従業員らによって不正に持ち出されたり利用されたりした場合などには、重大事案として直ちに委員会へ報告するよう努めるとしている。
公表されたのは「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に基づく告示となる案。企業などでマイナンバーを含む個人情報である特定個人情報の漏洩や番号法違反の恐れなどが発覚した場合、直ちに責任者に報告して被害の拡大防止策や事実関係の調査、原因究明、影響範囲の特定が望ましいとしている。
特定個人情報ファイルの保護
番号法の特定個人情報に関する保護措置
保護措置は、「特定個人情報の利用制限」、「特定個人情報の安全管理措置等」及び「特定個人情報の提供制限等」の三つに大別される。
特定個人情報の利用制限
番号法においては、個人番号を利用することができる範囲について、社会保障、税及び災害対策に関する特定の事務に限定している(番号法第9条)。また、本来の利用目的を超えて例外的に特定個人情報を利用することができる範囲について、個人情報保護法における個人情報の利用の場合よりも限定的に定めている(番号法第29条第3項、第32条)。
さらに、必要な範囲を超えた特定個人情報ファイルの作成を禁止している(同法第28条)。