マイナンバー漏洩リスクへの備えは？

・社会保障及び税に関する手続書類の作成事務を処理するために必要がある場合に限って、 従業員等に個人番号の提供を求めることができます
・事業者は、社会保障及び税に関する手続書類に従業員等の個人番号・特定個人情報を記載し て、行政機関等及び健康保険組合等に提出することとなります（個人番号関係事務）。
その他、番号法で限定的に定められている場合以外の場合は、個人番号・特定個人情報を利 用・提供することはできません。
・特定個人情報は、社会保障及び税に関する手続書類の作成事務を行う必要がある場合に限 り、保管し続けることができます。 ※個人番号が記載された書類等のうち所管法令によって一定期間保存が義務付けられているものは、その期間保管することとなります。
・社会保障及び税に関する手続書類の作成事務を処理する必要がなくなった場合で、所管 法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又 は削除しなければなりません。
・個人番号・特定個人情報を保護するために、必要かつ適切な安全管理措置が必要です。委託先が再委託する場合は、最初の委託者の許諾を得た場合に限り、再委託をすることができます。 （再々委託以降も同様です）

　個人情報保護法には、行政機関の命令に従わない場合に初めて刑事罰が適用されるという間接的な罰則規定しか置かれていません。しかし、マイナンバー法では、行政命令等を経ることなく直ちに刑事罰の適用がある直罰規定が置かれています。
　この点にまず、罰則の厳しさがみてとれます。
　法定刑の重さについても、マイナンバー法は厳しい内容となっています。
　例えば、個人番号利用事務に従事する者が、正当な理由なく、個人の秘密に属する事項が記録された特定個人情報ファイル（マイナンバーをその内容に含む個人情報ファイル）を提供した場合には、最高で４年以下の懲役刑が科されます。
　原則として、不正行為を行った従業員個人に対して罰則が科されますが、両罰規定というものが置かれているものもあり、会社にも罰金刑が科される場合があります。

　次に、損害賠償責任という民事的なリスクがあります。
　刑事罰は、故意がない場合には科されませんが、民事上の損害賠償については、過失であっても責任を負うリスクがあります。
　従業員の過失による漏えいが起きた場合には、使用者責任が問題とされ、会社に対する損害賠償責任が追及されるリスクがあります。

　マイナンバーの適正な取扱いを確保するために、特定個人情報保護委員会という行政機関が設置されました。
　この委員会は、指導・助言や勧告・命令をする権限を有しています。また、個人情報保護法とは異なり、マイナンバー法では、この委員会に立入検査権まで与えていますので、会社に立入検査が入る可能性もあります。

サイバー攻撃の対策システムを研究している国立研究開発法人「情報通信研究機構」によると、機構の提携先の企業や自治体、大学に対する不審なアクセスのうち、昨年度はサイバー攻撃とみられるものが２５６億件に達し、前年度から倍増した。一方、日本企業は欧米と比べてサイバー攻撃への対策が遅れており、大手損保によると、保険の加入率は５％未満という。

マイナンバー制度に対応した保険の契約が急増している。個人情報の漏えい被害を補償するタイプの保険で、従業員のマイナンバーを管理する企業のニーズが高まっているためだ。個人番号を記した通知カードの配達遅延などで制度に対する企業側の不安も背景にあるとみられ、漏えい防止策や被害時の相談サービスも注目されている。

ある損保会社は「マイナンバーは年金や医療保険などの個人情報と結びつくものなので、攻撃を受けるリスクは高まる」とみている。既に、損保各社はサイバー攻撃で個人情報が流出した際の被害を補償する企業向けの保険を取り扱っているが、保険の約款を変更してマイナンバーを補償対象に新たに加えて商品化する損保会社もある。
損保各社にはサイバー攻撃に関する企業からの問い合わせが急増しており、今後は保険商品が広がっていくとみられる。