マイナンバーの導入、順調に進んでいますか?総務、人事担当者は日々導入準備に追われているのではないでしょうか。対応に忙しいとは思いますが、万が一の漏洩の際の対策もぜひお忘れなく!マイナンバーを管理する事のリスクについてまとめてみました。
民間企業におけるマイナンバー取扱の概要
via moomii.jp
・社会保障及び税に関する手続書類の作成事務を処理するために必要がある場合に限って、 従業員等に個人番号の提供を求めることができます
・事業者は、社会保障及び税に関する手続書類に従業員等の個人番号・特定個人情報を記載し て、行政機関等及び健康保険組合等に提出することとなります(個人番号関係事務)。
その他、番号法で限定的に定められている場合以外の場合は、個人番号・特定個人情報を利 用・提供することはできません。
・特定個人情報は、社会保障及び税に関する手続書類の作成事務を行う必要がある場合に限 り、保管し続けることができます。 ※個人番号が記載された書類等のうち所管法令によって一定期間保存が義務付けられているものは、その期間保管することとなります。
・社会保障及び税に関する手続書類の作成事務を処理する必要がなくなった場合で、所管 法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又 は削除しなければなりません。
・個人番号・特定個人情報を保護するために、必要かつ適切な安全管理措置が必要です。委託先が再委託する場合は、最初の委託者の許諾を得た場合に限り、再委託をすることができます。 (再々委託以降も同様です)
マイナンバーを漏えいさせてしまったら?
マイナンバー制度によって、すべての会社が重要情報を保管するようになります。
万が一、会社がマイナンバーを漏えいさせてしまった場合や、担当者が不適切な取扱いをしていた場合、会社はどうなるのでしょうか。
万が一、会社がマイナンバーを漏えいさせてしまった場合や、担当者が不適切な取扱いをしていた場合、会社はどうなるのでしょうか。
1.刑事罰
個人情報保護法には、行政機関の命令に従わない場合に初めて刑事罰が適用されるという間接的な罰則規定しか置かれていません。しかし、マイナンバー法では、行政命令等を経ることなく直ちに刑事罰の適用がある直罰規定が置かれています。
この点にまず、罰則の厳しさがみてとれます。
法定刑の重さについても、マイナンバー法は厳しい内容となっています。
例えば、個人番号利用事務に従事する者が、正当な理由なく、個人の秘密に属する事項が記録された特定個人情報ファイル(マイナンバーをその内容に含む個人情報ファイル)を提供した場合には、最高で4年以下の懲役刑が科されます。
原則として、不正行為を行った従業員個人に対して罰則が科されますが、両罰規定というものが置かれているものもあり、会社にも罰金刑が科される場合があります。
2.損害賠償責任
次に、損害賠償責任という民事的なリスクがあります。
刑事罰は、故意がない場合には科されませんが、民事上の損害賠償については、過失であっても責任を負うリスクがあります。
従業員の過失による漏えいが起きた場合には、使用者責任が問題とされ、会社に対する損害賠償責任が追及されるリスクがあります。
3.行政対応コストの発生
マイナンバーの適正な取扱いを確保するために、特定個人情報保護委員会という行政機関が設置されました。
この委員会は、指導・助言や勧告・命令をする権限を有しています。また、個人情報保護法とは異なり、マイナンバー法では、この委員会に立入検査権まで与えていますので、会社に立入検査が入る可能性もあります。
従前の個人情報の取扱いに比べて、かなり厳しいものとなっているようですね。特に以下の方法でのサイバー攻撃については頻繁に報道されていますが、対策は大丈夫でしょうか。
・メールの開封(添付ファイルを開く、リンクのクリック)によるウイルス感染
・ウェブサイトの閲覧中の不正サイトへ誘導
企業規模や業種を問わず拡大しつつあるとのことですが、セキュリティ対策製品を導入しただけでは防ぎきれないこともあるのが怖いところです。
日本企業はサイバー攻撃への対策が遅れている
via pc-c.jp
サイバー攻撃の対策システムを研究している国立研究開発法人「情報通信研究機構」によると、機構の提携先の企業や自治体、大学に対する不審なアクセスのうち、昨年度はサイバー攻撃とみられるものが256億件に達し、前年度から倍増した。一方、日本企業は欧米と比べてサイバー攻撃への対策が遅れており、大手損保によると、保険の加入率は5%未満という。
民間企業の、保険への関心が高まっています
マイナンバー制度に対応した保険の契約が急増している。個人情報の漏えい被害を補償するタイプの保険で、従業員のマイナンバーを管理する企業のニーズが高まっているためだ。個人番号を記した通知カードの配達遅延などで制度に対する企業側の不安も背景にあるとみられ、漏えい防止策や被害時の相談サービスも注目されている。
損保各社の動向は?
via cdn.mainichi.jp
ある損保会社は「マイナンバーは年金や医療保険などの個人情報と結びつくものなので、攻撃を受けるリスクは高まる」とみている。既に、損保各社はサイバー攻撃で個人情報が流出した際の被害を補償する企業向けの保険を取り扱っているが、保険の約款を変更してマイナンバーを補償対象に新たに加えて商品化する損保会社もある。
損保各社にはサイバー攻撃に関する企業からの問い合わせが急増しており、今後は保険商品が広がっていくとみられる。
マイナンバーを含む個人情報が、不正なアクセスやウイルス送付などのサイバー攻撃で外部に流出した際、例えば、
・法律上の損害賠償責任の負担によって被る費用
・謝罪広告掲載費用
・お詫び状作成費用
・個人情報が漏えいしたシステムの改修費用
・賠償責任に関する訴訟費用
・弁護士費用などの争訟費用
等が補償の対象となる商品があるようです。
・法律上の損害賠償責任の負担によって被る費用
・謝罪広告掲載費用
・お詫び状作成費用
・個人情報が漏えいしたシステムの改修費用
・賠償責任に関する訴訟費用
・弁護士費用などの争訟費用
等が補償の対象となる商品があるようです。
とはいえ、これらの保険はいずれも個人情報保護態勢をしっかりとっていた、という前提で支払われるもののようですので、社内での研修制度をしっかりと充実させることも含め、まずは個人情報保護態勢を確立することが大切かもしれません。