マイナンバー制度が開始されますが、個人情報漏洩対策は万全でしょうか。マイナンバー制度において個人情報が漏洩すれば懲役や罰金を含む非常に重い罰が下されることもあります。そして罰が下されるからといって落ち込んでいる場合ではありません。企業には社会的責任を果たす必要があります。原因究明や被害の拡大防止、場合によっては行政への報告もしなければいけません。特定個人情報が漏洩した場合に企業が行うべき対応についてまとめてみました。
個人情報が漏洩すれば厳しい罰則が下されます
マイナンバー制度では、個人情報の漏えいに対して厳しい罰則があるため、企業は厳格な管理体制を構築する必要がある。
それについては内閣府・特定個人情報保護委員会が「特定個人情報の適正な取扱いに関するガイドライン」を発行し、マイナンバーを取り扱うすべての企業が特定個人情報に対して「安全管理措置」を講じなければならないとしている。
同ガイドには、安全管理措置として「基本方針の策定」「取扱規定などの策定」「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」が示されている。
○正当な理由なく、特定個人情報ファイルを提供(個人番号利用事務等に従事する者等)
⇒4年以下の懲役若しくは200万円以下の罰金又は併科 ○不正な利益を図る目的で、個人番号を提供又は盗用(個人番号利用事務等に従事する者等)
⇒3年以下の懲役若しくは150万円以下の罰金又は併科 ○情報提供ネットワークシステムに関する秘密の漏えい又は盗用(情報提供ネットワークシステムの事 務に従事する者)
⇒3年以下の懲役若しくは150万円以下の罰金又は併科
○特定個人情報が記録された文書等を収集(国の機関等の職員)
⇒2年以下の懲役又は100万円以下の罰金
マイナンバー制度は漏洩してしまった際の罰則の厳しさが特徴なので、企業としてはしっかり対応しておきたいところです。
情報漏洩してしまった!企業が行うべき対応は?
via img.jinjibu.jp
会社は、特定個人情報が漏えいした場合に、
・内部での報告と被害の防止拡大
・事実関係の調査、原因の究明
・影響範囲の特定
・再発防止策の検討・実施
・影響を受ける可能性のある本人への連絡等
・事実関係、再発防止策等の報告・公表
といった措置をとることにより、被害の拡大を最小限にする必要があります。
(1) 事業者内部における報告、被害の拡大防止
責任ある立場の者に直ちに報告するとともに、被害の拡大を防止する。
(2) 事実関係の調査、原因の究明
事実関係を調査し、番号法違反又は番号法違反のおそれが把握できた場合
には、その原因の究明を行う。
(3) 影響範囲の特定 (2)で把握した事実関係による影響の範囲を特定する。
(4) 再発防止策の検討・実施 (2)で究明した原因を踏まえ、再発防止策を検討し、速やかに実施する。
(5) 影響を受ける可能性のある本人への連絡等 事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点か
ら、事実関係等について、速やかに、本人へ連絡し、又は本人が容易に知り
得る状態に置く。
(6) 事実関係、再発防止策等の公表
事案の内容等に応じて、二次被害の防止、類似事案の発生回避等の観点か ら、事実関係及び再発防止策等について、速やかに公表する。
もし情報漏洩したなら影響や原因の特定、再発防止策の実施、さらには行政への報告も企業はしなければならず、怠ればやはり罰則が待ち受けています。マイナンバー漏洩時の事後対応を浸透させることは組織間で危機意識を共有することにつながりますのでマニュアルにしておくのがオススメです。
場合によっては主務大臣や個人情報保護委員会に報告する義務も!
via imgcp.aacdn.jp
まず、漏えいが起きた場合、主務大臣などに報告をする必要がありますが、事業者によって報告の経路が異なります。個人情報取扱事業者の場合、主務大臣へ、個人情報取扱事業者ではない場合や主務大臣が明らかではない場合は、特定個人情報保護委員会へ報告することになります。
○ 重大事態又はそのおそれのある事案が発覚した時点で、直ちに個人情報 保護委員会へ報告してください。(第一報)
(注) 「重大事態」とは、以下の場合を指します。
1 情報提供ネットワークシステム又は個人番号利用事務を処理する
情報システムで管理される特定個人情報の漏えい等が起きた場合。 2 漏えい等した特定個人情報の本人の数が101人以上である場合 3 電磁的方法によって、不特定多数の人が閲覧できる状態となった
場合
4 職員等(従業員等)が不正の目的で利用し、又は提供した場合
重大な事態につながる場合、急いで行政のしかるべき場所に報告しましょう。下手に隠蔽しようとすればかえって大惨事になります。
一方で情報漏洩しても報告しなくてもいい場合もあります
一方、全ての漏えいが報告対象となっているわけではありません。以下の全てにあてはまる場合はそれほど影響が大きくないと考えられるため、報告までは求められていません。
・影響を受ける可能性のある本人に連絡した場合
・外部に漏えいしていない場合
・従業員等の不正目的での漏洩ではない場合
・調査により事実関係が明らかになり、再発防止策をたてた場合
・特定個人情報の本人の数が100人以下の場合
※ 個人情報取扱事業者以外の事業者が報告を要しないケース 次の1~5全てに当てはまる場合
1 影響を受ける可能性のある本人全てに連絡した場合 (本人への連絡が困難な場合には、本人が容易に知り得る状態に置くことを含む。) 2 外部に漏えいしていないと判断される場合
3 事実関係の調査を了し、再発防止策を決定している場合
4 規則第2条に規定する重大事態に該当しない場合
2016年1月より特定個人情報保護委員会は個人情報保護委員会になります
なお個人情報保護法及び番号法が2015年に改正されたことに伴い、2016年1月に個人情報保護全般を取り扱う「個人情報保護委員会」に改組される予定[3]で、委員長の堀部ほか特定個人情報保護委員会の委員は留任する予定[4]。
個人情報保護法の改正で、公正取引委員会と並ぶ包括的な監督機関である独立組織ができた。改正前の個人情報保護法の所管は消費者庁、監督は事業所管大臣であった。縦割りの弊害に加え、名簿屋など明確にどの大臣が所管するのか不明瞭な業界があるという問題があった。改正により、分野包括的で、かつ専門的知見が蓄積可能な規制機関として「個人情報保護委員会」(以下「委員会」という)が創設される。委員会は、いわゆる「3条機関(委員会)」である。内閣府設置法49条3項に基づいて置かれる(59条1項)もので、公正取引委員会と並ぶ独立組織である。個人情報保護の監督機関として、政府からの独立を図る諸外国の組織に倣ったものである
マイナンバー制度の運用開始に伴い組織の名前が変わるようです。微妙に変わっているので間違えないように気をつけましょう。