マイナンバー制度に関する企業の禁止事項とは?

マイナンバー制度は個人情報と密接に関わっていることから、それを取り扱う企業には禁止事項や罰則が設けられています。知らないと一大事になる恐れもあるので、しっかり把握しておきましょう。

マイナンバー制度での禁止事項は?

マイナンバー法19条に列挙されている以外の場面で,個々人のマイナンバーを「提供」したり,「収集」したりすることは禁止されています。その個人の同意があってもダメです。
 意外かも知れませんが,自分のマイナンバーも,必要なしに人に教えてはならないのです。「自分の情報なんだから,誰に教えようが勝手でしょ」は通用しません。
 また,例えば顧客囲い込みのための会員カードを発行するときに,本人確認のために免許証等をコピーする,ということが行われてきたかと思いますが,こういった目的で顧客のマイナンバーを取得することは禁止されています(マイナンバー法19条の例外事由にあたらないため)。そのため,会員カードを発行するにあたって,仮に個人番号カードをコピーさせてもらうとしても,マイナンバーが記載されている裏面はコピーしてはいけません。(逆の見方をすれば,ベネッセが依然やらかしたようなノリで「顧客のマイナンバーが大量流出!」ということは起こりえない,とも言えます。顧客のマイナンバーを集めること自体禁止されているわけですから)
 そして,正当な目的で企業が集めたマイナンバーのデータベースを,正当な理由なく第三者に提供することは禁止されています。この点はむしろわかりやすいところですね。
運転免許証などは、よくコピーして提出するように促されることがありますが、個人番号カードは裏面さえもコピー禁止なのですね。

それにしてもマイナンバー法19条が気になるので、次の項で紹介します。

(15916)

via www.sanby.co.jp

マイナンバー法 第 19 条(特定個人情報の提供の制限)

第 19 条(特定個人情報の提供の制限)】
(特定個人情報の提供の制限)
第十九条 何人も、次の各号のいずれかに該当する場合を除き、特定個人情報の提
供をしてはならない。
一 個人番号利用事務実施者が個人番号利用事務を処理するために必要な限度で
本人若しくはその代理人又は個人番号関係事務実施者に対し特定個人情報を提
供するとき。
二 個人番号関係事務実施者が個人番号関係事務を処理するために必要な限度で
特定個人情報を提供するとき(第十号に規定する場合を除く。)。
三 本人又はその代理人が個人番号利用事務等実施者に対し、当該本人の個人番
号を含む特定個人情報を提供するとき。
四 機構が第十四条第二項の規定により個人番号利用事務実施者に機構保存本人
確認情報を提供するとき。
五 特定個人情報の取扱いの全部若しくは一部の委託又は合併その他の事由によ
る事業の承継に伴い特定個人情報を提供するとき。
六 住民基本台帳法第三十条の六第一項の規定その他政令で定める同法の規定に
より特定個人情報を提供するとき。
一部抜粋です。
硬い表現でわかりづらいかもしれませんが、全文を読んだところ要するに事業者が特定個人情報を提供できるのは、社会保障などの特定事務のためや行政機関や健康保険組合に提供するときなどに限定すると言っているみたいです。
(15920)

via blog.livedoor.jp

マイナンバー制度で設けられている罰則が気になる。

マイナンバー制度で規定される罰則

番号利用法で定められている主な罰則(一部)は以下のとおりです。
行為法定刑
特定個人情報ファイルを提供懲役4年or罰金200万・併科
個人番号を提供又は盗用懲役3年or罰金150万・併科
詐欺行為等による情報取得懲役3年or罰金150万
職権濫用による文書等の収集懲役2年or罰金100万
特定個人情報保護委員会命令違反懲役2年or罰金50万
特定個人情報保護委員会検査忌避違反等懲役1年or罰金50万
通知・個人番号カードの不正取得懲役6か月or罰金50万

この中で特に起こりやすいと思われるのが、「特定個人情報ファイルを提供」による情報漏えいです。

漏えいした場合、罰せられる対象は?

次の項で説明記事を紹介します。

(15924)

via www.gaic.or.jp

漏えいした場合、罰せられる対象は?

マイナンバー制度では、成りすましを防止するための厳格な本人確認および漏えい防止のための個人情報保護の措置が盛り込まれている。また情報漏えい等した場合の罰則も個人情報保護法と比較して厳しくなっている。

マイナンバー制度では、成りすましを防止するための厳格な本人確認(身元確認と番号確認)、マイナンバーの漏えい防止のための個人情報保護の措置が盛り込まれている。また番号法では、個人情報保護法と比較して、罰則の種類・量刑が厳しくなっており、不正行為をした従業員等だけでなく、法人自体についても罰せられる両罰規定がある。

企業も連帯責任を取らされる場合があるということですね。

こうならないように、マイナンバーの保管や管理には、より一層の注意が必要だと思います。

(15928)

via likebirds.net

両罰規定とは?

日本の法令上は、刑罰の懲役の期間が3年を超えると執行猶予がつけられないとされていますので、懲役4年になってしまえば、確実に実刑となるということです。マイナンバーの情報漏洩があり、それがあまりに悪質な事案であれば執行猶予のない実刑もあり得るということのメッセージだと理解すべきです。

また両罰規定とは、マイナンバー情報を漏洩した個人だけでなく、企業も刑罰を科されるということです。企業には懲役刑があるわけではありませんが、両罰規定があることによって重い罰金刑が科される可能性は十分考えられます。

刑事事件とならない場合でも、特定個人情報保護委員会という中立的な第三者委員会のようなものが設置され、勧告や指導が委員会を通じて行われます。

この勧告や指導が甘いものであれば、誰も費用をかけてまでマイナンバー漏洩対策をしなくなり、マイナンバーシステムは根幹から崩壊してしまいます。したがって、個人情報保護法の場合とは異なり、勧告や指導はかなり厳しいものになると予想されます。マイナンバーについてずさんな安全管理措置がなされている場合は、企業名を公表して是正を促すことは、頻繁に起こるでしょう。

そして企業名が公表されてしまうと、インターネットにより、その情報はあっという間に広がります。そのような形で社会からの信用を失うことに対するダメージは計り知れないものです。近時の大手企業の情報漏えい事件の例を見ても明らかな通り、漏えい発覚後ユーザーからの解約が相次ぐケースもある等、その損害額は甚大と言えますので、事前にある程度のコストをかけ、しっかりとしたマイナンバー対策をすることが重要です。

情報漏えいが頻繁に起こらないように、重い罰則にしているのですね。

これから先、事業をやっていくということに新たな足かせをつけられたような気分になります。

多少コストがかかっても、セキュリティを整えておくことが良案です。

(15932)

via seiga.nicovideo.jp