はじめに
昨年10月、自己のマイナンバーをネットにアップした男性が委員会に削除要請される事件が発生し、今年2月には、ついに勤務先の従業員マイナンバーを不正撮影した男性が逮捕された。
現在、社内の情報管理システムを見直す必要性が高まっている。
不正漏えいへの対応
企業の責任について内閣官房は以下のように説明している。
Q4-7-1 故意でなくマイナンバーや特定個人情報等が漏えいしてしまった場合でも罰則が適用されますか。(例:サイバー攻撃等で情報が漏れた場合等)
A4-7-1 過失による情報漏えいに、いきなり罰則ということはありません。ただし、漏えいの様態によっては、個人情報保護委員会から改善を命令される場合があり、それに従わない場合、罰則はありえます。以上は刑事罰の場合ですが、民事の場合は、過失でも損害賠償請求をされる可能性はあります。(2015年9月回答)
【参考】刑法法規の解釈・適用は裁判所や捜査機関の権限となりますので、一般論となりますが、特定個人情報の漏えいが起きた場合には、番号法第51条から第60条に基づき、罰則の構成要件に該当すれば、処罰されます。これらの罰則は、故意がなければ構成要件を満たしません。
(マイナンバー制度Q&A参照)
*特定個人情報とは…
簡単に言うと、「個人番号を内容に含む個人情報」を指す。
企業には社員の個人情報を適切に管理する義務(安全管理義務)が課されている。一度不正漏えいが起これば上記義務違反が疑われることになり、個人情報保護委員会からの調査が入り、場合によっては行政指導や命令・罰則を課されることになる。
社員にはパートやアルバイトが含まれ、さらに、刑事責任とは別で民事責任を追及されるリスクがある。
不正漏えい防止のため、企業は社内規約の整備を始めとして管理担当者等の個人情報にアクセスする人間の明確化及び制限、外部不正アクセス防止等のセキュリティ強化、従業員への教育が求められる。
そして、個人情報保護委員会の指導に迅速かつ適切に対応するため、構築した管理システムの継続的な監視が求められる。
管理委託について
情報管理業務に特化した業者に委託する方法がある。
この場合、委託者には委託先の選任・監督について責任を負うことになる。
具体的には、選任について、委託先の技術水準や設備、人材の確認が重要となる。そして、監督については、契約条項(秘密保持義務の設定、目的外利用の禁止、契約終了後の特定個人情報の取扱、不正漏えいが生じた場合の委託先の責任等)を慎重かつ適切に設定することが重要となる。
おわりに
不正漏えいの問題は、マイナンバー法に両罰規程が置かれている以上、企業の情報管理体制に大きな影響を及ぼす。
情報管理システム構築し、その継続的な改良を重ねていくことは、リスク回避の観点からも不可欠であろう。