マイナンバー対策シリーズ～番号流出事故を防ぐための注意点を解説します～ | ガルベラ・パートナーズグループ

Q　マイナンバー法は、罰則として懲役もあるということで、恐ろしく感じています。そのような重大事故を防ぐためには、どのような点に注意するとよいのでしょうか？

 

A　マイナンバー法は個人情報保護法の特別法にあたります。マイナンバー（特定個人情報）は、他の個人情報よりも、強く保護されるべきという考え方から、罰則も強化されており、重大・悪質事案では懲役刑の適用もあり得るという厳しい内容になっています。

 

　何かとイメージばかりが先行するマイナンバー法ですが、今回は、重大事故を防ぐというリスクマネジメントの観点から、対策と注意点について解説いたします。

 

１．マイナンバーの罰則について（主なもの）

　こちらは主な罰則をまとめたものです。ここから、事故防止のための大事なヒントを読み取ることができます。

 

　まずは67条ですが、「特定個人情報ファイル」という点にご注目ください。ファイルというのは、単なるマイナンバーではありません。

これは複数のマイナンバーや個人情報を含み、検索性を有した一覧表のようなデータを指しております。

 

　すなわちエクセルで作成した「マイナンバー付き社員名簿」のようなものが外部流出して、大量漏洩事故を発生させたような事件を想定しており、これに対して最も重い罰則が科されています。

 

　このことからも、「特定個人情報ファイル」をむやみに社内で作成すること自体が重大なリスク要因となることがお分かりいただけるかと思います。エクセルによる一覧表管理を推奨しない理由です。

 

　また、68条と70条については、悪質な事案に対する罰則です。

 

　74条については、万が一の流出事故の場合に、隠蔽などの不適切対応を罰する趣旨と考えられます。事故においては、速やかに行政機関に報告することが求められます。苦し紛れに隠蔽工作を行った場合は、会社にとって重大な結果を招くことになります。

 

　なお、これらの罰則規定はいわゆる「両罰規定」（77条）ですので、違法行為を行った社員個人だけではなく、会社自体も罰せられます。従業員が勝手にやったことで、会社は何も知らなかったという言い訳は通じません

 

２．マイナンバーで気をつける点

 

　法令やガイドラインで様々な注意点が列挙され、何から手を付けてよいか分からないマイナンバー法ですが、上記の罰則の観点から見ていくと、本当に注意すべき重要点を絞り込むことができます。

 

（１）違法な提供はしないこと

マイナンバーには、「取得」「利用」「保存」「提供」「廃棄・削除」など様々な場面が想定されていますが、罰則の67条と68条をご覧いただければお分かりのとおり、最も危険なのは「提供」であることが分かります。

 

特に、親子会社やホールディングスなどで、関連会社ということで人事情報のやり取りは日常的に行っている会社では、別法人という感覚が甘くなっている場合があるかと思います。

 

このような状況で起こりうるのが、「うっかり関連会社に第三者提供」という事故です。可能性としては最も想定されるリスクと考えられます。早めに、適法な業務委託契約を締結しておくことを推奨いたします。

 

（２）大量流出事故につながる管理は避けること

67条をご覧いただいたように、大量流出が起こりうるような管理は、会社として絶対に避けなければなりません。人事管理ソフトを利用する場合には、信頼のおける業者のシステム上で運用することを推奨します。

 

人事担当者が、業務上の必要性から、私的にマイナンバーを含むエクセルファイルを作成して参照するような運用は、リスクが高いため推奨できません。やむを得ず、社内で電子ファイル化する場合は、外部ネットワークからの遮断や多重パスワードによる、最高度の管理が必要と考えられます。

 

（３）悪意ある担当者を排除するしくみ

管理部門の不正は、担当者による業務の抱え込みとブラックボックス化から発生します。

 

マイナンバー取扱担当者については、情報取扱についての誓約書を求めたり、定期的な人事異動、複数チェック体制、抜き打ち監査などの対策が必要です。

 

中小企業では、人手不足や人材の固定化から、一人の担当者が独占的に管理業務を抱え込むような状況が見られますが、決してブラックボックス化しないように、ガラス張りのチェック体制が必要です。

 

個人の意志だけで不正ができないしくみにしなければいけません。顧客ファイルとは異なり、マイナンバーを盗み出すことに、経済的価値は少ないと思われますが、愉快犯的な行動、腹いせ的な行動などは、企業リスクとして当然に警戒されるものであります。

 

　また面白がってツイッターやブログにアップするような軽率な行為も予想されますので、いま一度、社内の情報管理についての注意喚起をしていただきたいと思います。

 

　小規模な企業においては、管理規程を作成しなくても違法とは言えないこともあり、未だ対策が行われていない会社も多いようです。

 

　社員が数名ということであれば、あえて規程は作成せずに、実務ベースで何となくやりくりしても大丈夫とお考えの会社もありますが、そうした場合であっても、本当に重要な部分については、メリハリをつけた対応をしていただきたいと思います。

 

　ガルベラ・パートナーズでは、企業管理部の皆様、あるいは幹部職員、あるいは全社員向けに、それぞれ50ページ程度のレジュメを用いてマイナンバーの研修を行わせていただいております。ぜひお気軽に、お声掛けください。今後ともマイナンバー関連のお役立ち情報を発信してまいりますので、どうぞご期待ください。

 

社会保険労務士法人ガルベラ・パートナーズ　HPはこちら

---

 ◆ マイナンバー制度への対応でお困りの方へ ◆

弊社では、企業のマイナンバー制度への対応サービスを提供しております。
具体的には下記のようなサービスを提供しております。

〇 総務部門、人事部門、経理部門への法的アドバイス
〇 マイナンバー制度に関する各種質問への回答
〇 マイナンバー制度に関するコンサルティング
〇 貴社のマイナンバー対応に関する社内会議への出席
〇 貴社の従業員を対象にしたセミナー講演
〇 マイナンバー制度に関する就業規則修正、その他規程類の作成

上記サービスについては、スポットによるご支援またはセカンドオピニオン契約（月額5,000円～）で対応いたします。

詳しい内容のご照会は、こちらのお問い合わせよりお願いします。

 

---

◆ ガルベラのメールマガジンに登録しませんか◆

当社では毎月１回、ご登録をいただいた皆様へメールマガジンを配信しております。

税務･労務･経営に関する法改正や役立つワンポイントアドバイスをご案内しておりますので、ぜひ貴社の経営にご活用ください！

 

10秒で登録が完了するメールマガジン　登録フォームはこちら！！