マイナンバー法違反で厳罰?―法人も監督責任を問われます

カテゴリ:総務のおいしい話 投稿日: 2018.3.1 tag: , ,

 

平成28年以降利用が始まっているマイナンバーですが、情報の流出等の違反には厳罰が科されることを知っていますか? マイナンバー法には個人情報保護法よりも厳しい罰則規定が設けられており、企業は従業員に対して適正なマイナンバー管理の教育・監督をしていく必要があります。今回はそんなマイナンバー法について、違反内容と罰則、そして対策を解説します。

マイナンバー法の違反と罰則

マイナンバーは重要な個人情報であり、マイナンバー法ではマイナンバーの取り扱いに関して、禁止行為や違反への罰則が定められています。まずはそれらの違反や罰則について確認してみましょう。

個人番号を利用する者に関する罰則

個人番号を利用する者に関する罰則は、主に以下の4つが定められています。

  • 特定個人情報ファイルの提供
    正当な理由なく、特定個人情報ファイルを提供することに対する罰則です。この違反は個人番号利用事務等に従事する人を対象にしています。ここで言う個人番号利用事務等とは個人番号利用事務と個人番号関係事務を対象にしているため、全ての企業に関係します。この違反に対する罰則は、4年以下の懲役もしくは200万円以下の罰金または併科となっています。
  • 個人情報の提供、盗用
    不正な利益を図る目的での個人情報の提供または盗用への罰則が挙げられます。この違反も個人番号利用事務等に従事する人を対象としており、違反に対しては3年以下の懲役もしくは150万円以下の罰金または併科が罰則として定められています。
  • ネットワークシステムの秘密漏洩
    情報提供ネットワークシステムに関する秘密の漏洩または盗用への罰則が定められています。こちらは情報提供ネットワークシステムの事務に従事する人が対象となっており、違反すると3年以下の懲役もしくは150万円以下の罰金または併科が科されます。
  • 特定個人情報記録文書の収集
    特定個人情報が記録された文書を収集することに対する罰則です。これは国の職員等が職権を乱用して特定の個人情報を含む文書等を収集することを禁止するもので、違反すると2年以下の懲役または100万円以下の罰金が科されます。

個人番号等を不正に取得する行為等に対する罰則

続いて、個人番号等を不正に取得する行為等の違反と、それに対して定められた罰則を紹介します。これらの罰則は行為の主体が限定されておらず、全ての人が対象となっています。

  • 不法行為による個人番号の取得
    詐欺や暴行、強迫により、または、財物の窃取や施設への侵入等により個人番号を取得することが挙げられます。これらの行為は個人番号の取得の有無に関わらず許されるものではなく、詐欺罪や暴行罪、脅迫罪等が別途に適用される可能性もあります。罰則としては3年以下の懲役または150万円以下の罰金が定められています。
  • 不正な手段による個人番号カードの交付
    偽りその他不正の手段により個人番号カードの交付を受ける行為が定められています。上記1つ目の違反には当てはまらないものの、他人になりすますなどして不正に個人番号カードを取得した場合などが対象となります。この違反に対する罰則は6ヶ月以下の懲役または50万円以下の罰金となっています。

個人番号情報保護委員会に関する罰則

最後に、個人番号情報保護委員会に関する罰則を紹介します。ここには個人番号情報保護委員会の委員だけではなく、一般の事業所に関連するものも含まれています。

  • 職務上の秘密漏えい
    職務上知り得た秘密を漏えい又は盗用することに対する罰則が挙げられます。こちらは個人情報保護委員会の委員などが対象となっており、違反した場合には2年以下の懲役または100万円以下の罰金が適用されます。
  • 委員会からの命令違反
    委員会から命令を受けた者が委員会の命令に違反した場合が挙げられます。事業者がマイナンバー関連の法令違反を行なっていると個人情報保護委員会から勧告や命令を受ける場合がありますが、この委員会からの命令に従わずに違反した場合に処罰を受けるというものです。罰則は2年以下の懲役または50万円以下の罰金となっています。
  • 虚偽の報告、資料提出
    委員会による検査の対象者が検査等に際し、虚偽の報告や虚偽の資料提出、または検査拒否等を行なった場合です。上の命令違反と同様、検査の対象となったにも拘わらずその検査を忌避した場合に適用されます。罰則は1年以下の懲役または50万円以下の罰金となっています。

以上がマイナンバー法に関連する主な違反内容と罰則となっています。これらの罰則の対象となる各行為には必要に応じて両罰規定が設けられるため、それが法人等の業務として行われた場合には、その違反者が所属する法人等にも罰則が科されます。

関連記事:
マイナンバー管理3つの方法と平成28年3月時点のハローワーク窓口の実態
マイナンバーの収集や廃棄、きちんと行っていますか?この時期に見直したい、マイナンバー管理について

 

企業ができる対策

マイナンバー法関連の違反について、企業が主に対策するべきポイントとしては、マイナンバーを含む特定個人情報の漏えい・滅失の防止やその他適切な管理が挙げられます。個人情報保護委員会では、事業者が特定個人情報を適切に取り扱っていく上での安全管理について、4つの安全管理措置(組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置)を定めていますので、その区分に従って企業が行うべき安全管理を見てみましょう。

組織的安全管理措置

組織的安全管理措置としては、事務責任者や事務取扱担当者の設置とその役割の明確化、情報漏洩などが発生した場合の報告連絡体制の確立などを通じて、安全管理措置を取るための組織体制を整備することが必要です。また、マイナンバーの適切な運用や取扱状況を把握し、安全管理措置の改善に取り組むことも大切です。

人的安全管理措置

人的安全管理措置としては、事業者が定期的な研修などによって事務取扱担当者にマイナンバーの正しい取り扱い方法を理解させるとともに、取扱規定等に基づく適切な取り扱いがなされているかを監督することが挙げられます。

物理的安全管理措置

物理的安全管理措置とは、特定個人情報が紛失・盗難等により流出することを物理的に防ぐことを指します。具体的には、マイナンバーなどを管理する区域の明確化や、保管場所の施錠、暗号化・パスワードによる保護、廃棄の際には復元不可能な手段で廃棄するといったことが想定されます。

技術的安全管理措置

技術的安全管理措置では、情報システムを使用してマイナンバー関係の事務を行う場合に、アクセス制御を行なったり、ユーザーIDやパスワードを用いたアクセス者の識別と認証を行なったりといったことや、ファイアウォールの設置やセキュリティ対策ソフトウェア等による外部からの不正アクセス等の防止が挙げられます。

関連記事:
情報セキュリティに関わるリスクとは?
今すぐ実施すべき、社内の情報漏洩対策一覧

まとめ

いかがでしたでしょうか。マイナンバー法で定められている罰則には、民間企業も注意すべきものが多く含まれています。この機会にマイナンバー法の罰則規定をもう一度確認し、対策について検討してみてはいかがでしょうか。

こちらも読まれています:

*somu-lier(ソムリエ)では書き手を募集しています。
この記事が気に入ったら いいね!しよう
somu-lierから最新の情報をお届けします

この記事に関連する記事