マイナンバー制度と企業の安全管理対策

Q.

　新聞等の報道によると、今年（2015年）10月から、住民票を持つ人全員に12ケタの番号の通知が始まり、2016年１月から、社会保障、税、災害対策の３つの行政手続きにおいてマイナンバーの利用が開始されるとか。企業にとっては、官公署や自治体に提出する社会保険や税務の書類にマイナンバーの記載が義務づけられるため、その安全な管理が不可欠となります。企業が負わなければならない責任と企業に求められる対応策についてご教示下さい。

A.

　ご案内のように、マイナンバー法（「行政手続における特定の個人を識別するための番号の利用等に関する法律」）は、2013年５月に成立、2015年10月に施行されます。一つの番号により幅広い情報が横断的に結びつくということは、効率性や利便性が高まる反面、不正利用されるリスクも高まります。その最たるものが情報漏えい。企業は、特定個人情報の漏えいを防止する安全管理体制をマイナンバーを取得する前に構築しておく必要があります。

◆マイナンバー法と企業の責任

　マイナンバー法は、個人情報保護法の特別法という性格をもっていますが、個人情報保護法にない厳しい罰則規定があります。故意に情報を漏えいした場合、最高「４年以下の懲役もしくは200万円以下の罰金または併科」（67条）が定められているのです。つまり、刑罰として重い懲役刑が科されるだけでなく、３年を超える懲役刑が言渡されると執行猶予がつかないため（刑法25条）、実刑判決もあり得るというメッセージが込められているのです。
　さらに、安衛法等にも採用されている「両罰規定」（77条１項）の存在。従業員が罰則規定に該当する行為をした場合、法人にも罰金刑が科されることがあります。
　これらの刑事責任だけでなく、特定個人情報保護委員会による企業の立入検査などの行政上の責任や、第三者に損害が生じた場合の民事上の損害賠償責任（民法709条、715条、415条）を追求される可能性もあります。
　過失による情報漏えいに罰則はありませんが、被害が甚大な場合には、社会的・道義的責任は免れず、マスコミ報道による企業イメージの損傷は計り知れません。

◆年内に必要な安全管理体制の整備

　マイナンバーは、社会保険・労働保険や税務の提出書類の多くについて記載が義務化されています。社内の事務処理では、個人番号の「取得・保管・利用・提供・廃棄」などでマイナンバーを扱うことになります。導入準備の段階にある現在、どのような対応が必要でしょうか。
①　社内規程の策定
　まず自社でマイナンバーに関わる業務や対象者を洗い出し、社内規程を整備・改定します。マイナンバーを取扱うすべての事業者は、安全管理措置義務があり（12条、33条）、法律のガイドラインでは、「取扱規程」の策定を求めています。マイナンバーの取扱いや運用ルールを決め、情報を共有化しましょう。
　もっとも、日本年金機構の年金情報流出事件では、内部の運用規定が守られていなかったことが原因と判明。何より実効性が大切です。
②　ＩＴシステムのセキュリティ対策
　ＩＴシステムやパソコンのセキュリティ対策は可能な限り講じる必要があります。ガイドラインの「技術安全管理措置」では、ウィルス対策のソフトウェアを導入し、外部の不正ソフトウェアからデータを守ることを求めています。しかし、昨今の巧妙化する脅威に対し、とても万全とはいえないようです。セキュリティに100％はないのです。
③　従業員教育の実施
　外部からの不正アクセスだけでなく、社内からの情報漏えいリスクもあります。そのため、従業員教育などで徹底した安全対策を実施することです。ガイドラインでは、事務取扱担当者への教育が求められていますが、全従業員への教育は必須です。付け焼刃はとっさの危機には通用しません。とりわけ、流動性の高い職場は要注意です。