作成日 : 2022年10月7日

マイナンバー制度で必要な個人情報漏洩対策とは？罰則についても解説！

Q: マイナンバーが情報漏洩した場合のリスクは？

なりすましによる個人が被る金銭的被害のほか、企業が賠償請求されれば、社会的信用も失墜します。詳しくは こちら をご覧ください。

Q: 企業や地方自治体がとるべきマイナンバーの個人情報漏洩対策は？

利用の制限など、制度面における保護措置に加え、システム面における保護措置を講じる必要があります。詳しくは こちら をご覧ください。

マイナンバー制度は、マイナンバー法に基づく個人番号（マイナンバー）によって行政手続における特定の個人を識別するための仕組みです。マイナンバー法では、マイナンバーや特定個人情報の情報漏洩を防止するために厳格な規定が設けられています。この記事では、マイナンバーや特定個人情報の利用範囲、取得・提供などの制限のほか、罰則などについても解説していきます。

マイナンバー制度で必要な個人情報漏洩対策とは？
- マイナンバー（個人番号）とは？
- マイナンバーに含まれる個人情報は？
マイナンバーを含む個人情報が漏洩した場合のリスクは？
マイナンバーを含む個人情報が情報漏洩した場合の罰則は？
- 民間事業者や個人も主体になりうる罰則
- 国の行政機関や地方公共団体の職員が主体である罰則
企業や地方自治体がとるべきマイナンバーの個人情報漏洩対策は？
マイナンバー制度で必要な個人情報漏洩対策を知っておこう！

マイナンバー制度で必要な個人情報漏洩対策とは？

マイナンバー制度における個人情報漏洩対策を説明する前に、そもそもマイナンバーとはどのようなものなのかについて触れておきましょう。

マイナンバー（個人番号）とは？

マイナンバー制度の根拠法は、通称「マイナンバー法」といわれていますが、正式名称は「行政手続における特定の個人を識別するための番号の利用等に関する法律」です。マイナンバー（個人番号）や特定個人情報が適正に取り扱われるよう、利用範囲や取得・提供などの制限、監視・監督、罰則などについて規定されています。

マイナンバーとは、住民票を有するすべての人に市町村から付番され、通知された12桁からなる番号のことです。個人が特定されないように住所地や生年月日などと関係のない番号になっています。

マイナンバーは、原則として一生涯同じ番号であり、個人情報に該当します。なお、特定個人情報はマイナンバーを含む個人情報を意味します。

マイナンバーに含まれる個人情報は？

個人情報については、個人情報保護法で「生存する個人に関する情報であり、特定の個人を識別できるもの」と定義され、氏名、住所、電話番号、写真などが該当します。単に生年月日だけでは個人情報に該当しませんが、氏名などがセットになって個人を特定できるようになると個人情報に当たります。

マイナンバーを含む個人情報が漏洩した場合のリスクは？

日本のマイナンバーに類似する制度は海外にもあり、個人情報が漏洩したことによる事件も発生しています。

たとえばアメリカでは、社会保障番号が漏洩したことで、なりすましによる税金の不正還付や年金の不正受給の事例があります。また、韓国では、他人の住民登録番号の不正入手によって海外のオンラインゲームに登録するという事例も生じています。

マイナンバーについても、個人情報の追跡、名寄せ、突合などによって集積された個人情報が外部に漏洩するのではないかという懸念を抱く人もいることでしょう。

個人情報が流出した場合、海外の事例以外にも、特殊詐欺や悪徳商法を行う組織による悪用、金融機関からの金銭的略取など財産の侵害も考えられます。

個人の被害だけでなく、個人情報を管理すべき立場にある事業主から漏洩した場合、被害者から金銭的賠償を求められる可能性もあります。こうした事態が生じれば、組織として社会的信用が失墜し、顧客離れ、業績の悪化といったリスクもあるでしょう。

また、悪意ある一般人ではなく、政府がマイナンバーをもとに国民の個人情報を一元管理する可能性に不安を憶える人も少なくありません。

マイナンバーを含む個人情報が情報漏洩した場合の罰則は？

マイナンバー法では、情報漏洩に対する罰則が、主体と行為ごとに詳細に設けられています。主な罰則を挙げると次のようなものがあります。

民間事業者や個人も主体になりうる罰則

個人番号利用事務、個人番号関係事務などに従事する者や、従事していた者が正当な理由なく、業務で取扱う個人の秘密が記録された特定個人情報ファイルを提供した場合は、4年以下の懲役または200万円以下の罰金（併科されることもある）

個人番号利用事務、個人番号関係事務などに従事する者や、従事していた者が業務に関して知り得たマイナンバーを自己や第三者の不正な利益を図る目的で提供または盗用した場合、3年以下の懲役または150万円以下の罰金（併科されることもある）

主体を問わず、人を欺き、暴行を加え、または脅迫することや財物の窃取、施設への侵入、不正アクセス行為などによりマイナンバーを取得した場合、3年以下の懲役または150万円以下の罰金

主体を問わず、偽りその他不正の手段によりマイナンバーカードの交付を受けると、6カ月以下の懲役または50万円以下の罰金

特定個人情報の取扱いに関して法令違反のあった者が、個人情報保護委員会の命令に違反した場合は、2年以下の懲役または50万円以下の罰金

個人情報保護委員会から報告や資料提出の求め、質問、立入検査を受けた者が虚偽の報告、虚偽の資料提出、答弁や検査の拒否、検査妨害などをした場合、1年以下の懲役または50万円以下の罰金

国の行政機関や地方公共団体の職員が主体である罰則

情報連携や情報提供ネットワークシステムの運営に従事する者や、従事していた者が情報連携や情報提供ネットワークシステムの業務に関して知り得た秘密を洩らし、または盗用した場合、3年以下の懲役または150万円以下の罰金（併科されることもある）

国、地方公共団体、地方公共団体情報システム機構などの役職員が職権を乱用して、職務以外の目的で個人の秘密に属する特定個人情報が記録された文書などを収集した場合、2年以下の懲役または100万円以下の罰金

この他にも、国外犯に関する罰則などもあります。

企業や地方自治体がとるべきマイナンバーの個人情報漏洩対策は？

個人情報の漏洩によるリスクを排除するために、マイナンバー法では制度面における保護措置に加え、システム面における保護措置を講じています。

利用の制限

まず、マイナンバーはマイナンバー法があらかじめ限定的に定めた事務以外で利用することはできません。

例外的な利用は、金融機関が激甚災害時などに金銭の支払を行う場合と、人の生命、身体または財産の保護のために必要がある場合に限定されています。

提供、収集・保管の制限

マイナンバーの提供を求めることができるのは、個人番号利用事務などを処理するために必要がある場合に限られます。

本人または代理人からの提供など、マイナンバー法に定める場合を除いて、マイナンバーの提供を求めることや特定個人情報を提供、収集・保管することは禁止されています。

委託先の監督

行政機関が民間事業者に個人番号利用事務を委託する場合、委託先に対して必要かつ適切な監督を行わなければなりません。

具体的には、委託先の選定に際し、行政機関などが果たすべき安全管理措置と同等の措置が講じられるか確認し、安全管理措置を遵守させるために必要な条項を盛り込んだ契約を締結します。そして、委託先から報告、委託先への実地の監査などにより、特定個人情報の取扱状況を把握することになります。

安全管理措置

個人番号利用事務の実施者は、個人番号の漏洩、滅失、毀損の防止、その他個人番号の適切な管理のために、安全管理措置を講じる必要があります。

具体的な安全管理措置の内容は、「特定個人情報の適正な取扱いに関するガイドライン」に示されています。

特定個人情報の適正な取扱いに関するガイドライン（事業者編）｜個人情報保護委員会
 特定個人情報の適正な取扱いに関するガイドライン（行政機関等・地方公共団体等編）｜個人情報保護委員会

「事業者編」では、安全措置の検討手順、基本方針の策定、取扱規程などの策定、組織的安全管理措置、人的安全措置、物理的安全管理措置、技術的安全管理措置、外部状況の把握の各分野について、手法の例示とともに詳細に記載されています。

システム面における措置

特定個人情報の漏洩、滅失、毀損などを防ぐためにシステム面においても各種の保護措置を講じることになります。具体的には、以下の措置を講じなければなりません。

個人情報を一元的に管理せず分散して管理
マイナンバーを直接用いず、各機関ごとに異なる符号を使用した情報連携
アクセス制御により、アクセスできる人の制限・管理
情報を通信する際の通信の暗号化

マイナンバー制度で必要な個人情報漏洩対策を知っておこう！

今回は、マイナンバーや特定個人情報の情報漏洩を防止するための措置について解説してきました。マイナンバー法では、マイナンバーや特定個人情報の利用範囲、取得・提供などの制限のほか、罰則などについて厳格な規定があります。特定個人情報を取扱う事務に従事する方は、漏洩対策をしっかり理解しておくことが大切です。

よくある質問

マイナンバーが情報漏洩した場合のリスクは？

なりすましによる個人が被る金銭的被害のほか、企業が賠償請求されれば、社会的信用も失墜します。詳しくはこちらをご覧ください。

企業や地方自治体がとるべきマイナンバーの個人情報漏洩対策は？

利用の制限など、制度面における保護措置に加え、システム面における保護措置を講じる必要があります。詳しくはこちらをご覧ください。

※ 掲載している情報は記事更新時点のものです。

監修：坪義生（社会保険労務士）
じんじ労務経営研究所代表（社会保険労務士登録）、労働保険事務組合鎌ヶ谷経営労務管理協会会長、清和大学法学部非常勤講師、「月刊人事マネジメント」（㈱ビジネスパブリッシング）取材記者。社会保険診療報酬支払基金、衆議院議員秘書、㈱矢野経済研究所、等を経て、91年、じんじ労務経営研究所を開設。同年より、企業のトップ・人事担当者を中心に人事制度を取材・執筆するほか、中小企業の労働社会保険業務、自治体管理職研修の講師など広範に活動。著書に『社会保険・労働保険の実務　疑問解決マニュアル』(三修社)、『管理者のための労務管理のしくみと実務マニュアル』(三修社)、『リーダー部課長のための最新ビジネス法律常識ハンドブック』(日本実業出版社、共著)などがある。