給与計算ソフト
新規登録
  1. 給与計算ソフト「マネーフォワード クラウド給与」
  2. 人事労務の基礎知識
  3. マイナンバーが漏洩したらどうなる?罰則や対応手順を解説
  • 更新日 : 2025年8月26日

マイナンバーが漏洩したらどうなる?罰則や対応手順を解説

「国民の行政利用の利便性向上」を旗印に平成28年1月から導入されたマイナンバー制度。
便利になることはいいことですが、事業者や総務などマイナンバーを管理する側には「漏洩」のリスクが常につきまといます。ここではマイナンバー漏洩に対する罰則や対応など、担当者が知っておくべきポイントを解説します。

マイナンバー漏洩時対応マニュアル

「マイナンバー 流出すると」「マイナンバー 漏洩 どうなる」などで検索された方向けに、無料で提供しています。ぜひご自由にダウンロードしてご活用ください。

無料でダウンロードする

この記事で人気のテンプレート(無料ダウンロード)

目次

マイナンバー漏洩のよくある原因とは?

マイナンバーの漏洩事故には、人的ミスによる誤送信や技術管理の不備による情報流出などがあります。主な原因を把握することで、実効性のある対策を講じることが可能になりますので見ていきましょう。

人的ミスによる誤送信や誤操作

日常業務において最も多いのが、メールやFAXの誤送信、資料の置き忘れ、誤廃棄といった人的なミスです。特に、担当者がマイナンバーを含む書類を他部署や第三者に誤って送付するケースは多く報告されています。こうしたミスは、操作フローや確認体制の不備によって引き起こされており、再発防止には教育の徹底と手順の見直しが求められます。

技術管理の不備による情報流出

アクセス制限が不十分なシステムの利用、端末や外部媒体への無断コピー、ファイルの暗号化漏れといった技術的な管理の甘さも重大なリスク要因です。クラウドサービスの設定ミスによる意図しない公開や、ウイルス感染による外部送信など、システム側の管理が行き届いていないことで発生する漏洩もあります。技術的対策は定期的に見直し、設定や更新を怠らないことが必要です。

マイナンバー漏洩は罰金最大200万円!

マイナンバーは大切に

マイナンバーは一人一人に対してたった1つしか与えられない番号です。言ってみれば、あらゆる公共機関で個人の情報にアクセスできるパスワードのようなもの。マイナンバー改正法では金融や医療分野にも利用範囲を広げることも想定されているため、その重要性はさらに増すと考えられます。
そのため万が一にでも漏洩させてしまうと、たちまちそのマイナンバーの持ち主の権利・利益が危うくなるでしょう。そのため「行政手続における特定の個人を識別するための番号の利用等に関する法律(以下「番号法)」では個人情報保護法よりももっと厳重な保護措置と罰則を設けています。

マイナンバー漏洩には厳しい罰が待っている

個人情報保護法でも個人情報を不適切に扱うなどした場合の罰則は設けられています。しかし、番号法では個人情報保護法で設けられている罰則がグレードアップしている上に、いくつかの罰則が新設されました。
最も重い罰則は「個人番号関係事務又は個人番号利用事務に従事する者又は従事していた者が、正当な理由なく、特定個人情報ファイルを提供」した場合の「4年以下の懲役若しくは200万円以下の罰金又は併科」。

ほかにもマイナンバー関係事務担当者が自分の利益や他人の利益のためにマイナンバーを漏洩させた場合や、騙したり、暴力を振るってマイナンバーを強奪した場合などにも「3年以下の懲役や150万円以下の罰金又は併科」が待っています。今あげた3つの行為を含む下図の6つの違反行為が社内で起きた場合は、それをした人だけでなく、その管理者にも罰金刑が科せられるので、担当者選びは慎重に行う必要があります。

マイナンバー漏洩の罰則

委託業者のマイナンバー漏洩にもご注意を!

「必要かつ適切な監督」とは?

事業者はマイナンバー関係事務を第三者の委託事業者に委託することができます。しかし委託したからといって、あとのことは知らぬ存ぜぬというわけにはいきません。委託者は委託先に対して「必要かつ適切な監督」をする義務を負っているからです。具体的には次の3点に注意しなくてはいけません。

  1. 委託先の適切な選定
  2. 安全管理措置に関する委託契約の締結
  3. 委託先における特定個人情報の取扱状況の把握

委託者は、委託先でも自社内で行うべきとされているマイナンバーの適切な取り扱いをする体制が整っているかどうかをあらかじめ確認しなくてはいけない、と言っているのが1。2はあらかじめマイナンバーの取り扱いについて明文化して委託契約を交わしなさい、というものです。3はマイナンバーが適切に取り扱われているかどうかを委託者が委託先に実地調査できるかどうかを確認しなさい、という意味です。3に関しては2の契約締結の時に明文化しておくといいでしょう。

身を守るためには事前確認!

委託業者と交わすべきとされる委託契約の中には、もしマイナンバーが漏洩した時はどう対応するかについての項目があります。きちんとマイナンバーを取り扱ってくれると確信した委託業者でも、漏洩のリスクがゼロというわけではありません。万が一の事態が起きた時、責任の所在や取り方についての考え方をあらかじめ確認しておくことが大切です。

マイナンバー漏洩時の対応手順

マイナンバーは機密性の高い「特定個人情報」であり、万が一漏洩が発生した場合、企業には迅速かつ適切な対応が求められます。対応が不十分であれば、法令違反・損害賠償請求・企業イメージの低下といった重大なリスクを招く恐れがあります。以下では、漏洩発覚時の基本的な対応手順を段階ごとに整理します。

初動対応:事実確認と被害の拡大防止

漏洩の可能性が判明したら、まず行うべきは速やかな事実確認と被害拡大の防止策の実施です。マイナンバーが実際に漏れたのか、どの範囲・件数か、原因は何か、流出先はどこかを正確に把握する必要があります。

同時に、漏洩元のシステムや媒体を即時停止し、アクセスログやメール送信履歴の保存、関係者のヒアリングなども行います。この初動が適切でないと、調査が困難になり、さらなる漏洩を招くおそれがあります。

所管官庁(特定個人情報保護委員会)への報告

マイナンバーに関する重大な漏洩が疑われる場合には、特定個人情報保護委員会への報告が必要です。報告義務は法律上明確には定められていませんが、ガイドラインでは重大事案については「速やかに報告することが望ましい」とされています。

報告内容としては、漏洩の経緯、件数、対象者、原因、講じた措置、再発防止策などが求められます。初動報告に加えて、調査完了後の詳細報告書も提出が望まれます。

被害者への説明・謝罪と対応措置

漏洩が判明した場合は、対象となった個人(従業員や取引先等)に対する誠実な説明と謝罪が不可欠です。被害者に対しては、漏洩の事実、影響範囲、今後の対応を丁寧に伝えるとともに、不安の払拭に努めます。

また、必要に応じて、マイナンバー変更手続きの支援や、漏洩によって被った損害に対する補償措置(例えば個人情報漏洩保険による対応)なども検討されるべきです。

再発防止策の策定と体制強化

漏洩後は必ず再発防止策を策定・実行し、体制の見直しを行います。たとえば、システムや書類の取扱ルールの厳格化、アクセス制御の強化、従業員教育の再実施などが挙げられます。

原因がヒューマンエラーであれば、運用ルールの見直しやチェックフローの強化が求められます。ITセキュリティ上の不備であれば、システム改修や監視体制の強化も検討します。

社内外への情報公開と広報対応

事案の規模によっては、対外的な情報開示と広報対応も必要になります。企業サイトでのリリース、公的な謝罪文の掲載、記者会見の実施など、ステークホルダーの信頼回復を図る施策が求められます。

広報対応を誤ると「隠蔽体質」と見なされ、かえって企業イメージを損なうことになりかねません。情報は正確かつタイムリーに発信し、真摯な姿勢を示すことが重要です。

外部委託先からのマイナンバー漏洩時の対応手順・契約上の注意点

マイナンバー業務を外部に委託している企業は、業務を任せた後も「委託元」としての法的責任や監督義務を免れることはできません。とくに委託先からの漏洩が発覚した場合、迅速かつ適切な対応をとることに加え、事前の契約内容が企業の法的リスクを左右します。ここでは、漏洩時に求められる対応と、契約上押さえておくべき要点について解説します。

漏洩発覚時の初動確認と情報収集

外部委託先からマイナンバーの漏洩があったとの報告を受けた場合、委託元企業はまず、事実関係を迅速かつ正確に把握する必要があります。漏洩したデータの範囲、件数、原因、対象者、漏洩経路について、委託先から詳細な報告を求め、その妥当性を自社としても検証します。被害が拡大するリスクを抑えるため、必要に応じて委託業務の一時停止やデータアクセスの制限を実施します。

委託先の責任範囲の確認と再発防止への対応

漏洩の原因が委託先の管理不備に起因している場合、委託元企業はその説明責任を問うと同時に、委託先に対して具体的な再発防止策の提示を求める必要があります。口頭での説明だけでなく、書面による改善計画の提出を義務づけることで、形式的な対応に終わらせず実効性ある対策を促します。併せて、再委託の有無や再委託先の管理状況についても確認を行い、委託全体の構造を再点検することが望まれます。

被害者への説明責任と補償の検討

外部からの漏洩であっても、最終的な責任は委託元にあると見なされるケースが多いため、情報が漏れた本人への対応は企業自身が行わなければなりません。漏洩の事実、影響範囲、今後の対応方針などを明示し、謝罪や必要に応じた補償措置を検討します。委託先との契約内容に基づき、補償費用の一部または全部を委託先に負担させる交渉も必要になりますが、被害者への対応を優先し、誠意ある説明が第一とされます。

契約書に盛り込むべき安全管理義務

マイナンバー業務の外部委託に際しては、契約書において安全管理措置を明記しておくことが不可欠です。情報へのアクセス制限、データの暗号化、端末管理、従業員教育、ログ管理など、技術的・組織的措置の実施を求める条項を記載します。また、業務終了時のデータ返却または廃棄の手順、トラブル発生時の報告義務なども必須項目です。これらの記載がなければ、漏洩発生時の対応や損害賠償の請求が困難になる可能性があります。

再委託に関する許諾と監督の仕組み

委託先がさらに業務を第三者に再委託する場合、それに関する条件も契約上で明確にしておく必要があります。再委託を行う際には事前に委託元の許可を得ること、再委託先にも同等の安全管理措置を義務付けること、そして委託元が再委託先の監査を実施できる体制を整えておくことが求められます。再委託は漏洩リスクをさらに高める要因となるため、契約による厳格なコントロールが不可欠です。

マイナンバー漏洩時の広報対応のポイント

マイナンバーが漏洩した場合、企業は法的な対応に加え、社会的信用の維持という広報上の課題にも直面します。対応の仕方を誤れば、単なる情報漏洩では済まず、企業そのものへの不信感や炎上、取引停止といった深刻な影響が生じるおそれがあります。ここでは、マイナ

初期対応における情報開示の準備

マイナンバーの漏洩が判明した直後には、早期に社内で対応体制を整える必要があります。まず、漏洩の規模や原因を可能な限り正確に把握し、事実確認に基づいた発表内容をまとめます。情報が不確かなまま発信すれば、誤解を招くだけでなく、後の訂正によって信頼を損ねる可能性があります。そのため、発表は迅速でありながら、確認された範囲に限定したものであることが求められます。

公的な情報発信の内容のチェック

公式な情報発信は、企業ホームページの掲載やプレスリリースの発表によって行います。発信内容には、漏洩の発生日時、影響を受けた対象者の範囲、原因の概要、現在講じている措置についての記載が不可欠です。発信媒体を通じて、企業としての立場を明確にし、混乱を最小限に抑えることが広報担当者に求められます。

社内における発言統制

情報漏洩に関する話題は、社内からも外部に拡散するおそれがあります。とくにSNSなどを通じた従業員の不用意な発言が、誤解や風評被害の拡大を招くケースは少なくありません。そのため、対応が始まる段階で、広報部門以外の従業員に対して情報発信を禁止する通達を行い、組織としての一体性を保つ措置を講じる必要があります。

漏洩対象者への個別連絡

実際にマイナンバーが漏洩した当事者には、企業からの直接的な説明が必要です。対象者には、漏洩の事実を明確に伝え、謝罪の意を示し、今後の対応方針や必要な手続きを案内します。一斉通知ではなく、個別の連絡を通じて丁寧に状況を伝えることが、被害者への誠意を示す方法となります。

再発防止策の提示による信頼回復

漏洩が起きた後は、原因の特定とともに、再発防止策の策定が求められます。ここでは、どのような改善を行うのか、いつまでに実施するのかといった具体的な対応内容を公開する必要があります。抽象的な表現を避け、対策の根拠や効果の見込みを説明することで、社会的信用の回復につながります。

社外からの評価に対する意識の共有

広報活動は、社内の危機対応だけでなく、社外からの評価にも直結します。企業の姿勢や行動がどのように受け止められているかを理解し、関係各所との信頼を回復するための行動を継続的に実施します。外部の目を意識したうえでの説明責任の遂行が、広報の本質となります。

マイナンバー漏洩を防止するために企業が取るべき対策

マイナンバー制度に対応するためには、企業は情報漏洩のリスクに常に備えておく必要があります。漏洩防止策は一面的な対応では不十分であり、ソフト面とハード面の両面からバランスよく講じることが重要です。以下では、それぞれの側面から有効な対策を紹介します。

マイナンバー漏洩対策

【ソフト面】運用ルールを整備して管理体制を確立する

まず、マイナンバーの取扱いに関する社内ルールを明文化し、業務フローに沿って確実に実行できるよう整備することが必要です。収集・利用・保存・削除といった各段階で、誰がどのように取り扱うかを文書化し、責任の所在を明確にします。これにより、属人的な運用を排除し、組織としての一貫した管理が可能になります。ルールは一度策定したら終わりではなく、制度や業務内容の変更に応じて定期的に見直すことも求められます。

【ソフト面】従業員教育を徹底して意識を向上させる

マイナンバーの漏洩原因には、担当者の誤操作や不注意といった人的要因が大きく関係します。これを防ぐには、従業員に対する継続的な教育と訓練が不可欠です。新入社員には制度の基本と取扱いルールを必ず研修で教え、既存社員にも定期的に再教育を行って意識の低下を防ぎます。実際の漏洩事例やリスクについて共有することで、日常業務での注意力を高め、行動につながる学びとすることができます。

【ハード面】物理的環境を整えて情報への接触を制限する

マイナンバーが記載された書類やデバイスは、専用の保管場所に物理的に隔離し、アクセスできる人を制限する必要があります。施錠可能なキャビネットや書庫を設け、保管区域には入退室管理を導入して、誰がいつ出入りしたのかを記録します。また、廃棄する際には復元不能な方法で処理し、第三者が閲覧・持ち出すことができないよう徹底します。こうした設備面の整備によって、偶発的な漏洩を防ぐ効果が高まります。

【ハード面】システム上の制御を強化して外部からの侵入を防ぐ

マイナンバーを電子的に保存・処理している場合は、情報システムに対する技術的な安全管理措置を徹底することが不可欠です。パスワードによるアクセス制限に加え、ユーザーごとのログイン記録や閲覧履歴の自動保存、外部デバイスの接続制限など、複数の対策を重層的に組み合わせることで、セキュリティ強度を高めることが可能です。クラウドサービスを利用する場合には、通信の暗号化やデータ保存先の確認も重要なチェックポイントになります。

マイナンバーが漏洩しないよう事前準備で防止に努める

マイナンバーは個人にとってとても大切な情報です。そのためそれを漏洩させないためにかなり厳しい罰則が設けられています。大切なのは漏洩させないための事前の準備と、万が一の時のための迅速な対応です。担当部署だけでなく、社内全体にルールを浸透させ、マイナンバー漏洩防止に努めましょう。


※ 掲載している情報は記事更新時点のものです。

  • 監修:マネーフォワード クラウドマイナンバー

    マイナンバーに関するお役立ち情報をマネーフォワード クラウドマイナンバーが提供します。マネーフォワードクラウドは会計から人事労務までクラウドでDXを推進、バックオフィスの業務効率化を応援します。

  • 監修:三井 啓介 (公認会計士 / 税理士)

    税理士法人ゆびすい
    ゆびすいグループは、国内8拠点に7法人を展開し、税理士・公認会計士・司法書士・社会保険労務士・中小企業診断士など約250名を擁する専門家集団です。
    創業は70年を超え、税務・会計はもちろんのこと経営コンサルティングや法務、労務、ITにいたるまで、多岐にわたる事業を展開し今では4500件を超えるお客様と関与させて頂いております。
    「顧問先さまと共に繁栄するゆびすいグループ」をモットーとして、お客さまの繁栄があってこそ、ゆびすいの繁栄があることを肝に銘じお客さまのために最善を尽くします。
    お客様第一主義に徹し、グループネットワークを活用することにより、時代の変化に即応した新たなサービスを創造し、お客様にご満足をご提供します。

人事労務の知識をさらに深めるなら

※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。

関連記事

  1. 給与計算ソフト「マネーフォワード クラウド給与」
  2. 人事労務の基礎知識
  3. マイナンバーが漏洩したらどうなる?罰則や対応手順を解説