今回は、マイナンバー法で新たに定められた「罰則」についてです。
ニュースなどで大きく報じられたので皆様も記憶に新しいと思いますが、年金機構や、ベネッセで大規模な情報流出事件がありました。
年金機構のケースについては、担当者のセキュリティに対する認識の甘さ、ベネッセについては、委託先従業員による悪意によって起きております。
いずれのケースにおいても、「人」が原因で起きており、本来なら適切な教育によって防ぐことができたはずの事件です。
マイナンバー法では罰則が強化されている
マイナンバー制度の導入により、行政などに提出する書類に、従業員のマイナンバーを記入することになりました。そのため、企業は従業員のマイナンバーを管理することになり、それと同時に、マイナンバーが流出してしまうりリスクも抱えることになってしまいました。
マイナンバー法以前は、「個人情報保護法」によって個人情報の不正行為に対する罰則が規定されていました。
その個人情報保護法における罰則の適用は、「主務大臣からの是正命令に違反した」「虚偽報告を行った」などの一定の場合に限られています。
そのため、個人情報保護法に違反したからと言って、直ちに罰則が適用されることはありません。
また、個人情報保護法による刑事罰は「6ヶ月以下の懲役または30万円以下の罰金」となっており、実際の流出事故が発生した場合の影響のレベルに比べたら小さなものでした。(これとは別に、民事上の不法行為に基づく損害賠償はあります)
しかし、「マイナンバー法」においては、類似の刑の上限が引き上げられています。
また、次のような違反行為が新設されています。(これ以外にも、情報提供ネットワークシステムの事務に従事する者や、国の職員に対する罰則も新設されています)
- 正当な理由なく特定個人情報ファイル(*1)を提供したとき
- 不当な利益を図る目的で個人情報を提供・盗用したとき
- 人を欺くなどの行為により個人番号を取得したとき
(*1)特定個人情報とは、個人番号と個人情報(氏名や住所など)を含むもののこと。特定個人情報ファイルとは、複数の特定個人情報を検索できるように保存したもののこと。
これらの違反行為は、その行為者を罰するほかに「その事業者に対しても」罰金刑が科されるようになっています。
マイナンバー法と個人情報保護法の罰則の違いの一部を比べると、以下のようになります。
違反行為 | 個人情報保護法 | マイナンバー法 |
---|---|---|
個人番号利用事務等に従事する者又は従事していた者が、正当な理由なく、個人の秘密に属する事項が記録された特定個人情報ファイルを提供 | なし | 4年以下の懲役若しくは200万円以下の罰金又は併料(第67条) |
上記の者が、不正な利益を図る目的で、個人番号を提供又は盗用 | なし | 3年以下の懲役若しくは150万円以下の罰金又は併料(第68条) |
特定個人情報保護委員会に対する、虚偽の報告、虚偽の資料提出、検査拒否等 | 30万円以下の罰金(第57条) | 1年以下の懲役又は50万円以下の罰金(第74条) |
まずは経営者の認識が大切です
このように、マイナンバー法の罰則は、個人情報保護違反行為の罰則よりも強化されており、不正行為の抑止を狙っていることが分かります。
冒頭でも書きましたが、年金機構やベネッセの情報流出事件は、従業員に対して適切な教育を行っていたら防ぐことができた事件でした。
そのためには、経営者自らが「個人情報」の重要性について十分な認識をするこが大切です。そのうえで、個人情報管理の方策を決めて実践し、業務の実態、技術の進歩等を踏まえて、点検・見直しを行ってください。
個人情報の管理というのは、「大企業は取り扱う個人情報が多いから、漏えいしたら影響が大きい」「中小企業は扱っている個人情報が少ないから、あまり関係ない」という「リスク面」だけではありません。
社内ルールを整備して、適切な教育を行い従業員のモラールを高めることは、従業員の能力向上につながります。
そして、それは顧客の信頼向上、商品やサービスの品質向上を促し、企業の収益にも影響してくるようになります。