◆4つのリスク
番号法に基づくマイナンバーは、所得、税や社会保障に関する情報などと紐づけられる重要かつセンシティブなものであるため、いったん漏えいしてしまうと取り返しのつかないこととなります。企業・事業者は、マイナンバー情報が漏えいした場合に次のようなリスクがあることに留意する必要があります。
①刑事罰
②民事上の損害賠償責任
③行政対応
④レピュテーションリスク
◆個人情報保護法より厳しい刑事罰
個人情報保護法では、個人情報取扱事業者による個人情報の目的外利用や不正な第三者提供があった場合、主務大臣の勧告(同法34条1項)に従わず、措置命令(同条2項)違反があって初めて罰則の対象となります(同56条により6月以下の懲役または30万円以下の罰金とされています。)。
これに対し、番号法では、特定個人情報ファイル(マイナンバーをその内容に含む個人情報データベースなど)を正当な理由がないのに提供した場合、直ちに罰則の対象となり、違反者には4年以下の懲役もしくは200万円以下の罰金またはこれらが併科されます(同法67条)。
「4年」というところもポイントであり、わが国では3年を超える懲役が科される場合には執行猶予をつけることができないこととされているため(刑法25条1項)、違反者にいきなり実刑が科されることもあるという意味で非常に重い罰則といえます。
また、違反者の所属する法人にも200万円以下の罰金刑が科されます(番号法77条1項)。
◆高額化が懸念される民事上の損害賠償責任
個人情報の漏えいによる民事上の損害賠償額は、情報の性質や内容にもよりますが、1件あたり5000円~1万5000円程度が相場となっています。
これに対し、マイナンバーが税や社会保障に関するセンシティブな情報に紐づけられていること、番号法がマイナンバーの取扱いについて個人情報保護法より厳格な態度で臨んでいることなどからすると、番号法の漏えいによる損害賠償額はさらに高額となる可能性があります。
◆特定個人情報保護委員会への対応
行政との関係では、マイナンバーの適正な取扱いを確保するために設置される特定個人情報保護委員会への対応が問題となります。
特定個人情報保護委員会は、マイナンバーの取扱いに関する指導・助言(50条)、勧告・命令(51条)を行うほか、企業・事業者に報告を求めたり、立入検査を行ったりします(52条)。
◆ある意味もっとも怖いレピュテーションリスク
さらに無視できないのがレピュテーションリスクです。近時、個人情報が漏えいした場合に社会的信用に傷がつき、顧客からの解約が相次いだり、客足が遠のいたりする結果、莫大な損害が生じるケースが見受けられますが、これはマイナンバー情報の漏えいの場合も同様です。
◆適切な安全管理措置でリスクの低減化を
これらのリスクについては、必要かつ適切な安全管理措置を講ずることで低減化することができます。
企業・事業者は、番号法やマイナンバー制度の趣旨をしっかり理解した上で、特定個人情報ガイドラインの「(別添)特定個人情報に関する安全管理措置(事業者編)」などを参照しながら、十分な安全管理措置を講ずることが求められます。
本ブログ及びこれに関連する法律相談等については、下記URLからお問い合わせください。
http://kondo-law.com/contact/