厳罰化に要注意！
マイナンバー制度が企業に与えるインパクト
セキュリティ強化の起爆剤となるか！？

　住民票を有するすべての人に12桁の番号を付与するマイナンバー制度。税と社会保障の公平性が実現されるだけでなく、行政コストの削減や手続きの簡素化など様々な恩恵をもたらすことが期待されている。

　しかし、所得をはじめとした様々な情報が番号に紐付くことになるため、マイナンバーを管理する企業に対して、これまで以上に厳格な安全管理措置が求められることになる。

　そこで、個人情報保護法や不正競争防止法の事前事後対応など企業における情報管理の在り方を法務の観点からサポートしているTMI総合法律事務所の弁護士・米山 貴志氏に、マイナンバー制度の意義や罰則の考え方、強化すべき安全管理措置の具体的な対策などについて聞いた。

第一部　マイナンバーにおける企業の対応と法的なリスクとは？

■マイナンバー導入の意義や企業の対応状況について教えてください。

　マイナンバーは、行政の効率化や国民の利便性向上、そして公正な社会の実現という3つの柱を掲げてスタートする制度です。

　昨今は生活保護の不正受給などが話題になっていますが、マイナンバーを基軸に所得の情報が正確に把握できるようになることで、適正な社会保障サービスが公平に行政から提供されるようになります。

　また、マイナンバーに個人の情報が紐付くことで、これまで行政手続き上必要だった添付書類の提出などが不要になるなど、手続きそのものが簡素化されるというメリットもあります。

　これは行政機関の業務効率化にも繋がってくるものです。

　このマイナンバー制度の運用開始にあたっては、企業側にも様々な対応が求められます。

　具体的には、源泉徴収票など税に関する書類や、健康保険など社会保障に関する書類にマイナンバーの記載が義務づけられるため、雇用している従業員からマイナンバーを取得する必要があります。

　また、秘匿性が非常に高い情報であるがゆえに、厳重な保管を含めた安全管理措置が求められます。

　さらに、従業員が退職するなどマイナンバーがその企業にとって不要になった場合は、原則として7年間厳重に保管した上で復元不可能な形で破棄するというルールも定められています。

　つまり、従業員が入社してから退社した後も厳格な管理が必要となるのです。

　実際にマイナンバーの運用が開始されるのが2016年1月からとなっており、その前に2015年10月から個人に対して12桁の個人番号、いわゆるマイナンバーの通知が開始される予定です。

それゆえ、現時点ですでに利用開始まで1年を切っている状況となっており、企業としてマイナンバーへの対応を急ぎ進めていかなければならないのです。

■個人情報保護法に重なる部分が多いように見受けられますが、具体的な違いはどのようなところにありますか。

　個人情報保護法では、保有する個人情報が5,000件を超えない小規模事業者であれば適用外という位置付けでしたが、今回は情報の数に関わらず従業員を雇用しているすべての企業が対象になります。

　また、マイナンバーは税と社会保障、災害という3つの分野に関する行政手続きでのみ使用することが可能となっており、この番号を従業員の管理に利用することはできません。

　これは本人の同意があったとしても利用してはならないとされており、この部分も個人情報保護法とは異なる部分です。

　第三者機関への提供も本人の同意があってもできないため、例えばグループ企業間で従業員が出向した場合でも、会社間をまたがってマイナンバー情報を提供することはできません。

　ほかにも、マイナンバーを取り扱う業務を外部に委託する際には、従業員の許諾を受ける必要があります。

　従業員から許諾を得るためにも、曖昧な基準で委託先を選定することができなくなるばかりか、委託元である企業は委託先の監督責任が伴うことになってきます。

　そして最も大きな違いが厳罰規定です。

　個人情報保護法では違反行為があると監督官庁から是正勧告が提示され、それに従わないと罰則が科せられる”間接罰“が採用されているのに対して、マイナンバーでは故意に不正行為を行った場合は直ちに刑事罰を科す“直接罰”が採用されています。

　前提としては、故意に番号を不正取得した場合に処罰するという故意犯処罰の原則に則っており、過失での情報漏えいはこの限りではありません。

　この刑事罰については、不正行為を行った従業員に対してのものになりますが、雇用している企業に対しても罰金刑が科せられる両罰規定も存在しています。

　一度漏えいしてしまうと取り返しのつかない情報だからこそ、重い刑罰をもって対応するということが明確に示されているのです。

■マイナンバー運用における企業リスクはどう考えるべきでしょうか。

　万一情報漏えいが発生した場合は、大きく分けて「民事損害賠償請求」「刑事罰」「行政対応」「レピュテーション」という4つのリスクが企業として考えられます。

　損害賠償請求については、管理していた会社に対する使用者責任や監督責任の追及がそれに該当します。

　もともと個人情報や住民基本台帳に関する情報漏えいの場合は、おおよそ1件あたり15,000円というのが相場観となっていますが、マイナンバーは現時点でその価値を正確に想定するのは難しい状況です。

　それでも、所得に関する情報や健康に関する情報が紐づいている番号だけに、前述の相場は大きく崩れる可能性は十分考えられます。

　刑事罰という視点では、基本的に不正行為を行った従業員に対してのものになりますが、現状では最高懲役刑として4年が設定されています。

　実は法曹の世界では4年という数字には意味があります。法令上、3年を超えると執行猶予がつけられないとされており、あまりに悪質な事案であれば執行猶予のない実刑もあり得るということのメッセージだと理解すべきです。

　それぐらい重い刑事罰で対処するという意思の表れだと考えられます。企業には懲役刑があるわけではありませんが、両罰規定によって重い罰金刑が科される可能性は十分考えられます。

　3つめの行政対応に関しては、特定個人情報保護委員会という中立的な第三者委員会のようなものが設置され、勧告や指導が委員会を通じて行われます。

　ずさんな安全管理措置がなされている場合は、企業名を公表して是正を促すということも場合によっては考えられます。

　最後のレピュテーションはあえて言う必要もないと思いますが、社会からの信用を失うことに対するダメージは計り知れないものです。近時の大手企業の情報漏えい事件の例を見ても明らかな通り、漏えい発覚後ユーザーからの解約が相次ぐケースもある等、その損害額は甚大と言えます。