個人情報よりも厳重な管理が必要なマイナンバー。もし漏洩してしまった場合の影響は計り知れません。今回はマイナンバーが漏洩してしまった場合の対応について考えてみます。

正しく管理していない場合は罰金がある？

マイナンバーについては、個人情報保護法よりも厳しい罰則が定められています。
例えば、行政機関や民間事業者に限らず、マイナンバーの事務処理を行う担当者が正当な理由なく、業務で取り扱うマイナンバーを担当者以外に提供した場合。罰則は「4年以下の懲役　または200万円以下の罰金（併科されることもある）」と定められています。さらに、該当の人物が所属していた企業に対しても「200万円以下の罰金」が科せられます。

そのほかにも不正な利益を得る目的でマイナンバーを提供または盗用した場合、「3年以下の懲役　または150万円以下の罰金（併科されることもある）」という罰則もあります。
これまでの制度では、行政指導後もなお従わなかった場合に罰則が与えられることが多くありました。例えば、個人情報保護法には、勧告や命令に違反をした場合に「6ヶ月以下の懲役または30万円以下の罰金」という罰則があります。しかしマイナンバーについてはこのような過程はなく、即時に罰則が適用されます。

ただし普通に業務を行っていれば、規定に抵触することはないと思われます。ご安心ください。

漏洩発覚時の対処

マイナンバーに限らず、情報漏洩が発覚した際、最初に取るべき対応は「被害拡大の防止」です。上司に報告したうえで、これ以上漏洩しないように対処しましょう。例えば、マイナンバーがファイルサーバーなどの公開領域に保存されている場合はそのファイルを削除する、ウイルス感染や外部からの攻撃があった場合はパソコンをネットワークから外す、といった対策が考えられます。

これらのような被害拡大防止の対処が完了した後は、原因の究明や対策を実施しましょう。事実関係を把握したうえで再発防止策の検討・実施をし、漏洩したマイナンバーの所有者に対して報告します。

番号法に違反している場合には、個人情報保護委員会にも報告を

マイナンバーの漏洩が起こったときだけではなく、漏洩の可能性があるとわかった時点で、個人情報保護委員会に報告するように努める、とされています。まずは第一報だけでも報告しておくようにしましょう。報告の様式については、個人情報保護委員会のウェブサイトに掲載されています。一度、目を通しておきましょう。

普段からの訓練が重要

地震や火事などの災害に備えて避難訓練を実施している企業は多いと思います。薬局などでも、年に1～2回程度、避難訓練を実施しているのではないでしょうか？
訓練の実施は情報漏洩に対しても同じです。突然やってくる不測の事態に備えて、誰が何をしなければならないのか、情報漏洩の発生を想定して訓練を実施してみましょう。

避難訓練には避難場所や避難経路の確認だけでなく、個々の役割を理解する、基礎知識を得るなどさまざまな目的があります。何よりも「災害が発生したときに慌てずに行動できるようにする」という意味があります。いざというときに備え、全従業員が参加して情報漏洩の発生をイメージした訓練を実施してみてください。

次回は「従業員にとってのマイナンバー」についてご紹介します。