マイナンバーを漏えいした場合の対処方法|漏えいの原因や対策について解説
マイナンバーの管理・運用は各企業で行われていることと思います。一方で個人情報の漏えいなど、不安に感じている方も多いのではないでしょうか。個人情報が漏えいしないためには、事前の対策と、漏えいした場合の対策をあらかじめ講じておくことが重要です。本記事では、マイナンバーに関する情報を漏えいした場合の対処方法や漏えいの原因、対策について解説します。
目次マイナンバー法の概要
マイナンバー法の正式名称は「行政手続における特定の個人を識別するための番号の利用等に関する法律」です。まずは、マイナンバー法の概要と目的、個人情報保護法との差異を確認しましょう。
マイナンバー法とは
マイナンバー法は2015年10月から施行されました。行政の効率化や、国民生活の利便性向上、個人情報保護のための法律です。マイナンバー法には、マイナンバーの確認や保管、利用、破棄を適切に実施し、特定個人情報を保護するための規定が記されています。なお特定個人情報とは、マイナンバー(個人番号)の情報により特定される個人情報を指します。
参考:『「マイナンバー法案」の概要』内閣官房社会保障改革担当室
マイナンバー制度の目的
マイナンバー法に基づくマイナンバー制度の目的は、大きく分けて3つあります。
- 社会を公正・公平な形に変える
- 利便性を高める
- 行政手続きを効率化する
この制度は、マイナンバーの提示で本人確認が完了することで、国民の負担や行政の作業量を軽減し、行政と国の双方が便利になることを目的としています。
マイナンバー法と個人情報保護法の違い
マイナンバー法と個人情報保護法では、取り扱う情報範囲の広さが異なります。
個人情報保護法は、特定の個人を識別できる個人情報の取り扱いルールを定めたものです。一方、マイナンバー法は、あくまでもマイナンバーにかかわる収集・保管・利用・破棄などの取り扱いルールに限られます。つまり、個人情報保護法は一般法、マイナンバー法は特別法という点で異なります。
マイナンバーを漏えいしてしまった場合
マイナンバーを漏えいしてしまった場合、どのようなリスクが生じるでしょうか。詳しく解説します。
- 再発行手数料がかかる
- 損害賠償が生じる可能性がある
- 社会的信用が失墜する
再発行手数料がかかる
マイナンバー漏えいが発生した場合、個人番号の変更とカード再発行が必要です。マイナンバーカードの再発行手数料には、1件につき1,000円(電子証明書が不要な場合は800円)かかります。
また、漏えいの要因が、管理体制不備など企業側にある場合、再発行手数料は企業側が負担しなければなりません。漏えい件数が多ければ、それに応じて再発行にかかる費用が高額になってしまいます。再発行手続きにともなう人的コストもかかるでしょう。
損害賠償が生じる可能性がある
個人番号のみ流出でも、1件あたり数万円の賠償額が発生すると予想されます。
また、マイナンバーと一緒に漏れた情報の種類によって賠償額が変わります。ほかの個人情報もマイナンバーと一緒に漏えいしてしまうと、被害は大きくなるかもしれません。
社会的信用が低下する
企業には、情報を預かる者としての管理責任が求められます。個人情報を漏えいさせてしまうと、その事実を公表しなければならないため、社会的信用や企業イメージが低下する可能性が高いです。社会的信用低下により、顧客離れや得意先との取引停止、営業機会の損失、株価の急落という事態が想定できるでしょう。
マイナンバー漏えいの原因となりうる事例
マイナンバー漏えいの原因は、外部からの脅威によるもの、内部不正によるものがあります。具体的にどのようなケースが多いのか見ていきましょう。
- マイナンバー法による罰則
- 端末やUSBなどの記憶媒体の紛失
- 誤操作
- 管理ミス
- 不正アクセス
- 内部犯罪・不正な情報持ち出し
マイナンバー法による罰則
企業はマイナンバーの管理が定められており、漏えいした場合は法律違反です。厳しい罰則が課されます。マイナンバー法の最も重い罰則は、4年以下の懲役もしくは200万円以下の罰金、または両方です。
端末やUSBなどの記憶媒体の紛失
人為的なミスや過失による情報漏えいが、最も多い原因です。誰でも起こしうる過失ですので注意しましょう。
- USBメモリなど持ち運び可能なメディアにてデータを持ち出し、メディアを紛失してしまう
- 会社から貸与されたノートパソコンやスマートフォンを電車に置き忘れてしまう
- 外出先でカバンから荷物を取り出す際、重要書類もカバンから取り出しその場に置き忘れてしまう
誤操作
次いで多い原因は、操作ミスをはじめ人為的ミスにより発生する情報漏えいです。
- 送信先アドレスを間違え、異なる取引先に送信してしまった
- 誤ったファイルを添付して送ってしまった
- 個人情報を記載したFAXを無関係な相手へ送ってしまった
管理ミス
企業内やその流通経路において、個人情報の管理を誤ったことによる情報漏えいも多い原因です。
- 部門間の連携不備により、公開禁止情報がWebサイト上で公開されていた
- 重要情報の管理フローが定まっておらず、重要情報が記載されたファイルの行方がわからなくなった
不正アクセス
主にネットワークを経由して、外部の第三者が、不正に組織内の情報にアクセスすることにより情報漏えいするケースです。攻撃の種類や手口は複雑化・巧妙化しており、攻撃者側と企業側とのいたちごっこが続いています。
- 従業員の端末がウイルスに感染した状態で社内ネットワークに接続したことで、
社内サーバーにある機密情報が外部に流出してしまった
内部犯罪・不正な情報持ち出し
組織の従業員や関係者が、機密情報を不正に持ち出すことで、情報漏えいしたケースです。毎年、企業規模を問わず発生しているこの事例には、以下の原因が挙げられるでしょう。
- 機密情報が含まれるファイルを、従業員が私用アカウントに添付ファイルにてメール送信していた
- 委託先社員が機密情報のファイルを持ち出し、競合企業に転売していた
マイナンバー漏えい時の対処手順
マイナンバーの漏えいが疑われた場合は、下記の手順に従い速やかに対応を進めます。それぞれ詳しく見ていきましょう。
- 事実確認をする
- 関係各所へ報告する
- 被害の拡大防止に努める
- 本人へ連絡する
- 再発防止策を練り実施する
- マイナンバー変更手続きをする
1.事実確認をする
個人番号そのものだけでは、なりすまし(個人情報の悪用)は起こりにくいでしょう。
マイナンバーだけでは悪用されにくいですが、ほかの個人情報(生年月日や住所、銀行口座番号など)と一緒に管理されていると、マイナンバーと組み合わせて悪用される恐れがあります。その結果、金銭的な被害につながる可能性が高まるでしょう。
漏えいした内容と範囲を確認したうえで、悪用の恐れが少しでも考えられるなら、悪用を阻止する具体策を考えることが重要です。
2.関係各所へ報告する
関連各所に、漏えい内容を報告します。この段階で避けたいことは、漏えいした事実を公表しないなどの隠ぺいです。情報漏えいはどの企業でも起こり得るでしょう。もし漏えいしてしまったら、隠さずに、漏えい時の対応をしっかりと行うことが、企業の信頼につながります。また、漏えいの事実を自分たちで公表するケースより、外部リークで判明するケースの方が、企業イメージや信頼度の低下につながることを理解しておきましょう。
3.被害の拡大防止に努める
企業は、被害拡大防止の取り組みを並行して進めます。不正アクセスであれば、侵入経路を遮断すること、また、そのほかの経路での不正侵入を徹底的に排除するようセキュリティ対策をより強固なものに変えましょう。応急処置的な方法での対策でも構いません。被害拡大の危険性がなくなった段階で、本格的な再発防止策の策定に取り組むため、いち早く漏えいの拡大を食い止め、漏えい状況を深刻化させないよう対処することが求められます。
4.本人へ連絡する
情報漏えいの疑いがある場合、可能性であっても、所有者に対し事実を開示しましょう。よくあるケースは漏えいした可能性のある顧客に対して連絡するまでに、時間を要してしまうことです。影響を受ける本人(被害者)へ連絡すべき内容は、漏えいした事実と謝罪、詐欺被害などの注意喚起、今後の対策などです。情報の所有者に対して現状を説明し、真摯に向き合うことで、企業への信頼感の向上につながるでしょう。
5.再発防止策を練り実施する
上記の対応がすべて完了したあと、再発防止策の策定を進めます。これまでと同レベルの対策を立てるのは避けましょう。漏えい原因を究明し、原因を踏まえた再発防止策を練り、対策を実施します。データで管理しているケースは、アクセスログを残しておくことをおすすめします。アクセスログが保管されていると、原因を究明しやすくなるだけでなく、不正の抑止力にもなるでしょう。
6.マイナンバー変更手続きをする
マイナンバーの漏えいにより悪用されないために、マイナンバーの変更方法について説明します。マイナンバーカードを再交付する場合、再交付の手数料がかかります。企業が行うマイナンバー変更およびカード再発行の対応は以下の通りです。
- 警察へ届け出の提出
- 届け出の受領番号が記された漏えい証明書の取得
- 再発行手数料の振り込み先を所有者に確認
- 賠償金の用意
- 所有者へ上記内容の通知および変更・再発行手続き完了までサポート
マイナンバーの漏えいを防ぐ方法
マイナンバーの漏えいを防ぐための対策が、企業に求められています。どのような対策をすればよいのでしょうか。
- 安全管理措置をする
- マイナンバー管理システムを導入する
安全管理措置をする
マイナンバーの安全管理措置には大きく分けて以下の4つがあります。
| 組織的安全管理措置 | 管理担当者と責任者を決め、組織体制整備の実施など |
|---|---|
| 人的安全管理措置 | 適切に管理されるよう、教育・訓練など人員体制整備の実施など |
| 物理的安全管理措置 | 鍵付き保管庫での関連書類の管理、 マイナンバーを取り扱うシステムの管理区域の明確化など |
| 技術的安全管理措置 | データで管理する場合、アクセス制限やパスワード設定など |
マイナンバー管理システムを導入する
これらの安全管理措置を社内ですべて行うと、工数や負荷が大きくなります。マイナンバー管理システムを導入すると効率よく管理できるだけでなく、人為的ミスによる情報漏えいも防止できるでしょう。安全性が向上し、安心して管理できる体制を構築しやすいといえます。
マイナンバーの管理を委託業者する際の注意事項
マイナンバーの管理は、社内ですべて行う必要はありません。ITサービスの会社に、一部や全部を任せることもできます。その際の注意事項を解説します。
- 委託先の適切な選定
- 安全管理措置に関する委託契約の締結
- 委託先における特定個人情報の取り扱い状況の把握
委託先の適切な選定
安全管理措置と費用を踏まえて、適切な委託先を十分に検討することが重要です。マイナンバーを適切に取り扱う体制が整っているかどうか、委託者は委託先に確認しなければなりません。特に注意したいのが、委託先が負っている義務の範囲です。最初に委託した事業者は、再委託先から再々委託先に至るまで、必要かつ適切な監督義務を間接的に負っています。委託先によって再委託される事業者は、この点を注意しておきましょう。
安全管理措置に関する委託契約の締結
前もってマイナンバーの取り扱いについて明文化し、委託契約を交わします。
契約書には以下の項目を必ず入れましょう。
- 秘密保持義務
- 事業所からマイナンバーの持ち出し禁止
- マイナンバーの目的外利用の禁止
- 再委託する際の条件
- 漏えい時の委託先の責任範囲
- 委託契約終了後のマイナンバーの返却、廃棄
- 従業者に対する監督や教育
- 契約内容の遵守に関する報告規定
委託先における特定個人情報の取り扱い状況の把握
マイナンバー関連業務を委託する場合において、委託者には必要かつ適切な監督をする義務があります。監督義務とは、マイナンバーの管理状況を委託者が委託先に実地調査して確認することです。実地調査が行える内容などを委託契約に盛り込むことが、委託者にとって望ましいといえるでしょう。
まとめ
情報漏えいなどのマイナンバー法違反が起きると、企業にも罰則が科される可能性が高く、社会的信用の損失にもつながりかねません。そのため、企業側でも安全管理措置を講じる必要があります。情報漏えいを防ぎ、効率よく管理するには、ツールを用いて適切・安全に管理するのがおすすめです。
マイナンバー管理にOne人事[労務]
One人事[労務]は、入社にともなう個人情報の収集や社会保険手続きをオンラインで完結させるクラウドシステムです。年末調整やマイナンバー管理も含め、多岐にわたる労務処理のペーパーレス化を実現します。
One人事[労務]の初期費用や気になる操作性については、当サイトより、お気軽にご相談ください。専門のスタッフが貴社の課題をていねいにお聞きしたうえでご案内いたします。
当サイトでは、労務管理の効率化に役立つ資料を無料でダウンロードしていただけます。労務管理をラクにしたい企業の担当者は、お気軽にお申し込みください。
| 「One人事」とは? |
|---|
| 人事労務をワンストップで支えるクラウドサービス。分散する人材情報を集約し、転記ミスや最新データの紛失など労務リスクを軽減することで、経営者や担当者が「本来やりたい業務」に集中できるようにサポートいたします。 |