マイナンバーの罰則には何があるのか|法的根拠や罰則の対象や内容、リスク対策について解説
マイナンバーを取り扱う可能性のある企業の人事労務担当者などは、万一漏えいしてしまった場合、どのような罰則があるのか気になる方も多いのではないでしょうか。マイナンバー法で定められている罰則には懲役刑を含みます。取り扱いを間違えて誤って情報を漏らしてしまい、重いペナルティを科されないように、日頃から注意を払って対策を立てておくことが大切です。当記事では、マイナンバーに関する罰則の対象や内容、罰則を受けないために企業に求められるリスク対策について解説します。従業員のマイナンバーを取り扱う担当者は、ぜひ参考にしてください。
※当記事の内容は作成日現在のものであり、法令の改正等により、紹介内容が変更されている場合がございます。
目次マイナンバーの罰則の根拠となる法律
マイナンバーの罰則の根拠となる法律は、「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律」です。特に罰則の内容については、第9章(48条〜57条)に記載されています。マイナンバーは個人情報の中でも、名前や住所など個人を特定できてしまう重大な情報です。そのためマイナンバー法で科しているペナルティは厳しく、故意に漏えいした者は、ただちに刑事罰が科されることとされています。これを直接罰といいます。マイナンバー法は、個人情報保護法よりも罰則の種類が多く、懲役刑があるなど内容が重く厳しいのが特徴です。
参照:『行政手続における特定の個人を識別するための番号の利用等に関する法律』e-Gov法令検索
マイナンバー法の罰則対象となるケース
マイナンバー法で規定されている罰則で、もっとも重いものは「4年以下の懲役または200万円以下の罰金」です。この対象となるケースは3つあります。
- 情報漏えいが発生した
- 個人情報保護委員会の勧告に応じなかった
- 正当な理由もなくマイナンバー情報を収集した
それぞれ具体的にどのような場合なのか、詳しく解説しますので確認してみましょう。
情報漏えいが発生した場合
まず1つめは、情報漏えいが発生した場合です。具体的には以下の3つのケースが想定されており、それぞれに対する罰則は次の通りです。
マイナンバーの提供・盗用
業務で知り得た個人情報を悪用することは禁止されています。不正な利益をはかる目的で第三者に提供したり、盗用したりすると罰則の対象です。3年以下の懲役もしくは150万円以下の罰金、またはその両方が科されます。
特定個人情報ファイルの提供
適正な理由がないのに、特定個人情報ファイルを関係者以外に提供したことに対する罰則です。特定個人情報ファイルとは、「マイナンバーを含む情報の集合物」とされ、単に紙などで管理されたものに加え、電子ファイルなども含みます。違反した場合は、4年以下の懲役もしくは200万円以下の罰金、またはその両方が科されます。
情報提供事務に服務する者や過去に服務していた者によるマイナンバーの提供・盗用
情報ネットワークシステムの運営業務に服務する人が対象です。業務で入手した個人情報を提供・盗用した場合、3年以下の懲役もしくは150万円以下の罰金、またはその両方が科されます。
個人情報保護委員会の勧告に応じない場合
マイナンバーの罰則対象となるケース2つめは、個人情報保護委員会の勧告に背いた場合です。たとえば、嘘の報告や偽った内容の書類を提出したことにより、特定個人情報委員会から答弁や検査を勧告されることがあります。それに対して虚偽の答弁をしたり検査を拒否したりするなど、委員会の勧告に従わない場合は、命令違反となり処罰の対象です。2年以下の懲役または50万円以下の罰金が科されます。また、検査の対象となった人が虚偽の報告や虚偽の資料を提供すると、命令違反と同様に罰則の対象です。罰則として、1年以下の懲役または50万円以下の罰金が科せられます。
正当な理由もなく情報を収集した場合
マイナンバーの罰則対象となるケース3つめは、正当な理由もなくマイナンバー情報を収集した場合です。マイナンバー情報を不正に取得して第三者へ渡したり、適正な利用以外でマイナンバーを保管したりすることは罰則の対象とされています。
マイナンバー情報を取得するには、正当な理由が必要とされています。嘘の理由でマイナンバー情報を手に入れ、他人のふりをする不正な取得は許されていません。不正にマイナンバー情報を収集した場合、罰則は6か月以下の懲役または50万円以下の罰金が科せられます。また、不正に他人のマイナンバーを持っているだけでも罰則を受ける恐れがあるため、担当者は取り扱いに注意しましょう。
対象別マイナンバーの制度の罰則
マイナンバー制度の罰則の対象となるのは、企業の中でマイナンバーの取扱者に任命されている者だけではありません。違反行為の内容により、誰でも対象になる可能性があるため、取り扱いには細心の注意を払いましょう。
マイナンバーの取扱者が対象の罰則
まずはマイナンバーの取扱者に定められている違法行為と罰則の内容を2種類ご紹介します。いずれも業務で知り得たマイナンバー情報を不正に提供したり盗用したりしたケースです。
| 1 | 個人番号利用事務、個人番号関係事務などに服務する人や服務していた人が、正当な理由なく、業務で取り扱う個人情報が記録された特定個人情報ファイルを提供した場合 | 年以下の懲役もしくは200万円以下の罰金、または併科 |
|---|---|---|
| 2 | 個人番号関係事務、個人番号利用事務などに服務する人や服務していた人が、業務に関して知り得たマイナンバーを第三者の不正な利益をはかる目的で提供し、または盗用した場合 | 3年以下の懲役もしくは150万円以下の罰金、または併科 |
すべての人に適用される可能性がある罰則
続いて、すべての人が処罰の可能性がある違法行為と罰則の内容を4種類ご紹介します。次の行為は主体が限られておらず、マイナンバー法に違反した者すべてに適用される可能性があります。
| 1 | 人を欺き、人に暴行を加え、人を脅迫し、または財物の窃盗、不正アクセス行為、施設への侵入等によりマイナンバーを取得した場合 | 3年以下の懲役または150万円以下の罰金 |
|---|---|---|
| 2 | 個人情報保護委員会から命令を受けた者が、個人情報保護委員会の命令に違反した場合 | 2年以下の懲役または50万円以下の罰金 |
| 3 | 個人情報保護委員会による検査等に対して、虚偽の報告、虚偽の資料提出をする、検査を拒否した場合 | 1年以下の懲役または50万円以下の罰金 |
| 4 | 偽りその他不正の手段によりマイナンバーカードを取得した場合 | 6か月以下の懲役または50万円以下の罰金 |
特定の公務員・情報提供ネットワークシステムに関係する人が対象の罰則
国の出先機関の職員など、特定の公務員はマイナンバー情報を取り扱う業務を遂行しています。そのような特定の公務員に対しても、別途2種類の罰則規定が設けられています。この罰則は、情報提供ネットワークシステムに関係する人も対象に含まれます。
| 1 | 国や地方公共団体、地方公共団体情報システム機構などの役職員が、職権を濫用してマイナンバーが記録された文章等を収集した場合 | 2年以下の懲役または100万円以下の罰金 |
|---|---|---|
| 2 | 情報提供ネットワークシステムの事務に服務する人や服務していた人が、情報連携や情報提供ネットワークシステムの業務で知り得た秘密を漏らし、または盗用した場合 | 3年以下の懲役または150万円以下の罰金 |
参照:『マイナンバー制度における罰則の強化(令和4年5月25日現在)』
マイナンバー法は両罰規定を設けている
マイナンバー法では、両罰規定を定めています。両罰規定とは、違反した人とその人が所属する会社や組織、団体などを一緒に処罰することです。違法行為が、法人業務として遂行されたと認められた場合に適用される可能性があります。両罰規定が設けられている目的は、対象を違反した人だけに限定してしまうと、抑止力が不十分と考えられているためです。
また、特別個人情報委員会からの命令違反は、個人の判断による単独行動ではなく、組織の命令による行為である場合が多いでしょう。そのため、不正行為のすべてが担当従業員の責任とは言い切れず、担当従業員を管理・監督している会社も処罰の対象と見なしているのです。両罰規定の対象となる条例は次の5つです。
| 第67条 | 特定個人情報ファイルの不正提供 |
|---|---|
| 第68条 | マイナンバー情報の漏えい |
| 第70条 | 詐欺行為等によるマイナンバーの取得 |
| 第73条 | 個人情報委員会の命令違反、検査忌避等 |
| 第75条 | マイナンバーカードの不正取得 |
企業が行うべきマイナンバーに関する4つの安全管理措置
マイナンバーを業務で取り扱う会社は、不正行為や情報漏えいを未然に防ぐために4つの安全管理措置を講じる必要があります。
組織的安全管理措置
組織的安全管理措置とは、会社などの組織がマイナンバーを取り扱うにあたって実施する体制整備のことです。会社や従業員がマイナンバーを取り扱う際は、安全管理措置の定めに従うことが義務づけられています。安全管理措置の具体的な内容としては、マイナンバーを扱う事務責任者や事務取扱担当者などを設置して役割を明確にし、情報漏えいなどが発生した際の報告や連絡の体制を整えておくことなどがあげられます。また、マイナンバーが適切に運用されているか取扱状況を定期的に点検し、安全管理措置の改善に取り組むことも大切です。
参照:『特定個人情報の適正な取扱いに関するガイドライン(事業者編) 』
物理的安全管理措置
物理的安全管理措置とは、マイナンバー情報の物理的な保管について体制を整備することを指します。具体的には、マイナンバーを管理する場所やサーバーなど区域を明確化し、安全に保管するための対策を実施することです。たとえばマイナンバー情報を物理的に保管するなら保管場所を施錠し、サーバーで保管するなら暗号化・パスワードによる保護などを行います。また、マイナンバー情報を廃棄する際には、復元不可能な手段で廃棄するなどが物理的安全管理措置としてあげられます。
人的安全管理措置
人的安全管理措置とは、マイナンバーを適切に管理するために人員体制を整えることを指します。マイナンバーを適切に取り扱うには、適切な取り扱い方法を従業員に周知徹底させることが大切です。事業者はマイナンバーの正しい取り扱い方法を授業員に教える必要があります。そのためには、定期的な研修などを行うことが大切です。また、事業者は取扱規定などを作成し、授業員の取り扱い方を監督しましょう。。安全管理のために、マイナンバーの取り扱いに関する事項を就業規則などに盛り込んでおくのも有効です。
技術的安全管理措置
技術的安全管理措置とは、情報システムなどからマイナンバー情報を保護する対策です。情報システムを使用してマイナンバー関係の事務を行う際は、アクセス制御を実施します。具体的には、アクセス者をユーザーID・パスワードを用いて識別・認証する方法です。情報システムを使用してマイナンバー関係の事務を行う際には、アクセスの制御が必要です。具体的には、アクセス者をユーザーID・パスワードを用いて識別・認証する方法があります。
マイナンバー法による罰則リスクを軽減する方法
マイナンバー情報の漏えいがたとえ故意ではなくても、企業に責任が生じるリスクがあります。罰則リスクを軽減するため、違反行為を未然に防ぐ対策を講じることが大切です。
従業員への教育を徹底する
マイナンバーの罰則リスクを抑えるためには、従業員に個人情報の漏えいに対する危機意識を持ってもらうことが重要です。マイナンバーを収集・保管する担当者は、危機意識を高く持つ必要があります。なぜなら、危機意識が低いと、重要な情報を守るための基本的な対策を怠ってしまうかもしれないからです。たとえば、金庫の施錠を忘れたりファイルにパスワードをかけ忘れたりするといったリスクが生じる可能性があります。そのため、社内研修などを定期的に実施して、マイナンバーの罰則規定について教育を徹底しましょう。
マイナンバー管理システムを導入する
従業員に対して個人情報漏えいを防止するための教育は重要です。しかし、それだけではリスクを完全に排除することはできません。不正流出や漏えいなどの事故は、教育だけでは防げない要因があります。マイナンバー情報の保護は、人的な対策だけでは不十分です。人間はミスを犯すこともありますし、意図的に情報を悪用することもありえます。そこで、リスクを回避するためには、情報が流出・漏えいしないようなシステムを導入することが必要です。システム上でマイナンバーを収集・保管・管理することが、マイナンバーを管理する最善の方法といえるでしょう。
適切なセキュリティ対策をする
マイナンバーの管理方法としてシステムの導入が有効ですが、マイナンバーの管理には高度なセキュリティ対策が必要です。マイナンバー管理のために人事管理システムを導入する際は、セキュリティ面の安全性も十分に検討しましょう。専用の管理システムを利用すれば、マイナンバー情報を削除するときも復元不可能な状態で廃棄することが可能です。
まとめ
マイナンバー法の罰則は個人情報保護法などに比べてペナルティが重いという特徴があります。故意に情報漏えいをした場合はただちに刑事罰に科せられます。マイナンバー法の罰則の対象は、違反者だけでなく違反者が属する会社も罰則の対象です。そのため、マイナンバー情報の漏えい対策は、マイナンバーの担当者だけでなく組織全体で取り組む必要があります。すでに個人情報保護対策に取り組んでいる事業者も、あらためてマイナンバーの罰則リスク対策を検討しましょう。マイナンバー情報を適切に管理・保管・運用するには、高度なセキュリティ対策がされた人事管理システムの導入がおすすめです。
『One人事』は人事労務をワンストップで支えるクラウドサービスです。人事労務情報の集約からペーパーレス化まで、一気通貫でご支援いたします。電子申請や年末調整、マイナンバー管理など幅広い業務の効率化を助け、担当者の手間を軽減。費用や気になる使い心地について、お気軽にご相談いただけますので、まずは当サイトよりお問い合わせください。
当サイトでは、サービス紹介資料はもちろん、無料のお役立ち資料をダウンロードいただけます。業務効率化のヒントに、こちらもお気軽にお申し込みください。
