マイナンバーの罰則内容は? 法的根拠や対象、リスク対策を解説
マイナンバーを取り扱う企業の人事労務担当者などは、万一漏えいしてしまった場合、どのような罰則があるのか気になる方もいるのではないでしょうか。
マイナンバー法で定められている罰則には、罰金だけでなく懲役刑も含まれます。取り扱いを間違えて誤って情報を漏らしてしまい、重いペナルティを科されないように、日頃から注意を払って対策を立てておくことが大切です。
本記事では、マイナンバーに関する罰則の対象や内容、罰則を受けないために企業に求められるリスク対策について解説します。従業員のマイナンバーを取り扱う担当者は、ぜひ参考にしてください。
目次マイナンバーの罰則の根拠となる法律
マイナンバー法の正式名称は、「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律」です。この法律がマイナンバーにおける罰則の根拠です。
特に罰則の内容については、第9章(48条〜57条)に記載されています。マイナンバーは個人情報の中でも、名前や住所など個人を特定できてしまう重大な情報です。そのためマイナンバー法で科しているペナルティは厳しく、故意に漏えいした者は、改善を求めることなく、ただちに刑事罰が科されることとされています。これを直罰規定といいます。
マイナンバー法は、個人情報保護法よりも内容が重く厳しいのが特徴です。
参照:『行政手続における特定の個人を識別するための番号の利用等に関する法律』e-Gov法令検索
マイナンバー法の罰則対象となるケース
マイナンバー法で規定されている罰則の対象となるケースは以下の3つがあります。なお、罰則のうち最も重いものは「4年以下の懲役または200万円以下の罰金」です。
- 情報漏えいが発生した
- 個人情報保護委員会の勧告に応じなかった
- 正当な理由もなくマイナンバー情報を収集した
それぞれ具体的にどのような場合なのか、詳しく解説しますので確認してみましょう。
情報漏えいが発生した場合
まず1つめは、情報漏えいが発生した場合です。具体的には以下の3つのケースが想定されており、それぞれに対する罰則は次の通りです。
マイナンバーの提供・盗用
業務で知り得た個人情報を悪用することは禁止されています。不正な利益をはかる目的で第三者に提供したり、盗用したりすると罰則の対象です。3年以下の懲役もしくは150万円以下の罰金、またはその両方が科されます。
特定個人情報ファイルの提供
適正な理由がないのに、業務で取り扱う特定個人情報ファイルを関係者以外に提供したことに対する罰則です。特定個人情報ファイルとは、「マイナンバーを含む情報の集合物」とされ、単に紙などで管理されたものに加え、電子ファイルなども含みます。違反した場合は、4年以下の懲役もしくは200万円以下の罰金、またはその両方が科されます。
情報提供事務に服務する者や過去に服務していた者によるマイナンバーの提供・盗用
情報ネットワークシステムの運営業務に服務する人が対象です。業務上知り得た個人情報を提供・盗用した場合、3年以下の懲役もしくは150万円以下の罰金、またはその両方が科されます。
個人情報保護委員会の勧告に応じない場合
マイナンバーの罰則対象となるケース2つめは、個人情報保護委員会の勧告に違反した場合です。
たとえば、嘘の報告や偽った内容の書類を提出したことにより、特定個人情報委員会から答弁や検査を勧告されることがあります。それに対して虚偽の答弁をしたり検査を拒否したりするなど、委員会の勧告に従わない場合は、命令違反となり処罰の対象です。
2年以下の懲役または50万円以下の罰金が科されます。また、検査の対象となった人が虚偽の報告や虚偽の資料を提供すると、命令違反と同様に罰則の対象です。罰則として、1年以下の懲役または50万円以下の罰金が科せられます。
正当な理由もなく情報を収集した場合
マイナンバーの罰則対象となるケース3つめは、正当な理由がなくマイナンバー情報を収集した場合です。
マイナンバーの収集には正当な理由が必要です。そのため、国の機関の職員などが職権を濫用して、職務以外に利用する目的で特定個人情報を収集した場合には罰則が科されます。
罰則の内容は、2年以下の懲役または100万円以下の罰金です。また、偽りや不正な手段でマイナンバーカードを取得した場合には、6か月以下の懲役または50万円以下の罰金が科されることになります。
対象別マイナンバーの制度の罰則
マイナンバー制度の罰則の対象となるのは、企業の中でマイナンバーの取扱者に任命されている者だけではありません。違反行為の内容により、誰でも対象になる可能性があるため、取り扱いには細心の注意を払いましょう。
マイナンバーの取扱者が対象の罰則
まずはマイナンバーの取扱者に定められている違法行為と罰則の内容を2種類ご紹介します。いずれも業務で知り得たマイナンバー情報を不正に提供したり盗用したりしたケースです。
| 1 | 個人番号利用事務、個人番号関係事務などに服務する人や服務していた人が、正当な理由なく、業務で取り扱う個人情報が記録された特定個人情報ファイルを提供した場合 | 4年以下の懲役もしくは200万円以下の罰金、または併科 |
|---|---|---|
| 2 | 個人番号関係事務、個人番号利用事務などに服務する人や服務していた人が、業務に関して知り得たマイナンバーを第三者の不正な利益をはかる目的で提供し、または盗用した場合 | 3年以下の懲役もしくは150万円以下の罰金、または併科 |
すべての人に適用される可能性がある罰則
続いて、すべての人が処罰の可能性がある違法行為と罰則の内容を4種類ご紹介します。次の行為は主体が限られておらず、マイナンバー法に違反した者すべてに適用される可能性があります。
| 1 | 人を欺き、人に暴行を加え、人を脅迫し、または財物の窃盗、不正アクセス行為、施設への侵入等によりマイナンバーを取得した場合 | 3年以下の懲役または150万円以下の罰金 |
|---|---|---|
| 2 | 個人情報保護委員会から命令を受けた者が、個人情報保護委員会の命令に違反した場合 | 2年以下の懲役または50万円以下の罰金 |
| 3 | 個人情報保護委員会による検査等に対して、虚偽の報告、虚偽の資料提出をする、検査を拒否した場合 | 1年以下の懲役または50万円以下の罰金 |
| 4 | 偽りその他不正の手段によりマイナンバーカードを取得した場合 | 6か月以下の懲役または50万円以下の罰金 |
特定の公務員・情報提供ネットワークシステムに関係する人が対象の罰則
国の出先機関の職員など、特定の公務員はマイナンバー情報を取り扱う業務を遂行しています。そのような特定の公務員に対しても、別途2種類の罰則規定が設けられています。この罰則は、情報提供ネットワークシステムに関係する人も対象に含まれます。
| 1 | 国や地方公共団体、地方公共団体情報システム機構などの役職員が、職権を濫用してマイナンバーが記録された文章等を収集した場合 | 2年以下の懲役または100万円以下の罰金 |
|---|---|---|
| 2 | 情報提供ネットワークシステムの事務に服務する人や服務していた人が、情報連携や情報提供ネットワークシステムの業務で知り得た秘密を漏らし、または盗用した場合 | 3年以下の懲役または150万円以下の罰金 |
参照:『マイナンバー制度における罰則の強化(令和4年5月25日現在)』
マイナンバー法は両罰規定を設けている
マイナンバー法では、両罰規定を定めています。両罰規定とは、違反した人とその人が所属する会社や組織、団体などを一緒に処罰することです。違法行為が、法人業務として遂行されたと認められた場合に適用される可能性があります。両罰規定が設けられている目的は、対象を違反した人だけに限定してしまうと、抑止力が不十分と考えられているためです。
また、特別個人情報委員会からの命令違反は、個人の判断による単独行動ではなく、組織の命令による行為である場合が多いでしょう。そのため、不正行為のすべてが担当従業員の責任とは言い切れず、担当従業員を管理・監督している会社も処罰の対象と見なしているのです。両罰規定の対象となる条文は次の5つです。
| 第48条 | 特定個人情報ファイルの不正提供 |
|---|---|
| 第50条 | マイナンバー情報の漏えい |
| 第51条 | 詐欺行為等によるマイナンバーの取得 |
| 第53条 | 個人情報委員会の命令違反、検査忌避等 |
| 第55条 | マイナンバーカードの不正取得 |
企業が行うべきマイナンバーに関する4つの安全管理措置
マイナンバーを業務で取り扱う会社は、不正行為や情報漏えいを未然に防ぐために4つの安全管理措置を講じる必要があります。
組織的安全管理措置
組織的安全管理措置とは、会社などの組織がマイナンバーを取り扱うにあたって実施する体制整備のことです。会社や従業員がマイナンバーを取り扱う際は、安全管理措置の定めに従うことが義務づけられています。安全管理措置の具体的な内容としては、マイナンバーを扱う事務責任者や事務取扱担当者などを設置して役割を明確にし、情報漏えいなどが発生した際の報告や連絡の体制を整えておくことなどがあげられます。また、マイナンバーが適切に運用されているか取扱状況を定期的に点検し、安全管理措置の改善に取り組むことも大切です。
参照:『特定個人情報の適正な取扱いに関するガイドライン(事業者編) 』
物理的安全管理措置
物理的安全管理措置とは、マイナンバー情報の物理的な保管について体制を整備することを指します。具体的には、マイナンバーを管理する場所やサーバーなど区域を明確化し、安全に保管するための対策を実施することです。たとえばマイナンバー情報を物理的に保管するなら保管場所を施錠し、サーバーで保管するなら暗号化・パスワードによる保護などを行います。また、マイナンバー情報を廃棄する際には、復元不可能な手段で廃棄するなどが物理的安全管理措置としてあげられます。
人的安全管理措置
人的安全管理措置とは、マイナンバーを適切に管理するために人員体制を整えることを指します。マイナンバーを適切に取り扱うには、適切な取り扱い方法を従業員に周知徹底させることが大切です。
事業者はマイナンバーの正しい取り扱い方法を従業員に教える必要があります。そのためには、定期的な研修などを行うことが大切です。また、事業者は取扱規定などを作成し、従業員の取り扱い方を監督しましょう。
安全管理のために、マイナンバーの取り扱いに関する事項を就業規則などに盛り込んでおくのも有効です。
技術的安全管理措置
技術的安全管理措置とは、情報システムなどからマイナンバー情報を保護する対策です。
情報システムを使用してマイナンバー関係の事務を行う際は、アクセス制御を実施します。具体的には、アクセス者をユーザーID・パスワードを用いて識別・認証する方法です。
マイナンバー法による罰則リスクを軽減する方法
マイナンバー情報の漏えいがたとえ故意ではなくても、企業に責任が生じるリスクがあります。罰則リスクを軽減するため、違反行為を未然に防ぐ対策を講じることが大切です。
従業員への教育を徹底する
マイナンバーの罰則リスクを抑えるためには、従業員に個人情報の漏えいに対する危機意識を持ってもらうことが重要です。マイナンバーを収集・保管する担当者は、危機意識を高く持つ必要があります。なぜなら、危機意識が低いと、重要な情報を守るための基本的な対策を怠ってしまうかもしれないからです。たとえば、金庫の施錠を忘れたりファイルにパスワードをかけ忘れたりするといったリスクが生じる可能性があります。そのため、社内研修などを定期的に実施して、マイナンバーの罰則規定について教育を徹底しましょう。
マイナンバー管理システムを導入する
従業員に対して個人情報漏えいを防止するための教育は重要です。しかし、それだけではリスクを完全に排除することはできません。不正流出や漏えいなどの事故は、教育だけでは防げない要因があります。マイナンバー情報の保護は、人的な対策だけでは不十分です。人間はミスを犯すこともありますし、意図的に情報を悪用することもありえます。そこで、リスクを回避するためには、情報が流出・漏えいしないようなシステムを導入することが必要です。システム上でマイナンバーを収集・保管・管理することが、マイナンバーを管理する最善の方法といえるでしょう。
適切なセキュリティ対策をする
マイナンバーの管理方法としてシステムの導入が有効ですが、マイナンバーの管理には高度なセキュリティ対策が必要です。マイナンバー管理のために人事管理システムを導入する際は、セキュリティ面の安全性も十分に検討しましょう。専用の管理システムを利用すれば、マイナンバー情報を削除するときも復元不可能な状態で廃棄することが可能です。
まとめ
マイナンバー法の罰則は個人情報保護法などに比べてペナルティが重いという特徴があります。故意に情報漏えいをした場合はただちに刑事罰に科せられます。マイナンバー法の罰則は、違反者だけでなく違反者が属する会社も対象です。
そのため、マイナンバー情報の漏えい対策は、マイナンバーの担当者だけでなく組織全体で取り組む必要があります。すでに個人情報保護対策に取り組んでいる事業者も、あらためてマイナンバーの罰則リスク対策を検討しましょう。
マイナンバー情報を適切に管理・保管・運用するには、高度なセキュリティ対策がされた人事管理システムの導入がおすすめです。
マイナンバー管理にOne人事[労務]
One人事[労務]は、入社にともなう個人情報の収集や社会保険手続きをオンラインで完結させるクラウドシステムです。年末調整やマイナンバー管理も含め、多岐にわたる労務処理のペーパーレス化を実現します。
One人事[労務]の初期費用や気になる操作性については、当サイトより、お気軽にご相談ください。専門のスタッフが貴社の課題をていねいにお聞きしたうえでご案内いたします。
当サイトでは、労務管理の効率化に役立つ資料を無料でダウンロードしていただけます。労務管理をラクにしたい企業の担当者は、お気軽にお申し込みください。
| 「One人事」とは? |
|---|
| 人事労務をワンストップで支えるクラウドサービス。分散する人材情報を集約し、転記ミスや最新データの紛失など労務リスクを軽減することで、経営者や担当者が「本来やりたい業務」に集中できるようにサポートいたします。 |