住民票を有するすべての人に12桁の番号を付与するマイナンバー制度。税と社会保障の公平性が実現されるだけでなく、行政コストの削減や手続きの簡素化など様々な恩恵をもたらすことが期待されている。

しかし、所得をはじめとした様々な情報が番号に紐付くことになるため、マイナンバーを管理する企業に対して、これまで以上に厳格な安全管理措置が求められることになる。

そこで、個人情報保護法や不正競争防止法の事前事後対応など企業における情報管理の在り方を法務の観点からサポートしているTMI総合法律事務所 の弁護士・米山 貴志氏に、マイナンバー制度の意義や罰則の考え方、強化すべき安全管理措置の具体的な対策などについて聞いた。

第一部　マイナンバーにおける企業の対応と法的なリスクとは？

マイナンバー導入の意義や企業の対応状況について教えてください。

マイナンバーは、行政の効率化や国民の利便性向上、そして公正な社会の実現という3つの柱を掲げてスタートする制度です。

昨今は生活保護の不正受給などが話題になっていますが、マイナンバーを基軸に所得の情報が正確に把握できるようになることで、適正な社会保障サービスが公平に行政から提供されるようになります。

また、マイナンバーに個人の情報が紐付くことで、これまで行政手続き上必要だった添付書類の提出などが不要になるなど、手続きそのものが簡素化されるというメリットもあります。

これは行政機関の業務効率化にも繋がってくるものです。

このマイナンバー制度の運用開始にあたっては、企業側にも様々な対応が求められます。

具体的には、源泉徴収票など税に関する書類や、健康保険など社会保障に関する書類にマイナンバーの記載が義務づけられるため、雇用している従業員からマイナンバーを取得する必要があります。

また、秘匿性が非常に高い情報であるがゆえに、厳重な保管を含めた安全管理措置が求められます。

さらに、従業員が退職するなどマイナンバーがその企業にとって不要になった場合は、原則として7年間厳重に保管した上で復元不可能な形で破棄するというルールも定められています。

つまり、従業員が入社してから退社した後も厳格な管理が必要となるのです。

実際にマイナンバーの運用が開始されるのが2016年1月からとなっており、その前に2015年10月から個人に対して12桁の個人番号、いわゆるマイナンバーの通知が開始される予定です。

それゆえ、現時点ですでに利用開始まで1年を切っている状況となっており、企業としてマイナンバーへの対応を急ぎ進めていかなければならないのです。

個人情報保護法に重なる部分が多いように見受けられますが、具体的な違いはどのようなところにありますか。

個人情報保護法では、保有する個人情報が5,000件を超えない小規模事業者であれば適用外という位置付けでしたが、今回は情報の数に関わらず従業員を雇用しているすべての企業が対象になります。

また、マイナンバーは税と社会保障、災害という3つの分野に関する行政手続きでのみ使用することが可能となっており、この番号を従業員の管理に利用することはできません。

これは本人の同意があったとしても利用してはならないとされており、この部分も個人情報保護法とは異なる部分です。

第三者機関への提供も本人の同意があってもできないため、例えばグループ企業間で従業員が出向した場合でも、会社間をまたがってマイナンバー情報を提供することはできません。

ほかにも、マイナンバーを取り扱う業務を外部に委託する際には、従業員の許諾を受ける必要があります。

従業員から許諾を得るためにも、曖昧な基準で委託先を選定することができなくなるばかりか、委託元である企業は委託先の監督責任が伴うことになってきます。

そして最も大きな違いが厳罰規定です。

個人情報保護法では違反行為があると監督官庁から是正勧告が提示され、それに従わないと罰則が科せられる”間接罰“が採用されているのに対して、マイナンバーでは故意に不正行為を行った場合は直ちに刑事罰を科す“直接罰”が採用されています。

前提としては、故意に番号を不正取得した場合に処罰するという故意犯処罰の原則に則っており、過失での情報漏えいはこの限りではありません。

この刑事罰については、不正行為を行った従業員に対してのものになりますが、雇用している企業に対しても罰金刑が科せられる両罰規定も存在しています。

一度漏えいしてしまうと取り返しのつかない情報だからこそ、重い刑罰をもって対応するということが明確に示されているのです。

マイナンバー運用における企業リスクはどう考えるべきでしょうか。

万一情報漏えいが発生した場合は、大きく分けて「民事損害賠償請求」「刑事罰」「行政対応」「レピュテーション」という4つのリスクが企業として考えられます。

損害賠償請求については、管理していた会社に対する使用者責任や監督責任の追及がそれに該当します。

もともと個人情報や住民基本台帳に関する情報漏えいの場合は、おおよそ1件あたり15,000円というのが相場観となっていますが、マイナンバーは現時点でその価値を正確に想定するのは難しい状況です。

それでも、所得に関する情報や健康に関する情報が紐づいている番号だけに、前述の相場は大きく崩れる可能性は十分考えられます。

刑事罰という視点では、基本的に不正行為を行った従業員に対してのものになりますが、現状では最高懲役刑として4年が設定されています。

実は法曹の世界では4年という数字には意味があります。法令上、3年を超えると執行猶予がつけられないとされており、あまりに悪質な事案であれば執行猶予のない実刑もあり得るということのメッセージだと理解すべきです。

それぐらい重い刑事罰で対処するという意思の表れだと考えられます。企業には懲役刑があるわけではありませんが、両罰規定によって重い罰金刑が科される可能性は十分考えられます。

3つめの行政対応に関しては、特定個人情報保護委員会という中立的な第三者委員会のようなものが設置され、勧告や指導が委員会を通じて行われます。

ずさんな安全管理措置がなされている場合は、企業名を公表して是正を促すということも場合によっては考えられます。

最後のレピュテーションはあえて言う必要もないと思いますが、社会からの信用を失うことに対するダメージは計り知れないものです。近時の大手企業 の情報漏えい事件の例を見ても明らかな通り、漏えい発覚後ユーザーからの解約が相次ぐケースもある等、その損害額は甚大と言えます。

第二部　企業が取り組むべき安全管理措置の具体的な対策とは？

企業が行うべき安全管理措置とは、具体的にどのようなことが考えられますか。

安全管理措置については、個人情報保護法とフレームワークは大きく変わっていませんが、まずは基本方針や取扱規定などを明確に定めていく必要があります。そして、組織的及び人的、物理的、技術的な安全管理措置を講じていくことが大切です。

組織的な安全管理措置とは、誰が責任を持って安全管理体制を構築していくのかという組織体制の整備を定めて、それを規程に落していくことです。

また、人的な安全管理措置は、従業員や委託先の人材に対して、マイナンバーに関する情報やそのリスクを啓蒙するといった教育研修がそれに当たります。

持ち出す誘惑にかられてしまうのも、情報を管理するのも、人が行うことなので、研修などを通じて啓蒙し続けることが何よりも大事なことになってくるはずです。

物理的な安全管理措置とは、例えば立ち入り禁止区域を設けるなど物理的に持ち出せないような盗難防止策を講じることです。

そして最後に技術的な安全管理措置ですが、これは人的な安全管理措置と同じように重要なものとしてとらえる必要があります。

具体的には、アクセス制御や不正アクセスの防止策を技術的な観点で講じるものです。

従業員など関係者全員に十分な教育を施したとしても、結果として誘惑に駆られてしまうことはあり得る話です。

そこでマイナンバー情報に対するアクセス権を設定し、許可された者だけがアクセスできる環境を技術的に作り上げることが大切になってきます。

技術的な安全管理措置に求められる要件とはどんなことでしょうか。

まずは、「アクセス権を誰がどのように管理するか」という前提をしっかりと設定したうえで、アクセス権を持っていない者からのアクセス制御方法を検討することが重要です。

アクセス制御には様々な方法がありますが、IDやパスワードのような“本人確認”できないものでアクセス制御を行うと、悪意を持った人間がアクセス権を持つ人になりすまして情報を盗み出すことができてしまいます。

さらに、悪意を持った人間は、必ずしも外部にいるとは限りません。

これまで様々な情報漏えい事件に遭遇してきましたが、つい出来心で不正行為に手を染めてしまうことも少なくありませんし、いったん興味本位にアクセスして好奇心にかられてしまうと断ち切るのは至難の業。

性悪説ではなく、誘惑に駆られてしまうこともあるという「性弱説」の立場で考えてみると、アクセス権を与えられていない人間がアクセスできない仕組みというものを技術的に整備する必要があるのではないかと思います。

人間の弱いところが出てしまったとしても、そこにアクセスできない仕組みがあれば、多くの情報漏えい事件を防ぐことも可能になるはずです。

また、アクセス権が正当に与えられている者に対しても、より良い待遇を与えて不正を思いとどまらせる等、悪用を出来る限り防止する制度を用意する必要があります。

外部犯・内部犯問わず情報漏えいを防ぐためには、例えば手のひら静脈のような生体情報を用いた認証技術を用いて、本人であることが証明できる形で運用できるかどうかが重要です。

また、アクセス制御とは別にアクセスログを取得しておくことで、不正は必ず露見するという「ハイリスク・ノーリターン」の認識が広がれば、大きな抑止力に繋がります。

これも、本人が特定できる生体認証のような技術を利用することで初めて有効に機能することになります。

企業が取り組むべき対策にアドバイスをお願いします。

前述したとおり、運用開始まで、すでに1年を切っている状況であり、今すぐにでも検討を始めるべき時期だと言えます。

安全管理措置については、まずは以前の個人情報保護法の際に策定した規程類を参考にしながら検討を進めていくことが近道になりますが、中でも教育研修などの人的な安全管理措置と、アクセス制御をはじめとした技術的な安全管理措置がとても重要です。

技術だけ先行しても、実際に運用するのはそこにいる人です。“仏作って魂入れず”ということにならないよう、十分にマイナンバーの意義やそのリスクに関する研修をしっかり行ってほしいと考えています。

技術的な側面では、どんなやり方でも100％安全というものはありません。

それでも、導入を検討する際に、最も信頼できる最高水準の技術を導入していれば、例えば有事の際にも裁判所の判断として過失が否定される可能性も考えられます。

マイナンバーへの対応を契機として、手のひら静脈認証のような最新の技術検討も含めた企業の安全管理のあり方を見直すいいタイミングだと捉えて、ぜひ運用開始に備えていただければと思います。