2016年1月(第80号)
マイナンバー法の規制は個人情報保護法に比べて重くなっています。そのため、罰則が独り歩きしている印象さえあります。今回は、マイナンバー法の規制を中心に整理してみます。
マイナンバーの位置付け
マイナンバー法は個人情報保護法の特別法に当たります。12桁のマイナンバーには個人情報保護法が適用されますが、一般の個人情報とは異なり、特別法であるマイナンバー法によって、その取り扱いには特例的な規制が、個人情報保護法に上乗せされた形で課せられています。
マイナンバー法は、個人情報保護法のように小規模会社を規制の対象から除外する規定がありません。個人事業を含め全ての会社がマイナンバー法の規制が課せられることになっています。
マイナンバーを厳しく規制する理由
マイナンバーは多くの情報を紐付けする役目として導入されました。そのため、一度マイナンバーが悪用されると大量の個人情報が流出し、プライバシー侵害に発展する可能性があります。発足当初は、雇用保険、労災保険と税金情報にだけ紐付けがなされるだけですが、社会保険、医療、金融情報にも拡大されることが決まっています。プライバシー侵害が起こる前に、導入段階から厳しく規制されている訳です。
マイナンバーの規制内容
一般の民間会社に対して、①目的外使用の禁止、②法令で認める以外の取扱いの禁止、③取得時の本人確認、利用目的の明示、④委託先への監査義務、⑤安全管理措置を講じる義務があります。これらに違反したときには、①個人情報保護委員会による監督、②監督の実効性確保のための罰則、③故意犯に対して罰則があります。
マイナンバー法の罰則で一番重いのは、「4年以下の懲役若しくは200万円以下の罰金または併科」です。これは、「正当な理由なく、マイナンバー情報ファイルを提供した」行為に対して課せられるもので、当然に故意犯です。
誇張された罰則
一部の業者は、罰則を誇張して高価なシステムや機器の導入を強いたりしたことがあったようです。マイナンバーを記載した書類を廃棄するには、通常のシュレッダーではデータの復元が可能のと理由で、粉のように粉砕される機器が必要と新型のシュレッダーを売り込んだ例があると聞いています。しかし、マイナンバーの漏えいで罰則が課せられるのは、上記のように故意に情報を流出させたときです。ある日、情報が漏れたとの理由で突然に会社が罰せられることはありません。
どこまでの管理が必要か
マイナンバーをどこまで管理するかは、リスク管理の問題です。管理の程度に正解はありません。それでも弊事務所としては最低限として次の管理は必要と考えています。①規程の整備、②取扱履歴の記録、③定期的な運用監査。
管理をするのは、罰則があるからではありません。マイナンバーが悪用されることが社員のプライバシー侵害に発展する可能性を秘めていることから、「社員のプライバシーを守るために管理をする」との視点が大事です。会社の管理がずさんに感じられて、大切なマイナンバーを会社に提供するのに抵抗があるとする社員がいるとしたら、法規制に照らしての是非を論ずることは全く意味がありません。