マイナンバー管理で「漏洩」が問題になる理由
マイナンバーは、税務や社会保険などの行政手続きに利用される重要な個人情報であり、企業には厳格な管理が求められています。そのため、企業が管理しているマイナンバーが漏洩した場合、単なる個人情報漏洩よりも重大な問題として扱われます。
特に企業では、従業員の氏名・住所・生年月日・給与情報などの個人情報とマイナンバーを一緒に管理しているケースが多く、漏洩すると被害が拡大する可能性があります。また、マイナンバーの取り扱いは「マイナンバー法」によって定められており、適切な管理体制を整備していない場合は行政指導や罰則の対象となることもあります。
このようなリスクを防ぐためにも、企業はマイナンバーの適切な管理方法を理解し、漏洩対策を徹底することが重要です。
マイナンバー漏洩のよくある原因
ここでは、企業で実際に起こりやすいマイナンバー漏洩の原因を紹介します。
書類の紛失や持ち出しによる漏洩
マイナンバーが記載された書類を社外へ持ち出した際の紛失は、よくある漏洩原因の一つです。例えば、年末調整書類や扶養控除申告書などを持ち帰った際に紛失してしまうケースがあります。紙の書類でマイナンバーを管理している場合は、鍵付きキャビネットで保管する、持ち出しを制限するなどの対策が必要です。
メール送信ミスや誤送信
担当者が誤ってマイナンバーを含むファイルを別の宛先へ送信してしまうなど、メールの誤送信も情報漏洩の原因になります。特にExcelファイルなどで管理している場合、添付ファイルの誤送信によって個人情報が外部に流出するリスクがあります。送信前のダブルチェックやパスワード付きファイルの利用などの対策が重要です。
アクセス権限の管理不足
マイナンバーを保存しているデータに対してアクセス制限が適切に設定されていない場合、不要な従業員が情報を閲覧できてしまう可能性があります。マイナンバーは取扱担当者のみが閲覧できるようにするなど、アクセス権限を適切に管理することが重要です。また、アクセスログを取得することで不正利用の抑止にもつながります。
サイバー攻撃や不正アクセス
企業のシステムがサイバー攻撃を受け、不正アクセスによってマイナンバーが流出するケースもあります。特にセキュリティ対策が不十分な場合、外部からの攻撃によって個人情報が盗まれる可能性があります。システムの脆弱性対策やアクセス管理の強化など、技術的なセキュリティ対策も重要です。
委託先の管理体制の不備
給与計算や社会保険手続きを外部の業者へ委託している場合、委託先の管理体制が不十分だとマイナンバー漏洩のリスクがあります。そのため企業には、委託先の安全管理措置を確認し、契約や運用面で適切に監督する責任があります。委託契約の内容や管理体制を事前に確認することが重要です。
マイナンバー漏洩でどのような損失が発生するのか?
マイナンバーを漏洩してしまうことで、どのような損失が発生するか見ていきましょう。
再発行手数料が発生する
マイナンバーは非常に重大な個人情報のため、漏洩すると悪用される危険性が高いです。そのためマイナンバーを漏洩した場合は、個人番号の変更と通知カードの再発行をしなければなりません。
マイナンバーの変更は無料で行えますが、通知カードの再発行は500円かかります。したがって、従業員が多い企業であれば金銭的な負担が大きくなるでしょう。
再発行するためには、警察へ届け出てマイナンバーの紛失証明書を発行してもらいます。この紛失証明書をもとに、従業員の管轄となる各自治体の窓口で手続きを行わなければなりません。金銭的な負担以外に手続きなどの業務負担も膨大になるため、大きな損失となるでしょう。
多額の損害賠償が発生する可能性がある
実際にはまだマイナンバーが漏洩した大きな事件は存在しないため、どのくらいの金額になるかは分かりません。また、番号のみの流出であれば金銭的な被害に発展することはありません。しかし、番号のみの流出でも1人当たりの賠償額は数万円になるともいわれています。
マイナンバーは従業員の個人情報と一緒に管理していることが多いため、被害は拡大してしまう可能性があります。
社会的信用が落ちる
企業は個人情報を漏洩させた場合、その事実を公表する義務があるため、社会に与える影響は大きいでしょう。
具体的には、顧客の減少・得意先の取引停止・株価の急落といった事態が想定できます。また、既存の社員からの信頼を失うだけでなく、入社が決まっている内定者の辞退も考えられ、信用を取り戻すのにも時間が掛かるでしょう。
マイナンバー漏洩による罰則がある
マイナンバーの管理は法律によって決まっているため、マイナンバー法違反となり刑事罰に処せられます。
不正利用することが目的でマイナンバーを漏洩させた場合は、通常の個人情報漏えいより厳しい処罰となります。最も重い処罰は「4年以下の懲役、または200万円以下の罰金・併科」です。
漏洩が故意でなければ指導が行われる程度で済み、すぐに罰則が適用されることはありません。しかし、指導に従わない場合は罰則の対象となるため注意してください。
マイナンバー漏洩時の対処手順は?
つづいて、マイナンバーを漏洩させてしまったときの対処手順を見ていきましょう。
1:被害の拡大防止を図る
マイナンバーの漏洩を発見したのが担当者であれば、1人で対処しようとはせず責任者に相談してください。例えば、外部からの不正アクセスによってマイナンバーが漏洩した場合は、端末をネットワークから分離させます。
LANケーブルを抜くなどしてネットワークから物理的に隔離すれば、それ以上漏洩することはありません。
2:原因の調査および影響範囲の確認
どのマイナンバーが、いつ、どのようにして漏洩したのかを明らかにしてください。マイナンバー以外の個人情報と紐づけて管理していれば、実被害が大きくなる可能性もあるでしょう。このように漏洩した情報や手段などから、被害状況と影響がある範囲の特定を行います。
3:再発防止の策定および実施
マイナンバー漏洩の原因から、今後の漏洩対策を行わなければなりません。
例えば、マイナンバーを印刷した書類を紛失したことで漏洩が起きた場合。この原因は「マイナンバーが記載されている書類の持ち出し」になります。しかし、マイナンバーが記載されている書類の持ち出しを禁止するルールだけでなく、「鍵付きのキャビネットに保管する」といったルールもあわせて策定します。
また、データで管理している場合はアクセスログを残せるようにしておくと良いでしょう。システムにアクセスログが記録されていれば、原因追究しやすくなり、不正の抑止力にもなります。
4:本人への連絡
影響を受ける本人(被害者)への連絡内容は、漏洩した事実・謝罪・詐欺被害などの注意喚起・今後の対応などです。会社の管理体制の不備で漏洩した場合、一般的には会社が漏洩後の手続きを行います。
しかし、状況次第では本人に個人番号の変更をしてもらう可能性もあります。そのような場合は、番号を変更する方法などを通知します。
また、本人に直接連絡が取れない場合の対策も考えておきましょう。例えば、従業員が確認できるホームページや掲示板、専用の窓口の設置といった準備が必要です。
マイナンバー漏洩を防ぐ方法は?
マイナンバーの漏洩を防ぐ方法を見ていきましょう。
安全管理措置をとる
従業員が100名を超える規模の企業であれば、安全管理措置に基づいたマイナンバーの管理を行う必要があります。マイナンバーの安全管理措置とは、マイナンバー法で定められているルールです。安全管理措置には大きく分けて以下の4つがあります。
- 組織的安全管理措置
- 組織的安全管理措置とは、マイナンバーを管理する担当者と責任者を決め運用する体制を整えることです。基本的にマイナンバーの管理は担当者しかできません。他の担当者がマイナンバーの情報を閲覧できない環境を構築します。
- 人的安全管理措置
- 適切に管理できるよう、マイナンバー管理の担当者を教育する必要があります。
- 物理的安全管理措置
- マイナンバー関連の書類やデータは、鍵付きの保管庫などで管理しなければなりません。
- 技術的安全管理措置
- データでマイナンバーを管理するときはパスワードやアクセス制限を設定する必要があります。
マイナンバー管理システムを導入する
全ての安全管理措置を社内で対応するのは多大な労力がかかります。そこで、システムを導入すれば効率良く管理できるだけでなく安全性も増すでしょう。
例えば、マイナンバー管理システムには、自動的にログが取れる機能やアクセス制限を掛けられるものが多いです。他にも通信やデータを暗号化できるものもあり、データが盗まれても内容を知られることはありません。
ヒューマンエラーによる情報漏洩も防げるため、安全に管理できる体制を構築しやすいです。
安全対策を実施し、マイナンバー漏洩を防ごう!
マイナンバーは重大な個人情報であるため、漏洩すると大きな影響があります。具体的には、多額の損害賠償の請求や社会的信用の失墜、法律による罰則などです。もし情報漏洩してしまったときは、拡大防止・原因の追究・影響範囲の確認・再発防止・被害者への連絡を行います。
情報漏洩を防ぐためにはツールを使って安全管理措置に対応するのがおすすめです。マイナンバー管理システムの導入も視野に入れて漏洩防止に努めましょう。
