マイナンバーについて適切な安全管理措置を講じていても、故意犯による漏えいを含め、漏えいリスクがゼロになることはありえない。では、もし漏えいが発覚した場合、どうすればよいのだろうか?
特定個人情報保護委員会が公表した「事業者における特定個人情報の漏えい事案等が発生した場合の対応について」によると、下記の措置を講ずることが望ましいとされている。
@ |
事業者内部における報告、被害の拡大防止 |
A |
事実関係の調査、原因の究明 |
B |
影響範囲の特定 |
C |
再発防止策の検討・実施 |
D |
影響を受ける可能性のある本人への連絡等 |
E |
事実関係、再発防止策等の公表 |
では、漏えいが発覚した場合、行政に連絡する必要はあるのだろうか? 漏えいが疑われる場合は、「事業者は事実関係及び再発防止対策等について報告するように努める」とある。その報告先は、個人情報取扱事業者の場合は主務大臣(主務大臣を特定できない場合は特定個人情報保護委員会)、個人情報取扱事業者以外の場合は、特定個人情報保護委員会となっている。
ただし、個人情報取扱事業者以外の事業者であって、下記の@〜D全てに当てはまる場合は報告を要しないとされている。
@ |
影響を受ける可能性のある本人全てに連絡した場合 |
A |
外部に漏えいしていないと判断される場合 |
B |
従業員等が不正に持ち出したり利用したりした事案ではない場合 |
C |
事実関係の調査を了し、再発防止策を決定している場合 |
D |
事案における特定個人情報の本人の数が100人以下の場合 |
マイナンバー漏えいについては罰則があるが、この罰則はあくまでも故意犯を想定したものとなっている。事業者が従業員の指導等の一定の安全管理措置を講じていれば、意図せずにマイナンバーが漏えいしたとしても、直ちに罰則の適用はないと考えられる。
つまり、適切な安全管理措置を講じていれば罰則を免れる可能性が高いため、安全管理措置の構築は、慎重に行いたい(ただし、マイナンバーが漏えいした場合には、別途、民事裁判による損害賠償請求の可能性があるので、ご留意頂きたい)。