企業では税務や社会保険労務について従業員からマイナンバー(特定個人情報)を取得して必要書類に記載することが義務化されますが、そのマイナンバーの管理に関しては厳格な秘密保持をしなくてはなりません。
マイナンバーの悪用がされた場合には個人の財産的損害が生じるリスクがあるため、マイナンバー法の第67条から第75条にかけて同法違反の罰則が定められ、情報漏えいの抑止が図られています。
例えば、正当な理由なく特定個人情報ファイルを提供した場合には4年以下の懲役若しくは200万円以下の罰金又は併科(第67条)、情報提供ネットワークシステムに関する秘密を漏えい又は盗用した場合には3年以下の懲役若しくは150万円以下の罰金又は併科(第69条)など、厳しい罰則があります。
また、個人情報の漏えいについては、漏えいをした会社に民事上の責任も追及されるので、漏えい件数が多ければ経営にも深刻な影響があります。
ベネッセの情報漏洩事故でも1件あたり500円のお詫び料を支払い、訴訟になった案件には1件あたり数万円の支払いを要する見込みです。
(ベネッセの情報漏えい件数は2,895万件とされ、1件あたり500円でも相当な補償額になって経営を圧迫します。)
しかもマイナンバー情報は、住所と氏名だけの個人情報が記載された名簿よりも高度な機密性が求められる情報であるため、漏えいをした場合は一般的な個人情報漏えい事件よりも高額な補償額になる可能性が高いです。
(ただし、マイナンバーを収集するのは従業員だけであるため、件数自体は顧客情報ほどの規模にはならないでしょう。)
こうした重要な情報を取扱いするようになると、個人情報やマイナンバー情報(特定個人情報)を多数管理する事業者は、情報漏えいに対応する損害保険に加入することも必須といえる状況になっています。
つまり、会社でマイナンバーに関する情報を取得、管理する場合には、その情報漏洩事故を起こすとこうした法令に基づく罰則の対象となり、民事の損害賠償責任も負い、更にはバッシング等によって社会的信頼を失うという大きなリスクを抱えることにもなります。
マイナンバーの取得と税務・労務書類に記載して報告するのは法的義務になるので、リスクを背負うのが嫌だからといっても回避できるものでもありません。
それでは事業者のマイナンバー安全管理措置とは、どの程度の内容を求められるのか把握をしておかねばなりません。
安全管理のためといっても、あまりにも過剰な設備投資や必要以上に厳格なルールを作る必要はなく、従業員数が100名以下の中小企業であれば次のような対応を求められます。
<中小企業のマイナンバー管理の対策>
・就業規則の修正
マイナンバー取得と利用目的明示、個人情報管理義務、不正利用への罰則明記
・情報管理規程の策定
情報管理者の選定、機密情報の管理基準、社内運用ルール
・マイナンバー書類の厳重保管
カギ付書庫等の準備
・管理用PCの準備
パスワード設定とウィルス対策
・従業員教育
情報管理者用と一般従業員用に教育を実施
カギ付書庫や管理用PCの用意はすぐに準備できるものですが、就業規則の修正や個人情報管理規程の作成には検討が必要になります。
そうした就業規則や個人情報管理規程については、ひな形を参考にして自社に採り入れるのが簡単かつ最適です。
当サイトでは、下記リンク先ページにて、マイナンバー制度についてのひな形を販売しております。
>>マイナンバー対応の就業規則・秘密保持誓約書・情報管理規程のひな形セット<<
何の対策も行わずに会社でマイナンバーを取扱いするのは大きなリスクが潜みます。
また、マイナンバー情報や顧客名簿以外にも、IT系事業には自社技術の機密情報もあり、そうした営業情報も保護する必要があります。
上記のひな形では、単に個人情報保護を図るだけではなく、会社の営業機密を守る上でのルールも規定しています。
そのためマイナンバー制度への対応と同時に、営業機密対策にも活用できるものです。
総務部門や営業部門の情報セキュリティご担当者様に参照頂ければ幸いです。