マイナンバー(特定個人情報)が漏えい等した場合の対応

IT・情報セキュリティ

 自社で管理しているマイナンバー(特定個人情報)が漏えいした場合、どのような対応をすればよいでしょうか。

 個人情報保護委員会への報告に加え、令和2年改正法により、本人への通知の規定が追加されました。「行政手続における特定の個人を識別するための番号の利用等に関する法律第二十九条の四第一項及び第二項に基づく特定個人情報の漏えい等する報告等に関する規則」において報告対象事案(2条)、報告対象事項・時期(3条)、他の個人番号利用事務等実施者への通知(4条)、本人に対する通知(5条)、報告の様式(別記様式)が定められます。また、改正後の「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に具体的な事例や体制整備について規定されています。

※本稿における改正個人情報保護法の条文番号は、令和3年改正による改正後の条文番号です。

解説

目次

  1. マイナンバー(特定個人情報)の漏えい等
  2. 報告対象事案
  3. 個人データと同じ手続・措置

マイナンバー(特定個人情報)の漏えい等

 「行政手続における特定の個人を識別するための番号の利用等に関する法律」(以下「番号法」といいます)上は特定個人情報(個人番号(マイナンバー)を含む個人情報)の漏えい等報告の規定はありましたが、令和2年改正法により、報告対象事案が個人情報保護法に平仄を合わせる形で明確化される(番号法29条の4第1項)とともに、本人への通知の規定が追加されました(同条第2項)。
 「行政手続における特定の個人を識別するための番号の利用等に関する法律第二十九条の四第一項及び第二項に基づく特定個人情報の漏えい等する報告等に関する規則」において報告対象事案(2条)、報告対象事項・時期(3条)、他の個人番号利用事務等実施者への通知(4条)、本人に対する通知(5条)、報告の様式(別記様式)が定められます。また、改正後の「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に具体的な事例や体制整備について規定されています。

報告対象事案

 個人番号については、①不正の目的をもって行われたおそれのある特定個人情報の漏えい等が発生または発生するおそれのある事態のほか、②不正の利用の目的をもって、特定個人情報が利用され、または利用されたおそれがある事態、③不正の目的をもって、特定個人情報が提出され、または提出されたおそれがある事態といった、特定個人情報の不正利用目的の「漏えい等(おそれ)」のほか「利用・提供(おそれ)」であっても「1人」の特定個人情報に関して報告対象事案となります。

 不正の目的がない場合でも「100人」を超える①特定個人情報の漏えい等の発生または発生のおそれのある事態、②番号法9条に違反して利用または利用のおそれのある事態、③番号法19条に違反して提供または提供のおそれのある事態が報告対象事案となります。個人情報保護法では「1000人」が基準になっているのに対して、特定個人情報が「100人」が基準とされるのは、個人番号の重要性に鑑みたものと考えられます。

 さらに、保有する特定個人情報ファイルに記録された特定個人情報が電磁的方法により「不特定多数の者」に閲覧され、または閲覧されるおそれがある事態も報告対象事案となります。

 個人データの場合と同様に、上記のいずれの事態においても、「高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた場合」は報告対象事態となりません。

個人情報保護委員会への報告対象事態

対象人数 個人データ 特定個人情報
1人でも対象となる事態
  1. 要配慮個人情報が含まれる個人データの漏えい等が発生し、または発生したおそれがある事態
  2. 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態
  3. 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態
  1. 不正の目的をもって行われたおそれがある特定個人情報の漏えい等が発生し、または発生したおそれがある事態
  2. 不正の目的をもって、特定個人情報が利用され、または利用されたおそれがある事態
  3. 不正の目的をもって、特定個人情報が提供され、または提供されたおそれがある事態
100人を超える場合に対象となる事態 (不正の目的がない場合でも)
  1. 特定個人情報の漏えい等が発生し、または発生したおそれがある事態
  2. 特定個人情報が法9条の規定に反して利用され、または利用されたおそれがある事態
  3. 特定個人情報が法19条の規定に反して提供され、または提供されたおそれがある事態
1000人を超える場合に対象となる事態 (1人でも対象となる事態以外の)個人データの漏えい等が発生し、または発生したおそれがある事態
不特定多数 該当なし 個人番号利用事務実施者または個人番号関係事務実施者の保有する特定個人情報ファイルに記録された特定個人情報が電磁的方法により不特定多数の者に閲覧され、または閲覧されるおそれがある事態

※上記のいずれの事態においても、「高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じた場合」は報告対象事態とならない。

個人データと同じ手続・措置

 漏えい等事案が発覚した場合に講ずべき措置、個人情報保護委員会への報告義務の主体、個人情報保護委員会への報告(報告時期(速報・確報)・報告事項)、本人への通知、漏えい等事案が発覚した場合に講ずべき措置は、個人データと同じです。

 なお、確報のうち、「事態を知った日から60日以内」(※原則は30日以内)に提出することを要する事態は、①不正目的をもって個人データ/特定個人情報が漏えい等された場合またはそのおそれがある場合、②不正目的をもって特定個人情報が漏えい等、利用、第三者提供された場合またはそのおそれがある場合です。

 個人番号を含む個人データの漏えいが発生し、番号法29条の4の報告対象に該当するとともに、個人情報保護法26条1項の報告対象にも該当する場合には、双方の法に基づく報告を行う必要があります。この場合、個人情報保護委員会のホームページにおいて双方の法に基づく報告を一括して行うためのフォームを設置していますので、これを利用することが考えられます((個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(令和3年9月10日最終更新) Q6-25)。

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する