マイナンバーが漏えいした場合どのようなリスクがあるか

IT・情報セキュリティ

 マイナンバー(個人番号)の収集・管理を行うにあたり、漏えいの対策は慎重に行っていますが、もし、マイナンバーが漏えいした場合どのようなリスクがありますか。

 マイナンバー(個人番号)の漏えいに伴うリスクとしては、①民事賠償リスク、②刑事罰リスク、③行政処分リスクがあります。また、情報漏えいの事実が社会に知れわたることで、その事業者の信用が著しく低下する④レピュテーション(風評)リスクも考慮しなければなりません。

マイナンバーの漏えいに伴うリスク

  • 民事賠償リスク
  • 刑事罰リスク
  • 行政処分リスク
  • 風評リスク(レピュテーションリスク)

解説

目次

  1. 民事賠償のリスク
  2. 刑事罰のリスク
  3. 行政処分のリスク
  4. 風評リスク

民事賠償のリスク

 過去の裁判例によると、氏名、住所、生年月日、性別といった「基本4情報」などの個人情報が漏えいした場合には、通常、1人あたり1万円(この他に弁護士費用5,000円)の慰謝料が認められています。

 これに対して、「センシティブ情報(機微情報)1の漏えいが認められた事案では、1人あたり3万円(この他に弁護士費用5,000円)の慰謝料が認められたケースがあります。

  マイナンバー(個人番号)が流出して裁判となった場合は、少なくともセンシティブ情報と同等の慰謝料が認められる可能性があります。

 また、一般の個人情報が漏えいした場合には、企業は自主的に1人あたり500円から数千円の金券などを「お見舞い」とするのが通例です。このお見舞いも相当の金額でなければ納得感がないでしょう。

刑事罰のリスク

 番号法は、故意に「個人番号」や「個人番号を含む個人情報」を漏えいした人や、民間事業者に対し、一般の個人情報に比べて重い刑事罰を科しています。それだけ、個人番号を保護しようとしていることがうかがえます。

 過失による漏えいや、外部からの不正アクセスを受けた結果として漏えいしたような場合には適用されませんが、民間事業者はこうした刑事罰リスクも意識した個人情報の管理が必要となります。

 番号法上の代表的な刑事罰は以下のとおりです。

主体 行為 法定刑 国外犯処罰 両罰規定
個人番号利用事務等に従事する者等
(番号法67条)
正当な理由なく、業務に関して取り扱った個人の秘密に属する事項が記録された特定個人情報ファイル等を提供 4年以下の懲役もしくは200万円以下の罰金または併科
個人番号利用事務等に従事する者等
(番号法68条)
業務に関して知り得た個人番号を不正な利益を図る目的で提供または盗用 3年以下の懲役もしくは150万円以下の罰金または併科
何人も
(番号法70条)
人を欺き、人に暴行を加え、人を脅迫する行為により、または財物の窃取、施設への侵入、不正アクセス行為その他の個人番号を保有する者の管理を害する行為により個人番号を取得 3年以下の懲役または150万円以下の罰金
何人も
(番号法75条)
偽りその他不正の手段により個人番号カードまたは通知カードの交付を受けること 6か月以下の懲役または50万円以下の罰金 ×

 個人情報保護法では、一般の個人情報については、担当者が主務大臣の措置命令や是正命令に従わなかった場合にはじめて、6か月以下の懲役または30万円以下の罰金に処せられます(所属している民間事業者にも30万円以下の罰金)。
 一般の個人情報がこうした「間接罰」であるのに対して、番号法は「直接罰」を置いていること自体も、個人番号について厳格な保護をしていることの表れの一つといえます。 

 なお、平成27年通常国会で成立した改正個人情報保護法(公布の日(平成27年9月9日)から2年以内の政令で定める日に施行)においては、故意に個人情報データベース等を名簿業者等の第三者に提供した場合には、1年以下の懲役もしくは50万円以下の罰金、またはこれらの罪が併せて科されることになります。

行政処分のリスク

 個人番号を故意ばかりでなく過失によって漏えいした場合には、内閣府外局の第三者機関「個人情報保護委員会」から、さまざまな行政処分を受けるリスクがあります。

 個人情報保護委員会が民間事業者に対して有する行政処分の権限は、以下の3つがあります。

  1. 指導・助言
  2. 是正勧告、措置命令、中止命令
  3. 報告徴求・立入検査

 措置命令や中止命令に従わない場合には、2年以下の懲役または50万円以下の罰金に処せられます(所属民間事業所には50万円以下の罰金)。また、委員会に虚偽の報告をしたり、検査の拒否・妨害をした場合には1年以下の懲役または50万円以下の罰金が科されます。

風評リスク

 個人番号が漏えいした場合、民間事業者にとって最も打撃の大きいリスクは、「レピュテーションリスク」です。番号法は個人番号を含む特定個人情報の厳格な管理を民間事業者に対して要求しており、過失によってでも外部に流出した場合、その管理体制のあり方を含めて事業者の信用が大きく損なわれる恐れがあります。

 特に平成28年1月からのマイナンバー制度施行直後に漏えいしてしまった場合には、マスメディアで大きく騒がれ企業の存亡にかかわる事態にもなりかねません。


  1. 個人情報保護マネジメントシステム―要求事項 4.4.2.3 特定の機微な個人情報の取得の制限より、以下が例示されています。
    a) 思想,信条及び宗教に関する事項。
    b) 人種、民族、門地、本籍地、身体・精神障害、犯罪歴、その他社会的差別の原因となる事項。
    c) 勤労者の団結権,団体交渉及びその他団体行動の行為に関する事項。
    d) 集団示威行為への参加,請願権の行使,及びその他の政治的権利の行使に関する事項。
    e) 保健医療及び性生活。 ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する