マイナンバーが漏えいした場合どのようなリスクがあるか

民事賠償のリスク

　過去の裁判例によると、氏名、住所、生年月日、性別といった「基本4情報」などの個人情報が漏えいした場合には、通常、1人あたり1万円（この他に弁護士費用5,000円）の慰謝料が認められています。

　これに対して、「センシティブ情報（機微情報）」¹の漏えいが認められた事案では、1人あたり3万円（この他に弁護士費用5,000円）の慰謝料が認められたケースがあります。

　 マイナンバー（個人番号）が流出して裁判となった場合は、少なくともセンシティブ情報と同等の慰謝料が認められる可能性があります。

　また、一般の個人情報が漏えいした場合には、企業は自主的に1人あたり500円から数千円の金券などを「お見舞い」とするのが通例です。このお見舞いも相当の金額でなければ納得感がないでしょう。

刑事罰のリスク

　番号法は、故意に「個人番号」や「個人番号を含む個人情報」を漏えいした人や、民間事業者に対し、一般の個人情報に比べて重い刑事罰を科しています。それだけ、個人番号を保護しようとしていることがうかがえます。

　過失による漏えいや、外部からの不正アクセスを受けた結果として漏えいしたような場合には適用されませんが、民間事業者はこうした刑事罰リスクも意識した個人情報の管理が必要となります。

　番号法上の代表的な刑事罰は以下のとおりです。

　個人情報保護法では、一般の個人情報については、担当者が主務大臣の措置命令や是正命令に従わなかった場合にはじめて、6か月以下の懲役または30万円以下の罰金に処せられます（所属している民間事業者にも30万円以下の罰金）。
　一般の個人情報がこうした「間接罰」であるのに対して、番号法は「直接罰」を置いていること自体も、個人番号について厳格な保護をしていることの表れの一つといえます。　

　なお、平成27年通常国会で成立した改正個人情報保護法（公布の日（平成27年9月9日）から2年以内の政令で定める日に施行）においては、故意に個人情報データベース等を名簿業者等の第三者に提供した場合には、1年以下の懲役もしくは50万円以下の罰金、またはこれらの罪が併せて科されることになります。

行政処分のリスク

　個人番号を故意ばかりでなく過失によって漏えいした場合には、内閣府外局の第三者機関「個人情報保護委員会」から、さまざまな行政処分を受けるリスクがあります。

　個人情報保護委員会が民間事業者に対して有する行政処分の権限は、以下の3つがあります。

　措置命令や中止命令に従わない場合には、2年以下の懲役または50万円以下の罰金に処せられます（所属民間事業所には50万円以下の罰金）。また、委員会に虚偽の報告をしたり、検査の拒否・妨害をした場合には1年以下の懲役または50万円以下の罰金が科されます。

風評リスク

　個人番号が漏えいした場合、民間事業者にとって最も打撃の大きいリスクは、「レピュテーションリスク」です。番号法は個人番号を含む特定個人情報の厳格な管理を民間事業者に対して要求しており、過失によってでも外部に流出した場合、その管理体制のあり方を含めて事業者の信用が大きく損なわれる恐れがあります。

　特に平成28年1月からのマイナンバー制度施行直後に漏えいしてしまった場合には、マスメディアで大きく騒がれ企業の存亡にかかわる事態にもなりかねません。