第2回マイナンバーの情報漏えいリスクを考える

昨日は、マイナンバー法の罰則で、特に注意しなければならない直罰規定について、ご案内しました。
本日は、特定個人情報保護委員会に関わる罰則についてご案内します。

1.特定個人情報保護委員会とは
特定個人情報保護委員会は、個人番号その他の特定個人情報の有用性に配慮しつつ、その適正な取扱いを確保するために必要な措置を講ずることを任務とする内閣府外局の第三者機関です。具体的には、特定個人情報の取扱いに関する監視・監督(立入検査、報告徴求、指導、助言、勧告、命令等の権限の行使)、情報保護評価に関すること(指針の策定や評価書の承認)、特定個人情報の保護についての広報・啓発、これらの事務のために必要となる調査・研究及び国際協力等を行います。

2.具体的な活動内容
(1)監督
委員会においては、提出を受けた特定個人情報保護評価書、説明会等における質問内容の蓄積、苦情あっせん相談窓口等を通じて寄せられる情報、特定個人情報の漏えい事案等が発生した場合等に求める報告等、多様な情報源から特定個人情報の取扱いに関する情報が寄せられることとなる。
委員会においては、監督の実施に当たって、これらの情報を総合的に活用し、必要に応じて報告徴収、適時適切な指導・助言等を行うとともに、広く発信すべき情報については、ウェブサイト等を通じてタイムリーに情報提供を行うこととする。
(2)検査
本年度が番号制度の導入初年度であることを考慮し、法令並びにガイドラインの遵守状況及び特定個人情報保護評価書に記載された事項の実施状況を実地に確認するため、行政機関等及び地方公共団体等に対する試行的な立入検査を実施することとする。
法令及びガイドラインの遵守状況については、特定個人情報の利用制限、提供制限、安全管理措置等について、法令及びガイドラインで定められているルールを遵守するための適切な措置が講じられているか、特に、安全管理措置については、取扱規程等の策定、組織的安全管理措置、人的安全管理措置、物理的安全管理措置及び技術的安全管理措置等が適切に講じられているかを確認することとする。その際、これらの措置を適切に実施するための組織内のルールとともに、その運用実態の把握に努めることとする。
また、特定個人情報保護評価書を委員会に提出している機関については、特定個人情報保護評価書に記載した全ての措置を講ずることが求められることから、記載事項に係る実施状況、例えば、システムの実装、特定個人情報ファイルの管理状況及び自主点検の状況等の点検を行うこととする。

2.特定個人情報保護委員会に関わる罰則
事業者の皆さんに関係するのは、下記の2つの罰則です。
①「特定個人情報保護委員会から命令を受けた者が委員会の命令に違反」した場合には、「2年以下の懲役または50万円以下の罰金」に科する。
②「特定個人情報保護委員会による検査等に際し、虚偽の報告、虚偽の資料提出をする、検査拒否等」の場合には、「1年以下の懲役または50万円以下の罰金」に科する。

上記のとおり、特定個人情報保護委員会は、強力な権限を有しています。一般的に民間事業者の検査に入ることは、大規模な情報漏えい等がない限り、無いものと推察されますが、一度検査に入られると、事業者が守るべきガイドラインに従って安全管理措置の社内体制が構築されているか検査されることは、免れません。くれぐれも管理体制だけは、整えておくことをお勧めいたします。

マイナンバー実務担当者向けの無料少人数セミナー(11月20日)を開催します。詳細は、こちらをご覧ください。

ご好評につき、マイナンバー実務担当者向けの無料少人数セミナー(12月5日)を追加で開催します。詳細は、こちらをご覧ください。

いまからでも間に合う中小規模事業者向けのマイナンバー導入コンサルの決定版「マイナンバーコンサルドットコム」には、こちらをご覧下さい。

maina