マイナンバー流出によるリスクと企業が取るべき対応について

マイナンバーが運用されるようになり5年以上が経過しました。マイナンバー制度は行政機関や国民個人のみならず企業にも影響を与え、一定の義務を課すとともに不正行為に対しては罰則も適用するものと法定されています。
それだけマイナンバーは重要な情報なのですが、これを企業が流出してしまうことにはどのようなリスクがあるのでしょうか。
ここでは、その危険性やマイナンバー運用に関して企業がどのような対応を取るべきか、ということを解説していきます。

マイナンバーとは

マイナンバーは、外国籍の方も含む、日本に住むすべての人に割り当てられる12桁の番号のことです。2016年から運用されている「マイナンバー制度」に基づくものです。
この制度は、税や社会保障のこと、災害対策のことに関わる業務効率化を主な狙いとしています。

マイナンバー運用の利点

マイナンバーを運用することで、大きく以下のような利点が得られています。

• 行政事務の効率向上
  行政機関が所掌としている社会保障・税・災害対策の3つの分野においては、多様な情報が複雑に絡み合っている。情報の入力や照合、転記といった作業だけでも大きな労力を要してしまい、この作業に時間を使ってしまうことで行政サービスの回転が悪くなってしまう。
  しかしマイナンバーの運用が業務間での連携を進め、重複する作業も削減され、効率向上に寄与している。
• 公平公正の実現
  マイナンバーの運用で横断的な情報確認ができるようになり、きめ細やかな社会保障等の支援が実現できるようになっている。行政サービスの状況なども把握しやすくなり、手違いの抑制、不正給付の防止などに寄与している。
• 国民の利便性向上
  作業の負担が減ることは、行政機関のみならず、行政サービスを受ける国民の側にも恩恵をもたらす。結果として添付書類が削減されたり手続きが簡素化されたり、様々な面で国民の利便性が向上している。

マイナンバーに関する情報漏洩のリスク

マイナンバーの活用には上のような利点があるが、取扱いには十分注意しなければなりません。
特に悪意ある第三者に情報が渡らないよう、情報漏洩には気を付ける必要があります。従業員のマイナンバーを取り扱う企業が特に理解しておきたいリスクについて説明しておきます。

従業員等への被害の発生

何らかの原因により情報漏洩が起こり、マイナンバーが他人の手に渡ってしまうと、従業員個人に被害が発生してしまいます。

なりすましで不正に行政手続などを行われてしまうおそれがありますし、詐欺に活用されてしまうおそれもあります。

実際のところマイナンバーやマイナンバーカードが他人の手に渡ったとしても、それだけで大きな危険が生じるとは限りません。
なしすましなどが起こりにくいよう工夫がなされていますし、簡単に不正利用ができるような制度にはなっていません。

しかしながら、問題視されているのはマイナンバーカード等を使った直接的な犯罪だけではなく、間接的な手口による犯罪です。
例えば「マイナンバーが不正利用されているため、カードを交換するためにもクレジットカード情報を教えて欲しい」などと重要な情報をだまし取ろうとする手口があります。行政の窓口や警察官などを名乗ることもあり、その際にマイナンバー情報を持っていれば信憑性も増してしまいます。

マイナンバーの流出だけの問題でもありませんが、どんな巧妙な手口を使われるかわかりませんので、その他の個人情報よりも一段厳重にマイナンバーを保管することが大切です。

企業側への刑罰の適用

マイナンバー流出による被害は当該従業員が受けるものですが、その結果、企業がペナルティを課されることもあります。

特に注意すべきは、社内の者によって意図的に起こされる情報漏洩です。
当該行為者が処罰されることはもちろんですが、企業そのものが刑罰に処されることもあります。

例えば「不正な利益を得る目的でマイナンバーを提供あるいは盗用をしたとき」「人を欺いたり暴行を加えたり、脅迫・窃取・施設への侵入などの手段でマイナンバーを取得したとき」などには、懲役刑や罰金刑を科すことが予定されています。

企業が注意すべきリスクはこれだけではありません。
「企業イメージの毀損」も危惧すべきです。

安心して働くことができない企業だと印象付いてしまうことで、人材獲得に悪影響が及びますし、取引先からの信用を失ってしまうかもしれません。

企業は従業員のマイナンバー収集と管理保管をしなければならない

個人情報を取り扱う企業は、個人情報保護法等の法令に則り、適法な管理体制を整えなければなりません。
特にマイナンバーという情報は単なる個人情報とは異なり、法令上も「特定個人情報」として特別の取扱いが求められています。

例えば税務や労務上の手続きを進める上でマイナンバーが活用されていますので、企業には、従業員やその扶養家族のマイナンバー収集が求められています。株主や個人取引先に関しても同様です。
ただしマイナンバーを利用する事務処理の必要がなくなったときには速やかに廃棄しなければならないとのルールも設けられています。また、法定の目的に沿う行為に関してのみ利用が認められており、企業が独自の目的で利用することはもちろん、収集することも禁じられています。

マイナンバーに関する基本的なセキュリティ対策

全社的にセキュリティ管理体制を整備したり安全対策意識教育を実施したりすることは非常に重要です。マイナンバーに限らず情報セキュリティの水準を向上させる上で欠かせない基礎となります。

ネットワーク関連の情報漏洩防止対策として、社内LANの環境やクラウドサービスの利用方法について見直すことも大切です。

クラウドサービスに関する情報漏洩のリスクに関してはこちらの記事でも紹介しています。

クラウドサービスの利用による情報漏洩のリスクとは？導入時の注意点などを解説 | コンプラ大学 by 源コンサルティング

クラウドサービスは便利で、コスパ良く、高効率で業務システムが導入できます。しかしながら、どのような場面で情報漏洩が起こるのかを認識し、インシデントの防止措置を…

minamotoc.jp

また、今や一般的なビジネスツールになっている「メール」ですが、従業員のミスにより情報漏洩が起こりやすいため、今一度その使い方についてはおさらいしておかなければなりません。

メール送信により起こる情報漏洩のパターンと予防方法 | コンプラ大学 by 源コンサルティング

メールを取り扱う際、誤送信や添付ファイル誤り、Cc/Bccの不適切な使用、ウイルス感染などにより情報漏洩が起こることがあります。従業員に対して教育を行い、メールの正…

minamotoc.jp

さらに、サイバーセキュリティのみならず物理的な漏洩防止措置を講ずることも忘れてはいけません。
例えば重要な情報を印刷して持ち出す行為の禁止、USBメモリ等へのコピーの禁止など、基本的なルールを徹底遵守することが大切です。

情報漏洩後の対応も重要

マイナンバーの情報漏洩の予防策を十分に講ずるほか、万が一流出してしまったときにどう対応するのか、事後対応に関しても準備しておきましょう。
迅速な対応により被害を最小限にとどめることが、企業価値を維持することにも繋がるでしょう。