マイナンバー制度の罰則規定と法的対応の実務
平成27年8月26日13:30~実施
於:開港記念会館
担当:弁護士法人タウン&シティ法律事務所
代表弁護士鈴木軌士
1 マイナンバーの利用に関する制約内容と情報管理の徹底
利用に関する制約内容:個人情報保護法(以下「保護法」)よりも限定されている。
情報漏えいにあたっては、保護法よりも重い罰則が設けられている。
マイナンバー法(以下「番号法」)は保護法の特別法
(1)利用の範囲目的内の利用に限定(cf.保護法は特に制限なし)
(2)第三者への提供不可(cf.保護法は事前に本人の同意があった場合には可能)
(3)収集や保管後述のとおり、厳しく制限(cf.保護法は特に制限なし)
(4)行政等による立入調査権限あり(特定個人情報保護委員会)(cf.保護法はなし)
(5)保護の対象個人情報及び特定個人情報(個人番号を含む個人情報等)
(cf.保護法は個人情報(=個人を特定できる情報))
(6)適用除外なし(cf.保護法はあり(=過去6ヶ月以内の個人情報が5000件を超えない者))
具体例:ベネッセコーポレーション事件(※1)
委託先企業において不正な利益を得る目的で個人情報を第三者に提供したり盗用しても、委託者には罰則そのものはなかった。
しかし番号法では同じことをした場合、委託者にも「3年以下の懲役もしくは150万円以下の罰金または併科」が科される可能性がある(罰則の適用範囲の拡大)。
←委託者も「個人番号利用事務等に従事する者」に該たるため。(cf.行為者個人に加えて法人に対する両罰規定も新設)
(※1)2014年7月にベネッセコーポレーション(以下「ベネッセ」)の業務委託先社員が顧客情報を不正に取得し、数千万件の個人情報を名簿事業者に売却してしまった。名簿業者はその後、他の通信教育事業者へこれを転売し、ベネッセによる個人情報の漏えい事件が判明した。この事件で実際に個人情報を漏えいしたのはベネッセの従業員ではなく委託先のIT業者の従業員だった。
⇒この事件で保護法上の罰則の適用を受けたのはベネッセではなく、委託先の従業員のみだった。→番号法では、委託先のみが罰則の適用を受けるという事態とならないよう、委託者に対しても委託先への監督義務(※2)を課した。
⇒上記ベネッセ事案の場合、委託者に「不正な利益を図る目的」まで認定されるかは微妙ではあるが、この監督義務を果たしていなかった場合には、委託者には、少なくとも「重過失」は認められる可能性が高い。
(※2)監督義務=委託者自らが果たすべき安全管理措置と同等の措置が講じられるように取り締まったり指図すること。委託者は委託先に対して、漏えいの可能性が懸念される場合には、是正に向けて指図等しなければならないことを意味する。
監督にあたっての対応策
①委託先の適切な選定
②安全管理措置に関する委託契約の締結
③委託先における特定個人情報の取扱状況の把握
の3点が求められている。
情報管理の徹底
上記のように監督義務を負うため、委託者としての(刑事罰も含めた)責任を追及等されることなどないよう、上記監督にあたっての(具体的)対応策が重要に。
(1)委託先の適切な選定
具体的には…
委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等について確認をすることが求められている。
(=従来は委託先任せというのが実情だったが今後は許されない)
⇒セキュリティ環境が不十分、従事者に対して情報管理に関する教育を全く行っていないこと→監督義務を果たしたとは到底言えないことに。
よって、委託者は委託先に対して、どのようなシステムや体制によって処理をしているのか等を最低限把握する必要がある。
→不十分であれば改善に向けた是正を具体的に求め、実際に改善ができた段階で初めて監督義務を果たしたことになる。
(2)安全管理措置に関する委託契約の締結
単に委託契約書【書式1】を締結するだけでは足りない。
以下の内容についても契約書上で規程を明文化しておくのが望ましい。
①秘密保持義務
②事業所内からの特定個人情報の持出しの禁止
③特定個人情報の目的外利用の禁止
④再委託における条件(※3)
⑤漏えい事案等が発生した場合の委託先の責任
⑥委託契約終了後の特定個人情報の返却または廃棄
⑦従業者に対する監督・教育
⑧契約内容の遵守状況について報告を求める規定等
⑨特定個人情報を取り扱う従業者の明確化
⑩委託者が委託先に対して実地の調査を行うことができる規定等
以上は、特定個人情報保護委員会作成のガイドライン(「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」)においても示されている(⑨⑩は規定が望ましい)。
→委託先が、これまでの取引関係等から、改めての委託契約書締結に難色を示したり、抵抗が予想されるような場合には、「特定個人情報の取扱いに関して」等のタイトルで例えば「覚書」【書式2】等を交わしておくという対応もあり得る。
⇒実際にマイナンバー制度が開始される2016年1月までには締結済にしておきたい。
※3再委託に関する要件(番号法10条)
委託者の許諾が前提条件として必要に。
再々委託の場合にも最初の委託者の許諾が必要。
要件を充たさずに再委託した場合には番号法違反に。
委託者は委託先だけでなく再委託先や再々委託先に対しても監督義務を負う。
よって、委託業務量が膨大にあるような場合には、再や再々委託も十分にあり得るため、委託者の負担は非常に大きくなるおそれあり(要注意)。
→委託者(甲)として、受託者(再委託者)(乙)と再受託者(再々委託者)(丙)間の委託契約内容に、丙が再委託する場合の取り扱い、再委託を行う場合の条件、再委託した場合の乙に対する丙の通知義務等を盛り込むことが望ましい。
(3)委託先における特定個人情報の取扱状況の把握
委託先が委託者以外の企業情報を扱っているケースもあり、守秘義務の関係から十分な把握ができないことも想定される。
⇒「状況把握シート」【書式3】等を用いて、例えばヒアリング(聴取)するのが現実的。
2 個人情報保護法以上の厳しい罰則規定
例:正当な理由なく特定個人情報ファイルを提供するような場合には「4年以下の懲役もしくは200万円以下の罰金、または併科」が科せられることがある。
この場合、まず、a「(特定)個人情報」のデータは、複製したり加工(例:個人番号の1,2,3という数字をa,b,c等にすること)したものも含まれる。
次に、同じくb「提供」とは「他者」が利用できる状態に置くことを指す。
a仮に電子メールでかつ加工したものであっても、「利用できる状態」に置かれる以上は、他者に悪意をもって送信すれば、該当することになるし、
かつ
b「他者」とは基本的には法人格が別であることを指すので、親会社と子会社間においても、別法人格である以上、形式的には該当することになるし、
さらに
c条文の規定上、故意犯のみを想定しているように読めるが、電子メールの誤送信のような過失犯でも、「重大な過失」に基づく行為に関しては処罰の対象となる可能性は残る。
→誤送信自体で直ぐに罰則が適用されるような事態には現実的にはなりそうもないが、故意なのか過失なのかは、真実は意図的に悪意をもって送信したのに「間違って送信した」と言い切られてしまえば、どこまで真実なのかが判らない以上、結局は捜査等の段階で行為の悪質性や背景事情等に照らし併せて判断されることを想定して罰則が規定されている
cf.情報提供ネットワークのシステムの仕様や設定、パスワード等を漏えいした場合への罰則適用等、様々な角度から情報を守るための対策が講じられている(添付資料中「罰則の概要」を参照))し、解釈・適用段階でも、上記悪質性等が客観的に判断されることになる。
→その結果、法が予め要請している上記監督義務等への重大な違反があれば、「重過失」として適用されていく可能性は十分にある。
⇒上記「監督義務」の誠実な履行が何よりも大切になる