マイナンバーの“お漏らし第一号”になったら？（3/3 ページ）

[齊藤愼仁，ITmedia]

実際に報告しなければならなくなったらどうする

　漏えいにはさまざまなケースが考えられます。「不正の目的」もあれば「不慮の事故」とか「不注意」とか「システムトラブル」などなど。報告書の様式もありますし、主務大臣への連絡方法など細かなことが定められていますが、もはやこの時点で事故ってるのは確定しているので、弁護士に相談すべきです。

　前述にもありましたが、特定個人情報保護委員会への報告が不要なケースもあります。以下の全てを満たしている場合です。

• 影響を受ける可能性のある本人に連絡した場合
• 外部に漏えいしていないと判断される場合
• 従業員等が不正の目的で持ち出したり利用したりした事案ではない場合
• 事案関係の調査を了し、再発防止策を決定している場合
• 事案における特定個人情報の本人の数が100人以下の場合

漏えい時の、事業者のリスク

　さぁ、本題です。実際にお漏らししちゃった事業者は、どんなことが起きるのでしょうか。

• 個人情報保護法の責任
• 番号法上の責任
• 監督機関の追及
• 民事責任
• 事後対応の費用
• 再発防止に向けた体制整備の費用

　てんこ盛りですね。さらに今だと特典がついてきます。

お漏らし第一号になったら

マイナンバー、漏れちゃった会社に何が起こるのか……

　まずマスコミの格好の餌食にされます。

　国から相当、たたかれます。

　かなり厳しい判決になること、必至です。

　そして最高の特典は、過去の漏えい事例、特に第一号として半永久的にあっちこっちでネタにされます。バズマーケティング的には成功なのかもしれませんが（笑）

事前の対策が重要

　やることはいっぱいあります。もし事故が起きたらどう対応するか、目標を立てて訓練するとか、漏えい防止体制の整備を行うとか、でもなかなか何したらいいか分からないし、お金も掛かりますよね。そこでお手軽対策は、

• マイナンバー紛失に罰則規定を設けないこと

　です。まぁそりゃ悪意がある場合はもはや刑事事件なので別問題ですが、多くの場合はシステム的なトラブルとか不慮の事故ですよ。だからといって経営者の皆さん、従業員を責めないであげて欲しいです。なぜならば、現場で気付くマイナンバー漏えいの事故に罰則があったとしたら、それを隠蔽するやつが出てきてもおかしくないからです。

　ちなみにマイナンバーカードを個人的に紛失した、とかいうのは企業の責任ではないので、個人も会社に届け出る必要はないですし、会社もほっといてOKです。

事故後の投資額と事故前の投資額を計算したらいい

　セキュリティにはお金がかかるものです。でも保険とは違いますよ。内部統制などにも影響する、組織力を強くする手段なのです。ただし、事故が起きる前、対策のために投資を行う金額と、事故が起きてからの投資額は桁違いになるはずです。

　築き上げた自社ブランドを一瞬にして破壊するほどの力を持つマイナンバー漏えい第一号にならないためにも、「ウチは外部委託したから大丈夫」とか、そんな甘ったれた考えは捨てて、もし事故が起きたらどうするかを考える組織を形成し、体制の整備を行うべきだと思いますよ。