マイナンバーの“お漏らし第一号”になったら？（1/3 ページ）

マイナンバー、お漏らししちゃったらどうなる？　発覚したらどんな対策をすればいい？　そんな疑問を持っている人は要チェック！

[齊藤愼仁，ITmedia]

この記事はアイレットの情シス、齊藤愼仁氏のブログ「ロードバランスすだちくん」より転載、編集しています。

マイナンバー、お漏らししちゃったら……

　アイレットの情シス、シンジです。

　先日、企業研究会セミナーで「企業内部情報の漏えいリスクとその対策ポイント」について、アンダーソン・毛利・友常法律事務所の弁護士、中崎先生からあれこれ教わる機会がありましたので、そのお話です。

特定個人情報に関わる法律とガイドライン

　要するにマイナンバーのことです。事業者が参考にできる物は幾つかあって、特定個人情報保護委員会というものがありまして、これが公表している規則、指針、ガイドラインを参考にせよとのこと。

　例えば、

　特定個人情報の漏えいその他の特定個人情報の安全確保にかかわる重大な事態の報告に関する規則

　とか

　事業者における特定個人情報の漏えい事案等が発生した場合の対応について

　だとか

　もはや頭がふっとーしそうです。弁護士の先生方に丸投げしたくなりそうな雰囲気がぷんぷんしていますが、企業としてやっておくべきことはちゃんとありますのでそこは押さえたいところです。

実際に漏えい事故が起きたことが分かったらやるべきこと

　漏えいしたことを特定個人情報委員会へ報告する義務がありますが、実は、これにはさまざまな条件とワークフローが定められています。法律上の位置付けとしては、「努力義務」と書かれている部分もありますが、これはどういう意味かというと、拘束力はないけど、なんやかんやゆーとらずにやりなさいよってことなので、よーするにやれってことです。

報告すべきケース、しなくてもいいケース

　「重大な事態が現に発生（おそれを除く）」――。この場合に確報の法的義務があります。では重大事態とは何なのか。

• 情報提供ネットワークシステム又は個人番号利用事務を処理する情報システムで管理される特定個人情報の漏えい等が起きた場合。
• 漏えい等した特定個人情報の本人の数が101人以上である場合。
• 電磁的方法によって、不特定多数の人が閲覧できる状態となった場合。
• 職員等（従業員等）が不正の目的で利用し、又は提供した場合
• その他事業者において重大事案と判断される場合

　シンジの結論、このリストみながらやばそうな雰囲気を感じたら速攻で弁護士に連絡しようと思いましたマジで。

誰が報告するのか

　これ結構難しいです。なぜなら、マイナンバーの管理を外部に委託しているケース、さらに再委託するケースがかなりあるからなんですね。これらの参考フロー図も公開されていますが、基本的には、

• 再委託先からの直接の委員会への報告義務はありません
• 再委託先は委託先と委託元への2社へ報告する義務があります
• 再々委託先になっても流れは同じです
• 委託した会社が委託先などから報告を受けて、委員会へ報告する義務があります
• 委託先が直接委員会へ報告することも可能ですが、結局は委託元が報告する義務があるのでもはや無駄です