「漏洩事件の第1号は避けたい。どう報道され、どれほど世間の非難を浴びてしまうのか」──。企業に降りかかったマイナンバー対策を巡って、人事部門や対策に協力するシステム担当部門は戦々恐々となっている。
そこで本誌は個人情報保護委員会に「情報漏洩があった場合はすべて刑事捜査や刑事罰の対象になるのか」「委員会では漏洩した事案にどう対処するのか」を聞いた。回答はごく常識的なもので、不安を解消してくれる内容だった。
例えば、マイナンバーの漏洩が事件としてどう扱われるかは「警察機関の判断になるが、不正や悪意がある場合を除いて、多くは捜査対象にならないだろう」(委員会事務局総務課の依田英之課長補佐)。「不正や悪意」も状況や規模などを勘案して判断されると見ている。
事故を含めて漏洩があった場合、企業は個人情報保護委員会に報告する義務を負う。委員会は調査・審議して事案ごとに是正勧告などの対応策を取るが、審議対象は「すぐに企業名を公表するわけではない」(依田補佐)。委員会による審議の目的は、企業を適切に監督して被害の拡大を食い止めることにある。懲罰的な処分を目的にしているわけではないという。
ただし漏洩があった場合の事実公表については「従来の個人情報と同じ基準で考えてほしい。従業員のマイナンバーも顧客情報などと同じ重要な個人情報。被害を拡大させないためにも公表することが望ましい」(依田補佐)とする。
