2016年1月の利用開始まで1年を切った社会保障と税の番号制度(マイナンバー制度)。結論を先に言うと、このままでは2016年、12桁の個人番号(マイナンバー)そのものとマイナンバーにひも付けた氏名や従業員番号などを含む「特定個人情報」が企業から大量に盗み出される危険性が高い。万が一、内部犯行ともなれば当事者だけでなく企業も責任を負う。400万社を超える日本の企業は例外なく従業員の特定個人情報を収集・管理しなければならないが、漏洩に対する罰は厳しい。自分の身は自分で守るには、今すぐにでも行動を起こすべきだ。
「あまりに企業が知らなすぎる」。情報セキュリティ対策サービスを提供するS&Jの三輪信雄社長はマイナンバーの刑事罰に対する理解が浸透していない現状に強く警鐘を鳴らす(写真)。三輪氏は日本で最初にセキュリティサービスを立ち上げた業界の重鎮。自社業務に加えて総務省の最高情報セキュリティアドバイザーや様々な企業・団体のセキュリティの指南役を務めている。政府や自治体のマイナンバー対応の出足の鈍さは各所で指摘されているが、企業の対応は「さらに遅れている」(同)。
企業は2016年から税や社会保障に関する書類に、従業員のマイナンバーを記載する必要がある。16年初めにも従業員からマイナンバーを集める作業が始まるとみられるが、「アルバイトを雇うにも、配当金を支払うのにもマイナンバーの収集と管理、書類への記載が必要になる」(同)。マイナンバーを含む特定個人情報は個人情報よりも一段上の管理体制が求められ、罰則規定も強化されている。仮に社員が特定個人情報を横流しした場合、その雇用主である企業も責任を問われるほどの厳しさだ。
どの程度の刑事罰なのか。最も重いものは4年以下の懲役または200万円以下の罰金もしくはその両方を科せられる。正当な理由がなく特定個人情報ファイルを提供した場合だ(図)。業務に関して知り得たマイナンバーを自己や第三者の不正な利益を図る目的で提供、盗用すると、3年以下の懲役または150万円以下の罰金もしくはその両方が科せられる。「マイナンバーはおいそれとは変更できない。罰則を重くして厳重な管理を求めているのだろう」(三輪氏)
では、サイバー攻撃による不正アクセスや内部犯行に遭い、特定個人情報の漏えいを防げなかった場合はどうだろう。内閣府が公開する資料にはそういった記載がない。問い合わせてみると「過失がないと証明できれば刑事責任は問われないが、民事責任はわからない」との回答だった。
