2016年1月以降、企業は厳格な安全管理体制のもとでマイナンバー等の情報を扱うことが義務付けられました。
しかし、情報漏えいのリスクをゼロにすることは困難です。万が一、マイナンバーに関連する情報が漏えいしてしまった場合、企業にはどのようなリスクが発生するのでしょう?
1.マイナンバーに関連する情報が漏えいした場合のリスク
万が一、マイナンバーに関連する情報が漏えいした場合、企業は以下のようなリスクを抱えることになります。
(1)刑事罰の適用(番号法違反)
マイナンバー制度では、番号法によって様々な罰則が設けられており、監督機関となる内閣府の外局である個人情報保護委員会より罰則の適用を受けることがあります。
(2)民事上の損害賠償請求
企業が適切な安全管理措置を講じることなく、情報が漏えいしてしまった場合は、その番号の対象者等から民事上の使用者責任を追及され、それに伴って損害賠償を請求されるリスクが生じます。
尚、企業が、民法上の使用者責任を免れるには、以下について会社側が立証する必要があります。
・被用者の選任や監督について相当な注意を払っていたこと
・相当な注意を払っていたとしても損害が生じたであろうこと
しかしながら、情報漏えい事故でこうしたことを立証するのは非常に困難です。
仮にその証拠を提示するのであれば、システムへのアクセス記録等になりますが、それでも十分だとは言いきれません。
そういった意味でも、企業が適切な安全管理措置を講じることが肝要だと言えます。
とりわけ、個人情報保護委員会による「特定個人情報の適切な取り扱いに関するガイドライン」が求めている、企業が講じなければならない安全管理措置のうちの「技術的安全管理措置」は、きわめて重要な措置であることが分かります。
(3)社会的信用の失墜
大企業や知名度のある企業で情報漏えい事故が起これば、マスメディアが大きく取り上げ、社会的信用が失墜することもあります。特に上場企業は株価下落の要因にもなるため、非上場企業以上に安全管理体制の徹底が求められます。
事実、過去に情報が漏えいした企業のその後を見ても、顧客離れが加速したり、内定辞退が相次いだり等、企業経営に直結する問題が生じています。
2.情報漏えい時の罰則
前掲の、マイナンバーに関連する情報が漏えいした場合の3大リスクのうち、社会的信用の失墜に関しては想像に難くありません。そこで、刑事罰等の罰則と民事上の損害賠償責任、2回に分けて、もう一歩踏み込んでお話しをしたいと思います。
まず、「(1)刑事罰の適用(番号法違反)」について。
通常、問題事案があればすぐに罰則を適用するわけではありません。
もちろん、重大事案であれば別ですが、基本的には事前に指導や助言、勧告等が行われる等であり、労働基準監督署による指導等と同じようなイメージを描くと分かりやすいと思います。
3.情報漏えい時の民事上の損害賠償責任
次に、「(2)の民事上の損害賠償請求」について。
マイナンバーやそれを含む個人情報が漏えいした場合、企業はその対象者に対しての賠償を考えなければなりません。
これまでの情報漏えいの事故をひも解いてみると、Yahoo!BB顧客情報漏えい事件(2004年)やベネッセ個人情報流出事件(2014年)において、企業側は情報漏えい対象者に対して500円の金券を支払っています。
こうした事例から、マイナンバーの流出の場合も、対象者1人当たり500円支払えば済むという誤った認識も広がりました。
しかし、ベネッセ個人情報流出事件では、その後、1人当たりの損害額55、000円の支払いをめぐって集団訴訟が提起され、他の情報漏えいに関する裁判例でも1人当たり数万円以上の支払いを余儀なくされています。
500円の金券は見舞金の支払いとなるにすぎず、その額が損害賠償額になるわけではありません。
4.まとめ
情報漏えいは、外部からの不正アクセスによって起こるケースを想定しがちですが、実際には、電子メールの誤送信を中心とした誤操作に端を発するケースや、紙媒体の紛失による事故が多いのが現状です。
いわゆるヒューマンエラーによって引き起こされているケースが一般的と言えます。
したがって、いくら堅牢なセキュリティ体制に守られた情報システムを構築したとしても、従業員の誤操作等によって情報が漏えいするリスクは依然として伴うということです。
実際、日本年金機構において100万件超の年金情報が流出した事件は、職員が外部から送付された不審な電子メールを開封したことによるウィルス感染に端を発したことは、報道によってよく知られているところです。
安全管理対策については、技術面に頼り切ることはできず、企業はヒューマンエラー対策に対しても意識して、情報漏えいでトラブルが生じないように、あらかじめ対策を講じておきたいものです。