TOPQ&A記事従業員のマイナンバーが記載された書類を紛失しました。どうしたらよいですか?
SHARE

従業員のマイナンバーが記載された書類を紛失しました。どうしたらよいですか?

従業員から提出された、従業員のマイナンバーが記載された書類を紛失してしまいました。どう対応したら良いでしょうか?
マイナンバーが記載された書類の紛失は、マイナンバーの滅失又は場合によっては漏えいに該当します。マイナンバーを取り扱う事業者は、事業者内部における報告及び被害の拡大防止、事実関係の調査及び原因の究明、影響範囲の特定、再発部施策の検討及び実施について必要な措置を講じる必要があります。さらに、マイナンバーの安全の確保に係る事態であって、個人の権利利益を害するおそれが大きいものとして個人情報保護委員会で定めるものが生じたときは、当該事態が生じたことを個人情報保護委員会に報告しなければなりません。また、事業者は、マイナンバーの本人に対して、当該事態が生じた旨を通知することが必要です。
回答者
牧山 嘉道 弁護士
リップル法律事務所

個人情報保護法における漏えい等の報告・本人通知

個人情報保護法の下では、個人データの漏えい等が発生し、個人の権利利益を害するおそれが大きい場合には、個人情報保護委員会への報告及び本人への通知が義務付けられています。報告・通知の対象となる漏えい等に該当するのは、①要配慮個人情報が含まれる場合、②財産的被害が発生するおそれがある場合、③不正アクセス等故意による場合、④本人の数が1,000人を超える場合です。

個人情報保護委員会への報告は、事態の発生を認識した後、速やかにその時点において把握している事項を報告し、そのうえで、30日(③の場合は60日)以内に確報を報告しなければならなりません。

マイナンバー法(「行政手続における特定の個人を識別するための番号の利用等に関する法律」)における漏えい等の報告・本人通知

マイナンバーの「漏えい」、「滅失」、「毀損」の意義

「漏えい」とは、マイナンバーが外部に流出することをいいます。例えば、マイナンバーが記載された書類やメールの第三者に対する誤送付・誤送信、マイナンバーが記載・記録された書類・媒体等の盗難などです。マイナンバーが第三者に閲覧されないうちに全て回収された場合は漏えいに該当しません。

「滅失」とは、マイナンバーの内容が失われることをいいます。例えば、マイナンバーが記載された書類・媒体等を誤って廃棄した場合や社内で紛失した場合などです。なお、社外で紛失した場合は漏えいに該当します。

「毀損」とは、マイナンバーが意図しない形で変更されること、内容を保ちつつも利用不能な状態になることをいいます。例えば、マイナンバーの内容が改ざんされた場合、ランサムウェア等によりマイナンバーが暗号化され復元できなくなった場合などです。

マイナンバーの漏えい等事案が発覚した場合に講ずべき措置

マイナンバーを取り扱う事業者は、漏えい、滅失又は毀損に該当する事案が発覚した場合は、漏えい等の具体的事案の内容等に応じて、以下に掲げる事項について必要な措置を講じなければなりません。

① 事業者内部における報告及び被害の拡大防止

② 事実関係の調査及び原因の究明

③ 影響範囲の特定

④ 再発防止策の検討及び実施

⑤ 個人情報保護委員会への報告及び本人への通知

 

個人情報保護委員会への報告及び本人への通知の対象となる事態

個人の権利利益を害するおそれが大きいもので、以下のいずれかに該当するものは、個人情報保護委員会への報告及び本人への通知をしなければなりません。

① 情報提供ネットワークシステム等又はマイナンバー利用事務を処理するために使用する情報システム等で管理されるマイナンバーの漏えい等が発生し、又は発生したおそれがある事態

② 不正の目的をもって行われたおそれがあるマイナンバーの漏えい等が発生し又は発生したおそれがある事態、あるいは不正の目的をもってマイナンバーが利用・提供され又は利用・提供されたおそれがある事態

③ マイナンバーのファイルに記録されたマイナンバーがインターネット等電磁的方法により不特定多数の者に閲覧され又は閲覧されるおそれがある事態

④ 漏えい等が発生し又は発生したおそれがあるマイナンバーがマイナンバー法に反して利用・提供され又は利用・提供されたおそれがあるマイナンバーに係る本人の数が100人を超える事態

 

なお、報告対象事態に該当しない漏えい等事案においても、マイナンバーを取り扱う事業者は個人情報保護委員会に報告するよう努めるものとされています。

報告内容

マイナンバーを取り扱う事業者は、漏えい等の事態の発生を認識した後、速やかにその時点において把握している以下に掲げる事項を報告し、そのうえで、30日(不正の目的をもって行われた漏えい等の事態については60日)以内に次の事項を報告しなければなりません。

① 概要

② マイナンバーの項目

③ マイナンバーに係る本人の数

④ 原因

⑤ 二次被害又はそのおそれの有無及びその内容

⑥ 本人への対応の実施状況

⑦ 公表の実施状況

⑧ 再発防止のための措置

⑨ その他参考となる事項

 

委託元への通知

マイナンバーの委託先は、個人情報保護委員会への報告義務を負っている委託元に対し、報告内容を通知したときは、自身の報告義務を免除されます。

本人への通知

マイナンバーを取り扱う事業者は、報告対象となる事態を知った場合は、当該事態の状況に応じて速やかに、本人に当該事態が生じた旨を通知しなければならなりません。

本人への通知は、本人の権利利益を保護するために必要な範囲において行います。

漏えい等のおそれが生じたものの、事案がほとんど判明しておらず、その時点で本人に通知したとしても、本人がその権利利益を保護するための措置を講じられる見込みがなく、かえって混乱が生じるおそれがある場合は、その時点で通知を行う必要はありません。また、当初報告対象となる事態に該当すると判断したものの、その後実際には報告対象となる事態に該当していないことが判明した場合には、本人への通知は不要です。

マイナンバーの取扱いを委託している場合は、委託元と委託先の双方がマイナンバーを取り扱っていることになるから、原則として委託元と委託先の双方が通知する義務を負います。

この記事は、2024年2月6日に作成されました。

関連Q&A

持ち帰り残業は労働時間に含まれますか?
従業員の一人が「就業時間内で仕事が終わらず、自宅に持ち帰って仕事をしているので、その時間分も残業代を支払ってほしい。」と社長の私に要求してきました。持ち帰り残業の話は初耳ですし、仕事量も勤務中に終わる分量だと考えています。 従業員の要求を拒否することはできるのでしょうか。
従業員が横領していることが発覚した際の内部監査方法を教えてください。
当社の経理担当職員が会社の口座から不正にお金を引き出していることが、他の従業員からの通告でわかりました。実態を正確に把握できていないので内部監査を実施したいのですが、どのように進めるのが良いでしょうか。
取締役であれば無制限に残業させられますか?
メンバーレベルでの業務で長時間残業をしている社員について、可能であれば彼らの役職を「管理職」として無制限に残業させたいのですが、問題ないでしょうか。
従業員が私生活で逮捕されたらどのように対応すべきでしょうか。
従業員が私生活で逮捕されたと、従業員の家族から連絡がありました。会社として、どのような対応を取るべきでしょうか。また、逮捕を理由とした解雇は可能なのでしょうか。
就業中に自然災害が発生した場合の従業員対応で気を付けるべきことは何ですか?
最近の日本では自然災害が多発しています。自社としても終業時間中に大規模な自然災害によって被害を受けることがあるかもしれません。自然災害によって自社が被害を受けた際に備えて、企業としてどのようなことに気を付けて対策をしておくべきでしょうか?