従業員のマイナンバーが記載された書類を紛失しました。どうしたらよいですか?
目次
個人情報保護法における漏えい等の報告・本人通知
個人情報保護法の下では、個人データの漏えい等が発生し、個人の権利利益を害するおそれが大きい場合には、個人情報保護委員会への報告及び本人への通知が義務付けられています。報告・通知の対象となる漏えい等に該当するのは、①要配慮個人情報が含まれる場合、②財産的被害が発生するおそれがある場合、③不正アクセス等故意による場合、④本人の数が1,000人を超える場合です。
個人情報保護委員会への報告は、事態の発生を認識した後、速やかにその時点において把握している事項を報告し、そのうえで、30日(③の場合は60日)以内に確報を報告しなければならなりません。
マイナンバー法(「行政手続における特定の個人を識別するための番号の利用等に関する法律」)における漏えい等の報告・本人通知
マイナンバーの「漏えい」、「滅失」、「毀損」の意義
「漏えい」とは、マイナンバーが外部に流出することをいいます。例えば、マイナンバーが記載された書類やメールの第三者に対する誤送付・誤送信、マイナンバーが記載・記録された書類・媒体等の盗難などです。マイナンバーが第三者に閲覧されないうちに全て回収された場合は漏えいに該当しません。
「滅失」とは、マイナンバーの内容が失われることをいいます。例えば、マイナンバーが記載された書類・媒体等を誤って廃棄した場合や社内で紛失した場合などです。なお、社外で紛失した場合は漏えいに該当します。
「毀損」とは、マイナンバーが意図しない形で変更されること、内容を保ちつつも利用不能な状態になることをいいます。例えば、マイナンバーの内容が改ざんされた場合、ランサムウェア等によりマイナンバーが暗号化され復元できなくなった場合などです。
マイナンバーの漏えい等事案が発覚した場合に講ずべき措置
マイナンバーを取り扱う事業者は、漏えい、滅失又は毀損に該当する事案が発覚した場合は、漏えい等の具体的事案の内容等に応じて、以下に掲げる事項について必要な措置を講じなければなりません。
① 事業者内部における報告及び被害の拡大防止
② 事実関係の調査及び原因の究明
③ 影響範囲の特定
④ 再発防止策の検討及び実施
⑤ 個人情報保護委員会への報告及び本人への通知
個人情報保護委員会への報告及び本人への通知の対象となる事態
個人の権利利益を害するおそれが大きいもので、以下のいずれかに該当するものは、個人情報保護委員会への報告及び本人への通知をしなければなりません。
① 情報提供ネットワークシステム等又はマイナンバー利用事務を処理するために使用する情報システム等で管理されるマイナンバーの漏えい等が発生し、又は発生したおそれがある事態
② 不正の目的をもって行われたおそれがあるマイナンバーの漏えい等が発生し又は発生したおそれがある事態、あるいは不正の目的をもってマイナンバーが利用・提供され又は利用・提供されたおそれがある事態
③ マイナンバーのファイルに記録されたマイナンバーがインターネット等電磁的方法により不特定多数の者に閲覧され又は閲覧されるおそれがある事態
④ 漏えい等が発生し又は発生したおそれがあるマイナンバーがマイナンバー法に反して利用・提供され又は利用・提供されたおそれがあるマイナンバーに係る本人の数が100人を超える事態
なお、報告対象事態に該当しない漏えい等事案においても、マイナンバーを取り扱う事業者は個人情報保護委員会に報告するよう努めるものとされています。
報告内容
マイナンバーを取り扱う事業者は、漏えい等の事態の発生を認識した後、速やかにその時点において把握している以下に掲げる事項を報告し、そのうえで、30日(不正の目的をもって行われた漏えい等の事態については60日)以内に次の事項を報告しなければなりません。
① 概要
② マイナンバーの項目
③ マイナンバーに係る本人の数
④ 原因
⑤ 二次被害又はそのおそれの有無及びその内容
⑥ 本人への対応の実施状況
⑦ 公表の実施状況
⑧ 再発防止のための措置
⑨ その他参考となる事項
委託元への通知
マイナンバーの委託先は、個人情報保護委員会への報告義務を負っている委託元に対し、報告内容を通知したときは、自身の報告義務を免除されます。
本人への通知
マイナンバーを取り扱う事業者は、報告対象となる事態を知った場合は、当該事態の状況に応じて速やかに、本人に当該事態が生じた旨を通知しなければならなりません。
本人への通知は、本人の権利利益を保護するために必要な範囲において行います。
漏えい等のおそれが生じたものの、事案がほとんど判明しておらず、その時点で本人に通知したとしても、本人がその権利利益を保護するための措置を講じられる見込みがなく、かえって混乱が生じるおそれがある場合は、その時点で通知を行う必要はありません。また、当初報告対象となる事態に該当すると判断したものの、その後実際には報告対象となる事態に該当していないことが判明した場合には、本人への通知は不要です。
マイナンバーの取扱いを委託している場合は、委託元と委託先の双方がマイナンバーを取り扱っていることになるから、原則として委託元と委託先の双方が通知する義務を負います。
※この記事は、2024年2月6日に作成されました。