従業員のマイナンバーが記載された書類を紛失しました。どうしたらよいですか？

個人情報保護法における漏えい等の報告・本人通知

個人情報保護法の下では、個人データの漏えい等が発生し、個人の権利利益を害するおそれが大きい場合には、個人情報保護委員会への報告及び本人への通知が義務付けられています。報告・通知の対象となる漏えい等に該当するのは、①要配慮個人情報が含まれる場合、②財産的被害が発生するおそれがある場合、③不正アクセス等故意による場合、④本人の数が1,000人を超える場合です。

個人情報保護委員会への報告は、事態の発生を認識した後、速やかにその時点において把握している事項を報告し、そのうえで、30日（③の場合は60日）以内に確報を報告しなければならなりません。

マイナンバー法（「行政手続における特定の個人を識別するための番号の利用等に関する法律」）における漏えい等の報告・本人通知

マイナンバーの「漏えい」、「滅失」、「毀損」の意義

「漏えい」とは、マイナンバーが外部に流出することをいいます。例えば、マイナンバーが記載された書類やメールの第三者に対する誤送付・誤送信、マイナンバーが記載・記録された書類・媒体等の盗難などです。マイナンバーが第三者に閲覧されないうちに全て回収された場合は漏えいに該当しません。

「滅失」とは、マイナンバーの内容が失われることをいいます。例えば、マイナンバーが記載された書類・媒体等を誤って廃棄した場合や社内で紛失した場合などです。なお、社外で紛失した場合は漏えいに該当します。

「毀損」とは、マイナンバーが意図しない形で変更されること、内容を保ちつつも利用不能な状態になることをいいます。例えば、マイナンバーの内容が改ざんされた場合、ランサムウェア等によりマイナンバーが暗号化され復元できなくなった場合などです。

マイナンバーの漏えい等事案が発覚した場合に講ずべき措置

マイナンバーを取り扱う事業者は、漏えい、滅失又は毀損に該当する事案が発覚した場合は、漏えい等の具体的事案の内容等に応じて、以下に掲げる事項について必要な措置を講じなければなりません。

個人情報保護委員会への報告及び本人への通知の対象となる事態

個人の権利利益を害するおそれが大きいもので、以下のいずれかに該当するものは、個人情報保護委員会への報告及び本人への通知をしなければなりません。

なお、報告対象事態に該当しない漏えい等事案においても、マイナンバーを取り扱う事業者は個人情報保護委員会に報告するよう努めるものとされています。

報告内容

マイナンバーを取り扱う事業者は、漏えい等の事態の発生を認識した後、速やかにその時点において把握している以下に掲げる事項を報告し、そのうえで、30日（不正の目的をもって行われた漏えい等の事態については60日）以内に次の事項を報告しなければなりません。

委託元への通知

マイナンバーの委託先は、個人情報保護委員会への報告義務を負っている委託元に対し、報告内容を通知したときは、自身の報告義務を免除されます。

本人への通知

マイナンバーを取り扱う事業者は、報告対象となる事態を知った場合は、当該事態の状況に応じて速やかに、本人に当該事態が生じた旨を通知しなければならなりません。

本人への通知は、本人の権利利益を保護するために必要な範囲において行います。

漏えい等のおそれが生じたものの、事案がほとんど判明しておらず、その時点で本人に通知したとしても、本人がその権利利益を保護するための措置を講じられる見込みがなく、かえって混乱が生じるおそれがある場合は、その時点で通知を行う必要はありません。また、当初報告対象となる事態に該当すると判断したものの、その後実際には報告対象となる事態に該当していないことが判明した場合には、本人への通知は不要です。

マイナンバーの取扱いを委託している場合は、委託元と委託先の双方がマイナンバーを取り扱っていることになるから、原則として委託元と委託先の双方が通知する義務を負います。

※この記事は、2024年2月6日に作成されました。