弁護士・中小企業診断士の谷田が,中小企業の皆さんを法律・経営両面で支援します。

blog

マイナンバー制度4~個人情報保護法との比較~

2015年08月25日

 前回は,「マイナンバー制度の禁止事項と罰則」についてご説明しました。
 今回は,しばしば「マイナンバー制度」と混同される「個人情報保護法」と比較することで,マイナンバー制度の理解を深めて頂きたいと思います。併せて,これまで大いに誤解されてきた個人情報保護法についても正確な理解をしたいところです。

1,適用される事業者の範囲
 個人情報保護法が適用されるのは,「過去6か月以内に,5000人超の個人情報を保有していたorしている事業者」です。宮崎県の中小企業では(よほど顧客のデータベースを充実させていれば別ですが)個人情報保護法の適用を受ける会社はとても少ないのです。この要件を無視して「あんたの会社のやっていることは,個人情報保護法違反だ!」と言い張るクレーマーさんの多いこと多いこと・・・。
※(追記)ただ,平成27年9月3日付で個人情報保護法の改正案が可決されたため,上記の人数要件は撤廃される見込みです。施行はまだ先になりますが,今後は全ての中小企業について,個人情報保護法への対応が迫られることになります。この辺はまた別のシリーズでじっくりと取り上げたいと思います。

 他方,マイナンバー制度は,従業員を雇用すればほぼ確実にマイナンバーを取り扱う必要が出てきますので,宮崎県の中小企業も避けては通れない制度といえるでしょう。

2,利用範囲
 個人情報保護法では,個人情報取得の目的は各事業者が自由に決められます。そして,情報取得にあたって目的を明示すればよいということになっています。「お客様の個人情報は,お客様への商品情報提供,当社のサービス改善・・・の目的の範囲内でのみ使用します」というアレですね。
 ちなみに,当事務所では相談カード冒頭に「下記個人情報は,相談者様への連絡や円滑な継続相談等,法律事務所の業務に必要な範囲で使用させて頂きます。」という断り書きを書かせていただいております。

 他方で,マイナンバーは,前回「マイナンバー制度2~どういう制度?~」で書いた通り,そもそも取得の目的が法律で厳格に制限されています。「源泉徴収手続のため」「社会保険手続のため」といったように,マイナンバー法9条に書いてある目的以外で利用してはいけないのです。それどころか,「取得」することも許されていません。

3,第三者への提供
 個人情報は,本人が事前に同意していれば,第三者へ提供することも認められています。
 ですが,マイナンバーは,たとえ本人が同意しても,第三者に提供することは認められていません。(前回書いた通り,本人の同意でどうこうできるものではないわけです。)

4,データベースの作成
 個人情報のデータベースの作成にあたっては特段制約はありません。例えば,顧客データベースに,各顧客の過去の購入商品・購入点数・購入時期なども含めて記録し,将来の販売促進に役立てるということは特段禁止されていません。(むしろ,マーケティングという観点からは当たり前のことですね)
 他方,マイナンバーを含むデータベースにおいては,あくまでマイナンバーを使った事務処理に必要な限度でしかデータベースを作ってはいけません。「税の源泉徴収手続」「社会保険加入手続」などに必要な範囲でしかデータベース化してはいけない,というわけです。この点からも,マイナンバー制は経営改善に活用できるような性質のものではない,ということが分かって頂けると思います。

5,罰則
 この点が,個人情報保護法とマイナンバー法とで大きく異なるところです。
 しばしば誤解されていますが,個人情報を流出させたからと言って,そのことを理由に処罰されることはありません。個人情報保護法では,情報漏洩について処罰規定は置かれていないのです。
 例のベネッセの個人情報流出事件でも,情報を流出させた被疑者は「個人情報保護法違反」ではなく「不正競争防止法違反」で逮捕されていました。個人情報を流出させたことを理由に処罰はできないことため,「ベネッセという会社が保有する営業秘密を持ち出した」ことを理由に立件せざるを得なかった,というわけです。個人的には,派遣スタッフが大量に持ち出せたデータベースが,果たして「営業の秘密(不正競争防止法2条6項)」にあたるのかどうか興味があるところですが・・・話がだいぶ逸れてしまいますので,またの機会に。
※(追記)上述の個人情報保護法改正により,個人情報データベース等の情報漏洩について処罰規定が追加されました。かなり限定的な場面でのみ,比較的軽い法定刑が定められたにとどまりますが,これまでなかった処罰規定が置かれたことは大きな変化といえます。

 他方,前回コラムでも触れましたように,マイナンバー法では故意にマイナンバーを流出させると,流出させた担当者はもちろんのこと,会社にまで処罰が及ぶようになっています。

 以上,ざっと見ただけでも,個人情報とマイナンバーはだいぶ勝手が違うということがわかって頂けたかと思います。
 マイナンバー制度は,ほとんどの中小企業に適用があり,各個人の同意を得ても有効な対策にならず,しかも使用者である会社に対する処罰規定まで設けられているという,中小企業にとってはなかなか大変な制度です。であるからこそ,きっちり準備をして施行を迎えたいところです。
 次回以降は,どういった事項について準備が必要なのかについてご説明します。