ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

マイナンバーが記録されたパソコンの修理の件

マイナンバー

マイナンバー情報あるパソコン「修理できません」メーカーがびびる法律の条文」というニュース(J-CASTニュース)の件で、ブログを書こうと思っていたところ、ITPROから取材を受けました。ただ昨日はとても時間がなく、簡単なコメントしかできませんでしたので、ブログに詳しく私の考えを書いておこうと思います。

マイナンバーと言うと「関わりたくない」「触れたくない」「何かいろんなことがわかってしまうのではないか」、などという思いを持たれる方が多いようにも思いますが、そのようなことはありません。
番号法は技術的すぎて読むのが難しいですし、役所が出している解説も難しくて、「?」となる方が多いようにも思いますが、細かい法律解釈は専門家に任せることとし、ビジネスパーソンや個人の方は、これまで扱ってきた重要な情報と同じように扱えば、基本的には大丈夫だと考えます。

マイナンバーは確かに重要な個人情報ではありますが、マイナンバー以外にも重要な情報はあります。
今回のPCの件でいえば、例えば、パスワードをPCに記録している人、指紋・虹彩などの情報*1をPCに記録している人、その他、重要情報をPCに保存している人はいっぱいいるのではないでしょうか。

会社でいえば、従業員の給与額一覧、取引先ごとの割引率、特許取得前の技術情報など、流出してしまっては困る情報はいろいろありますし、個人でいっても、提出した確定申告書の控え(所得額、経費率等が記載されている)といった「仕事」絡みの情報から、個人的な日記、画像、人に知られたくないユーザID等、本当に様々なものがあるかと思います。

こういう大事な情報が記録されたPCをこれまでも修理してきていたはずで、それなら、マイナンバーとそれ以外とで、何の違いがあるのでしょうか(マイナンバー、住民票コード、運転免許証番号、お客様番号といったいわゆる番号・ID類には、その他の個人情報と比べ、「索引情報」「目次情報」「キー情報」としての悪用の危険性がありますが、ここではその点は記述しません)。

J-CASTニュースの記事によれば、罰則が強化されているから修理規定を見直したということも書いてありましたが、罰則は、「故意犯」処罰です。うっかりやってしまった「過失犯」は、番号法の規定では処罰されません。

また、マイナンバーを漏えいすれば、罰則が適用になるというものではありません。修理メーカーに罰則が適用になるのは、大まかにいうと以下の場合に限ります。

  • 意図的に、個人の秘密に属する事項が記録されたマイナンバー付きのファイルを不正に提供したとき→四年以下の懲役、二百万円以下の罰金
    • 例)従業員の給与額とマイナンバーの一覧を部外者に渡す
  • 意図的に、マイナンバーを自己か第三者の不正な利益を図る目的で提供したか、盗用したとき→三年以下の懲役、百五十万円以下の罰金
    • 例)他人のマイナンバーを騙ってお金をだまし取ろうとする、他人のマイナンバーを部外者に売却する
  • 意図的に、人を欺いたり、人に暴行を加えたり、脅迫したり、財物の窃取、施設への侵入、不正アクセス行為その他、マイナンバーを保有する者の管理を害する行為により、マイナンバーを取得したとき→三年以下の懲役、百五十万円以下の罰金
    • 例)ちょっと貸してと偽って、他人のマイナンバーを奪う
  • 個人情報保護委員会の命令に違反したとき等

つまり、修理メーカーが普通に業務をしている限り、従業員に罰則が適用になるというケースは稀といえます。
また、修理メーカーが普通に業務をしている限り、修理メーカー自体に罰則が適用になることも稀といえます。

さらにいえば、マイナンバー以外の個人情報も、来年以降、罰則が強化されます。

  • 個人情報データベース等を事故か第三者の不正な利益を図る目的で提供したか盗用したときは、一年以下の懲役又は五十万円以下の罰則が適用になります(改正個人情報保護法83条)。

では、修理メーカーは、来年以降、マイナンバー以外の個人情報全般についても、修理を依頼する人に事前の消去を要求・確認するのでしょうか?

また、さらにいえば、罰則がすぐに適用になるわけではありませんが、マイナンバーは不正な収集が禁止されていることは事実です(番号法20条)。しかし、修理依頼に伴って、修理メーカーがマイナンバーを収集しても、番号法で禁止されている不正な収集には該当しません。

ITPROでは「単にパソコンを修理に預けるだけなのに、「委託」になるのは不思議に思える。」という記述がありましたが、「委託」というのは別に怖い概念ではありません。マイナンバーの委託というと、委託先の監督というキーワードが連想されたりして、できる限り、マイナンバーに関係したくないとお考えの会社にとっては、「委託」を受けたくないとお思いかもしれませんが、「委託」というのは、簡単にいうと仕事の依頼です。この場合、「PCの修理」を委託しているということになります。
そのPC内にマイナンバーがあるときは、マイナンバーが記録されているHDD等にアクセスすることがPCの修理に必要であり(マイナンバー自体へのアクセスは不要でも、HDD等へのアクセスが必要かと)、こういう場合は、マイナンバーに修理メーカーがアクセスしても、番号法違反にならないよ、という当たり前のことにすぎないのです。

ちょっと、講演に行く時間になってしまいましたので、以降は、また明日以降にブログに書きたいと思います。

今後の記載内容予定

  • 関係事務の委託とは何か、関係事務の委託だからどうしたというのか
  • マイナンバー制度に面倒な点が多すぎて利点が少ないという声もでてきているというが、脱税の是正などによるマイナンバーの効果等は、来年以降に出てくるので、その辺りをちゃんとウォッチせずに、現時点で「マイナンバーの効果がない」というのは適切ではないのではないか
  • 政府広報と一般人の受け取り方のミスマッチ。政府に番号法のルールをもっと広報せよというのは簡単だが、政府広報を見ても、委員会HPを見ても、このように誤解は生まれがちなので、政府広報と一般人の受け取り方のミスマッチを防ぐべく、対策をとるべきではないか
  • マイナンバーや個人情報について、法律上の細かい解釈は専門家に任せよう。法律上の用語などに振り回され、本質を見失わないようにする

*1:マイナンバーでなりすましを心配される方がいらっしゃいますが、マイナンバーは本人確認が法律上義務付けられていますし、一定の場合には変更ができます。これに対し、指紋・虹彩などは変更することは難しいです。マイナンバーデータ単体を盗用されただけではなりすましは難しいですが、指紋などのデータを盗用されたら、生体認証のシステムすらなりすましができてしまう可能性があり、その点、危険だと思います。