ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

【マイナンバーQ&A】マイナンバーが記録されたPCの修理に関する法的問題(マイナンバーの委託規制)

PCの修理メーカーなのですが、マイナンバーが記録されたPCを預かると危ないのでしょうか?

以前の記事の続きですが、構成を改めて、最初から書き直してみたいと思います(前半部分は前の記事と重複します)。

マイナンバー情報あるパソコン「修理できません」メーカーがびびる法律の条文、というニュース(J-CASTニュース)を読みました。同様の件で、ITPROから取材を受けましたが時間がなく、簡単なコメントしかできませんでしたので、ブログに詳しく私の考えを書いておこうと思います。ITPROのニュースはコチラ(私のコメントは2ページ目)です。

<要旨>
1.マイナンバーが記録されたPCを預かることは怖くない → 法律を離れて、普通に考えてみると、どうか

    • PCは個人情報その他の重要情報の宝庫ともいえるが、これまでもそれらが記録されたPCを預かってきたはず
    • マイナンバーだからといって特殊に考えず、重要情報と同じに考えよう
    • 普通に業務を行っている限り、罰則が適用になることは通常ない

2.マイナンバー法から、「マイナンバーが記録されたPCの修理」について考えてみよう

    • 「個人番号関係事務の委託」に当たる場合と当たらない場合がある
    • マイナンバー法には委託に関する規制が出てくるが、注意点は以下の3つ
    • 委託先には安全管理措置が義務付けられる → 修理メーカーは安全管理措置を行う必要がある
      • もっとも、マイナンバー以外の個人情報についても、修理メーカーは、これまでも個人情報保護法上安全管理措置が一般に義務付けられてきた。マイナンバーだからといって、大幅に新たな高負荷対応が求められるものではない。
    • 再委託する際は、委託元の許諾が必要 → 修理メーカーがさらに業務を委託している場合は、本人の許諾を得る必要がある
    • 依頼者本人も、委託先の監督が法律上義務付けられる場合がある
      • いかにも怪しげな修理メーカー(あまりに安価、HPの記載がおかしい、規約等が不存在等)に委託しない
      • 番号法の規制は、大企業と個人とでは、やるべき内容が異なることがあるので、過剰に構えなくても大丈夫

3.修理メーカーにおける法的リスク

    • 修理メーカーが仮に、重要情報を漏えいしてしまった場合の法的リスクは、マイナンバーも、個人データも、企業情報の場合もあまり変わりはない
    • マイナンバーと個人データの場合は、民事訴訟を提起されるリスクの他に、行政(個人情報保護委員会)から勧告等を受ける可能性はあるが、企業情報を漏えいした場合の方が、民事訴訟の賠償額が高額になる可能性が十分考えられる

※3は2016.6.6追記

<本文>
1.マイナンバーが記録されたPCを預かることは怖くない → 法律を離れて、普通に考えてみると、どうか
(1)マイナンバーを重要情報の一つと考えるとわかりやすい

マイナンバーと言うと「関わりたくない」「触れたくない」「漏えいしたら逮捕されるのではないか」「何かいろんなことがわかってしまうのではないか」などと思われる方もいらっしゃいますが、重要情報の一つと考えるとわかりやすいと思います。

マイナンバーは確かに重要な個人情報ではありますが、マイナンバー以外にも重要な情報はあります。

今回のPCの件でいえば、例えば、パスワードをPCに記録している人、指紋・虹彩などの情報*1をPCに記録している人、その他、重要情報をPCに保存している人はいっぱいいるのではないでしょうか。

会社でいえば、従業員の給与額一覧、取引先ごとの割引率、特許取得前の技術情報など、流出してしまっては困る情報はいろいろありますし、個人でいっても、提出した確定申告書の控え(所得額、経費率等が記載されている)といった「仕事」絡みの情報から、個人的な日記、画像、人に知られたくないユーザID(いわゆる裏アカウント等)、WEB閲覧履歴、ダウンロード履歴、WEB検索履歴、ネット上の書き込み内容のメモ等、本当に様々なものがあるかと思います。

PCは、ある意味、こういう大事な情報がたくさん記録されている可能性があります。
PCの修理を請け負う際、依頼者が情報を消去していればこういった問題は起こらないといえますが、恐らくこれまでも、情報を消去して修理依頼をする依頼者はそんなに多くなかったはずです。さらにいえば、消去したくてもできない場合もあり、通常、修理メーカーは、個人情報その他の重要情報が記録されたPCをこれまでも修理してきていたはずです。

それなら、マイナンバーとそれ以外の重要情報とで、何の違いがあるのでしょうか(マイナンバー、住民票コード、運転免許証番号、お客様番号といったいわゆる番号・ID類には、その他の個人情報と比べ、「索引情報」「目次情報」「キー情報」としての悪用の危険性がありますが、ここではその点は記述しません)。


(2)悪質なことをしない限り、逮捕されない

「いやいや、マイナンバー制度では罰則が強化されたと聞いたぞ」「うっかり何かした日には逮捕されてしまうのでは」とお感じの方もいらっしゃるかもしれません。
しかしそれは誤解です。マイナンバー制度では確かに罰則が強化されていますが、悪質な行為を罰するという趣旨のものです。例えば、これまでは個人データを大量に売却したり、悪意を持ってネット上にばらまいたとしても、個人情報保護法での立件が困難でした。そこで、マイナンバー法では確かに罰則が強化されました。しかし、一般人がやってしまいそうなことを罰則化するというのは、法制上困難です。マイナンバーにしろそれ以外にしろ、罰則というのは、罰するに値する行為を対象にするものといえます*2

そして、法律上特に何も書かれていない場合は、故意犯処罰が原則です。うっかりやってしまった過失犯は、そのように書かれている場合に処罰されるのが原則であり*3マイナンバー法は、過失犯処罰規定がありません。

したがって、マイナンバーをうっかり漏えいしたら、必ず、罰則が適用になるというものではありません。

具体的に、修理メーカーに罰則が適用になる場合を考えたいと思います。大まかにいうと以下の場合です。

  • 意図的に、個人の秘密に属する事項が記録されたマイナンバー付きのファイルを不正に提供したとき→四年以下の懲役、二百万円以下の罰金
    • 例)従業員の給与額とマイナンバーの一覧を部外者に渡す
  • 意図的に、マイナンバーを自己か第三者の不正な利益を図る目的で提供したか、盗用したとき→三年以下の懲役、百五十万円以下の罰金
    • 例)他人のマイナンバーを騙ってお金をだまし取ろうとする、他人のマイナンバーを部外者に売却する
  • 意図的に、人を欺いたり、人に暴行を加えたり、脅迫したり、財物の窃取、施設への侵入、不正アクセス行為その他、マイナンバーを保有する者の管理を害する行為により、マイナンバーを取得したとき→三年以下の懲役、百五十万円以下の罰金
    • 例)ちょっと貸してと偽って、他人のマイナンバーを奪う
  • 個人情報保護委員会の命令に違反したとき等

つまり、修理メーカーが普通に業務をしている限り、従業員に罰則が適用になるというケースは稀といえます。
また、修理メーカーが普通に業務をしている限り、修理メーカー自体に罰則が適用になることも稀といえます(両罰規定自体は存在する)。

さらにいえば、マイナンバー以外の個人情報も、来年以降、罰則が強化されます。
では、修理メーカーは、来年以降、マイナンバー以外の個人情報全般についても、修理を依頼する人に事前の消去を要求・確認するのでしょうか?

第八十三条 個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。第八十七条第一項において同じ。)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。

番号法マイナンバー法)は技術的すぎて読むのが難しいですし、役所が出している解説も難しくて、「?」となる方が多いようにも思いますが、細かい法律解釈は専門家に任せることとし、ビジネスパーソンや個人の方は、これまで扱ってきた重要な情報と同じように扱えば、基本的には大丈夫だと考えます。


2.マイナンバー法から、「マイナンバーが記録されたPCの修理」について考えてみよう
(1)マイナンバーに関する委託とは何なのか

ITPROには以下の記述がありました。

「単にパソコンを修理に預けるだけなのに、「委託」になるのは不思議に思える。」

しかし、「委託」というのは別に怖い概念ではありません。マイナンバーの委託というと、委託先の監督というキーワードが連想されたりして、できる限り、マイナンバーに関係したくないとお考えの会社にとっては、「委託」を受けたくないとお思いかもしれませんが、「委託」というのは、簡単にいうと仕事の依頼です。この場合、「PCの修理」を委託しているということになります。

そのPC内にマイナンバーがあるときは、マイナンバーが記録されているHDD等にアクセスすることがPCの修理に必要であり(マイナンバー自体へのアクセスは不要でも、HDD等へのアクセスが必要かと)、こういう場合は、マイナンバーに修理メーカーがアクセスしても、番号法違反にならないよ、という当たり前のことが中心になってきます。


では、マイナンバーに関する委託とは何なのか、マイナンバーが記録されたPCの修理とは、法律上どう評価されるのか、見ていきましょう。


典型的なケースを考えます。
会社が源泉徴収票作成用に従業者のマイナンバーをPCに記録している場合で、そのPCが壊れたので修理したいという場合です。

この場合、会社は源泉徴収票作成用にマイナンバーを管理するという「個人番号関係事務」を行っています。会社が自らマイナンバーを消去して修理メーカーに引き渡せば、特に外部にマイナンバーが渡ることはありませんが、会社がマイナンバーを自ら消去せずに修理メーカーに渡すと、外部にマイナンバーが渡るということになります。それが法律上可能かというと、会社は源泉徴収票作成という「個人番号関係事務」のためにマイナンバーを持っていて、そのために必要な範囲でマイナンバーを外部に出すと解釈することができ、可能です。つまり、修理メーカーは源泉徴収票作成という「個人番号関係事務」の一部(源泉徴収票作成用の情報が記録されたPCの修理)を請け負うということになって、法律上は「個人番号関係事務の委託」に当たるので、マイナンバーを授受できるよ、ということになります(番号法19条5号)。


ただ、マイナンバーを受け取った修理メーカーは、受け取ったのをいいことに修理以外の用途にマイナンバーを転用したり、修理以外の用途でマイナンバーを外部に出したり、適当な扱いでマイナンバーがどっかにいっちゃったということがないようにしましょうね、と、法律で規制されているわけです。


委託に関するマイナンバー法規制は、以下のようなものです。

  • 提供規制・収集規制の解除
    • 委託先に、必要な範囲で個人番号を提供できる、委託先は必要な範囲で個人番号を収集できる(番号法19条5号・20条)
  • 利用規制の解除
    • 委託先も、必要な範囲で個人番号を利用できる(番号法1項後段・2項後段)
  • 委託先の責任
    • 委託先は委託元と同様に「個人番号利用事務等実施者」として番号法の規制に服する(番号法2条12項・13項)
    • したがって、個人番号の利用規制、提供規制、安全管理措置、再委託制限等々の番号法が定める義務に服する
  • 委託元の責任
    • 委託先に委託すれば一切の責任を免れるわけではなく、委託元を監督する義務がある(番号法11条)

具体的に考えてみると、マイナンバーが記録されたPCの修理を依頼する場合はこうなります。

  • 依頼者は修理メーカーにマイナンバーが記録されたPCを渡せる、修理メーカーも受け取れる
  • 修理メーカーは、必要な範囲でマイナンバーにアクセスできる
  • 修理メーカーは、受け取ったマイナンバーを必要外に利用したり、必要な範囲を超えて外部提供したり、適当に放置したりしてはいけない。
  • 修理メーカーは、勝手に外部に再委託してはいけない。
  • 依頼者は、場合によっては、修理メーカーを監督しなければならない。


では、次に「個人番号利用事務等の委託」とは何なのか、見ておきましょう。
これは簡単にいうと、「他人のマイナンバーに関係する仕事を依頼する」ということです。

  • 「個人番号利用事務等」とは、「個人番号利用事務」と「個人番号関係事務」をいいます(番号法10条1項)。
    • 「個人番号利用事務」は、民間で関係するのは健康保険組合ぐらいなので、行政機関、自治体、健康保険組合等の業務用PCの修理を受ける場合にのみ関係しますので、今回は説明を割愛します。
    • 「個人番号関係事務」は、他人のマイナンバーを手続等で使う場合等をいいます(番号法2条11項・9条3項)。

民間で関係するのは、

が代表的ですが、それ以外にも

  • 個人が、扶養家族のマイナンバーを、扶養控除申告書等に記載する場合

等も、個人番号関係事務に該当します。

もっとも、個人番号関係事務は、「他人」のマイナンバーを手続等で使う場合等ですので、自分のマイナンバーを確定申告書に記載したり、会社に教えたりするのは、これに当たりません。

修理PCの件が、業務用PCも含んでいるのか、個人用PCだけを指しているのか、調べきれていないのですが、会社の業務用PCの修理の場合は、個人番号関係事務の委託に該当することも考えられますね。
次に、個人PCの修理の場合、それが個人事業主(例、弁護士、税理士、自営業者等)のものかどうかは、修理メーカーにとっては不明かと思いますが、個人事業主のものの場合は、個人番号関係事務の委託に該当する可能性があります。
個人事業主でないひと(例、会社員)のPCであっても、その人が扶養家族のマイナンバーを、扶養控除申告書等用に記録していたりすると、この修理を受けると「個人番号関係事務の委託」に当たります。


(2)注意点1:修理メーカーに安全管理措置

個人番号関係事務の委託を受ける場合、修理メーカーにとって、気になる点があるかもしれません。
「修理メーカーには、安全管理措置が適用になる」ということです。

しかし、通常、修理PCにはマイナンバー以外の個人データが記録されていることも想定され、個人データにも安全管理措置が義務付けられます(個人情報保護法20条)。今までも、修理PCに対して、安全管理措置を個人情報保護法上、行わなければならなかったので*4マイナンバーだからといって、新たにものすごい対応が必要になるものではありません。

個人情報保護法
(安全管理措置)
第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

番号法
(個人番号利用事務実施者等の責務)
第十二条  個人番号利用事務実施者及び個人番号関係事務実施者(以下「個人番号利用事務等実施者」という。)は、個人番号の漏えい、滅失又は毀損の防止その他の個人番号の適切な管理のために必要な措置を講じなければならない。

安全管理措置のガイドラインが、個人情報保護法の場合は経産省マイナンバーの場合は個人情報保護委員会になるという違いはありますが、来年以降は、個人情報保護法ガイドライン個人情報保護委員会所管になる予定ですので、この差もかなり小さくなるかと思います。なお、経産省ガイドラインで求められる安全管理措置と、個人情報保護委員会番号法ガイドラインで求められる安全管理措置の比較については、コチラのサイトをご覧ください(Jin-jour/WEB労政時報というサイトで私が執筆した記事)。


(3)注意点2:再委託の許諾要

また、再委託も、修理メーカーにとっては、気になるかもしれません。
全部自前で修理していれば関係ありませんが、パーツの修理を再委託している等の場合に、問題になります。
すべての場合に、再委託に関し、本人の許諾を得る必要はありません。
しかし、「個人番号利用事務等の委託」を受けた場合は、再委託する場合は本人の許諾が必要です(番号法10条1項)。

会社の業務用PCの修理の場合は、個人番号関係事務の委託に該当することも考えられますので、再委託が必要なら、許諾はあらかじめ求めておいた方がよいです。
個人事業主のものの場合は、個人番号関係事務の委託に該当する可能性があります。
さらに個人事業主でないひと(例、会社員)のPCであっても、その人が扶養家族のマイナンバーを、扶養控除申告書等用に記録していたりすると、この修理を受けると「個人番号関係事務の委託」に当たります。したがって、再委託するなら、許諾が必要になります。

個人が自分のマイナンバーカードや通知カードのスキャン画像をPCに記録していたという場合、この修理を請け負っても、特に、「個人番号関係事務の委託」に当たりません。

ということで、個人用PCの修理が「個人番号関係事務の委託」に当たるかどうかは、場合によってしまいます。安全側に倒せば、個人用PCでも「個人番号関係事務の委託」に当たる可能性があるということから、再委託が必要なら、すべてあらかじめ許諾をとっておくとよいでしょう。

ただこれもそこまで心配する必要はありません。修理依頼の時に、個人情報に関してなどで、本人の同意を得ているかと思いますので、その際にあわせて再委託のことも説明して、許諾を受けておけばよいかと思います。


(4)注意点3:委託先の監督

次に、実は、修理依頼者にとって、気になる点があるかもしれません。
「修理依頼者は、修理メーカーを監督する必要がある場合がある」ということです。

これは、修理依頼が「個人番号関係事務の委託」に当たるかどうかで、監督が必要かどうかが変わってきます。
「そんなぁ、修理メーカーを監督なんてできるわけないよ…」という声も聞こえてきそうですかね。

でも、そんなに心配しないでよいかと思います。
法律上は、「個人番号利用事務等の全部又は一部の委託をする者は、当該委託に係る個人番号利用事務等において取り扱う特定個人情報の安全管理が図られるよう、当該委託を受けた者に対する必要かつ適切な監督を行わなければならない」と、とても漠然とした規定しか置かれていないのです。

「必要かつ適切な監督」とはなんぞや、という話になってきます。
委託先の監督といっても、グラデーションがあり、全部の人が一律に同じことをやらなければならないというものではありません。

まず、ちゃんとやらなければならない人。
大会社が従業者のマイナンバーを記録されたPCを修理に出して、修理先からマイナンバーが大量売却された、なんてなってしまっては、たまりません。会社は、ちゃんとした業者を選んで、ちゃんと契約して、ちゃんと業者にマイナンバーを大切に扱ってもらうようにしなければなりません。
では、小さい会社はどうでしょうか。従業者からしたら、自分が勤めている会社が小さいからって、ちゃんとやってもらいたいかと思います。一方、経営者にとっては、そんなことをする余裕はないとお思いかもしれません。
でも、委託先の監督でやることの基本は、ちゃんとした業者を選んで、ちゃんと契約して、ちゃんと業者にマイナンバーを大切に扱ってもらうようにすることです。これは、個人情報保護法でも義務付けられていました(個人情報保護法22条)。PCにはマイナンバー以外の個人データもこれまで記録されていたはずです。今までも、法律で委託先の監督が義務付けられていましたので*5、そこまで変わるものではありません。
さらに、業務用PCは、従業者の個人情報以外にも、経営者の個人情報や、さらには会社経営上の重要情報も記録されていないでしょうか。冒頭に書いた、取引先ごとの割引率の管理とか、販売実績の管理とか、技術情報とか、様々なものがあると思います。こういう大事な情報を信頼できないよくわからない修理業者に丸投げするというのは、そもそもが危険です。
異常に安くて、本当に大丈夫?と思うような変な怪しげな業者に頼んではいけません。また、人に物を頼むときは、契約書をキチンとかわしましょう。そして、契約が守られているかチェックしましょう。
次に、個人はどうでしょうか。扶養家族のマイナンバーが記録されたPCの修理で、修理メーカーを監督するというのは現実的には難しい場合も多いかと思いますが、これも上記と同様です。PCは、扶養家族のマイナンバー以外にも、個人的画像、日記、ネットの閲覧履歴、ネットの書き込み履歴、ダウンロード履歴など、様々なもの記録されている場合が多いと思います。こういう大事な情報を信頼できないよくわからない修理業者に丸投げするというのは、危険です。きちんとした業者を選びましょう。次に、契約をチェックするのは、個人の場合は厳しいかもしれませんが、理想をいえば、WEBで細かい字でスクロールして読ませてくるようなああいう類のものもきっちり読んで、複数業者間で比較したりするとよいのですね。とはいえ、そこまでは実際には難しいかもしれません。

という風に、委託先の監督といっても、グラデーションがあり、全部の人が一律に同じことをやらなければならないというものではありません。さらにいえば、委託先の監督を行わなかった場合に、どういう制裁があるかというと、罰則はありませんが、個人情報保護委員会の助言・指導・勧告・命令・立入検査の可能性があります。
大企業が杜撰な管理で、修理メーカーから大規模なマイナンバー漏えいがあったりしたら、個人情報保護委員会の権限行使がなされる可能性はあります。これに対して、個人のPCで、変な業者に依頼してしまったせいで家族のマイナンバーが仮に漏えいしたとして、委託先をきちんと監督していなかったとして、個人情報保護委員会が個人に対し命令を発出するということは、ちょっと考え難いです。個人情報保護委員会公正取引委員会のようなところですが、個人に公取はなかなか入ってこないので、それをイメージしていただければよいかと思います。ただ、より本質的には、個人情報保護委員会がどうのというよりも、民事で訴えられる可能性があります。「あなたのせいで私のマイナンバーが漏えいしたので、損害を賠償してください」という訴えです。これは大企業だろうが、小さい会社だろうが、個人だろうが、ありえなくはありません。特に扶養家族とトラブっていて、例えば離婚協議中だと、別訴で損害賠償請求をされるということは、ありえなくはありませんが、可能性としてはそんなに高くないかとは思います。まあ、私がその扶養家族だったら、民事訴訟を提起しますが、私以外の個人の方で、ここまでマイナンバーが好きな人もそんなにいないでしょうから、「夫/妻が変な業者を依頼したせいで、マイナンバーが漏えいしたので、訴えよう」と思う人は、そんなにはいないような気もします。これに対して、大会社だと、従業者が訴えてくるという可能性が少し上がる気もしますが、あんまり一般の方は訴訟をしない気もしますね。訴訟より、労使紛争になりそうに感じます。


(5)個人番号関係事務の委託に当たらなければ安泰なわけではない

話が長くなってきましたが、まとめると、委託に当たる場合は、

  • 安全管理措置
  • 再委託の許諾

が必要になるという点に留意する必要があります。

しかし、安全管理措置は個人情報保護法でも義務付けられていたものですので、マイナンバーだからといって特殊なものは、再委託の許諾ということだと考えられます。

そういうと、「じゃあ、個人番号関係事務の委託に当たらないようにすれば、解決するのでは」とお考えになる方が絶対にいらっしゃいます。
私も、今まで、よくこういう相談を受けたりしてきました。

しかし、そういうものではありません。個人番号関係事務の委託に当たらないけれども、マイナンバーの記録されたPCの修理を請け負うという場合、これについても、他人の重要情報を預かる以上、ちゃんとやらなければ法的リスクがあります。

番号法上は、安全管理措置、再委託の許諾は個人番号利用事務等の委託に対してかかっている規制です。
したがって、個人番号利用事務等の委託に当たらなければ、これらはかかりません。つまり、個人が自分のマイナンバーをExcelで記録していたり、通知カードのスキャン画像を保存していたり、又は代理人が本人のマイナンバーをExcelで記録していたとして、それをそのまま修理メーカーが預かっても、個人番号利用事務等の委託には当たらず、修理メーカーは安全管理措置、再委託の許諾を行う必要はなくなります。

しかしです。番号法はクリアできても、マイナンバーは個人情報でもあるので、個人情報保護法上、安全管理措置が義務付けられてしまいます。
さらにいえば、マイナンバーだけ消去してもらっても、ほかに個人データが含まれているPCであれば、個人情報保護法上、安全管理措置が義務付けられてしまいます。
もっといえば、個人データをすべて消去してもらっても、個人データに該当しない重要情報(企業情報等)があれば、万一それを漏えいしたり悪用したりすれば、民事訴訟で訴えられる可能性がありますので、なんら対処をしないでほおっておいてよいというものではありません。

また、「委託」と「代理」の関係は極めて難しいですが、「代理人」に当たれば、「個人番号利用事務等の委託」に該当しない可能性があります。
(例えば、親が子のマイナンバーを管理する場合等)
しかし、それでも、代理人には委任に基づく善管注意義務が発生しますし、修理メーカーが万一マイナンバーに限らず重要情報を漏えいしたり悪用したりすれば、契約に伴う義務と解釈するのと不法行為と解釈するのかはともかく、やはり民事訴訟で責任を問われる可能性があります。

ということで、結局、法的リスクを考えると、「個人番号利用事務等の委託」に該当するかどうかはともかく、それよりも、あらゆる場合に、他人の重要情報を預かる以上、通常求められる配慮・対策を取る必要があると思われます。

したがって、マイナンバーとそれ以外とで大きく違う点というのは、再委託の許諾の有無という点であると思います。


(6)余談

マイナンバーの委託と言うと、「怖い」というイメージを持たれる方もいるかもしれませんが、上記のような感じなのです。

番号法の解説をしてしまうと、ものすごく議論が細かくなってしまうので、こういうように「うんざり」な感じが漂ってしまうかもしれませんので、ビジネスパーソン・個人が抑えるべきなのは、番号法の細かい定義・解釈よりも、常識的に考えて、大事な情報と同じように大切にしようということかと思います。

修理メーカーについていえば、重要な情報が記録されたPCの修理と同様に考える。
個人についていえば、PCには重要な情報が記録されていることがあるので、PCを渡すときは、慎重に相手を選ぶことが重要かと思います。

だから、私から見ると、なんで、マイナンバーが記録されたPCの修理依頼を受け付けないとするのか、よくわかりません。
今までも、PCには重要情報が記録されている可能性があって、それを悪用・盗用・漏えいする危険性はあったはずで、修理メーカーはそういう対策・監督をしてきたはずだと思うのです。
だから、あんまりマイナンバーだマイナンバーだと思うよりも、それ以外の重要情報と同じに考えて、業務を遂行していくべきじゃないかなと思います。

こういう風な「過剰反応」ともとれる対応が、修理の件に限らず、広がっているように感じます。
これを解消するためには、政府として、もっと、マイナンバーの正しいルールを説明して、マイナンバーの委託に当たってもこうなんだよ、ということを説明すべきかと思います。
しかし、そう口でいうのは簡単であり、いざ国の役人になってみると、「これ以上、どうやって広報すればいいんだよ」と思うこともあるようにも思います。

そこで思うのですが、これは政府の広報・周知不足というよりも、政府広報と一般人の受け止め方が違うのが原因のように思うのです。

私が立法作業をしていたときや、ガイドライン作成の準備をしていたときは、「なんでマイナンバーごときで対応しなくちゃいけないんだ!」「いい加減にしろ!」という声が多かったように思います。あとは「マイナンバーをきちんと保護しないと、国民の納得が得られない」という声も多かったように思います。マイナンバーをみだりに扱わないように、番号法で保護を充実させたつもりでしたが、一般の受け止め方としては、「マイナンバーは極めて重要な個人情報!」というように思います。「マイナンバーは怖い」「マイナンバーに変に関わると逮捕の危険が」という感じにもなりかねず、過剰反応も生まれてしまうのではないかと思うのです。

あとは、マイナンバーが増税の布石になるという誤解も多いです。
マイナンバーで脱税・不正是正につながって、増税しなくても国の税収がUPする効果を見込んでいる、ということは、ほとんど国民に伝わっていないように思うのです。
「公正・公正な社会」といういい方がふんわりしているせいなのでしょうか。

そこで、こういった状況を解決するための方策として、今ちょっと思っているのは、「マーケティング手法」の国への導入です。
企業が新商品開発したりする際は、一般モニターの声を聞いたりすると思うのですが、政府広報でもこういうのを使ったらどうかと思います。

政府広報の内容を一般の方に読んでもらって、どう思うか、どう伝わっているかをチェックして、もっと一般人に誤解のない伝え方に改めていくっていうことをやったらどうかなって思います。政府広報の落札って、広告会社がやっていることが多いように思うので、そのノウハウはあるはずじゃないかなって思うところです。

政府だと記者さんに政策を説明する機会が多く、「記者ブリ」「記者レク」「論説懇」などと呼ばれているかと思いますが、それももっとやっていくべきに思うのです。政府広報・政府説明は、記者にすら、意味があまり伝わっていないような気がしないでもありません。記者と一般人が、政府広報・政府説明を読んで、どういう風に感じるのか、どういう点に疑問を感じるのか、どう誤解が生じるのかを、もっと丁寧に追っかけていくべいじゃないかなって思います。

マスコミの誤解といえば、報道(特にTV)を見ていると、マイナンバー=カードというイメージのようにも思いますが、カードは制度のごく一部です。
政府批判、権力監視という意味で、カードの不着問題を取り上げるのは大事だと思いますが、それだけではなく、マイナンバーの効果が本当に上がって、税務事務が効率化するのか、不正が正せたのか、社会保障政策のきめ細かさが実現できるようになったのか、マイナポータルは一般人が使いやすいものなのか、マイナンバー法のルールを激しく解釈するあまり、かえって行政事務が硬直化・非効率化していないか、など、制度そのものの効果・問題点をチェックしていくべきじゃないかなと思います。

その他、こういう一般・記者の受け取り方と政府広報のミスマッチの問題だけじゃなくて、制度の設計(立案)段階と、施行(実現)段階とでは、かなり想定が違ってきて、問題が生じることってあるように思うのです。例えば、マイナンバーカード、これは想定よりも申請数が多かったと思いますが、その理由としては何なのか。私としては、通知カードに申請書が同封されたことと、あとは報道でマイナンバー=カードというような報道が多かったのが理由ではないかと思いますが。それを掘り下げていけば、今後の他の政策にもいかせていけるのではないかと思います。あとは、マイナンバーカードの交付が停滞している原因、これもマニュアルを作成したようですが、こういう最初の想定とのミスマッチの原因と対策を掘り下げていけば、今後の政策がより良くなっていくように思うのです。あとは、マイナンバー法の規制にしても、マイナンバー法の意図にしても、一般人、民間企業、行政機関それぞれ、想定とは違う受け止め方、実務への影響(この修理の件も含めて)があり、その理由は何なのか、どうすればよかったのかというのを考えていくと、他の政策を打ち上げる際の改善につながっていくように思うのです。こういうことは、役所の局長級だと、骨身にしみこんで、その人が仕事をする際に、もうすぐそういう過去の経験とかが反映されているようには思いますけれども、局長級のスキルとしてあっても、局長級だと忙しいから、大きな点しかチェックできない場合も多いように思い、「人」による経験の集積だけじゃなくて、もっと組織的・体系的に、こういうことを検討・活用していったらどうかなと思いました。これこそが政策評価な気もします。なかなか政策評価の様式を作るのも大変だと思いますが、紋切り型の政策評価にとどまらず、実態に即した、活気のある、生き生きとした検討があると、良いなあと思いました。

最後、なんかちょっと蛇足かつ舌足らずになってしまいましたが、こんなに長々と書いておいてなんだという感じではありますが、また講演に出かけなくてはならないので、これで終わりにしたいと思います。

*1:なりすましの危険、そのほか指紋情報に対する感情の問題も

*2:西田典之先生『刑法総論』(弘文堂、2006年)31ページより抜粋させていただくと、「刑罰という制裁は強力であり、劇薬のような副作用(資格制限や犯罪者としての烙印)を伴うものであるから、何を刑法の対象とするかの判断にあたっては、本当に刑罰をもって抑止する必要のある行為かを慎重に判断しなければならない。これを「刑法の謙抑性・補充性」という。すなわち、刑罰とは、人間の規範違反的行為をコントロールするための「最後の手段」なのである。それゆえ、刑法は、重要な法益侵害であっても、そのすべてを刑罰の対象とはしていない。…これを「刑法の断片性」という。」

*3:刑法38条1項。西田典之先生『刑法総論』(弘文堂、2006年)237ページでは、過失犯処罰の明文規定がない場合にも過失犯処罰を肯定してきた姿は、現在の判例上姿を消しており、解釈による対応は罪刑法定主義の観点から許されないとする。山口厚先生『刑法』(有斐閣、2006年)122−123ページでも、同旨の学説の見解。ちなみに、刑法の本は勉強時代のものしか今手元にないので、版が古いです。すみません。

*4:修理メーカーは個人情報取扱事業者、PCに含まれる情報が個人データという前提

*5:個人情報取扱事業者かつ個人データの前提。以下同じ。