マイナンバー法における「収集」とは

マイナンバー収集には様々な方法・用途がありますが、そもそもマイナンバー法ではどういった行為が「収集」に該当するのでしょうか。 マイナンバー法（特定個人情報の適正な取扱いに関するガイドライン）では「集める意思を持って自己の占有に置くこと」と定義されています。

特定個人情報の適正な取扱いに関するガイドライン（事業者編）
https://www.ppc.go.jp/legal/policy/

収集に該当する行為

マイナンバーの「収集」に該当する行為として具体的な事例を紹介します。

・マイナンバーカード（通知カード）の提示を求めてコピーを取ること
・マイナンバーを聞き出してメモを取る、またはそのメモした紙を受け取ること
・PC画面やスマートデバイスなどに表示されたマイナンバーのメモを取る、またはそのメモを印刷すること

マイナンバーカード（通知カード）の提示を求めて、マイナンバーを見ただけでは「収集」には該当しません。 つまり、マイナンバーを集める意思をもってメモや印刷などに残すことで「収集」になるわけです。

マイナンバー収集時に起こり得る主な違法行為

マイナンバーを収集する際に起こり得る違法行為について、デジタル庁の資料を元に紹介します。

マイナンバー制度における罰則の強化 （令和4年5月25日現在）
https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/fb0b3edb-47c6-4eed-abeb-f161194a703f/6cc5f451/20220802_policies_posts_mynumber_security_01.pdf

特定の公務員が対象になるケース

特定の公務員の場合、以下のようなケースが違反対象になります。

転載
“情報提供ネットワークシステムの事務に従事する者や従事していた者が、情報連携や情報提供ネットワークシステムの業務に関して知り得た秘密を漏らし、または盗用 国、地方公共団体、地方公共団体情報システム機構などの役職員が、職権を濫用して特定個人情報が記録された文書等を収集“

マイナンバー（個人番号）の取扱者が対象になるケース

マイナンバー（個人番号）の取扱者の場合、以下のようなケースが違反対象になります。

転載
“個人番号利用事務、個人番号関係事務などに従事する者や従事していた者が、正当な理由なく、業務で取り扱う個人の秘密が記録された特定個人情報ファイルを提供 個人番号利用事務、個人番号関係事務などに従事する者や従事していた者が、業務に関して知り得たマイナンバーを自己や第三者の不正な利益を図る目的で提供し、または盗用“

誰でも対象になるケース

誰でも違反対象になるのは以下のようなケースです。

転載
“人を欺き、人に暴行を加え、人を脅迫し、又は、財物の窃取、施設への侵入、不正アクセス行為等によりマイナンバーを取得

個人情報保護委員会から命令を受けた者が、個人情報保護委員会の命令に違反
個人情報保護委員会による検査等に際し、虚偽の報告、虚偽の資料提出をする、検査拒否等 偽りその他不正の手段によりマイナンバーカードを取得“

マイナンバー収集に違反した場合の罰則

マイナンバー収集に違反した場合の罰則規定は「行政手続における特定の個人を識別するための番号の利用等に関する法律」で定められています。正しく理解し、無用な罰則を受けないように留意する必要があります。 　

行政手続における特定の個人を識別するための番号の利用等に関する法律 　
 https://elaws.e-gov.go.jp/document?lawid=425AC0000000027

情報漏えいした場合

マイナンバーの情報漏えいをした場合、業務に携わっていた者だけでなく管理者・事業者にも罰則が科せられる「両罰規定」となるケースがあります。

・両罰規定とは
“法人に所属する役員や従業員らが、法人の業務に関連して違法な行為をした場合、個人だけでなく、法人も併せて罰せられる規定”

両罰規定｜きょうのことばセレクション　
詳細｜経済ナレッジバンク｜日経をヨクヨムためのナビサイト - nikkei4946.com
https://www.nikkei4946.com/knowledgebank/selection/detail.aspx?value=1478

・罰則内容 “4年以下の懲役or200万円以下の罰金（併科されることあり） （第48条）”
同じケースでも個人情報保護法の場合は「2年以下の懲役or100万円以下の罰金（第176条）」と規定されているので、マイナンバー法の罰則はそれよりも厳しいということになります。

個人情報保護委員会の勧告に従わなかった場合

虚偽の報告・書類の提出により、特定個人情報保護委員会から答弁・検査を要求された際に虚偽の答弁をしたり検査を拒んだりした場合も、罰則を受けることになります。

・罰則内容 “1年以下の懲役or50万円以下の罰金（第54条）”

マイナンバーを不正取得した場合

マイナンバーを不正取得し第三者へ提供する、もしくは適正な利用目的以外のマイナンバー保管も罰則対象となります。

マイナンバー収集で注意すべき3つのポイント

マイナンバー法の理解不足により起こり得るリスクは甚大です。リスクに対応できる体制を取って備えることが重要となります。 ここでは、マイナンバー収集において特に注意すべきポイントを紹介します。

1. 従業員の教育・監督

マイナンバー法に抵触しないために従業員への教育を徹底しましょう。マイナンバーを取扱う部署の者だけでなく、他の部署や下請けに依頼する場合は、その担当者に対しても教育を行うのが望ましいといえます。

また、万が一マイナンバーの保管・管理にトラブルがあった場合に備えて、事務責任者・事務取扱担当者を設置しましょう。責任の所在を明らかにすることで、情報漏えいなどが発生した際に滞りなく報告・連絡体制を確立できます。

2. セキュリティ対策

マイナンバーを管理するシステムにおいて、ネットワークセキュリティ対策は必要不可欠です。以下の点に注意して管理できるシステムを検討しましょう。

・ユーザーIDやパスワードによる担当者の識別・認証
・アクセス制御
・ファイアウォールの設置・セキュリティ対策ソフトなどによる外部からの不正アクセス防止

適切な安全管理措置を取っていることで、マイナンバー法違反の罰則対象から外れるケースもあります。

3. マイナンバーの保管・管理

特定個人情報（マイナンバーを含む個人情報）は法律で定められた条件・期間のみ保管し、定められた保管期間を過ぎた場合は速やかに廃棄、または削除することが求められます。

その際に、廃棄が復元不可能な方法によるものであることも、情報漏えいを防ぐために重要なポイントです。 マイナンバー収集前から廃棄・削除を前提として保管・管理の仕組みを準備しておきましょう。

まとめ：マイナンバー収集は違法とならないように注意して行おう

マイナンバー収集で違法にならないためには、様々な注意や準備が必要です。効率的に準備を進める上では、収集の専門サービスなどを活用し安全に収集できる体制を整えるとよいでしょう。

「証明書類Web取得サービス」では、Web上でマイナンバーを含む本人確認書類の収集を行い、取得した書類はデータ・紙・CDなどご要望にあわせて還元可能です。 また、クレジットカード業界における国際セキュリティ基準「PCIDSS※」と準拠同等のシステム環境で、情報を安全な環境で預かり、情報漏洩を防止できます。
※PCIDSS(Payment Card Industry Data Security Standard) クレジットカード会社の加盟店・決済代行事業者が取り扱うカード会員のクレジットカード情報・取引情報を安全に守るために、JCB・American Express・Discover・MasterCard・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準。