人事労務の小ネタ

個人情報の保護

 IT化の進展等に伴い、ネットワークの普及などによって個人情報保護の重要性が一層増してきています。

 平成17年4月より施行された個人情報保護法を受けて、事業者が従業員の雇用管理に関する個人情報を適正に取り扱うための指針が示されています。

 個人情報保護法の対象となる事業者は、その事業で用いる個人情報データベース(コンピューターなどで検索できるもの)で識別される特定の個人の数が5000任を超える者(=個人情報取り扱い事業者)であって、雇用管理に関する個人情報(雇用管理情報)を取り扱う者をいいます。

 一方、対象となる労働者などには、現在事業者に使用されている労働者のほか、採用応募者や退職者も含みます。また、パート・アルバイト・契約社員も対象となります。さらに、派遣労働者の雇用管理情報の取扱いについては、派遣先の事業者にも責任があります。

 対象となる雇用管理情報ですが、これは、企業等が労働者等の雇用管理のために収集、保管、利用等する個人情報のことです。具体例は、以下のものが挙げられます。

【雇用管理情報】

・労働者の氏名、生年月日、連絡先(住所、電話番号、メールアドレスなど)
・病歴
・収入
・家族関係
・ビデオなどの映像、音声情報のうち、特定の労働者等が識別できるもの
・人事考課情報等のうち特定労働者等が識別できるもの          など

事業者が雇用管理情報を扱う際には、1)利用目的の特定、2)本人の同意、3)安全管理措置、4)従業者の監督、5)第三者への提供、6)保有個人データの開示、7)⑦苦情処理がポイントとなってくる。

  1. 利用目的の特定
    労働者本人が、自分の個人情報が利用された結果が合理的に想定できる程度に具体的・個別的に特定します。
     
  2. 本人の同意
    本人に利用目的を通知・公表して、本人から個人情報の取扱いについて(書面・口頭等で)承諾を得ます。
     
  3. 安全管理措置
    雇用管理個人データを取り扱う従業者とその権限を明確にします。
    また、権限を与えられた者のみが、業務遂行上必要な範囲内で取り扱います。
     
  4. 従業者の監督
    雇用管理個人データを取り扱う者は、みだりに第三者へ知らせたり、不当目的で使用してはいけません。
    また、必要な知識・経験を持つ個人データ管理責任者を選任します。
    責務の重要性の認識、個人データ保護措置に関する教育・研修も重要です。
     
  5. 第三者への提供
    提供先での個人データの漏えい・盗用を禁止します。
    提供先における保管期間等は明確にしておきます。
    利用後、個人データの返却・破棄・削除を適切かつ確実にしておきます。
    委託契約の範囲を超える個人データの複写・複製を禁止します。
     
  6. 保有個人データの開示
    保有個人データの開示に関する取扱いについて、労働組合等との協議により決定し、労働者等へ周知します。
     
  7. 苦情処理
    雇用管理情報の取扱いに冠する苦情・相談窓口の設置等体制を整備する。

 個人情報保護法はもちろん法律ですので、違反すると罰則もあります。

  • 命令に違反した者は、六月以下の懲役又は三十万円以下の罰金
  • 報告をせず、又は虚偽の報告をした者は、三十万円以下の罰金

これは、違反行為をした社員だけでなく、企業も処罰の対象となっています。

 また個人情報の流出が事件になった場合には、個人情報取扱事業者か否かにかかわらず、民法上の損害賠償義務が生じます。さらに個人情報保護対策が社会的に不十分な場合には、法令遵守(コンプライアンス)や企業統治ができていない、として信用の低下や風評被害により、売上の激減や上場廃止など企業は大きなダメージを負うことになるでしょう。今後の経営にとって個人情報保護対策は、コンプライアンスの観点からもなくてはならない経営上の重要事項となります。

 個人情報保護対策としては以下のようなものが考えられます。

 まずは、「個人情報保護法」という法律を最低限度守り、従業員への教育、プライバシーポリシーや個人情報取扱規定など社内規程の策定を行うべきです。頻発している個人情報の漏えい事件を見てみると、そのほとんどが内部からの情報流失が原因となっています。定期的に研修や勉強会を開催し、個人情報を取り扱うことの重要さを徹底させ、従業員等による内部からの情報漏えいが起こらないようにすることが重要となってきます。また、就業規則、誓約書、個人情報管理規定、機密保持契約書など各種規定や契約書面の整備も必要です。例えば就業規則の場合、遵守事項(服務規律)や懲戒事由の項目に個人情報の漏えいに関する事項を設けておく必要があります。これらを従業員に周知・徹底し、個人情報保護に努めていかなければなりません。

 さらに高水準の個人情報保護を行うなら、個人情報保護分野でのJIS規格(JISQ15001)に対応する個人情報管理対策を導入することです。

 JIS Q 15001:1999(個人情報保護に関するコンプライアンス・プログラムの要求事項)が、平成18年5月20日(公示は22日)に、JIS Q 15001:2006(個人情報保護マネジメントシステム-要求事項)として改正されました。

 本規格は、事業者における個人情報保護の取組にあたり、第三者認証制度等を通じて活用され、民間部門の個人情報保護の促進と消費者保護について一定の役割を果たしてきましたが、これまでの運用実態を踏まえ、また、平成17年4月に全面施行となった個人情報保護法等との関係を整理するため改正が行われたものです。

 このJISレベルの対策なら社会的に個人情報保護をアピールできる水準の対策であり、プライバシーマークを取得するときにはいつでも対応できる体制が整備されるため、高水準の個人情報保護経営の実現と個人情報保護対策アピールの両方を行うことができ、一石二鳥といえます。

 プライバシーマーク制度は、個人情報の取り扱いを適切に行っている事業者を、第三者機関である(財)日本情報処理開発協会(JIPDEC)及びその指定機関が評価・認定し、その証としてプライバシーマークと称するロゴの使用を許諾する制度で、平成10年4月にスタートしています。個人情報対策済みということをアピールできますので、事業上の信用向上に役立ちます。

 認定個人情報保護団体制度というものもあります。この制度の目的は、事業者による苦情処理の取組を補完し、苦情の自主的な解決を図るため、主務大臣が民間の団体(事業者団体等)を認定することにより、その業務について消費者からの信頼を確保することにあります。
認定個人情報保護団体は、対象事業者の個人情報の取扱いに関する苦情の処理、ガイドライン等の作成・公表、対象事業者への情報提供などの業務を行うことになります。


このテーマは、当研究所コンサルタント・大阪社労士事務所社会保険労務士の指導の下、大学コンソーシアム京都のインターンシップ大学生が記述した内容をベースにしています。著作権には注意を払っていますが、問題となる記載がありましたら、ご連絡ください。また、法的には、必ずしも最新の法令に適合しているとは限っていません。そのため、取扱いには十分ご注意をお願いします。

2014-08-07 (木) 10:36:46
a:1257 t:1 y:0