HOME 実務解説 改正個人情報保護法 すべての事業者が対象となる改正個人情報保護法で求められる対応とは

~中小企業の総務・人事担当者必見!~
すべての事業者が対象となる改正個人情報保護法で
求められる対応とは
 

2017年5月30日に改正個人情報保護法が全面施行され、 1名分でも個人情報を所有している場合には、 法人・個人を問わず「個人情報取扱事業者」となり、 個人情報保護法に則って、安全にかつ適切に個人情報を扱っていくことが求められます。

また、個人情報の定義も明確化され、個人情報の中でも「要配慮個人情報」や「特定個人情報(マイナンバー)」は、取り扱える担当者を明確にし、他の者が扱えないように運用していかねばなりません。

社員の個人情報であっても例外ではありません。それぞれの情報を誰がどのように扱っていけばよいのか、採用、健康診断、退職時等の場面で注意すべきことがあるのか等、 整理をしておくことが大切です。改正個人情報保護法の施行により求められる対応について、人事担当者として知っておくべきことをご案内いたします。

改正のポイントと事業者に課せられる義務

個人情報保護法は、個人の権利・利益の保護と個人情報の有用性とのバランスを図る基本理念のほか、民間事業者の個人情報の取扱いについて規定された法律です。保護するためとして、目的外の利用を制限するとともに、十分なセキュリティを確保することを義務付け、一方、個人情報を有用に利用する場合には、利用目的を対外的に明らかにすることで不適切な利用を排除していくことを目的としています。

2017年5月30日、改正個人情報保護法・番号利用法(改正前は番号法)が全面施行されることとなりました
(≪図1≫≪図2≫参照)。

170301 1-2

 これにより、それまで個人情報保護法の適用とならなかった小規模事業者も従業員を雇用していたり、取引先や顧客の情報を持っていたりすれば、個人・法人、営利・非営利の事業であるかを問わず、「個人情報取扱事業者」として法令等に則って、安全かつ適切に個人情報を取り扱っていくことが求められます。

具体的な改正のポイントは以下のような点です。

1.個人情報保護委員会の新設

  個人情報取扱事業者に対する監督権限を各分野の主務大臣から委員会に一元化

2.個人情報の定義の明確化(具体例は≪図3≫を参照)

  1. 個人情報の定義に身体的特徴等が対象となることを明確化
  2. 要配慮個人情報(本人の人種、信条、病歴など不当な差別または偏見が生じる可能性のある個人情報)の取得については、原則として本人同意を得ることを義務化

3.個人情報の有用性を確保するための整備

  匿名加工情報の利活用の規定を新設

170301 3

4.いわゆる名簿屋対策

  1. ①個人データの第三者提供に係る確認記録作成等を義務化
    ・提供を受ける側の義務・・・提供者の氏名、個人データの取得経緯を確認、その内容の記録作成と一定期間の保存
    ・提供する側の義務・・・提供年月日・提供先の氏名等の記録作成と保存
  2. 個人情報データベース等を不正な利益を図る目的で第三者に提供し、または盗用する行為を「個人情報データベース提供罪」として処罰の対象とする
    →1年以下の懲役または50万円以下の罰金

5.その他

  1. 取り扱う個人情報の数が5,000以下である事業者を規制の対象外とする制度を廃止
  2. 第三者提供を利用目的とする場合で、オプトアウト規定を利用する場合は個人情報保護委員会に届け出ることを義務化、委員会はその内容を公表
  3. 外国にある第三者への個人データの提供の制限、個人情報保護法の国外適用、個人情報保護委員会による外国執行当局への情報提供に係る規定を新設
  4. 認定個人情報保護団体の活用(平成28年1月現在、42団体 個人情報保護委員会HPに掲載)
  5. 開示、訂正、利用停止等について裁判による救済請求の権利があることを明確化

人事・総務部門においては、自社の個人情報の取扱いについて改正法への対応に不十分な点がないかを確認し、不足している部分は早急に対応策を講じていかなければなりません。何も対策を講じないで、万が一個人情報の流失・漏えい事故等が起きてしまったら、会社の社会的信用の失墜にもつながり、事業への影響は計り知れません。

個人情報は資産価値のあるもの、つまり情報資産です。会社として必要があって取得しているものとはいえ、個人から資産を預かっているとの認識を持ち、自社で扱わなければならない個人情報の重要性を全従業員に認識させていくことが大切です。


実務のポイント(1)「要配慮個人情報」と「第三者提供」

【要配慮個人情報の取扱い】

170301 4人事・総務部門が特に注意すべきは、要配慮個人情報と定義された部分の情報の取扱いです。要配慮個人情報は、本人の同意のない取得・第三者提供が禁止され、職業上の特別な必要のある場合や、業務上必要な場合でなければ取得してはならないとされています。

要配慮個人情報の具体例は、≪図4≫の通りです。

 業務上必要な場合とは、障がい者雇用を推進するために採用の際に障がいの有無や状態について聞くというような場合や、従業員が業務に耐えられる健康状態かどうかを確認するために業務に差し支えのある疾病はないか、あるいは治療のための服薬等が必要であればそのために会社が配慮すべきことがあるかの確認のために情報を取得するような場合が該当します。

ただし、健康診断やストレスチェックの結果、医師や保健師による保健指導の結果等の健康情報も要配慮個人情報に該当するため、会社として業務上の配慮をしなければならないことや労働安全衛生法に基づいて結果を保存しておくべきことが含まれています。

実務にあたっては、その情報が取得すべきものかどうかの判断基準を決めておき、採用、入社時、毎年の健康診断やストレスチェックの実施時等の各場面において、利用目的やそれ以外には使わない等の文言を含んだ書式を用意しておくのがよいでしょう。そうしておけば、担当者が替わっても同じような取扱いができます。

また、要配慮個人情報については、アクセスできる担当者を必要最低限にし、紙の情報紙面で取得した情報であれば施錠できる場所に保管し、その鍵は担当者だけが管理します。データで保存しているのであればIDやパスワード等で制限をかけて管理しておきましょう。

 

【第三者提供】

グループ会社でも別個の法人間での個人情報の移動については第三者提供となり、原則として本人同意が必要となります。

特定個人情報(マイナンバーを含む情報)については、行政への届出以外はたとえ本人の同意があったとしても第三者へ提供するのは禁止されています。要配慮個人情報については、法令での定めや、身体・生命・財産等に危害が及ぶような緊急性があり本人同意を得ることが困難な場合でなければ、同意を得ずに第三者提供してはならないこととされています。

第三者提供にあたらないのは、以下のような場合になります。

  • 委  託
    個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部または一部を委託する場合
    例) 税手続きを税理士に、社会保険手続を社会保険労務士に委託する場合
  • 合  併
    事業承継や合併等で個人データが提供される場合
  • 共同利用
    共同利用する者の範囲、利用目的、責任者氏名・名称をあらかじめ本人に通知または知り得る状態において利用する場合

170301 5外国にグループ会社や支店等がある場合の扱いについては、今回の改正内容に触れることになります。従業員の個人情報についても、≪図5≫を参考に運用のルールやデータの収受方法等について現在の取扱い方法のままでよいのかどうか見直しておきましょう。

 

実務のポイント(2)「ルール作り」と「社員研修」

【個人情報取扱い事務のルール作り】

170301 6個人情報の取扱い事務は次のように整理できます
(≪図6≫を参照)。

  1. 利用目的を通知し、業務上必要な範囲で従業員や取引先・顧客より個人情報を取得する
  2. 安全に管理し保管する
  3. 利用目的の範囲内で利用する(目的外の利用ではないかを確認する)
  4. 第三者提供をする場合には、原則として本人同意を得るようにする
  5. 利用目的を達成後、速やかに廃棄・削除する(法令等で保管期限があるものは退職時に廃棄・削除しないよう期限に注意する)
  6. 本人から会社が保管する個人情報について開示請求等があった場合は対応する

170301 71~6の各段階で漏えい等の事故が起きないよう、担当者や運用方法を明確にし、取扱いの記録が分かるようにしておくとともにガイドラインに則って安全管理措置を講じておきましょう(基本方針、取扱いをルール化した規程の作成、書式等を準備しておく)

また、新たに明確にされた個人情報の定義によって少しずつ扱いが異なる部分を整理すると、≪図7≫のようになります。

従業員の個人情報・厳格な管理が必要な要配慮個人情報や特定個人情報を取り扱う人事・総務部門として、誰が、どのように、どの情報を扱うのか、また扱ってはいけないのかを採用、入社、健康診断等の実務の場面まで落とし込むとともに、適切な保管方法についても検討しておきましょう。

 

【社員研修】

どれだけ堅固なセキュリティを備えた情報管理システムを構築しても、情報漏えい等の事故を100%防ぐことは困難です。セキュリティを強化したとしても、漏えい事故の大部分は人的なミスによって起こっているのだということに注意しなければなりません。さらに、インターネットを介して瞬時に世界とつながることが可能な社会となった今、漏えいした情報はあっという間に拡散されかねないということもよく理解しておきましょう。

パソコンやスマートフォン、携帯電話、タブレット等に登録されている名簿やアドレス帳はすべて個人情報データベースとなり、会社の個人情報資産が含まれています。私用のスマートフォンに取引先や会社の他の従業員の情報(私的に個人間で収受したもの以外)を登録していたことにより、そこから個人情報が流出するというようなことも考えられます。

また、業務用の持ち運びできるパソコンやタブレット、スマートフォンを使い、外出先で業務上のメールやグループウェア等を閲覧したり、作業をしたりということについても、自社でどのようなルールで運用するのかを明確にし、少なくとも年に1度は定期的に研修や利用状況の確認を行い、その記録を残していきましょう。

ルール化したことは曖昧にせず、きちんと運用していくことが重要です。個人情報の漏えいとなれば、メディアで大きく取り上げられたり「炎上」したりということにつながります。

大切なことは、法令やガイドラインにない部分の「プライバシー権」に配慮することです。たとえ従業員の情報でも業務上必要のない、例えば他部署の同僚の個人情報を誰もが見られるというような管理方法については、今後は見直しが必要となってきます。

社員のプライベートな情報を管理すべき部署と担当者とを明確にし、利用目的外での私用な利用については、懲戒処分について就業規則等に定め、適切に情報を取り扱うよう指導していきましょう。