雇用管理に関する個人情報の適正な取扱いを確保
するために事業者が講ずべき措置に関する指針
(解説)
平成17年3月
厚生労働省政策統括官付
労働政策担当参事官室
※ 平成24年5月14日付け厚生労働省告示第357号により、「雇用管理分野における個人情報保護に関するガイドライン」に改正された(平成24年7月1日から適用)ことを受け、以下の事例集に再編されました。
「雇用管理分野における個人情報保護に関するガイドライン(事例集)」 [275KB]
雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措
置に関する指針(解説)
目次
はじめに
[参考]
はじめに
○ |
当解説は、雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針(平成16年7月1日厚生労働省告示第259号。以下「指針」という。)の適正かつ円滑な運用を図るため、雇用管理に関する個人情報について、事業者による適正な取扱いの確保に関して行う活動を支援するための具体的な手引きとして取りまとめたものである。
|
○ |
当解説は、指針の逐条解説と巻末の[参考]からなる。巻末の[参考]は、個人情報の保護に関する法律(平成15年法律第57号)、個人情報の保護に関する法律施行令(平成15年政令第507号)及び指針全てを通じ、雇用管理に関する個人情報保護について重要と考えられる点のうちの幾つかの点等をトピックとして取り上げたものである。
|
○ |
当解説中、「しなければならない」と記載している部分については、それに従わなかった場合は、厚生労働大臣により、法の規定違反と判断され、法第34条に規定されている勧告、命令及び緊急命令について、厚生労働大臣及び各事業所管大臣が連携して手続を行う。一方、「求められる」と記載している部分については、それに従わなかった場合に、法の規定違反と判断されるものではないが、雇用管理に関する個人情報保護の推進の観点から、取り組むことが強く望まれるものである。
|
○ |
当解説中、事例として記載している部分は典型的な例を示すものであり、法令を遵守していると解される例についても、実際には、各事業者の置かれた状況及び対象とする労働者等の範囲等に留意しつつ、個別事案ごとに検討が必要となる。 |
第 |
一 趣旨
この指針は、個人情報の保護に関する法律(以下「法」という。)に定める事項に関し、雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置について、その適切かつ有効な実施を図るために必要な事項を定めたものである。
なお、雇用管理に関する個人情報については、本指針によるほか、当該個人情報取扱事業者が行う事業を所管する大臣等が策定した指針その他の必要な措置に留意するものとする。 |
|
【関連条文】
法 |
第一条
この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
|
法 |
第三条
個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。
|
法 |
第八条
国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする。
|
法 |
第三十四条
主務大臣は、個人情報取扱事業者が第十六条から第十八条まで、第二十条から第二十七条まで又は第三十条第二項の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。 |
2 |
主務大臣は、前項の規定による勧告を受けた個人情報取扱事業者が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者に対し、その勧告に係る措置をとるべきことを命ずることができる。 |
3 |
主務大臣は、前二項の規定にかかわらず、個人情報取扱事業者が第十六条、第十七条、第二十条から第二十二条まで又は第二十三条第一項の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。
|
法 |
第三十六条
この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の規定の円滑な実施のため必要があると認める場合は、個人情報取扱事業者が行う個人情報の取扱いのうち特定のものについて、特定の大臣又は国家公安委員会(以下「大臣等」という。)を主務大臣に指定することができる。
一 |
個人情報取扱事業者が行う個人情報の取扱いのうち雇用管理に関するものについては、厚生労働大臣(船員の雇用管理に関するものについては、国土交通大臣)及び当該個人情報取扱事業者が行う事業を所管する大臣等 |
二 |
個人情報取扱事業者が行う個人情報の取扱いのうち前号に掲げるもの以外のものについては、当該個人情報取扱事業者が行う事業を所管する大臣等 |
|
2 |
内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければならない。 |
3 |
各主務大臣は、この節の規定の施行に当たっては、相互に緊密に連絡し、及び協力しなければならない。 |
|
【解説】
○ |
個人情報の保護に関しては、高度情報通信社会の進展に伴い、個人情報の利用が著しく拡大しており、さらに、昨今においては情報の漏えい事件等の発生も多発している。こうした中で、個人情報の有用性に配慮しつつ、個人の権利利益を保護するために、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)が平成15年5月に制定されたところである。
|
○ |
また、法第36条において、個人情報の中でも雇用管理に関するものについては、厚生労働大臣及び事業所管大臣が主務大臣となっている。当指針は、厚生労働大臣が法第8条の規定に基づき、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針として、各事業に通則的な事項をとりまとめたものである。
法第34条に規定されている勧告、命令及び緊急命令については、厚生労働大臣及び各事業所管大臣が連携して手続を行う。
法第34条第2項又は第3項の規定による命令に違反した者は、法第56条に基づき、6月以下の懲役又は30万円以下の罰金が科される。
|
○ |
なお、各事業所管省庁が各事業における特殊性を踏まえた指針等を策定した場合には、各事業者等においては、当指針のほか、それらの指針等に沿った取扱いが必要となることについても留意する必要がある。 |
第 |
二 用語の定義
法第二条に定めるもののほか、この指針において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
一 |
事業者 法第二条第三項に規定する個人情報取扱事業者のうち雇用管理に関する個人情報を取り扱う者をいう(第四に規定する場合を除く。)。 |
二 |
労働者等 前号に規定する事業者に使用されている労働者、前号に規定する事業者に使用される労働者になろうとする者及びなろうとした者並びに過去において事業者に使用されていた者をいう。 |
|
|
【関連条文】
法 |
第二条第三項
この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一 |
国の機関 |
二 |
地方公共団体 |
三 |
独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二条第一項に規定する独立行政法人等をいう。以下同じ。) |
四 |
その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者 |
|
政 |
令第二条
法第二条第三項第四号の政令で定める者は、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数(当該個人情報データベース等の全部又は一部が他人の作成に係る個人情報データベース等で個人情報として氏名又は住所若しくは居所(地図上又は電子計算機の映像面上において住所又は居所の所在の場所を示す表示を含む。)若しくは電話番号のみが含まれる場合であって、これを編集し、又は加工することなくその事業の用に供するときは、当該個人情報データベース等の全部又は一部を構成する個人情報によって識別される特定の個人の数を除く。)の合計が過去六月以内のいずれの日においても五千を超えない者とする。 |
|
【解説】
○ |
当指針においては、法第2条に定めるもの(個人情報、個人情報データベース等、個人情報取扱事業者、個人データ、保有個人データ及び本人)のほか、「事業者」及び「労働者等」の定義をそれぞれ定めている。
|
○ |
「事業者」について
「事業者」とは、法第2条第3項に規定する個人情報取扱事業者のうち雇用管理に関する個人情報を取り扱う者をいう。ここでの「個人情報取扱事業者」及び「雇用管理に関する個人情報」の内容は次のとおりである。 |
(1) |
「個人情報取扱事業者」とは、国の機関、地方公共団体、独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)で定める独立行政法人等や、その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ない者(*1)を除いた、個人情報データベース等(*2)を事業の用に供している者(*3)をいう。
また、個人情報取扱事業者は法人格の有無を問わないことから、権利能力なき社団(任意団体)や個人であっても個人情報取扱事業者に該当し得る。
(*1) |
「取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ない者」とは、個人情報の保護に関する法律施行令(平成15年政令第507号。以下「政令」という。)第2条により、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数(*4)の合計が過去6ヶ月以内のいずれの日においても5000人を超えない者とされている。
5000人を超えるか否かは、当該事業者の管理するすべての個人情報データベース等を構成する個人情報によって識別される特定の個人の数の総和により判断する。ただし、同一個人の重複分は除くものとする。なお、「個人情報」には、顧客情報、従業員情報等が含まれる。
|
(*2) |
「個人情報データベース等」とは、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合物及びコンピュータを用いていない場合において、カルテ等、紙面で処理した個人情報を一定の規則(例えば、五十音順、年月日順等)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものをいう。 |
【「個人情報データベース等」に該当する事例】
1) |
人事労務管理用、顧客管理用のデータベース |
2) |
電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合) |
3) |
従業員が、入手した名刺の情報を業務用パソコン(所有者を問わない。)の表計算ソフト等を用いて入力・整理し、他の従業員等によっても検索できる状態にしている場合 |
4) |
従業員情報を、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合 |
5) |
氏名、住所、企業別に分類整理されている市販の人名録や、電話会社から提供された電話帳 |
【「個人情報データベース等」に該当しない事例】
1) |
従業員が、自己の名刺入れについて他人が自由に検索できる状態に置いていても、他人には容易に検索できない独自の分類方法により名刺を分類した状態である場合 |
2) |
従業員に対するアンケート(回収分)で、氏名、住所等で分類整理されていない状態である場合 |
(*3) |
「事業」とは、一定の目的を持って反復継続して遂行される同種の行為であって、かつ一般社会通念上事業と認められるものをいい、あらゆる業種が該当し、また、営利事業のみを対象とするものではない。
「事業の用に供する」とは、事業のために個人情報データベース等を利用することであり、その具体的な利用目的・方法を問わない。具体的には、データベース事業のように個人情報データベース等を作成、加工、分析、提供すること自体を事業としている場合はもとより、事業を実施する上で、顧客や配送先等の管理に用いる場合、従業員等の雇用管理のように内部でのみ用いる場合等を広く含む。
|
(*4) |
個人情報データベース等が、次の要件のすべてに該当する場合は、その個人情報データベース等を構成する個人情報によって識別される特定の個人の数は、政令第2条により、「特定の個人の数」に算入しないこととされている。
(1) |
個人情報データベース等の全部又は一部が他人の作成によるものである。 |
(2) |
その個人情報データベース等を構成する個人情報として氏名又は住所(居所を含み、地図上又はコンピュータの映像面上において住所又は居所の所在場所を示す表示を含む。)若しくは電話番号のみを含む。 |
(3) |
その個人情報データベース等を事業の用に供するに当たり、新たに個人情報を加え、識別される特定の個人を増やしたり、他の個人情報を付加したりして、個人情報データベース等そのものを変更するようなことをしていない。 |
|
【「特定の個人の数」に算入する事例】
1) |
自社において常時更新して使用する人事労務管理用、顧客管理用のデータベースを構成する個人情報によって識別される特定の個人の数(理由:(*4)の(1)〜(3)のうち少なくとも(3)に該当しないため) |
2) |
電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)を構成する個人情報によって識別される特定の個人の数(理由:(*4)の(1)〜(3)のうち少なくとも(2) に該当しないため) |
3) |
従業員が、入手した名刺の情報(所属・肩書含む)を業務用パソコン(所有者を問わない。)の表計算ソフト等を用いて、自らが入力・整理し、他の従業員等によっても検索できる状態にしている場合において、それらを構成する個人情報によって識別される特定の個人の数(理由:(*4)の(1)〜(3)のうち少なくとも(1)、(2)に該当しないため) |
4) |
人事考課情報等を含む従業員情報を、会社自らが氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合において、それらを構成する個人情報によって識別される特定の個人の数(理由:上記のうち少なくとも(1)、(2)に該当しないため) |
【「特定の個人の数」に算入しない事例】
1) |
電話会社から提供された又は市販の電話帳を購入してそのまま利用する場合における、当該電話帳を構成する個人情報によって識別される特定の個人の数(理由:上記(1)、(2)、(3)すべてに該当するため) |
2) |
運送業において、顧客から託された封印済みの宅急便用荷物の中に、個人
情報が含まれた文書が入っているが、その存在について知らず、かつ業務上利用しない場合(理由:事業の用に供しないため算入しない) |
|
(2) |
「雇用管理に関する個人情報(以下「雇用管理情報」という。)」とは、企業等が労働者等の雇用管理のために収集、保管、利用等する個人情報をいい、その限りにおいて労働者個人に関するすべての情報が該当するものであり、病歴、収入、家族関係のような、機微にふれる情報や本人以外についての情報も含む。また、「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものをいう。生存する個人には、外国人も含む。個人情報の典型例は、氏名、性別、生年月日等であるが、個人の身体、財産、社会的地位、身分等の属性に関する情報であっても、氏名等と一体となって特定の個人を識別できるのであれば「個人情報」に該当し、映像や音声による情報も含む。また、それだけでは特定の個人を識別できなくても、他の情報と容易に照合することができ、それにより識別が可能となる場合も「個人情報」に該当する。なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となる。
【「雇用管理に関する個人情報」に該当する事例】
1) |
労働者等の氏名 |
2) |
生年月日、連絡先(住所、居所、電話番号、メールアドレス等)、会社における職位又は所属に関する情報について、それらと労働者等の氏名を組み合わせた情報 |
3) |
ビデオ等に記録された映像・音声情報のうち特定の労働者等が識別できるもの |
4) |
特定の労働者等を識別できるメールアドレス情報(氏名及び所属する組織が併せて識別できるメールアドレス等) |
5) |
特定の労働者等を識別できる情報が記述されていなくても、周知の情報を補って認識することにより特定の労働者等を識別できる情報
(注:「周知の情報」の具体的内容は個別の事案ごとに判断することとなるが、原則として、特段の調査をすることなく、世間一般の不特定多数の者が知っている情報を指すものである。) |
6) |
人事考課情報等の雇用管理に関する情報のうち、特定の労働者等を識別できる情報 |
7) |
職員録等で公にされている情報(労働者等の氏名等) |
8) |
労働者等の家族関係に関する情報及びその家族についての個人情報 |
【「雇用管理に関する個人情報」に該当しない事例】
1) |
顧客情報、株主情報 |
2) |
法人等の団体そのものに関する情報(団体情報) |
3) |
特定の労働者等を識別できないメールアドレス情報(氏名及び所属する組織等が特定できないメールアドレス等。ただし、他の情報と容易に照合することによって特定の労働者等を識別できる場合を除く。) |
4) |
特定の労働者等を識別することができない統計情報 |
|
(1) |
「労働者」とは、生存している個人であって、労働基準法第9条に規定する「労働者」の場合と同様、職業の種類を問わず事業又は事業所に使用される者で、賃金が支払われる者をいう。これらの条件を満たすのであれば、正社員のみならず、パート・アルバイトや契約社員についても「労働者」に該当する。
|
(2) |
「役員」と称されている者であっても、実態をみると事業所に使用され、賃金が支払われていると認められる場合には、「労働者」に該当する。専ら経営判断を行い、自らは他人から指図されないような「役員」は、ここでいう「労働者」には当たらない。
|
(3) |
「労働者等」の「等」には、「事業者」に使用される労働者になろうとする者及びなろうとした者(現在及び過去における採用応募者、会社説明会の参加者)や、退職者が含まれる。事業者は、現に雇われている者のみならず、採用応募者や退職者の個人情報についても、適正な取扱いを図らなければならない。
|
(4) |
派遣先の事業者については、派遣労働者は、派遣先の事業者との間で指揮命令関係があり、「事業者に使用されている労働者」であることから、「労働者等」に該当する。事業者は、自社内で就労する派遣労働者についても、当指針に基づき雇用管理に関する個人情報に関して適正な取扱いを図らなければならない。
|
(5) |
派遣元事業主については、その雇用する派遣労働者(いわゆる登録型の派遣労働者を含む。)の個人情報保護のため、当指針の規定を遵守しなければならないことはもちろんであるが、当指針のほか、労働者派遣に係る事業の適正な運営を確保する等の見地から、労働者派遣事業の適正な運営の確保及び派遣労働者の就業条件の整備等に関する法律(昭和60年法律第88号)に基づいて定められている「派遣元事業主が講ずべき措置に関する指針(平成11年労働省告示第137号)」についても遵守する必要があるので留意されたい。
|
(6) |
請負契約による請負人は、当該業務を自己の業務として注文主から独立して処理するものであり、「事業者に使用されている労働者」であるとはいえない。したがって、請負契約に基づき請負人が就労している現場の事業者について、請負人は当指針で規定する「労働者等」には該当しない。
|
(7) |
インターンシップに参加する学生については、各事業所における活動の実態に即して判断する必要があるが、一般的には上記(1)でいう「労働者」には該当し難く、これらの情報を雇用管理情報と捉えることが困難なケースが多いと考えられる。しかしながら、インターンシップに際し学生から入手する情報には、雇用管理情報と同様、機微にふれる情報が含まれる可能性があることにかんがみ、法に基づいた適切な対策を講じることはもちろんのこと、当指針第三(11〜31ページ参照)に準じて、その個人情報の適正な取扱いを確保することが求められる。 |
第三 |
事業者が講ずべき措置の適切かつ有効な実施を図るための指針となるべき事項 |
一 |
法第十五条に規定する利用目的の特定に関する事項
事業者は利用目的の特定に当たっては、単に抽象的、一般的に特定するのではなく、労働者等本人が、取得された当該本人の個人情報が利用された結果が合理的に想定できる程度に、具体的、個別的に特定すること。 |
|
【関連条文】
法 |
第十五条第一項
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。 |
|
【解説】
○ |
法は、個人情報の適正な取扱いを実現する手法として、利用目的の特定について規定している。事業者が収集する個人情報の内容を制限するのではなく、この個人情報はこのような「目的」のために使う、といった形で、「目的」を特定することを通じて、個人情報の適正な取扱いを実現することを企図している。
|
○ |
法第15条第1項により、個人情報取扱事業者は、利用の目的をできる限り特定しなければならない。当指針においては特定の程度について、「単に抽象的、一般的に特定するのではなく、労働者等本人が、取得された当該本人の個人情報が利用された結果が合理的に想定できる程度に、具体的、個別的に特定すること」としている。
|
○ |
利用目的をどの程度「具体的、個別的に特定」する必要があるかについては、個々具体的な利用目的を詳細に羅列するまでの必要はないものの、抽象的であっても個々の取扱いが利用目的の達成に必要な範囲内か否かを実際に判断できる程度に明確にしなければならない。すなわち、利用目的の達成に必要な範囲内か否かをめぐって、個人情報取扱事業者と本人との間で争いが生じることのない程度に明確にしなければならず、こうした争いの発生を未然に防止するためには、当指針第三の九の規定(31ページ参照)により、あらかじめ労働組合等に通知し、必要に応じて協議を行うことが望ましい。
|
○ |
「労働組合等」とは、労働者の過半数で組織する労働組合があるときはその労働組合を、労働者の過半数で組織する労働組合がないときは労働者の過半数を代表する者を意味する。
|
○ |
利用目的の特定にあたり、法においては、個人情報の項目ごとに利用目的を特定することまで、個人情報取扱事業者の責務としているものではない。しかしながら、雇用管理情報については、病歴、収入、家族関係のような機微にふれる情報を含むので、より慎重な取扱いが望まれる。加えて、個人情報の項目毎に、利用目的が異なることも想定される。したがって、雇用管理情報については、できる限り個人情報の項目毎に利用目的を特定することが望ましい。
(ただし、利用目的をみればどのような情報を取り扱っているか推定され得ると考えられる場合には、個人情報の項目を掲げないことも想定されるところである。)
|
○ |
なお、あらかじめ個人情報を第三者に提供することを想定している場合には、利用目的において、その旨特定しなければならない。
|
○ |
また、労働者の募集を行う者については、職業安定法(昭和22年法律第141号)に基づいて定められている「職業紹介事業者、労働者の募集を行う者、募集受託者、労働者供給事業者等が均等待遇、労働条件等の明示、求職者等の個人情報の取扱い、職業紹介事業者の責務、募集内容の的確な表示等に関して適切に対処するための指針」(平成11年労働省告示第141号。以下「職業安定法指針」という。)において、その業務の目的の範囲内で募集に応じて労働者になろうとする者の個人情報を収集し、原則としてその収集目的の範囲内で当該個人情報を保管又は使用することとされていることに留意されたい。 |
【利用目的を具体的、個別的に特定している事例】
1) |
「人事労務管理に関わる諸手続(年金・労働保険等)を行う際に、当社人事課職員がその目的の限りにおいて使用いたします。」 |
2) |
「雇用契約の締結の際にご記入いただいたご家族等の氏名、住所、電話番号は、法令に基づく各種手続のほか、社内規定に基づく各種手当の支給及びご本人に万一のことがあった際の緊急連絡先としてのみ使用させていただきます。」 |
3) |
「弊社に勤務することが決定した満18歳未満の方により弊社人事担当あてご提出いただく予定の本人の年齢を証明する住民票記載事項の証明書につきましては、労働基準法第57条第1項を遵守する目的の限りにおいて利用させていただきます。」 |
4) |
「当適性検査の結果は、今後、社内における人員配置を検討する際の資料としてのみ利用させていただきます。」 |
【利用目的の特定が不十分である事例】
1) |
「当社の事業活動に必要であるため」 |
2) |
「従業員情報を幅広に把握しておくため」 |
第三 |
事業者が講ずべき措置の適切かつ有効な実施を図るための指針となるべき事項 |
二 |
法第十六条及び法第二十三条第一項に規定する本人の同意に関する事項
事業者が労働者等本人の同意を得るに当たっては、当該本人に当該個人情報の利用目的を通知し、又は公表した上で、当該本人が口頭、書面等により当該個人情報の取扱いについて承諾する意思表示を行うことが望ましいこと。 |
|
【関連条文】
法 |
第十六条
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。 |
2 |
個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。 |
3 |
前二項の規定は、次に掲げる場合については、適用しない。
一 |
法令に基づく場合 |
二 |
人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 |
三 |
公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。 |
四 |
国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。 |
|
法 |
第二十三条第一項
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 |
法令に基づく場合 |
二 |
人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 |
三 |
公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。 |
四 |
国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。 |
|
|
【解説】
○ |
法は、個人情報の適正な取扱いを実現するための手法として、利用目的の特定について規定するとともに、本人の事前の同意なく、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことを原則禁止し、また、本人の事前の同意なしに個人データを第三者に提供することについても原則禁止している。
|
○ |
雇用管理情報については、病歴、収入、家族関係のような機微にふれる情報を含むことにかんがみ、当指針においては、「当該本人に当該個人情報の利用目的を通知し、又は公表した上で、当該本人が口頭、書面等により当該個人情報の取扱いについて承諾する意思表示を行うことが望ましい」とし、事業者が労働者等本人の同意を得るに際しての具体的な留意点を規定している。
|
○ |
「本人に通知」とは、本人に直接知らしめることをいい、個人情報の取扱状況等に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならない。 |
【「本人に通知」に該当する事例】
次の例を参考に、状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならない。
1) |
面談において、口頭で伝達し又はちらし等の文書を渡すこと |
2) |
当該本人であることを確認できていることを前提として、電話により口頭で知らせること |
3) |
退職者等で遠隔地に在住する者に対して、文書を郵便等で送付すること、又は電子メール、FAX等のうち本人が常時使用する媒体により送信すること |
【「本人への通知」に該当しない事例】
1) |
当該本人であることを確認できていない状況下において、電話により口頭で知らせること |
2) |
現住所が正確に把握できていない者に対し、文書を郵便等で送付し、無事届いたか否かにつき事後的な確認及び必要な対応を行わないこと |
3) |
電子メールを常時使用する者でない者に対し、電子メールを送信すること |
○ |
「公表」とは、広く一般に自己の意思を知らせることをいうが、公表に当たっては、個人情報の取扱状況等に応じ、合理的かつ適切な方法によらなければならない。
雇用管理情報については、病歴、収入、家族関係のような機微にふれる情報を含むことにかんがみ、個人情報の利用目的の公表に当たっても、当該事業者の置かれた状況に応じ、労働者等に内容が確実に伝わるような媒体を選ぶ等の配慮を行わなければならない。 |
【「公表」に該当する事例】
次の例を参考に、状況に応じ、労働者等に内容が確実に伝わるような媒体を選ぶ等の配慮を行わなければならない。
1) |
会社のホームページのうちアクセスが容易な場所への掲載 |
2) |
従業員に対する回覧板への現従業員に係る雇用管理情報の利用目的の掲載 |
3) |
パンフレット、社内報等の配布 |
4) |
従業員が定期的に見ると想定される事業所内の掲示板への掲示 |
○ |
「本人の同意を得(る)」とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、個人情報の取扱状況等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。
雇用管理情報については、病歴、収入、家族関係のような機微にふれる情報を含むことにかんがみ、本人の同意を得るに当たっては、特に十分な対応が求められる。 |
【「本人の同意を得(る)」に該当する事例】
当該本人に当該個人情報の利用目的を通知し、又は公表したことを前提とした場合、次のとおりである。
1) |
同意する旨を本人から口頭、書面等で確認すること |
2) |
本人が署名又は記名押印した同意する旨の申込書等文書を受領し確認すること |
3) |
本人からの同意する旨のメールを受信すること |
4) |
本人によるホームページ上の確認欄ボタンへの同意する旨のクリック |
5) |
本人による同意する旨の音声入力 |
第三 |
事業者が講ずべき措置の適切かつ有効な実施を図るための指針となるべき事項 |
三 |
法第二十条に規定する安全管理措置及び法第二十一条に規定する従業者の監督に関する事項
事業者は、雇用管理に関する個人データの安全管理のために次に掲げる措置を講ずるように努めるものとすること。 |
(一) |
雇用管理に関する個人データを取り扱う従業者及びその権限を明確にした上で、その業務を行わせること。 |
(二) |
雇用管理に関する個人データは、その取扱いについての権限を与えられた者のみが業務の遂行上必要な限りにおいて取り扱うこと。 |
(三) |
雇用管理に関する個人データを取り扱う者は、業務上知り得た個人データの内容をみだりに第三者に知らせ、又は不当な目的に使用してはならないこと。その業務に係る職を退いた後も同様とすること。 |
(四) |
雇用管理に関する個人データの取扱いの管理に関する事項を行わせるため、当該事項を行うために必要な知識及び経験を有していると認められる者のうちから個人データ管理責任者を選任すること。 |
(五) |
雇用管理に関する個人データ管理責任者及び個人データを取り扱う従業者に対し、その責務の重要性を認識させ、具体的な個人データの保護措置に習熟させるため、必要な教育及び研修を行うこと。 |
|
【関連条文】
法 |
第二十条
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
|
法 |
第二十一条
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。 |
|
【解説】
〔総論〕
○ |
個人情報は、漏えい、改ざん等が行われた場合には、個人の権利利益が侵害されるおそれが増大する。このため、個人情報取扱事業者は、取り扱う個人データの漏えい、滅失又はき損を防止するため、個人情報を取り扱う権限を有する者の範囲の明確化やセキュリティ確保のための措置等、必要かつ適切な措置を講じなければならない。
その際、個人情報の内容、性質、利用方法等により適切な措置を講じなければならず、特に雇用管理に関する個人情報については、病歴、収入、家族関係といった情報を含むことからも、その取扱いについては、十分に留意することが求められる。
|
○ |
また、個人データの適切な管理を行うためには、従業者においても安全管理措置に基づく的確な取扱いが必要であり、従業員による安全管理措置に反する不適切な取扱いによって漏えい等の問題が発生した場合には、個人情報取扱事業者がその監督責任を問われる可能性もある。
|
○ |
当指針は、個人情報の処理に従事する者の権限を明確化することにより恣意的な利用等の防止を図ること、業務上知り得た個人情報につき適正な取扱いを図ること、また、個人データの安全管理を徹底する観点から、必要な知識及び経験を有している者を個人データ管理責任者として選任するとともに、個人データ管理責任者及び個人データを取り扱う者に対して、必要な教育・研修を行うことで適切な取扱いを確保することを規定している。これをもとに、個人情報の内容、利用方法等に照らして実情に応じた措置を講じなければならない。 |
〔(一)、(二)関連〕
○ |
雇用管理に関するデータを取り扱う者については、内部規定等により業務の遂行に必要な取扱いを明確にした上で、その取扱いの範囲内に限定しなければならない。したがって、個人情報の処理に係る権限を付与されていない者によって業務が行われることがあってはならない。 |
【内部規定に記載する安全管理に関する内容例】
1) |
取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・破棄等の作業における作業分担及び作業担当者 |
2) |
取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・破棄等の各作業担当者の実施状況の管理と記録保管 |
3) |
各作業担当者の識別、認証が可能となるようなID,パスワードの設定とアクセス記録の管理 |
〔(三)関連〕
○ |
業務上において知り得た雇用管理に関するデータについては、権限を与えられた者のみが、業務の遂行上必要な限りにおいて取り扱うこととされている。したがって、権限が付与された者であっても、名簿業者への転売など不当な目的に使用してはならないことは当然である。 |
〔(四)関連〕
○ |
雇用管理に関する個人情報については、機微にふれる内容を有するため、「個人データ管理責任者」を選任し、その取扱いについて遺漏なきよう万全を期すことが期待されることから、当指針においては、個人データ管理責任者については、法の趣旨を踏まえ、個人情報取扱事業者に該当する各事業所において責任を持って個人データを取扱うことを要請し、各事業所において選任することを求めており、これにより個人データの安全管理の徹底を図ることとしている。 |
○ |
「個人データ管理責任者」は、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成16年厚生労働省・経済産業省告示第4号)において規定されている「個人情報保護管理者(チーフプライバシーオフィサー)」とは、区別されるものであるが、各事業所内において個人データの管理を行うに際しては、兼任とすることも可能である。
〈参考〉
「個人情報保護の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成16年厚生労働省・経済産業省告示第4号)(抄)
組織的安全管理措置とは、安全管理について従業者(法第21条参照)の責任と権限を明確に定め、安全管理に対する規定や手順書(以下「規定等」という。)を整備運用し、その実施状況を確認することをいう。
【組織的安全管理措置として講じなければならない事項】
(1) |
個人データの安全管理措置を講じるための組織体制の整備をする上で望まれる事項・個人情報保護管理者(いわゆる、チーフ・プライバシー・オフィサー(CPO)の設置) |
|
〔(五)関連〕
○ |
個人データ管理責任者及び個人データを取り扱う者に対しては、その責務の重要性についての認識を持ち、個人データの適切な取扱いを習得できるよう、教育及び研修を定期的に行うことが求められる。 |
【研修内容例】
1) |
個人データの取扱いに関する内部規定等の整備と周知徹底 |
2) |
個人データの保管方法、廃棄等の取扱いについての確認 |
3) |
個人データのアクセス管理 |
4) |
個人データの処理を委託する場合の留意点 |
【必要かつ適切な安全管理措置を講じていない場合の例】
1) |
個人データ管理責任者及び個人データを取り扱う者が人事異動等で入れ替わり、その職を退いた後も個人データにアクセスできるような状態にあり、個人データを漏えいした場合 |
2) |
個人データの保管場所につき施錠がなされておらず、個人情報の処理に係る権限を付与されていない者により個人データが持ち出された場合 |
3) |
従業員の業務成績が入ったパソコンを廃棄するにあたり、確実に消去が行われないまま処分を行い、個人データが漏えいした場合 |
4) |
社会保険の手続に必要として従業員から収集した氏名、年齢、性別等の個人データについて、アクセスが制御されておらず、個人情報の処理に係る権限を付与されていない者により個人データが持ち出され、個人データが漏えいした場合 |
第三 |
事業者が講ずべき措置の適切かつ有効な実施を図るための指針となるべき事項 |
四 |
法第二十二条に規定する委託先の監督に関する事項
事業者は、雇用管理に関する個人データの取扱いの委託に当たって、次に掲げる事項に留意するものとすること。 |
(一) |
個人情報の保護について十分な措置を講じている者を委託先として選定するための基準を設けること。 |
(二) |
委託先が委託を受けた個人データの保護のために講ずべき措置の内容が委託契約において明確化されていること。具体的な措置としては、以下の事項が考えられること。
(1) |
委託先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること。 |
(2) |
当該個人データの取扱いの再委託を行うに当たっては、委託元へその旨文書をもって報告すること。 |
(3) |
委託契約期間等を明記すること。 |
(4) |
利用目的達成後の個人データの返却又は委託先における破棄若しくは削除が適切かつ確実になされること。 |
(5) |
委託先における個人データの加工(委託契約の範囲内のものを除く。)、改ざん等を禁止し、又は制限すること。 |
(6) |
委託先における個人データの複写又は複製(安全管理上必要なバックアップを目的とするもの等委託契約範囲内のものを除く。)を禁止すること。 |
(7) |
委託先において個人データの漏えい等の事故が発生した場合における委託元への報告義務を課すこと。 |
(8) |
委託先において個人データの漏えい等の事故が発生した場合における委託先の責任が明確化されていること。 |
|
|
【関連条文】
法 |
第二十二条
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。 |
|
【解説】
〔総論〕
○ |
個人情報取扱事業者は、個人データの取扱いについて委託する場合、委託先に対し必要かつ適切な監督を行わなければならない。委託先は、法第23条第4項第1号により「第三者」には該当しないとされており、個人情報の保護のためには、個人情報取扱事業者において監督を行わなければならない。
|
○ |
契約形態のあり方を決める主体は民間事業者ではあるが、一般に委託については、委託元よりデータを受け取り、委託契約で明確化された範囲でそれについて加工、編集等を行うことを指す。
|
○ |
したがって、委託については、データの打ち込みといった情報処理や、宅配業者に個人データ(住所、氏名等)を渡して商品配送してもらうこと等が典型例であり、データの加工又は利用範囲が、委託契約等においてあらかじめ限定されているものなどが想定される。
|
○ |
なお、雇用管理に関するデータについて、個人情報取扱事業者が入力、編集、出力等の処理を委託する場合においては、委託先の個人情報保護・セキュリティーの現状を把握し、必要かつ適切な監督を行わなければならない。
|
○ |
例えば事業者において社会保険労務士に個人データを渡して、申請書等の作成や提出手続の代行を依頼する場合については、一般的には委託に該当する(33ページ参照)と考えられるが、社会保険労務士において、当該事業者から労務管理等の相談を受けること等により、提供を受けたデータに加工、追加等を行い、新たなデータ等を作成する場合には、自らも個人情報取扱事業者に該当し、法における義務が課せられることとなるので注意が必要である。 |
〔(一)関連〕
○ |
委託先の選定に当たっては、その選定基準を設けること等により、個人情報の保護を図る上で適切な業者を選択するよう努めることが求められる。 |
【選択基準例】
1) |
個人データの保管方法、保管場所が適切であること |
2) |
個人データの漏えいや盗用を防止するための具体的な措置が講じられていること |
3) |
個人データを取り扱う従業者に対する教育、研修が行われていること |
4) |
個人データの取扱いにつき、適正な監査を実施していること |
〔(二)関連〕
○ |
委託先に対しては、委託先が個人情報の保護のために講ずべき措置内容を委託契約等において明確化しておくことが求められる。
|
○ |
委託契約等に具体的に盛り込む事項としては、個人データが流出することを防止するため、盗用等の禁止、再委託を行う場合における委託元への報告、委託契約期間等の明記、利用目的達成後における個人データの返却、破棄及び削除や複写、複製の禁止が求められる。
また、漏えい等の事故発生時においては、委託元への報告を課すとともに委託先の責任関係を明確化することで、委託先においても個人データの管理には十分に留意することが求められる。
なお、委託先において個人データの漏えい等の事故が発生した場合においては、委託元と委託先との連携により、再発防止策に努めることが求められる。
|
○ |
個人データの取扱いの再委託及び再々委託に関しては、個人情報の流出の危険性が増大すること等から、できる限り行わないことが望ましいが、再委託及び再々委託を行う場合においては、委託先への監督義務を負っている委託元へ文書によりその旨を報告し、安全管理対策を徹底することが求められる。
|
○ |
「委託契約期間等」の「等」には、委託先における個人データの管理方法や委託契約終了後の個人データの具体的処理方法(返却、廃棄等)が含まれる。 |
【管理方法例】
1) |
個人データを利用・加工できる端末を必要に応じて限定すること |
2) |
個人データへのアクセスを制御すること |
3) |
個人データを保管する媒体の施錠管理を確実に行うこと |
○ |
利用目的達成後の個人データについては、当該データの盗用や流出等を防止するためにも、できる限り早期に、委託元への返却又は委託先における破棄若しくは削除を確実に行うことが求められる。
|
○ |
「データの改ざん等」の「等」には、委託契約の範囲を超えてのデータの書き換え、あるいは不正な情報の追加を行うことが含まれ、これらの行為を行うことを禁止又は制限することが求められる。
|
○ |
個人データの複写、複製に関しては、委託契約の範囲内であっても、バックアップを目的とする場合などの必要不可欠なものに限定することが求められる。 |
【委託先に必要かつ適切な監督を行っていない場合の例】
1) |
委託先において作業場所、作業担当者を明確化しているか否かなど、委託元が委託先における管理体制を具体的に把握できていない場合 |
2) |
委託先における雇用管理に関するデータの管理の方法について、委託元が適切な管理を怠るなど、定期的な監督を行わず、委託先から雇用管理に関するデータが漏えいした場合 |
3) |
委託先において、雇用管理に関するデータが、委託契約の内容に則して取り扱われていない場合、委託元において定期的に状況を把握することなく、雇用管理データが漏えいした場合 |
4) |
委託先から、雇用管理に関するデータをさらに委託(再委託)する場合において、管理体制の整備されていない再委託先を選定した結果、雇用管理に関するデータが漏えいした場合 |
第三 |
事業者が講ずべき措置の適切かつ有効な実施を図るための指針となるべき事項 |
五 |
法第二十三条に規定する第三者提供に関する事項
事業者は、雇用管理に関する個人データの第三者への提供(法第二十三条第一項第一号から第四号までに該当する場合を除く。)に当たって、次に掲げる事項に留意するものとすること。 |
(一) |
提供先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること。 |
(二) |
当該個人データの再提供を行うに当たっては、あらかじめ文書をもって事業者の了承を得ること。但し、当該再提供が、法第二十三条第一項第一号から第四号までに該当する場合を除く。 |
(三) |
提供先における保管期間等を明確化すること。 |
(四) |
利用目的達成後の個人データの返却又は提供先における破棄若しくは削除が適切かつ確実になされること。 |
(五) |
提供先における個人データの複写及び複製(安全管理上必要なバックアップを目的とするものを除く。)を禁止すること。 |
|
【関連条文】
法 |
第二十三条
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 |
法令に基づく場合 |
二 |
人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 |
三 |
公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。 |
四 |
国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。 |
|
2 |
個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一 |
第三者への提供を利用目的とすること。 |
二 |
第三者に提供される個人データの項目 |
三 |
第三者への提供の手段又は方法 |
四 |
本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。 |
|
3 |
個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。 |
4 |
次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。
一 |
個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合 |
二 |
合併その他の事由による事業の承継に伴って個人データが提供される場合 |
三 |
個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。 |
|
5 |
個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。 |
|
【解説】
〔総論〕
○ |
第三者提供については、個人情報が無制限に第三者に提供されることにより、本人に不測の権利利益の侵害をもたらす危険性が高いことから、本人の同意なく個人データを第三者に提供することを原則禁止している。
|
○ |
ただし、法令に基づく場合や第三者提供におけるオプトアウト(※)を行っている場合等については、本人の同意なく、個人データを第三者に提供することができる。 |
(※) |
第三者提供におけるオプトアウトとは、提供に当たって、あらかじめ第三者への提供を利用目的とすること、第三者に提供される個人データの項目及びその手段、方法等を本人に通知し、又は本人の知り得る状態に置いておくとともに、本人の求めに応じて第三者への提供を停止することをいう。 |
○ |
「第三者提供」における「第三者」が行う個人データの取扱いについては情報取得者から提供されたデータに加工、追加等を行うことにより、新たなデータ等を作成することが考えられる。
「第三者提供」については、そのデータの取扱いについて必ずしも契約を締結するものではなく、個人情報の提供を受けた第三者において自由に加工、追加等を行うことが可能であり、「委託」とは異なるものである。 |
〔(一)〜(五)関連〕
○ |
特に雇用管理に関する個人情報については、病歴、収入、家族関係といった情報を含むことからも、その取扱いにつき一層の留意が必要であり、情報取得者から無制限に第三者へそのデータが提供されることを防がなければならない。
|
○ |
したがって、具体的には、個人データの提供を受けた第三者が、さらに他へその個人データを提供するに当たっては、 |
1) |
あらかじめ個人情報を直接取得した者に対して文書をもって了承を得ておくこと、 |
2) |
個人情報の処理に従事する者の権限を明確化することで恣意的な利用等の防止を図ること、 |
3) |
提供を受けた第三者において個人データの保管期間や保管方法について明確化しておくこと |
等により、適切な取扱いが確保されることが求められる。
○ |
「保管期間等」の「等」には、個人データの管理方法や利用目的達成後の個人データの具体的処理方法(返却、廃棄等)が含まれる。 |
【具体的な管理方法例】
1) |
個人データを利用・加工できる端末を必要に応じて限定すること |
2) |
個人データへのアクセスを制御すること |
3) |
個人データを保管する媒体の施錠管理を確実に行うこと |
○ |
利用目的達成後の個人データについては、当該データの盗用や流出等を防止するためにも、できる限り早期に、提供元への返却又は提供先における破棄若しくは削除を確実に行うことが求められる。
|
○ |
また、個人データの複写、複製に関しては、バックアップを目的とする場合の必要不可欠なものに限定することが求められる。 |
第三 |
事業者が講ずべき措置の適切かつ有効な実施を図るための指針となるべき事項 |
六 |
法第二十五条第一項に規定する保有個人データの開示に関する事項
事業者は、あらかじめ、労働組合等と必要に応じ協議した上で、労働者等本人から開示を求められた保有個人データについて、その全部又は一部を開示することによりその業務の適正な実施に著しい支障を及ぼすおそれがある場合に該当するとして非開示とすることが想定される保有個人データの開示に関する事項を定め、労働者等に周知させるための措置を講ずるよう努めなければならないこと。 |
|
【関連条文】
法 |
第二十五条
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
一 |
本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合 |
二 |
当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合 |
三 |
他の法令に違反することとなる場合 |
|
2 |
、3(略)
|
政 |
令第六条
法第二十五条第一項の政令で定める方法は、書面の交付による方法(開示の求めを行った者が同意した方法があるときは、当該方法)とする。 |
|
【解説】
○ |
法律上、本人から開示が求められた場合には、原則、書面による交付方法(開示の求めを行った者が同意した方法があるときは、その方法)により、遅滞なく、保有個人データを開示しなければならない。ただし、保有個人データを開示することが、業務の適正な実施に著しい支障を及ぼすおそれがある場合等については、これを開示しないことができる。
|
○ |
当指針においては、業務の適正な実施に著しい支障を及ぼすおそれがある場合に該当するとして非開示とすることが想定される保有個人データの開示については、あらかじめ、必要に応じて労働組合等と協議の上、その内容につき明確にしておくよう努めなければならない旨を規定している。
|
○ |
また、人事評価、選考に関する個々人の情報については、基本的には非開示とすることが考えられるが、その取扱いについては労働組合等と協議した上で決定することが望まれる。さらに、非開示とする事項につき労働組合と協議を行った上で決定した場合、労働者に対してもその内容につき、できるだけ明確に提示し、周知徹底を図っていくよう努めなければならない。(第三(九)(31ページ)参照)
|
○ |
なお、評価の基準を作成している場合、基準自体は個人情報には該当しないが、その基準自体を公開することは望ましいものと考えられる。 |
第三 |
事業者が講ずべき措置の適切かつ有効な実施を図るための指針となるべき事項 |
七 |
法第二十九条第二項に規定する本人の利便を考慮した適切な措置に関する事項
事業者は、労働者等からの雇用管理に関する個人データの開示等の求めができるだけ円滑に行われるよう、閲覧の場所及び時間等について十分配慮すること。 |
|
【関連条文】
法 |
第二十九条第二項
個人情報取扱事業者は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。 |
|
【解説】
○ |
法は、本人と個人情報取扱事業者双方の負担を軽減するため、開示等の受付手続を明らかにしている。その一環として、「個人情報取扱事業者は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供やその他本人の利便を考慮した適切な措置をとらなければならない」旨、規定している。
|
○ |
「本人の利便を考慮した適切な措置」について、当指針は「閲覧の場所及び時間等について十分配慮すること」を求めている。具体的には、自己の居住地、勤務地、勤務時間等に関わらず、本人が当該保有個人データの特定に資する情報を可能な限り容易に入手できるよう、適切な措置を講じることが求められる。
|
○ |
閲覧の場所及び時間等について、十分配慮していると考えられる事例としては、例えば、事業所における掲示・回覧等に加え、ホームページ上のアクセスが容易な場所に掲載するといった措置を挙げることができる。 |
第三 |
事業者が講ずべき措置の適切かつ有効な実施を図るための指針となるべき事項 |
八 |
法第三十一条に規定する苦情の処理に関する事項
事業者は、雇用管理に関する個人情報の取扱いに関する苦情の適切かつ迅速な処理を行うため苦情及び相談を受け付けるための窓口の明確化等必要な体制の整備に努めること。 |
|
【関連条文】
法 |
第三十一条
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。 |
2 |
個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。 |
|
【解説】
○ |
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。また、苦情の適切かつ迅速な処理を行うにあたり、苦情及び相談を受け付けるための窓口の明確化等必要な体制の整備に努めなければならない。 |
【必要な体制の整備のための取組の例】
1) |
労働者等による雇用管理に関する個人情報の取扱いに関する苦情処理・相談窓口の設置及び担当者の配置 |
2) |
電話、郵便、電子メール、FAX等による苦情処理・相談体制の整備 |
3) |
苦情処理・相談担当者用のマニュアルの作成及び配布 |
4) |
苦情処理に係る社内手続の決定及びその内容の周知徹底 |
5) |
研修等を通じた苦情処理・相談担当者への知識の付与 |
第三 |
事業者が講ずべき措置の適切かつ有効な実施を図るための指針となるべき事項 |
九 |
その他事業主等が雇用管理に関する個人情報の適切な取扱いを確保するための措置を行うに当たって配慮すべき事項 |
(一) |
事業者は、六に定める保有個人データの開示に関する事項その他雇用管理に関する個人情報の取扱いに関する重要事項を定めるときは、あらかじめ労働組合等に通知し、必要に応じて、協議を行うことが望ましいものであること。 |
(二) |
事業者は、九の(一)の重要事項を定めたときは、労働者等に周知することが望ましいものであること。 |
|
【解説】
○ |
雇用管理に関する個人情報の取扱いに関する重要事項を定めるときは、あらかじめ労働組合等に通知し、必要に応じて協議を行い、重要事項の決定を行ったときは、労働者等に周知することが望ましい。このことは、労使双方が合意形成の主体となり、合意された内容につき共通の認識を持ち、個人情報の漏洩等を未然に防止するためにも重要である。
(「労働組合等」については、11ページ参照) |
第四 |
個人情報取扱事業者以外の事業者による雇用管理に関する個人情報の取扱い
法第二条第三項に規定する個人情報取扱事業者以外の事業者であって、雇用管理に関する個人情報を取り扱う者は、第三に準じて、その適正な取扱いの確保に努めること。 |
|
* |
「法第二条第三項」及び「法第二条第三項に規定する個人情報取扱事業者」については、「第二 用語の定義」の解説(5ページ、6〜8ページ)を参照。 |
【解説】
○ |
当指針は法に基づき策定されているため、法に規定する個人情報取扱事業者以外の事業者であって、雇用管理に関する個人情報を取り扱う者については、第三に定める各種の義務規定(11〜31ページ参照)は適用されないものの、これらに準じて、その適正な取扱いの確保に努めることとしている。
|
○ |
雇用管理情報については、病歴、収入、家族関係といった情報を含むことから、こうした情報の漏洩により当該労働者が被る不利益及び当該企業に対する社会的信頼の低下等を未然に防止するためにも、法に規定する個人情報取扱事業者以外の事業者であっても、第三に準じて、雇用管理に関する個人情報の適正な取扱いの確保に努めることとしている。 |
< |
委託、第三者提供いずれの場合においても、個人情報が事業者の外部に渡るという点においては共通している。事業者間においての取扱いが、委託、第三者提供いずれに該当するかについては、基本的には事業者間における契約の内容及びその解釈によるが、個人情報保護法における両者の取扱いは異なる。第三者提供については、事業者は本人の事前同意やオプトアウト(25ページ参照)が必要である。他方、委託においてこれらは不要であるが、委託先に対しては、必要かつ適切な監督を行わなければならない。
なお、グループ企業等で総合的なサービスを提供するために、利用目的や項目などを本人に通知し、又は、本人が容易に知り得る状態に置いた上で、その目的の範囲内で情報を共同利用する場合は、本人の事前同意又はオプトアウトは不要となる(法第23条第4項第3号)。
〈委託に該当する例〉
1) |
データの打ち込み等、情報処理を委託するために個人データを渡す場合 |
2) |
給与計算等の情報処理を委託するために個人データを渡す場合 |
〈第三者提供に該当する例〉
1) |
出向が予定されている者についての個人データを、出向先に提供する場合 |
2) |
親子兄弟会社、グループ会社において個人データを交換、提供する場合 |
3) |
保険会社に対して、従業員の健康診断記録を提供する場合 |
4) |
職業紹介事業者(人材コンサルタント会社等)において、収入等を含む個人データを求人者(クライアント)に提供する場合 |
〈共同利用に該当する例〉
1) |
出向等に対応するため、グループ会社において、従業員情報を共有する場合 |
2) |
ジョイント・ベンチャー企業相互間において、従業員情報を共有する場合 |
3) |
使用者と労働組合等において、従業員情報を共有する場合 |
|
|
< |
○ |
雇用管理に関する個人情報については、病歴、収入、家族関係といった情報を含むこと等から、その適切な取扱いが要請されるところであり、特に本人から取得した情報を他者へ提供する「第三者提供」においては、漏えい事件が発生する危険性が高くなることも考えられることから、その取扱いにつき留意しなければならない。
雇用管理に関する個人情報を取得した者が当該情報を第三者に提供する際には、本人の同意を得るに当たり、できる限り提供先たる「第三者」を具体的に特定し本人に周知することが望まれる。なお、本人の事前同意については、第三者提供に係る本人の意向が的確に反映されるよう、可能な限りその都度、当該意思確認を行うことが望まれる。 |
○ |
第三者提供におけるオプトアウトを行っている場合、その条件の一つとして、提供される個人データの内容等を「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置(く)」ことが規定されている。ここでいう 、「本人が容易に知り得る状態」については、本人の同意に代えることを認めるものであること、また、雇用管理に関する個人情報が、機微な情報を含んだものであり、第三者等の他者へ容易に提供しないことを前提に収集されている可能性が高いことなどから、本人が確実に知り得ると想定される状態におかなければならない。 |
〈本人が容易に知り得る状態に該当する例〉
1) |
本人が定期的に閲覧すると想定されるウェブ画面において、継続的に掲載する場合 |
2) |
企業内において広く頒布されている刊行物において、定期的に掲載する場合 |
|
|
< |
参考III> |
「雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項について」のポイント |
雇用管理に関する個人情報のうち、健康診断の結果等の労働者の健康情報については、特に適正な取扱いの厳格な実施を確保する必要があることから、当指針とは別に「雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項について」(平成16年10月29日付け基発第1029007号労働基準局長通知。以下「留意事項」という。)を策定しているので、以下に記載する当該通知のポイントとあわせて参照されたい。
○ |
事業者が、医療機関から健康情報を収集する必要がある場合、情報を取得する目的を明らかにして労働者本人の承諾を得るとともに、これらの情報は本人から提出を受けることが望ましいこと(留意事項第3の1(1)関係)
|
・ |
事業者が労働者の健康情報を医療機関から取得しようとする場合、法によれば、第三者提供を行うことになる医療機関が、その労働者の同意を得なければならず、事業者が労働者の同意を得る義務はない。
しかしながら、実際にその健康情報を利用するのは事業者であることから、円滑に医療機関が労働者の同意を得られるよう、事業者が事前に労働者の承諾を得ることが望ましい。
また、健康情報は、個人情報の中でも特に慎重に取り扱う必要があることから、必要に応じて、事業者は医療機関から直接情報を取得するのではなく、労働者本人を介して取得することが望ましい。
|
○ |
産業保健業務従事者以外の者に取り扱わせる健康情報は、利用目的の達成に必要な範囲に限定されるよう、適切に加工すること(留意事項第3の2関係)
|
・ |
健康診断の検査結果等に基づき、適正な診断や労働者の保健指導を行う際には、疾病に関する知識の専門の医学的知識が求められることから、検査値等のいわゆる生データについては、産業医等の専門職(産業保健業務従事者)が取り扱うことが望ましい。
一方、健康診断結果等を利用して、就業上の配慮や措置(休暇の取得の勧奨等)等を行う際には、専門職ではない労働者本人の上司や人事労務担当者等が労働者の健康情報を取り扱うことになるが、必要となる情報は医師の所見等に限られ、検査値等のいわゆる生データは必要がないことが考えられる。
このような場合には、健康情報を取り扱う者をできるだけ限定するとともに、専門職が必要な加工を行った必要最小限の健康情報のみを取り扱わせること等の措置を講ずること。
|
○ |
事業場内において労働組合等へ協議した上で、健康情報の取扱いに関する規程を作成することが望ましいこと(留意事項第3の4(1)(2)関係)
|
・ |
労働者の健康情報は、基本的には、雇用管理を行う者が、労働者の健康の確保を目的として産業医等の専門職に取り扱わせるものであるが、一方で、健康診断を委託した他の医療機関や専門職ではない労働者本人の上司等に取り扱わせる場合があり、そのやり取りをする機会が多いものである。
したがって、健康情報の取扱いについて、必要に応じ労働組合等へ協議を行った上であらかじめ事業場内の規程等として定め、これを労働者に十分周知するとともに、健康情報を取り扱うこととなる者にも十分周知し、この規程等に従って適切に取り扱わせることが望ましい。
|
○ |
HIV感染症やB型肝炎等の職場において感染する可能性の低い感染症や色覚異常等の遺伝情報について、事業者は、労働者等から取得すべきでないこと(留意事項第3の4(4)関係)
|
・ |
HIV感染症やB型肝炎、C型肝炎等は、通常の業務において労働者が感染したり、感染した労働者が他の労働者に感染させたりすることは考えられず、また、これらの感染症に労働者が感染していること自体は、他の健康な労働者と異なる就業上の配慮は必要とするものではないことから、事業者は、業務上特に必要がある場合を除いて、これらの疾病に感染しているかどうかの情報を一律に取得するべきではない。
また、色覚検査の結果等の遺伝情報についても、これにより事業者が就業上の配慮を行うべき特段の事情がある場合を除き、一律に取得するべきではない。 |
|
|
< |
参考IV> |
採用、出向・転籍、退職時点における個人情報の適正な取扱いを確保するための留意点 |
雇用管理に関する個人情報の取扱いについて、法に規定する遵守事項の他に事業者が特に留意することが望まれるポイントを、採用、出向・転籍、退職といった職業生涯のステージごとに取りまとめると、次のようになる。
(1) |
採用
事業者が採用応募者から得る個人情報は、職業安定法指針により、その業務の目的の範囲内に限られるものであるが、適性検査の結果のような機微にふれる情報を含み得るものであり、当該情報が漏洩した場合には本人に大きな損害を与える可能性がある。また、不採用者の個人情報などは現に雇っている労働者の個人情報と比較して、その保護が不十分となるおそれがある。そこで、次の点に留意することが望まれる。
|
・ |
利用目的を採用応募者本人に通知し、又は公表するに当たっては、合理的かつ適切な方法により行わなければならない。例えば公表の場合、単に会社のホームページに掲載すれば足りるものではなく、採用応募に関する文書の中に明記する等、本人に内容が確実に伝わるような媒体を選ぶ等の配慮を行わなければならない(「本人に通知」「公表」については、14〜15ページ参照)。
|
・ |
採用応募者から得た個人情報の利用は、職業安定法指針により、原則としてその収集目的の範囲内に限られ、収集目的以外の目的への利用は、当該目的を示して本人の同意を得た場合又は法令に定めのある場合に限られるものである。
|
・ |
採用応募者から得る個人情報を第三者に提供する場合には、あらかじめ本人から確実に同意を得るか、又はオプトアウトによる場合も、提供する項目など必要な事項(法第23条第2項(24〜25ページ)参照)について採用応募に関する文書の中に明記しなければならない。いずれの場合にも、本人が同意等に係る判断を適切に行えるよう、提供先を明記することが求められる。
|
・ |
採用応募者に関する個人データの取扱いを委託するに当たっては、当指針中第三の四の規定(20ページ参照)に基づき、受託者に対して必要かつ適切な監督を行うことが求められる。
|
・ |
不採用者の個人情報など、採用活動の上で必要とされなくなった情報については、写しも含め、その時点で返却、破棄又は削除を適切かつ確実に行うことが求められる。仮に利用目的達成後も保管する状態が続く場合には、目的外利用は許されておらず、また、その後も継続して安全管理措置を講じなければならない。
|
(2) |
出向・転籍 |
・ |
採用後に出向や転籍を行うに当たり、出向先・転籍先に対して個人情報を提供する場合は、一般的には第三者提供に該当することになるものと考えられる。その際に、本人が同意等に係る判断を適切に行えるよう、出向先・転籍先の候補となりうる提供先の範囲を、ホームページ等において明記することが望まれる。
|
・ |
出向・転籍における第三者提供の際の本人の事前同意については、第三者提供に係る本人の意向が的確に反映されるよう、可能な限りその都度、当該意思確認を行うことが望まれる(34ページ参照)。
|
(3) |
退職 |
・ |
退職者の個人情報については、賃金台帳等の一定期間の保存を定めた労働基準法第109条等他の法令との関係に留意しつつも、利用目的を達成した部分についてはその時点で、写しも含め、返却、破棄又は削除を適切かつ確実に行うことが求められる。仮に利用目的達成後も保管する状態が続く場合には、目的外利用は許されておらず、また、その後も継続して安全管理措置を講じなければならない。
|
・ |
退職者の転職先又は転職予定先に対し当該退職者の個人情報を提供することは第三者提供に該当するため、あらかじめ本人の同意を得なければならない。 |
|
|