簡単な個人情報保護法 Q&A



 

各事例は詳細によって変わることもありえますから、ご了承ください。(判例等、今後の動向にあわせて修正することがあります)

今後とも、順次追加していきます。




Q1.

〜従業員の人事考課結果の開示請求は?
Q2.
〜役職も個人情報になる?
Q3.
〜従業員が人事考課の内容の訂正を求めてきた
Q4.
〜履歴書は?
Q5.
〜個人情報取扱事業者に該当しないけど
Q6.
〜電話帳を使ったテレマーケティングはできる?

Q7.
〜漏洩したら、損害賠償価額はどれくらい?


Q8.
〜病院とか介護施設の対応は?


Q9.
〜今現在、最低限やるべきことは何?


 Q10.
〜名刺はどうなる?


Q11.
〜退職者の名刺は誰のもの?


Q12.
〜そもそも個人情報保護法とは?


 Q.13
〜センシティブ情報とは?

相談はお気軽に




Q1. 
従業員が自身の人事考課結果についての情報を請求してきたら?


 A1. 
人事考課結果は、その従業員に対する「評価」であると考えられます。個人情報保護法上は開示請求は可能ですが、かりに会社側に情報の訂正を求めても、会社がそれに応じる義務はありません。


※Q3で、もう少し詳しく書いています。


Q.2 
役職も個人情報になる?


 A.2 
部長とか課長といった役職のみでは、個人情報にはなりません。しかし、○○部長、というように氏名と結びついていれば、特定の個人を識別することが出来ますから個人情報となります。


Q.3 
従業員が保有個人データの内容が事実ではないと、訂正等を求めてきた時は?


 A.3
個人情報保護法第26条1項によれば、本人は、保有個人データに誤りがあり、事実ではないという理由により、保有個人データの内容の訂正、追加又は削除を求めることが出来ます。この場合、原則としては訂正等を行い、その内容を本人に対し遅滞なく通知しなければなりません。


 しかし、訂正等を行なわなくてもいい場合がガイドラインにより例示されています。それは、訂正等の対象が事実ではなく「評価」に関する情報である場合です。


 たとえば「Bは対外交渉術には長けているが、情報の整理、分析等は不得手である」こういった評価を上司がしていたことに対し、Bが「それは事実に反する。訂正を行なってほしい」と訂正等を求めてきたとしても、これはあくまでも「評価」であり「事実」ではありません。ですから、Bの申出を受諾する義務はありません。


 ただし、訂正等を行なわないと決定した場合も、遅滞なくその旨を通知しなければなりません。



 Q4.
求人に伴い送付されてきた求職者の履歴書等も個人情報?


 A4.
 履歴書等は当然に個人情報に該当します。ですから、採用するしないに関わらず、充分な配慮が必要です。


 考え方としては、情報漏洩等を回避するためにはできる限り個人情報を持たないことが望ましいといえます。


 しかし、返送する場合においても、昨今の労働市場j環境から捉えれば、不採用者全員に送り返すというのは費用等の面からみても不経済ですし、「送った・ついていない」といった水掛け論に発展する可能性も否めません。


 また、内定者が突然辞退した場合に、手元に不採用者の資料が何も残っていなければ、また新たに求人をすることになり、時間、経費、労力が余分にかかってしまいます。


 ですから、採用することはないと判断した就職者の資料については、確実にシュレッダーにかける、焼却する等の方法で処分することです。この場合には、間違いなく処理されたことを、責任者が目視することが必要です。


 従業員任せですと、当初は緊張感により間違いを犯す可能性は低いでしょうが、慣れるに従い、漏洩等の危険性が徐々に高まっていきます。それを回避する意味でも、責任者によるチェックは不可欠です。


 辞退者が出たときのために、補欠要員として資料を残しておく場合も、保存期間を定めて、採用者同様の管理を行なうことはいうまでもありません。


 また、この処理方法についても、事前に求職者にわかるようにすることです。募集時に公表しておくことで、信頼できる企業といった効果も上がるでしょう。


 
 Q5.
個人情報取扱事業者に該当しないんだけど、従業員情報など雇用管理に関する個人情報はどうしたらいい?


 A5.
 厚生労働省のガイドライン「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」によれば、個人情報取扱事業者以外の事業者であっても、個人情報取扱事業者に準じて、その適正な取り扱いの確保に努めること、とされています。


 よって、充分な注意を施すべきです。個人情報保護法や法令・省令等は、あくまでも「個人情報」の保護を目的としています。ですから、漏洩等によるプライバシーに関する問題については、従来通り民法・刑法など各法律によって保護されます。当然、個人情報保護法に基づく責務のある、なしとは何ら関係ありません。お間違いなく。


 Q6.
 NTTの電話帳を使ってテレマーケティングなどを行なうのは?


 A6.
 NTTが発行している電話帳は公開されている情報ですが、個人情報に当たります。ただし、それらの個人情報を独自の方法によって加工等していない限りは個人データには該当しないとされます。

 問題はそれを使ってテレマーケティング等事業活動に使用できるか? ということですが、法16条で「本人の同意を得ずに個人情報を取扱ってはならない」とされていますから、商業利用する場合には「事前に本人の同意が必要」とされます。

 しかし、個人情報ではなく、会社に関するもの等の法人情報については個人情報保護法において個人情報とはされませんから、利用することは可能であると考えます。



 Q7.
 もし漏洩しちゃったら、損害賠償価額はどれくらいに?


 A7.
 京都宇治市個人情報漏洩事件(詳細は、こちら)によると、一人当たり1万円の損害賠償金額が認められています。(このほかに、弁護士費用としてひとり5千円)

 ただし、漏洩したとされる情報が氏名、住所等の基本情報であること。漏洩発覚後に宇治市側が迅速に対応し、多くのものを回収したこと。(すべてではありません)これらが影響しているといわれています。

 また、かりに宇治市が多額の損害賠償金を支払うことになっても、その財源は結局のところ市民が納付している税金で賄われることになる、という事情も斟酌されたのではないかと言われています。

 ですから、民間企業の場合は、これよりも多くなる可能性はあります。

 また、センシティブ情報(病歴等、社会通念上他人に知られたくはないであろう情報)が漏洩した時は、これよりもはるかに高額になる可能性が高いと推測されています。



 Q8.
 病院とか介護関連施設も同じような対応でいいの?


 A8.
 Q7.でもいいましたが、病歴・介護記録といった情報はセンシティブ情報とされる可能性が格段に高いでしょう。ですから、一般的なもの、つまり個人情報保護法や経済産業省のガイドラインに加えて、厚生労働省の「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」にも、必ず目を通す必要があります。


 これによると、個人情報取扱事業者とされない事業所(病院・診療所・介護関連の事業所・薬局等)であっても、本ガイドラインを遵守する努力を求める、とあります。

 たしかに「努力規定」ではありますが、漏洩等した場合の損害賠償価額(請求されたとして)が高額になる可能性の高さを考えると、何もしない・無策、といった状況は避けるべきでしょう。


 患者数、利用者数が数百人としても、一人当たり数十万円・数百万円単位の損害賠償金額となった場合、その損失は経営基盤そのものを崩壊させかねません。


 Q9.
 今現在、最低限、とにかくやるべきことは何?


 A9.
 個人情報の漏洩等に関してはその原因の7割から8割が従業員、委託先等といった関係者からのものです。ということは、それら関係者に対し、個人情報についての教育を行なうことが第一義的に求められます。


 どんなに高額な費用をかけてセキュリティー対策をしても、それらを扱う肝心の「ヒト」をおざなりにすれば、その対策はザルに過ぎません。


 個人情報とはどれか? 漏洩等した場合どうなるのか? 事業所で漏洩する原因はなんだと思うか? といった知識はもとより、その意識をより未然の防止へと向けさせるような従業員等にも考えさせる啓蒙活動を継続して実施することです。漏洩等の危険を小さくする努力が事業主にも希求されるのです。



 Q10.
 名刺はどうなの?


 A10.
 名刺も当然に個人情報に含まれます。ただし、個人情報取扱事業者とされるためには「個人データ」の総数が過去6ヶ月以内のいずれかの日において5000を超えることが要件です。

 この場合、名刺が即個人データに該当するとは限りません。たとえば、名刺をエクセルに打ち込み、かつ、その事業所の誰もが容易に検索することができる状態であるならば、その名刺は個人データに該当します。


 しかし、ひとりの営業マンが自身の机の引き出しに入れている状態で、誰でも簡単に見ることができるけれども、その分類方法は当の営業マン独自のものであるため、他の者にはその規則性が皆目見当もつかないようになっている場合は、個人情報ではあっても個人データではありません。


 この場合には、その営業マンの名刺は個人情報取扱事業者とされるための個人データにはカウントされませんし、個人データ・保有個人データについての規制もかからないことになります。


Q11.
 退職する社員の名刺は?

独立を考えている社員がいるとしましょう。彼はその企業で培った人脈を最大限に利用したいと考えています。この場合、彼がその会社在籍中に交わした名刺を持って退職することは可能でしょうか?


 A11.
 彼が会社在籍中に交わした名刺はあくまでも「企業のもの」であって、その一員である彼の所有物ではありません。名刺を交換した相手も、通常はA社に勤務している彼に渡したのであり、彼個人ではないと考えるべきです。

もちろん、彼そのものに手渡したという場合もありうるでしょうが、一般的にはA社の彼とすべきです。

ですから、退職時に名刺を持ち出すことはできません。もし彼が持ち出せば、それは「個人情報の漏洩」と捉えることができます。


 Q12.
 そもそも個人情報保護法とは?


 A12.
 相談でも多いのですが、個人情報漏洩=処罰の対象(損害賠償請求等)。こう考えておられるふしがあります。

 では、そもそも個人情報保護法は何を目的としているのか?

 
個人情報の適切な管理監督。

 若干言葉足らずかもしれませんが、同法が求めているのはあくまでもこれです。漏洩後について規定しているのではなく、漏洩することがないよう事前に最善の注意をはらうようにして下さいな、ということです。

ですから、個人情報が漏洩してしまったとしても、即刻損害賠償義務が生じるわけではありません。同法は行政上の責任を問うのであって、刑事上・民事上の責任まで課せられているわけではないのです。


 Q.13

 センシティブ情報とは?


 A.13
 情報漏洩が起こり訴訟になった場合に、その損害賠償金額が高額になるとされているのがいわゆるセンシティブ情報(機微な情報)ですが、「センシティブ情報」といわれてもなかなか分かり難いものです。

 ですからもう少し簡単に説明しておきます。

 センシティブ情報とは下記のような情報と考えられる。

・身体や精神の障害に関する情報
・病気に関する情報
・政治活動に関する情報
・内面に関する情報  等

ようするに、通常は他人に知られたくはない情報をいいます。
 
相談はお気軽に




 たなか社会保険労務士事務所


  社会保険労務士/キャリア・コンサルタント

 田中 雅也




社会保険労務士のページ
メールを送信 トップページへ戻る メールマガジン

〜現在2つのメルマガを配信中です
小さな会社・事業所の個人情報保護対策へ戻る 個人情報保護に向けての、最初のステップ 事業主さん、いよいよ個人情報保護法が全面施行です。
個人情報保護法

〜適正取得と利用目的の通知又は公表〜
パートタイマー規程も重要です ご相談・お問い合わせ
業務案内 労働基準法関連 助成金関連




キャリア・コンサルタントとしてのページ
メールで相談してみる キャリア・コンサルタントって何者? 職務経歴書の書き方
送付状の書き方