2017.08.01
法改正情報
改正個人情報保護法のポイントと従業員の個人情報管理の実務上の留意点
今回は、2017年-5月30日に改正施行された個人情報保護法について解説します。
個人情報保護法は、2005年に施行されてから10年余りが過ちますが、この間に情報通信技術が急速に進展し、最近では、顔認証データや指紋認証データなど個人情報に該当するかどうかの判断が困難なグレーゾーンの拡大や、匿名加工情報、いわゆるビッグデータへの対応など、法制定当時には想定されなかったような問題が顕在化しています。今回の改正は、主にこのような状況に対応するために行われたものです。
[最新]2020年・2021年の改正個人情報保護法コラム: 「マイナンバー法および個人情報保護法の改正(前編)」
1.個人情報保護法の適用範囲の拡大
まず初めに、「個人情報保護法の適用範囲の拡大」について解説します。これまで個人情報保護法では、5,000人を超える個人情報を保有する事業者のみを個人情報取扱事業者として法の適用対象としてきましたが、改正後は、個人情報を取り扱うすべての事業者に個人情報保護法が適用されることとなりました。これまで法の適用対象となっていなかった小規模事業者の中には、管理が十分でなかった事業者も少なくないものと思われますが、今後は、法違反による罰則が適用される可能性もあり、企業としては情報管理や社員教育などの社内体制の見直し・整備を早急に行うことが求められます。
2.第三者提供に関する手続き
次に、個人データの「第三者提供に関する手続き」について見ていきたいと思います。改正法では、個人データを第三者に提供する場合あるいは第三者から提供を受ける場合には、提供先の名称その他の事項について記録を作成し保存することが義務づけられることとなりました。
ただし、次の3つのケースでは提供先が「第三者」に当たらないものとされており、提供についての本人の同意を必要とせず、また第三者提供にかかる記録を作成・保存する必要もありません。
①委託に伴う提供
まず一つ目は「委託に伴う提供」です。個人データの取扱いに関する業務を委託する場合、その委託先は第三者には当たりません。
たとえば、給与計算業務などをアウトソーシング会社に委託する場合で、自社の従業員情報をそのアウトソーシング会社に提供する場合、アウトソーシング会社は第三者には当たりません。ただし、委託先に対する監督責任が課されている点に留意が必要です。
②事業の承継
二つ目は「事業の承継」です。合併、分社化、事業譲渡等により従業員の個人データを新会社等に提供する場合には、提供先は第三者に当たりません。また、事業承継の契約締結前に、相手会社から自社の調査いわゆるデューデリジェンスを受ける際に、相手会社に自社の従業員情報を提供する場合にも本人の同意を得る必要はありません。ただし、交渉が成立しなかった場合なども想定したうえで、相手会社に安全管理措置を順守させるために、必要な契約を締結しなければならないこととされています。
③共同利用
三つ目は「共同利用」です。特定の者との間で共同利用される個人データをその特定の者に提供する場合であって、共同利用する旨その他の必要事項をあらかじめ本人に通知し、または本人が容易に知り得る状態においているときには、その特定の者は第三者に当たりません。
たとえばグループ会社における従業員の個人データについて、グループ会社間で人事交流やグループ共通の福利厚生制度の運営のために一括管理する場合に、「共同利用」の要件を満たすよう、必要事項を社内イントラネットなどで本人が容易に知り得る状態にしている場合には、第三者提供にかかる記録の作成は不要となります。
3.要配慮個人情報の定義の新設と取扱いの厳格化
続いて、「要配慮個人情報」について見ていきます。今回の改正で要配慮個人情報という概念が新設され、その取扱いが厳格化されました。要配慮個人情報とは、本人に対する不当な差別、偏見その他の不利益が生じないよう、その取扱いに特に配慮が必要な情報をいい、具体的には、「人種」、「信条」、「社会的身分」、「病歴」、「犯罪歴」、「犯罪被害事実」、「その他本人に対する不当な差別、偏見が生じないように特に配慮を要するもの」がこれに該当するとされています。「その他特に配慮を要するもの」としては、「身体障害・知的障害・精神障害等があること」、「健康診断等の結果」、「保健指導、診療・調剤情報」、「本人を被疑者または被告人として、逮捕、捜索等が行われたこと」などが挙げられています。
この要配慮個人情報は、「法令に基づく場合」など一定の場合を除いて、取得および第三者提供を行う場合には、あらかじめ本人の同意を得なければならないこととされています。また、本人にとって周囲に知られたくない非常にデリケートな情報であることが多いため、利用する必要がある場合には、その範囲を必要最小限に留めるべきものとされています。病歴や健康診断、ストレスチェックなどの結果もこの要配慮個人情報に含まれますので、取扱いにはいっそうの注意が必要となります。
4.個人情報管理に関する実務上の留意点
ここまで従業員の個人情報に関する主な改正点について見てきましたが、最後に、企業において実際に起こり得る事例をもとに、個人情報管理の実務上の留意点について考えてみたいと思います。
従業員のうち体調不良により健康への配慮が必要な者について、医師や産業医または本人から診断結果の内容を聞いた際に、就業上の配慮を行うとの観点から、本人の同意を得ることなく本人の所属長に病状、すなわち要配慮個人情報を伝え、就業上配慮すべき事項を指示することは、個人情報保護法との関係で問題はないのでしょうか。
この点について、法では、個人情報を取得する際に、利用目的をあらかじめ本人に通知するか公表しておくことが必要とされており、個人情報の利用にあたっては、その利用目的の達成に必要な範囲内で行わなければならないこととされています。
このため、診断結果などの健康情報について、「従業員の健康管理のため」などの利用目的をあらかじめ通知している場合には、その目的の達成に必要な範囲内で、労働者本人の同意なく所属長に病状などを伝えることとしても問題にはなりません。万が一、最初に明示した利用目的の中に該当する目的がない場合には、あらためて利用目的を通知したうえで本人の同意を得るか、利用目的を変更する必要があります。
なお、職場の同僚や部下などどこまで伝えるべきかが明確でない場合には、本人の同意を得た上で伝えるのが望ましいでしょう。
ヒューマンテック経営研究所
所長 藤原 伸吾(特定社会保険労務士)
※本コラムは、「日経トップリーダー」経営者クラブ『トップの情報CD』(2019年2月号、日経BP発行)での出講内容を一部編集したものです。