平成29年春に個人情報保護法が改正されることが予定されており、それに向けた準備が急ピッチで進められています。
しかし、個人情報保護法の改正の内容については難解なものも多くなっています。
一方で年々個人情報に対する意識が高まっており、法律を正しく理解して、個人情報について適切な取り扱いをしなければ、社会的な非難を受け、企業としての信頼を失うリスクがあります。
そこで、今回は、自社の「従業員に関する個人情報の取り扱い」をテーマに、個人情報保護法改正による変更点をわかりやすくご説明したいと思います。
従業員を雇用しているすべての企業がおさえておくべき内容ですので、必ずチェックしておいてください。
今回の記事で書かれている要点(目次)
今回の記事で書かれている要点(目次)
●【個人情報保護法改正】従業員の個人情報取り扱いに関する変更点4つのポイント!
●ポイント1:「個人データの第三者提供の制限ルール」の厳格化に伴う変更点
●ポイント2:「第三者提供時の記録義務のルール」の新設に伴う変更点
●ポイント3:「要配慮個人情報の取得制限のルール」の新設に伴う変更点
●ポイント4:「要配慮個人情報の第三者提供の制限ルール」の新設に伴う変更点
【個人情報保護法改正】
従業員の個人情報取り扱いに関する変更点4つのポイント!
最初に本記事のメインテーマとして、平成29年の個人情報保護法改正に関し、従業員の個人情報の取り扱いについての変更点としておさえておくべき内容をまとめておきます。
従業員の個人情報の取り扱いについての変更点としておさえておくべき内容は、以下の4つです。
【平成29年の個人情報保護法改正】
従業員の個人情報取り扱いに関する変更点4つのポイント!
ポイント1:
「個人データの第三者提供の制限ルール」の厳格化に伴う変更点
ポイント2:
「第三者提供時の記録義務のルール」の新設に伴う変更点
ポイント3:
「要配慮個人情報の取得制限のルール」の新設に伴う変更点
ポイント4:
「要配慮個人情報の第三者提供の制限ルール」の新設に伴う変更点
以下で順番にその内容を見ていきましょう。
ポイント1:
「個人データの第三者提供の制限ルール」の厳格化に伴う変更点
個人情報保護法改正による従業員の個人情報取り扱いに関する変更点の1つ目は、「個人データの第三者提供の制限ルールの厳格化に伴う変更点」です。
結論からいうと、ここでおさえておきたいのは、「従業員の氏名、その他の個人情報について、検索可能な形でwebサイトで公開したり、検索可能な名簿データを取引先に交付するときは、個人情報保護委員会への届出をしない限り、本人の同意が必要になる。」という点です。
以下では、まず、「個人データとは何か」をご説明したうえで、「個人データの第三者提供の制限ルール」の変更点をご説明し、さらに、「個人データの第三者提供の制限ルールが問題となる具体的な場面」についてご説明していきたいと思います。
「個人データ」とは何か?
「個人データ」とは、個人情報のうち、検索可能な方法で管理されているものをいいます。
パソコン上でデータベースとして管理されているものだけでなく、紙媒体であっても例えば「あいうえお順」に並べた名簿などは、「検索可能な方法で管理されているもの」にあたります。
従業員の「氏名」や「生年月日」、「住所」等の個人情報をリスト化して検索可能な形にしたものは、「個人データ」に該当します。
そして、「個人データの第三者提供」とは、個人データをインターネットで公開したり、第三者に伝えることを言います。
従業員の個人データを第三者提供する場面としては以下のようなケースが想定されます。
・自社サイトに従業員の紹介ページを設け、あいうえお順の検索可能な形で従業員の氏名や写真を公開する場合
・自社に業務を委託している発注先から、委託業務に従事する自社の従業員の名簿の提出を求められ、検索可能な形でリスト化し、発注先に提供する場合
・自社株主が第三者への株式の売却を検討するM&Aの場面で、購入検討者に、自社の従業員名簿を閲覧させる場合
「個人データの第三者提供の制限ルールの厳格化に伴う変更点」について
「個人データの第三者提供の制限ルール」とは、個人データをインターネットで公開したり、第三者に伝えることについては、原則として以下のいずれかの方法をとる必要があるというルールです。
●個人データの第三者提供についての正しい方法
方法1:「本人の同意」を得る。
方法2:「オプトアウト手続」と呼ばれる手続きをとる。
このうち、方法2の「オプトアウト手続」とは、本人の同意を得ないで第三者提供するために必要な手続であり、個人情報保護法にその詳細が定められています。
そして、個人情報保護法改正前は、方法2の「オプトアウト手続」が比較的簡単であったため、方法2による第三者提供が多く行われていました。
しかし、平成29年施行予定の個人情報保護法改正で、方法2の「オプトアウト手続」で個人データの第三者提供を行う場合は、「個人情報保護委員会」という国の機関への届出が義務付けられることになりました。
その目的は、本人の同意なく行われる第三者提供について、国の機関への届出を義務付けることにより、違法な第三者提供を防止する点にあります。その結果、個人データの第三者提供については、オプトアウト手続について個人情報保護委員会への届出をしない限り、本人の同意が必要になりました。
本人の同意を得なくても第三者提供ができる「方法2」が難しくなったために、結局、「方法1」の「本人の同意」を得なければ第三者提供が困難になったというのが、「個人データの第三者提供の制限ルールの厳格化に伴う変更点」です。
次に、「個人データの第三者提供の制限ルール」が問題となる具体的な場面としてどのようなものがあるかをご説明したいと思います。
「個人データの第三者提供の制限ルール」が問題となる具体的な場面
前述の通り以下のようなケースは「個人データの第三者提供」に当たります。
・自社サイトに従業員の紹介ページを設け、あいうえお順の検索可能な形で従業員の氏名や写真を公開する場合
・自社に業務を委託している発注先から、委託業務に従事する自社の従業員の名簿の提出を求められ、検索可能な形でリスト化し、発注先に提供する場合
・自社株主が第三者への株式の売却を検討するM&Aの場面で、購入検討者に、自社の従業員名簿を閲覧させる場合
そのため、オプトアウト手続について個人情報保護委員会への届出をしない限り、従業員本人の同意が必要になることに注意が必要です。
従業員の「氏名」を検索可能な形で自社サイトに掲載したり、発注先に従業員の名簿を交付することがある企業は、例えば、雇用契約書において、個人データの第三者提供について従業員の同意を確認する条項を盛り込むなどの工夫が必要になります。
ここでは、個人データの第三者提供の制限に関するルールが厳格化され、個人情報保護委員会への届出をしない限り、第三者提供について本人の同意が必要になるということをおさえておいてください。
【補足】オプトアウト手続きの具体的内容について
オプトアウト手続きによる個人データの第三者提供については、平成29年施行予定の個人情報保護法改正で、個人情報保護委員会への届出が義務付けられたことについてご説明しましたが、改正前と改正後のオプトアウト手続きの具体的内容については、以下の通りです。
●改正前(現行法)のオプトアウト手続き
改正前の現行法では、あらかじめ、以下の項目を本人に通知、又は本人が容易に知り得る状態に置いているときは、本人の同意がなくても、個人データを第三者に提供できます。
1,第三者への提供を個人データの利用目的とすること。
2,第三者に提供される個人データの項目。
3,第三者への提供の手段又は方法。
4,本人の求めがあったときは、個人データの第三者への提供を停止すること。
現行法においては、例えば、これらの項目を適切な方法によりWebサイト上に掲載するなどのケースでも適法な手続と理解され、本人の同意なく第三者提供を行うことができました。
●改正後のオプトアウト手続き
改正後の個人情報保護法では、まず、オプトアウト手続きの内容について個人情報保護委員会への届出が義務付けられました。
そのうえで、前述した「本人に通知し、又は本人が容易に知り得る状態におかなければならない項目」について、改正前の「1~4」の項目に加えて5つ目の項目として「第三者への提供の停止の求めを受け付ける方法」が新たな項目として追加されました。
さらに、「本人に通知し、本人が容易に知りうる状態におく方法」について、「本人が提供の停止を求めるために必要な期間をおくこと」と、「本人がこれらの5つの項目を確実に認識できる方法によること」という制限が設けられました。
このように、改正法では、「個人情報保護委員会への届出が義務付けられたこと」、「本人が容易に知り得る状態におかなければならない項目が1つ追加されたこと」、「本人が容易に知りうる状態におく方法について一定の期間をおいたうえで本人が確実に認識できる方法によることという制限が設けられたこと」の3点において、現行法よりもオプトアウト手続きが厳格化されています。
ポイント2:
「第三者提供時の記録義務のルール」の新設に伴う変更点
個人情報保護法改正による、従業員に関する個人情報取り扱いの変更点の2つ目は、「第三者提供時の記録義務のルールの新設に伴う変更点」です。
結論から言うと、ここでおさえておきたいのは、「従業員の氏名、その他の個人情報を検索可能な形でwebサイトで公開したり、検索可能な名簿を取引先に交付するときは、記録の作成と保存が義務付けられた。」という点です。
前述のとおり、本人の同意を得るか、オプトアウト手続をとれば、個人データの第三者提供が可能です。
しかし、その場合であっても、平成29年の個人情報保護法改正により、個人データの第三者提供について「記録の作成と保存」が義務付けられることになりました。
このような「記録の作成と保存」の義務が新設された目的は、個人データの第三者提供が行われた場合に、後日、その適法性を検証することを可能にすることにより、違法な第三者提供を防止する点にあります。
以下で、「個人データの第三者提供について作成が義務付けられる記録の内容」と「記録の作成のタイミング」、「記録の保存が義務付けられる期間」について見ていきましょう。
個人データの第三者提供について作成が義務付けられる記録の内容
個人データの第三者提供について義務付けられる記録の内容は、「本人の同意を得て第三者提供する場合」と、「個人情報保護委員会に届出をしたうえで本人の同意なく第三者提供する場合」で異なります。
以下では、まず「本人の同意を得て第三者提供する場合に義務付けられる記録の内容」についてご説明し、次に、「個人情報保護委員会に届出をしたうえで本人の同意なく第三者提供する場合に義務付けられる記録の内容」についてご説明します。
まず、本人の同意を得て第三者提供する場合に企業が作成を義務付けられる記録の内容は以下の4項目です。
●本人の同意を得て第三者提供する場合に企業が作成を義務付けられる記録の4つの内容
1,提供先の第三者の氏名または名称
2,第三者提供した個人データの本人の氏名
3,第三者提供した個人データの項目
4,第三者提供について本人の同意を得ている旨
これを従業員に関する個人情報の取り扱いについて見ていくと以下の通りです。
1,提供先の第三者の氏名または名称
従業員の氏名その他の個人データを取引先に開示する場合はその取引先の社名を記録することになります。
従業員の氏名その他の個人データをWebサイトで公開する場合は「不特定多数」と記録します。
2,第三者提供した個人データの本人の氏名
これは、「第三者提供したのは誰の個人データか」ということを意味しています。個人データの対象従業員の氏名を記録します。
3,第三者提供した個人データの項目
従業員の個人データのうち、「氏名」、「電話番号」、「メールアドレス」など、どの項目を提供したのかを記録することになります。
4,第三者提供について本人の同意を得ている旨
第三者提供について「本人の同意を得た事実」と、「同意を得た年月日」等を記録しておくのがよいでしょう。
次に、個人情報保護委員会に届出をしたうえで本人の同意なく第三者提供する場合に企業が義務付けられる記録の内容は以下の4項目です。
●個人情報保護委員会に届出をしたうえで本人の同意なく第三者提供する場合に義務付けられる記録の4つの内容
1,個人データを第三者に提供した年月日
2,提供先の第三者の氏名または名称
3,第三者提供した個人データの本人の氏名
4,第三者提供した個人データの項目
このように、本人の同意なく第三者提供する場合は、個人データを第三者に提供した年月日についても記録が義務付けられています。
それでは、「記録の内容」を確認したうえで、「記録の作成のタイミング」についてみていきましょう。
記録の作成のタイミング
記録の作成は、個人データを第三者に提供した都度、すみやかに作成することが義務付けられています。
ただし、同じ第三者に対して、反復継続的に個人データを提供するときは、提供の都度ではなく、まとめて記録を作成することができます。同じ取引先に何度も従業員の氏名等を伝えるケースや、従業員等の氏名をwebサイトに掲載するケースでは、まとめて記録を作成することが適切です。
次に、「記録の保存が義務付けられる期間」について確認しておきましょう。
記録の保存が義務付けられる期間について
記録の保存期間は、第三者提供の時から「3年間」が原則です。
反復継続的に個人データを提供する場合についてまとめて記録を作成したときは、最後に第三者提供をした時から3年間とされています。
取引先に従業員の氏名等を伝えるケースでは最後に伝えた時から3年間、従業員等の氏名をwebサイトに掲載するケースでは、掲載をやめたときから3年間が、記録の保存期間になります。
ここでは、「第三者提供時の記録義務のルール」と、「作成が義務付けられる記録の内容」、「記録の作成のタイミング」、「記録の保存が義務付けられる期間」についておさえておきましょう。
ポイント3:
「要配慮個人情報の取得制限のルール」の新設に伴う変更点
個人情報保護法改正による、従業員に関する個人情報取り扱いの変更点の3つ目は、「要配慮個人情報の取得制限のルールの新設に伴う変更点」です。
結論から言うと、ここでおさえておきたいのは、「病歴に関する情報など要配慮個人情報については、本人の同意がない限り、取得が原則として禁止された。」という点です。
これは、個人情報保護法改正により、「要配慮個人情報」という分類が新たに設けられ、この要配慮個人情報については本人の同意がない限り原則として取得自体が禁止されたことによるものです。
以下では、まず、「要配慮個人情報とは何か」をご説明したうえで、「要配慮個人情報の取得制限のルール」と「ルールが問題となる場面の具体例」についてご説明していきたいと思います。
「要配慮個人情報」とは?
「要配慮個人情報」とは、人種、信条、社会的身分、病歴、犯罪歴、犯罪による被害歴などに関する個人情報を指します。
これらの情報については、その取り扱いの方法によっては不当な差別や偏見を生じさせるおそれがあるとして、平成29年に施行される個人情報保護法改正で、通常の個人情報よりさらに厳格なルールが定められました。
要配慮個人情報のうち、従業員との関係で特に問題になりやすいと思われるものが、健康関連の情報です。
健康関連の情報として要配慮個人情報に該当するものは以下のようなものです。
●健康関連の情報のうち、要配慮個人情報に該当する情報
1,病歴に関する情報
2,心身の機能の障害に関する情報
3,健康診断の結果に関する情報
4,健康診断等の結果に基づき、医師により行われた診療、調剤等に関する情報
このように、従業員の健康に関する情報について、「要配慮個人情報」に該当するものがあることをおさえたうえで、次に「要配慮個人情報の取得制限のルール」についてみていきましょう。
「要配慮個人情報の取得制限のルール」について
要配慮個人情報の取得制限のルールとは、「要配慮個人情報については原則として本人の同意がない限り取得できない」というルールです。
そのため、従業員の健康情報のうち要配慮個人情報にあたる情報について、健康診断を実施した医療機関から企業が直接取得したり、あるいは従業員の家族から取得する場合には、従業員の同意が必要であることに注意が必要です。
従業員に関する個人情報の取り扱いについて、「要配慮個人情報の取得制限のルール」が問題となりうる場面の具体例は以下の通りです。
「要配慮個人情報の取得制限のルール」が問題となりうる場面の具体例
具体例1:
体調不良を訴えている従業員の就業の可否等について、企業が産業医の意見を確認する場面。
具体例2:
体調不良により休職する従業員について、会社が従業員の家族に相談し、家族から従業員の健康に関する情報をヒアリングする場面。
具体例3:
体調不良により休職中の従業員について復職の希望があった場合に、会社が家族から従業員の健康に関する情報をヒアリングして、復職の可否を検討する場面。
具体例4:
従業員に関する健康診断の結果について、会社が医療機関から直接情報を取得する場面。
(ただし、会社が取得する健康診断の結果が、法律上義務付けられている健康診断の項目に関するもののみである場合は除きます)
このように、休職や健康診断の場面で、要配慮個人情報にあたる健康情報を取得する場合は、本人の同意が必要であることに注意しておきましょう。
ポイント4:
「要配慮個人情報の第三者提供の制限ルール」の新設に伴う変更点
個人情報保護法改正による、従業員に関する個人情報取り扱いの変更点の4つ目は、「要配慮個人情報の第三者提供の制限のルールの新設に伴う変更点」です。
結論から言うと、ここでおさえておきたいのは、「病歴に関する情報など要配慮個人情報については、本人の同意がない限り、第三者提供が原則として禁止された。」という点です。
前述のとおり、要配慮個人情報でない個人データについては、個人情報保護委員会への届出が必要ではありますが、本人の同意なく個人データを第三者提供することが認められています。
しかし、要配慮個人情報については、特に厳格なルールが定められ、本人の同意がない限り第三者への提供が原則として禁止されました。
以下では、従業員に関する個人情報取り扱いに関し、「要配慮個人情報の第三者提供の制限のルール」がどのような場面で問題となりうるかを見ていきましょう。
「要配慮個人情報の第三者提供の制限のルール」が問題となりうる場面の具体例
具体例1:
体調不良により休職する従業員について、会社が従業員の家族に対し、従業員が会社に提出した診断書の内容や産業医による診断内容を伝える場合。
具体例2:
体調不良により休職中の従業員について復職の希望があった場合に、会社が従業員の主治医と面談して取得した情報や、産業医による診断内容を家族に伝える場合。
このように、特に病気による休職や、休職からの復職の場面で、会社が取得した要配慮個人情報を家族等の第三者に開示するような場面では、本人の同意が必要となることに注意しておきましょう。
まとめ
今回は、平成29年に施行されることが決まっている個人情報保護法改正への対応について、「従業員の個人情報取り扱い」をテーマにご説明しました。
従業員の個人情報の取り扱いについての変更点としておさえておくべき内容は、以下の4つです。
ポイント1:
「個人データの第三者提供の制限ルール」の厳格化に伴う変更点
ポイント2:
「第三者提供時の記録義務のルール」の新設に伴う変更点
ポイント3:
「要配慮個人情報の取得制限のルール」の新設に伴う変更点
ポイント4:
「要配慮個人情報の第三者提供の制限ルール」の新設に伴う変更点
個人情報に関する意識が年々高まっており、改正法への対応に不備があれば、従業員とのトラブルや顧客とのトラブルに発展し、企業の信頼を失う危険があります。
改正への対応は万全にしておきましょう。
個人情報保護法の改正に伴い、「自社の対応に不安がある」、「改正法に具体的に対応したい」など、お困りの事がございましたら、個人情報保護法に強い咲くやこの花法律事務所の弁護士へ相談して下さい。
なお、個人情報改正については現在、改正に向けてガイドラインの作成などが進められており、今後の動向にも十分に注意しておく必要があります。
「咲くや企業法務.NET」でも個人情報保護法に関連する記事を提供していきたいと思いますので、定期的にチェックしてみてください。
個人情報保護法に強い咲くやこの花法律事務所の弁護士へのお問い合わせ
記事作成弁護士:西川 暢春
記事作成日:2016年12月6日