相談の広場

このエントリーをはてなブックマークに追加

企業法務

企業法務について、みんなに相談したり、分かるときは教えてあげたりと、相互協力のフォーラムです!

総務の森イチオシ記事が満載: 経営ノウハウの泉(人事労務~働き方対策まで)

社内りん議書に記載された個人情報の取扱い(閲覧制限等)

著者 困ったビジネスマン さん

最終更新日:2022年09月01日 13:55


 当方は、不動産事業・保険事業等を営む中小企業で、不動産事業部の部長です。

 このたび、部内で「パートスタッフの雇用契約締結」に関するりん議について、電子データにより決済(以下「電子ワークフロー」)しました。
 そして、この「パートスタッフの雇用契約締結」に関するりん議書に、「氏名」「時給」等の記載(以下「本件事案」)があったことから、弊社の監査役から、次の指摘を受けました。

監査役指摘事項】
① 「時給」は個人情報に当たるのではないか。
② 「時給」が個人情報に当たるのであれば、個人情報保護の観点から何らかの対策が必要ではないか
③ この度の電子ワークフローでは、「起案者」「管理者(A担当)」「決裁者(部長)」以外の者を含め、不動産事業部(A担当・B担当・C担当)の全員(25名)が閲覧できる状況であった。
  少なくとも、担当単位での閲覧に制限するべきではないか。
④ 適切なセキュリティが講じられない場合、個人情報が記載されたりん議書の電子ワークフローによるりん議は適切でなく、紙によるりん議に見直すべきではないか。

これらの指摘に対し、当方は次のように考えますが、いかがでしょうか?

【当方見解】
① 「時給」自体は、個人を特定できる情報ではないので、個人情報に当たらない。
 しかし、「氏名プラス時給」という情報になると、個人情報に当たる。
② 「氏名プラス時給」は、個人情報に当たるので取扱いに注意すべき情報。
 しかし、社内りん議という、あくまで社内に留まる取扱いであり、個人情報の閲覧の可能性が社内に留まる限り、個人情報保護法における漏えいには当たらない。
③ 一方、社外への個人情報漏えいの可能性を排除するため、社内閲覧に留まる場合であっても、悪意をもった社員による漏えいの可能性も考慮し、適切なセキュリティ(閲覧制限等)が必要である。
④ 紙によるりん議への見直しは、電子ワークフローの利便性は高いので、悪意をもった社員による漏えいの可能性と比較考量し、検討したい。
 なお、就業規則では、個人情報漏えいが懲戒事由に当たると明記している。

 また、個人情報保護法の法的性格といいますか、正確性を欠くかもしれませんが、次のような理解をしていますがいかがでしょうか?
 ・個人情報が社外に流出した場合の企業の責任について、流出した以上、
  注意義務を果たしたとは言い切れず行政処分等を受けることになるので、
  一種の「無過失責任」である。


 よろしくお願いします。

スポンサーリンク

Re: 社内りん議書に記載された個人情報の取扱い(閲覧制限等)

こんにちは。

確かに監査役からの意見は理を得ているとおもいます。
今回の稟議書の案件については、以下の2点を会社としてどうとらえられていたのかで判断が異なることもあります。

稟議書が必要なケース①:求人広告や人材サービス会社を通じて募集を開始する際(募集のための稟議書
稟議書が必要なケース②:採用したい人材が決まった際(入社のための稟議書

通常、年度計画で人材の採用計画などを起こしていると思います。
ただし、社内での業務の進行状況によっては急遽、正社員パートある大との採用が急務となることもあります。

通常の人材募集をかける際の稟議書等の必要事項は以下の点になります。
此の点については、今回は⓵に当たるケースではないかと思います。
項目①:採用予定人数・配属先・職種・雇用形態
項目②:募集理由
項目③:募集期間・入社予定日
項目④:応募資格(応募要件)
項目⑤:募集方法・費用

ちなみに、お話の件は②のケースですが、
項目①:採用予定者についての情報
項目②:採用理由
項目③:入社予定
項目④:就業場所・職種・仕事内容
項目⑤:労働条件
等記入後、役員担当部署などへの回覧など求稟議決裁に応じることを求めます。

この稟議案には、あくまでもパートアルバイトの方々の募集に関する要点を記載することが必要です・

お話のケースは、稟議案件ではなく、募集確認後の紹介案件とみなすことを求めたものと判断すべきでしょう。
これには労働条件等の表記はあまり記載はしません

今後は、稟議書規程 社内報規則等適切に管理してください。

Re: 社内りん議書に記載された個人情報の取扱い(閲覧制限等)

著者株式会社BMGTさん (専門家)

2022年09月02日 09:32

稟議書の電子化の件は時代の趨勢として取り入れるべきだと思います。
紙媒体での稟議だから情報漏洩が無いというのはあり得ません。悪意を持てば紙の方が外部持ち出しやコピーやスキャン(写メ含む)による流出リスクは大きくなります。

ご質問の件で一番大きな問題は、不動産事業部の全員(25名)が閲覧できる状態という事です。
この25名の人達は採用時の決裁や入社手続きや給与支払い事務などの関係者でしょうか?
もし、人事に関係ない人であれば閲覧権を与える事が間違いです。

電子決裁を含む業務フローを導入する場合、決裁権(確認・承認・決裁の別も含む)や閲覧権・情報へのアクセス権の設定が最も重要です。
これを怠ると情報漏洩のみならずモラルの低下が生じます。

また、最近は情報セキュリティの強化を図るべく、従業員のPCの設定を厳しくする傾向があります。(ファイル送受信の制限やスクリーンショット機能の制限など…)

Re: 社内りん議書に記載された個人情報の取扱い(閲覧制限等)

著者boobyさん

2022年09月02日 10:48

他の方のご回答にもありますが、個人情報の漏洩が容易に可能となる状況を会社が放置していることも個人情報保護法に抵触します。従って、不動産事業部25人が全員個人情報を閲覧できる状況にしたことは会社の過失となります。今回の状況は無過失責任には当たらないと思います。過失であることを認識していなかったことは無過失ではありませんから。

ただし、個人場保護法違反になるのは情報漏洩があって初めて成立することも事実です。今回はインシデントに相当するので、是正処置を行えば法的な問題にはならないと思います。


>
>  当方は、不動産事業・保険事業等を営む中小企業で、不動産事業部の部長です。
>
>  このたび、部内で「パートスタッフの雇用契約締結」に関するりん議について、電子データにより決済(以下「電子ワークフロー」)しました。
>  そして、この「パートスタッフの雇用契約締結」に関するりん議書に、「氏名」「時給」等の記載(以下「本件事案」)があったことから、弊社の監査役から、次の指摘を受けました。
>
> 【監査役指摘事項】
> ① 「時給」は個人情報に当たるのではないか。
> ② 「時給」が個人情報に当たるのであれば、個人情報保護の観点から何らかの対策が必要ではないか
> ③ この度の電子ワークフローでは、「起案者」「管理者(A担当)」「決裁者(部長)」以外の者を含め、不動産事業部(A担当・B担当・C担当)の全員(25名)が閲覧できる状況であった。
>   少なくとも、担当単位での閲覧に制限するべきではないか。
> ④ 適切なセキュリティが講じられない場合、個人情報が記載されたりん議書の電子ワークフローによるりん議は適切でなく、紙によるりん議に見直すべきではないか。
>
> これらの指摘に対し、当方は次のように考えますが、いかがでしょうか?
>
> 【当方見解】
> ① 「時給」自体は、個人を特定できる情報ではないので、個人情報に当たらない。
>  しかし、「氏名プラス時給」という情報になると、個人情報に当たる。
> ② 「氏名プラス時給」は、個人情報に当たるので取扱いに注意すべき情報。
>  しかし、社内りん議という、あくまで社内に留まる取扱いであり、個人情報の閲覧の可能性が社内に留まる限り、個人情報保護法における漏えいには当たらない。
> ③ 一方、社外への個人情報漏えいの可能性を排除するため、社内閲覧に留まる場合であっても、悪意をもった社員による漏えいの可能性も考慮し、適切なセキュリティ(閲覧制限等)が必要である。
> ④ 紙によるりん議への見直しは、電子ワークフローの利便性は高いので、悪意をもった社員による漏えいの可能性と比較考量し、検討したい。
>  なお、就業規則では、個人情報漏えいが懲戒事由に当たると明記している。
>
>  また、個人情報保護法の法的性格といいますか、正確性を欠くかもしれませんが、次のような理解をしていますがいかがでしょうか?
>  ・個人情報が社外に流出した場合の企業の責任について、流出した以上、
>   注意義務を果たしたとは言い切れず行政処分等を受けることになるので、
>   一種の「無過失責任」である。
>
>
>  よろしくお願いします。
>

Re: 社内りん議書に記載された個人情報の取扱い(閲覧制限等)

著者wrxs4さん

2022年09月02日 16:10

横から失礼します。また、論点の逸脱をお許しいただけるのであれば、以下のとおり。

この場合は、個人情報等の問題というより、社内における内部情報管理の問題ではないかと考えます。

監査役のご指摘という事ですので、内部統制の観点と存じますが、機微情報を含めた内部情報については、必要最小限の方のみが触れることが出来る態勢が望ましいということではないかと。職位、職種に応じた適切な(閲覧)権限の付与、不必要な社員等が不必要な情報に触れる事の出来ない態勢構築が必要という事です。

社外に漏れる漏れないもそうですが、社員・パートスタッフに拘わらず、自分の賃金を特定であっても多数の方に閲覧できるようになっているという事に違和感はないか?勿論、パートの種別で全て同じ時給であり、そのパートの種類は周知されているという事であれば、この限りではありませんが。。。

態勢が整備されていないと、紙であってもワークフローであっても、悪意のある人の社外持出しは回避できないというのが、経験則上の結論です。勿論、それによりどなたかが被害を訴えるのであれば、閲覧権限の付与等(その他合理的な管理方法)ににより適切に管理していたという反論が必要になると思います。

>
>  当方は、不動産事業・保険事業等を営む中小企業で、不動産事業部の部長です。
>
>  このたび、部内で「パートスタッフの雇用契約締結」に関するりん議について、電子データにより決済(以下「電子ワークフロー」)しました。
>  そして、この「パートスタッフの雇用契約締結」に関するりん議書に、「氏名」「時給」等の記載(以下「本件事案」)があったことから、弊社の監査役から、次の指摘を受けました。
>
> 【監査役指摘事項】
> ① 「時給」は個人情報に当たるのではないか。
> ② 「時給」が個人情報に当たるのであれば、個人情報保護の観点から何らかの対策が必要ではないか
> ③ この度の電子ワークフローでは、「起案者」「管理者(A担当)」「決裁者(部長)」以外の者を含め、不動産事業部(A担当・B担当・C担当)の全員(25名)が閲覧できる状況であった。
>   少なくとも、担当単位での閲覧に制限するべきではないか。
> ④ 適切なセキュリティが講じられない場合、個人情報が記載されたりん議書の電子ワークフローによるりん議は適切でなく、紙によるりん議に見直すべきではないか。
>
> これらの指摘に対し、当方は次のように考えますが、いかがでしょうか?
>
> 【当方見解】
> ① 「時給」自体は、個人を特定できる情報ではないので、個人情報に当たらない。
>  しかし、「氏名プラス時給」という情報になると、個人情報に当たる。
> ② 「氏名プラス時給」は、個人情報に当たるので取扱いに注意すべき情報。
>  しかし、社内りん議という、あくまで社内に留まる取扱いであり、個人情報の閲覧の可能性が社内に留まる限り、個人情報保護法における漏えいには当たらない。
> ③ 一方、社外への個人情報漏えいの可能性を排除するため、社内閲覧に留まる場合であっても、悪意をもった社員による漏えいの可能性も考慮し、適切なセキュリティ(閲覧制限等)が必要である。
> ④ 紙によるりん議への見直しは、電子ワークフローの利便性は高いので、悪意をもった社員による漏えいの可能性と比較考量し、検討したい。
>  なお、就業規則では、個人情報漏えいが懲戒事由に当たると明記している。
>
>  また、個人情報保護法の法的性格といいますか、正確性を欠くかもしれませんが、次のような理解をしていますがいかがでしょうか?
>  ・個人情報が社外に流出した場合の企業の責任について、流出した以上、
>   注意義務を果たしたとは言い切れず行政処分等を受けることになるので、
>   一種の「無過失責任」である。
>
>
>  よろしくお願いします。
>

1~5
(5件中)

    スポンサーリンク

    経営ノウハウの泉より最新記事

    スポンサーリンク

    労働実務事例集

    労働新聞社 監修提供

    法解釈から実務処理までのQ&Aを分類収録

    注目のコラム

    注目の相談スレッド

    PAGE TOP