社員の”個人情報”の取扱いは適切ですか？個人情報に関するお悩みまとめ③

仕事をする上で切っても切れない個人情報。
そして個人情報保護法上、情報管理の責任を負うのは個人情報取扱事業者になります。

個人情報は名前や住所だけでなく、例えば写真も個人情報に該当します。どんな情報が個人情報に該当するか、あなたはすぐに回答できますか？

本記事では個人情報にまつわる実例お悩みから、

・どんな情報が個人情報にあたるのか。また個人情報にあたる場合、企業が配慮すべき事象は何か
・実際に個人情報を取り扱っている中で起きた疑問

についてピックアップしてみました。
皆さんの会社のリスクヘッジにぜひ目を通してみてください。

1.【これって情報漏洩？】社員の情報が複数の人に見られる事態が発生。個人情報に該当するものはどれか？また適切な対応策とは？

質問日：2022年09月01日
◆質問内容（一部抜粋）

（前略）

このたび、部内で「パートスタッフの雇用契約締結」に関するりん議について、電子データにより決済（以下「電子ワークフロー」）しました。
そして、この「パートスタッフの雇用契約締結」に関するりん議書に、「氏名」「時給」等の記載（以下「本件事案」）があったことから、弊社の監査役から、次の指摘を受けました。

【監査役指摘事項】
①　「時給」は個人情報に当たるのではないか。
②　「時給」が個人情報に当たるのであれば、個人情報保護の観点から何らかの対策が必要ではないか
③　この度の電子ワークフローでは、「起案者」「管理者（A担当）」「決裁者（部長）」以外の者を含め、不動産事業部（A担当・B担当・C担当）の全員（25名）が閲覧できる状況であった。
少なくとも、担当単位での閲覧に制限するべきではないか。
④　適切なセキュリティが講じられない場合、個人情報が記載されたりん議書の電子ワークフローによるりん議は適切でなく、紙によるりん議に見直すべきではないか。

これらの指摘に対し、当方は次のように考えますが、いかがでしょうか？

【当方見解】
①　「時給」自体は、個人を特定できる情報ではないので、個人情報に当たらない。
しかし、「氏名プラス時給」という情報になると、個人情報に当たる。
②　「氏名プラス時給」は、個人情報に当たるので取扱いに注意すべき情報。
しかし、社内りん議という、あくまで社内に留まる取扱いであり、個人情報の閲覧の可能性が社内に留まる限り、個人情報保護法における漏えいには当たらない。
③　一方、社外への個人情報漏えいの可能性を排除するため、社内閲覧に留まる場合であっても、悪意をもった社員による漏えいの可能性も考慮し、適切なセキュリティ（閲覧制限等）が必要である。
④　紙によるりん議への見直しは、電子ﾜｰｸﾌﾛｰの利便性は高いので、悪意をもった社員による漏えいの可能性と比較考量し、検討したい。

（中略）

個人情報保護法の法的性格といいますか、正確性を欠くかもしれませんが、次のような理解をしていますがいかがでしょうか？
・個人情報が社外に流出した場合の企業の責任について、流出した以上、
注意義務を果たしたとは言い切れず行政処分等を受けることになるので、
一種の「無過失責任」である。

（後略）

>質問と返信一覧はこちら
総務の森＜相談の広場＞『社内りん議書に記載された個人情報の取扱い（閲覧制限等）』

2.特定個人情報に関する内容を就業規則に盛り込む際、裏付けや具体策はどこにある？

質問日：2022年08月22日
◆質問内容（一部加筆）

【特定個人情報の利用目的】を就業規則に明記する場合

 

標題の件、サンプル等を拝見していると、
「扶養家族が社会保険諸法令による被扶養者に該当する場合には利用目的の通知について別途定める」
との一文が記載されていますが、これに関して以下2点、ご教示いただけますでしょうか。
①個人情報保護法、その他法令の何を根拠とした一文か
②「利用目的の通知について別途定める」とは具体的にどの様な対応が必要か

>質問と返信一覧はこちら
総務の森＜相談の広場＞『【特定個人情報の利用目的】を就業規則に明記する場合』

3.特定個人情報の保管期間、皆さんの会社ではどのように設定していますか？

質問日：2022年07月22日
◆質問内容（一部抜粋）

特定個人情報等取扱規定の整備を行っております。

（中略）

その中で廃棄の期日についての質問です。
サイトによってまちまちではありますが、「すぐに廃棄」であったり、「事業年度末」であったりと、表記のされ方がまちまちになっています。
個人的には、退職翌年の６月か７月頃が適正ではないのかと思ったりします。
理由としては、年末調整扶養であっても、給与支払報告書は提出しなければなりませんし、万が一誤っていた場合における再提出や修正などに対応するとしたら、２月から３月にかけてだと思うのです。
また、確定申告時期になると、源泉徴収票が必要との声が既存従業員でもあるように退職後社員であっても必要に迫られるケースはあろうかと思います。
そういったことを考えると、住民税の決定通知書が届く５月～６月頃まではあった方がいいのかと。

これらを踏まえて、６月～７月頃という規定の制定にしておけば、柔軟に対応できるかと思いますが、皆様の会社ではいかがでしょうか？

（後略）

>質問と返信一覧はこちら
総務の森＜相談の広場＞『特定個人情報の廃棄について』

4.グループ会社それぞれの産業医が自身の担当する会社以外の健康情報が閲覧できる環境。整備しておくべきことは何？

質問日：2022年05月09日
◆質問内容（全文）

A社、B社、C社、D社…のデータをX社の新しい健康管理システムで管理することになりました。A～X社はすべて同一グループ会社です。
システム内には、健診結果など要配慮情報が含まれます。

各産業医はX社ではなく、それぞれ各社と個別に委託契約をしています。
つまりA社の産業医が、X社のシステムを通じて健康管理を行います。
ただし、このシステムは閲覧範囲の制限をすることができない仕様であるため、A社の産業医は、X社のシステム内でB社、C社、D社…のデータを見ようとすれば見ることができる状況です。

A社の産業医が、B社の健康情報を閲覧することができてしまう状況について、社員の同意、もしくは取り扱い規定の周知などが必要になるでしょうか？
閲覧できることが、即情報漏洩に該当するわけではない、業務委託によるシステムの利用、産業医には守秘義務もあることから、追加で同意や規定周知は不要ではないかと考えていますがいかがでしょうか？
これは委託ではなく共同利用ということになるのでしょうか？

グループ会社間の転籍や出向も頻繁であることや、閲覧範囲の制限を行うにはシステム改修費が大きな負担になることから、閲覧範囲の制限は行いたくないという意図があります。

>質問と返信一覧はこちら
総務の森＜相談の広場＞ 『個人情報保護と健康管理システム』

5.罰則が強化された「改正個人情報保護法」要点を今一度チェック！

2022年4月1日より施行される改正個人情報保護法。皆さんの会社では既に対応済、もしくは対応の最中ではないでしょうか。

今回の法改正により事業者への責務の追加や法令違反によるペナルティが強化されています。
今一度見落としていることが無いかチェックをしていきましょう。

>詳しくはこちら
経営ノウハウの泉『情報は財産からリスクに…？罰則が強化「2022年個人情報保護法改正」の要点まとめ』

最後に〜相談の広場ご紹介〜

『総務の森』は、『経営ノウハウの泉』の姉妹サイト。総務、人事、経理、企業法務に関わる方の、業務のお悩みを解決する日本最大級の総務コミュニティーサイトです。
調べても分からなかったことを質問や相談をしたり、専門家が執筆しているコラムを参考にしたりして、今抱えている疑問や問題を解決していく場を提供しておりますので、ぜひご参考にしてください。

※記載されている返信はいずれも総務の森サイトの会員による投稿文であり、掲載情報の正確性、有効性および完全性等に関して、保証することはできません。
詳しくは、下記「総務の森 利用規約」をご確認ください。

https://www.soumunomori.com/tos/

＊PR Image Factory / Shutterstock