企業の人事部や総務部にとって、個人情報の取り扱いは重要な業務の一つです。しかし、新卒者やキャリアの浅い社員は意外と知らないルールや注意すべきことがあります。
加えて個人情報の取り扱いは法律の規制もあるため「知らなかった」では済まされません。そこで、この記事では個人情報の基礎知識や取扱上の注意点など、情報管理の重要性を幅広くまとめました。自分では理解しているつもりでも意外と「え、これもだめなの?」ということもありますので、この機会に「個人情報」の取り扱いについて再確認しておきましょう。
目次
個人情報とは?
一言で個人情報といってもその範囲はどこからどこまでを指すのでしょうか。まずは法律を元に個人情報とは何かを把握しましょう。
個人情報の定義
国が定めた「個人情報の保護に関する法律のガイドライン」によると、個人情報とは次のように定義されています。
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
(1)当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
(2)個人識別符号が含まれるもの
具体的にいうと、(1)は、
- 本人の氏名
- 本人の氏名と生年月日・連絡先(住所・電話番号・メールアドレスなど)・所属組織や役職などを組み合わせた情報
- 特定の個人のものとわかるメールアドレス
- 個人を特定できる防犯カメラ映像や音声情報
- 官報や新聞、ホームページ、SNSなど、公にされている特定の人物とわかる情報などを言います。
(2)は、マイナンバーやパスポート、年金番号などが該当します。
個人情報とプライバシー
「プライバシーの侵害」という言葉を聞いたことがあると思いますが、個人情報とプライバシーは定義が異なります。前者は先ほどもお伝えしたように、特定の個人と識別できる情報です。
一方、後者は他人から干渉されない権利のことを指します。言葉自体は個人情報と同じ感覚ですが、意味が異なるので当然、使い方も異なります。
個人情報と本人確認情報の違い
会員登録や決済、契約などでよく使われる本人確認情報も個人情報と混同されやすい言葉です。本人確認情報は、何かしらの取引が発生したときに個人情報(氏名および氏名と連絡先・性別・生体情報を組み合わせたもの)と紐付けられたものを指します。
そのため、本人確認情報は個人情報に含まれます。しかし、たとえば何かの購入履歴や学歴・職務経歴、活動情報などは本人確認情報に該当しません。
法律の用語や文章は一般的な会話では使わないものが多いので、わかりづらいことがよくあります。とはいえ、人事部や総務部で働く以上、その知識は必要不可欠です。
こんなにある!会社が知っている従業員の個人情報
会社は従業員を雇い入れる場合、履歴書や面接などで単に応募してきた人のスキルがわかれば良いというものではありません。実際に入社となれば、昇進や給料の支払いのみならず、税金や社会保険の手続きも代行します。そのため、会社は従業員の個人情報を幅広い範囲で知る必要があります。
属性情報
これは主に履歴書や職務経歴書に記載する情報です。
- 基本情報:氏名・生年月日・住所・電話番号・メールアドレス・顔写真
- スキルに関わる情報:学歴・職務経歴・趣味・特技・保有資格・大学の成績や特定試験の点数
- 勤務形態に関わる情報:家族の介護や本人の障害の有無・子育ての状況
- 給与の支払いに関わる情報:婚姻の有無・扶養家族の有無・マイナンバー・基礎年金番号
健康情報
従業員が健康的に継続して働ける環境を整えることは会社の役割です。そのため、会社は従業員の健康情報(健康診断結果・ストレスチェックの結果・医療費・既往歴)を把握する必要があります。
実際、労災や傷病手当金の申請といった手続きは総務部が担当するのが一般的です。また人事部は健康情報によって人事異動を行う場合があります。
所得情報
これは単に給与や賞与の情報だけではなく、不動産所得や住宅ローン、生命保険の加入状況なども含まれます。なぜなら、会社は給与所得者の年末調整を行う義務があるからです。
また福利厚生によって社宅や家賃補助といった住宅手当のある会社の場合は、賃貸契約書など住まいの情報も把握する必要があります。
その他、扶養家族に一定額以上の収入があると税額が変わるので、会社は従業員に対して幅広い情報提供を求めます。
社内での活動情報
社内での活動情報とはいわゆる勤怠情報です。人事部は経営視点から考えると、従業員を適材適所に配置することで、企業の成長に貢献します。
つまり、勤怠管理は給与の支払いだけでなく、人事異動の判断材料になるため、他の情報と同じく重要な情報と言えるでしょう。
従業員の立場からすると、会社に監視されているような気分になるかもしれません。しかし、会社として人を雇うということは、従業員の生活を守ることです。社内の事情だけでなく、公的な手続き上、従業員の個人情報を管理することは人事部・総務部の役割と言えます。
個人情報の取得・利用時に注意すべきこと
個人情報は従業員だけでなく、企業が提供するサービス上、顧客情報も取得することがあります。ただ従業員でも顧客でも個人情報の取得・利用にあたっては注意が必要です。
個人情報の収集目的を伝える
そもそも個人情報を取得するときには、その目的を伝えなければいけません。事実、法律にも「個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない」※としっかり記載されています。
※「個人情報の保護に関する法律のガイドライン」個人情報の取得(法第20条第1項関係)より引用
個人情報の利用目的はWebサイトへの掲載でも構いません。たとえば、資料請求や無料体験を申し込むときに利用規約などを表示して、同意を促すようなケースです。
Winスクールではプライバシーポリシーとして個人情報の利用目的を明記しております。
とはいえ、飲食店に電話して出前を頼むように、個人情報の利用目的が明らかなときはそれを伝える必要はありません。
取得情報の安全管理は必須
個人情報は当然ながら、安全管理が求められます。実際、個人情報の流出や漏洩は犯罪につながる場合があります。
そのため、たとえばパソコンや紙ベースの名簿にまとめた場合、パスワードの設定や鍵のかかる場所への保管が必要不可欠です。
よくある個人情報の取り扱いミス
テレビやインターネットでは、個人情報の流出や漏洩といったニュースがときどき流れます。ただその原因が人的ミスというケースは少なくありません。
以下はよくある個人情報の取り扱いミスです。
- 印刷の設定ミスで別の人の情報を印刷し、そのまま送ってしまった。
- 個人情報が書かれた紙をメモ用に使って、他人に渡してしまった。
- 個人情報が載っているものをプレゼンやSNSで公開してしまった。
このように、個人情報はその取得目的を明らかにするだけでなく、取得した情報の安全管理を徹底することも非常に大切です。
個人情報の流出や漏洩時の影響
個人情報の流出や漏洩など、犯罪に悪用されることを防ぐために、実際の事故事例から情報流出・漏洩の防止策を考えていきましょう。
事故事例1:メールの誤送信
ある高校では、新入生の氏名印を作成するためのデータをその制作業者ではなく、他人のメールアドレスに送信してしまいました。
メールアドレスはたった一文字間違えただけでも、正しい宛先に送信することはできません。また一文字違いでもそのメールアドレスが実在すれば誤送信となります。
そのため、個人情報が含まれるデータを送るときはメールアドレスが間違っていないか、メールアドレスの文字や宛先リストの本来送信する相手の前後(選択ミスをしていないか)など、確認の徹底が重要です。
情報元:https://www.hakodate-otani-h.ed.jp/news/2529/
事故事例2:設定ミス
ある通販サイトでは、サイトの運営会社にアカウント登録した特定の出品者のマイページから、同サイトで商品を購入したお客様のデータ(ランダムの50名分)が閲覧できる状態でした。運営会社によると、サイトをリニューアルするとき、設定変更に不具合が生じたとのことです。
サイトのプログラムを変更するときは各機能やページの動作状況など、変更による影響をしっかり把握し、リリースにあたっての確認を怠らないようにすることが大切です。
情報元:https://www.village-v.co.jp/info/16040
事故事例3:データ紛失
ある行政は個人情報が記録されたUSBメモリを紛失してしまいました。USBメモリはパソコン内にしまってあるデータのバックアップ用だったそうです。
USBメモリはとても小さいのでポケットや入れ物から抜け落ちたり、文具や小物に埋もれたりして、どこにあるかわからなくなることがあります。そのため、保管場所をきちんと決めて、使用のために持ち出すときはチェックリストなどで責任の所在を明らかにすることが大切です。
情報元:https://cybersecurity-jp.com/news/82258
人間が扱う以上、ミスを100%なくすことは難しいかもしれません。しかし、個人情報は法規制があるため、厳正に扱うことが求められます。
とりわけ個人情報をよく扱う人事部や総務部の担当者は、過去の事故事例を他山の石として、常に流出・漏洩防止の対策を意識しましょう。
個人情報の第三者提供はどこまでOK?
個人情報の流出や漏洩は禁止されていますが、共有が認められているケースもあります。ここでは第三者提供について詳しく解説します。
第三者提供とは?
「第三者提供」とは文字通り、取得した個人情報を他者に提供することで、本人の同意がない限り認められておりません。「提供」とは単にデータを渡す行為に限らず、インターネット上で閲覧できる状態も当てはまります。
たとえば、会社の宣伝になるといって従業員の個人情報を会社のSNSやホームページに勝手に載せるのはNGです。またこの法律で言う他者とは、他の事業者だけでなく子会社やグループ会社も含まれるので、個人情報を提供する場合は本人の同意が必要になります。
第三者提供の特例
第三者提供には例外があり、次の3つは本人の同意を得ずに個人情報の提供が可能です。
(1)委託先へ提供する場合
たとえば、通販サイトで商品の注文があり、配送業者にお客様の住所や名前を提供することです。ただし、業務の一部または全部を委託しているとき、委託元は委託相手が個人情報の保護をきちんとしているか監督する義務があります。
(2)共同利用をする場合
文字通り、複数の事業者が利用・管理することを言います。個人情報の取得時にあらかじめ本人に通知しておくことで、たとえばグループ会社で緊急連絡フローを作成するため、社員の連絡先を共有するようなケースです。
(3)事業承継をする場合
合併や分社化、事業譲渡により、個人情報が別の会社に引き継がれることを意味します。これは事業者が変わっただけで、事業内容が変わらなければ問題ないという解釈です。しかし、当初の利用目的と異なる目的で個人情報を利用するときは、本人の同意が必要です。
社内での情報共有
子会社やグループ会社は他者とみなされますが、社内の場合は別の部署に個人情報を提供しても問題ありません。書類をデスクの右側の引き出しから左側の引き出しに移すのと同じ解釈です。
ただし、先ほどの事業継承の例と同じく、最初の利用目的の範囲を超えて個人情報を利用する場合は本人の同意が必要です。
そのため、以下のようなケースは要注意です。
- NG:人事部や総務部が把握している社員の健康診断結果を業務に関係のない営業部に開示する
- NG:給与を決める社員の評価を担当の管理者以外に開示する
- OK:仕事をスムーズに進めるため、同僚や上司に社員の趣味や特技の情報を共有する
まとめ
企業は業務上、従業員や顧客の個人情報を取り扱いますが、その取り扱いには法的な規制があります。そのため、個人情報の取り扱いに関しては正しい知識を取り入れ、少なくとも情報の流出や漏洩といったミスを防ぐことが必要不可欠です。とりわけキャリアの浅い社員は社会のルールをきちんと身につけ、日々の業務において意識ある行動を心がけましょう。
各種お申込みやご相談、助成金に関するご質問などございましたら、
お気軽にお問い合わせください。
法人サービス専門ダイヤル
0120-20-9829
0120-20-9829
受付時間 9:00〜20:00(土日祝 9:00〜18:00)
