個人情報の取り扱いは適正ですか。


個人情報は、「生存」している「個人に関する情報」です。

故人や実在しない人物についての情報は個人情報に該当しません。


新型コロナウイルス感染症拡大でテレワークやウェブ会議などが増え、様々なサービスがオンラン化され、個人情報に触れる機会も増えています。一方、個人情報に関する取扱いの知識不足から、不適切な取扱いをしているケースも見られます。

企業は従業員、顧客などの個人情報について理解を深め、適切な取扱いをすることが求められます。



個人情報とは



個人情報とは特定の個人を識別できるもので、マイナンバーや免許証番号など個人を特定できる番号(個人識別符号)などを指しています。

氏名、住所、顔写真以外でも、他の情報と簡単に照合でき、そこから特定の個人を識別できる情報も含まれます。

たとえば、生年月日のみでは個人を識別できないため個人情報には当たりませんが、氏名と合わせると個人を識別できるため個人情報に当たります。



要配慮個人情報とは?



個人情報の中でも、他人に知られると本人に対する不当な差別や偏見などの不利益が生じる可能性があり、配慮が必要な情報に「要配慮個人情報」があります。


要配慮個人情報とは、人種、信条、社会的身分、病歴、障害、医師等により行われた健康診断、その他の検査の結果、保健指導、診療・調剤情報などをいいます。健診の結果は要配慮個人情報となるため、漏えいが起きないよう取扱いには注意が必要です。


これらの情報を取得するときは、事前に本人からの同意が必要です。

ただし、法令等で定められている定期健康診断(年1回の健診健診)などの結果は、本人の同意がなくても企業が取得できるとなっていますが、ストレスチェックや生活習慣病などの情報を取得するときは本人の同意が必要です。



個人情報保護法の用語の定義



個人情報保護法では、個人情報を容易に検索できるようまとめたデータに「個人情報データベース等」「個人データ」「保有個人データ」などの区分があり、用語は似ていますがそれぞれ定義が異なり、定義によって課せられる義務も異なります。





企業で使用、保有している個人情報



個人情報は、顧客だけではなく、雇用している従業員なども対象になります。

ほとんどの企業で、手続きや管理のために従業員などの個人情報を取得していますが、取得時には利用目的の具体的な特定と、本人が利用目的を認識できる状態であることが必要です。また漏えいや紛失などが生じないよう、安全に管理しなくてはいけません。個人情報を第三者へ提供(税理士、社労士など)するときは、あらかじめ本人から「同意」を得ておく必要もあります。


ただし従業員の個人情報に関しては使用目的はある程度決まっているので、就業規則に個人情報の取扱いについて規定し、雇用契約書またはそれに付随する誓約書に「就業規則に記載された通りの個人情報の取扱等について同意する。」と記載し、署名をもらうことで事前対応ができます。


企業内で個人情報にかかわる者(人事部、総務部、役職者など)を明確にし、個人情報の取扱いについての研修や、管理方法についての指導を行い、適切な運用制度の整備を行ってください。



個人情報保護法の罰則



個人情報保護法の違反には厳しい罰則があります。

個人情報保護法に基づいて設置されている個人情報保護委員会(内閣府の所管の行政委員会)による命令違反の罰則は強化されており、法人は1億円以下、行為者は1年以下の懲役または100万円以下の罰金」となっております。


その他にも、個人情報データベース等の不正流用では「1年以下の懲役または50万円以下の罰金」などもあります。

違反をした人だけはなく、企業も責任を問われるため、罰則は両方に適用(両罰規定)されます。罰則が適用されなくても、個人情報を漏えいなどのケースでは、プライバシー権侵害などで賠償責任を負う可能性もあります。



社内の職場の状況や採用に従業員の個人情報を使用



採用活動や、職場の雰囲気を伝えるため、企業サイトやSNSに在職者の写真を掲載しているケースが増えています。在職者の写真で個人が特定(顔写真など)できる情報は個人情報にあたるため、利用目的や範囲を伝えておかなければなりません。


退職した従業員の写真が企業サイトや募集サイトに掲載されたままで、後日トラブルになっているケースもあります。トラブルを防ぐためにも事前に利用目的、範囲、期間などをあらかじめ書面(「個人情報(写真)の利用についての同意書(任意書式)」)で明確に説明されることをおすすめします。



社内や店内の防犯カメラの映像は個人情報なのか



社内状況の把握や防犯のために、カメラを設置している企業も増えてきています。取得されたカメラ画像の特定の個人が識別できるときは「個人情報」にあたるため、利用目的の通知・公表をしておく必要があります。

方法としては、従業員へはあらかじめ利用目的の説明の実施を行い、社外から来られる方(営業や店舗に来店される方など)向けには「カメラ作動中」の掲示、企業サイトでのプライバシーポリシー公表などを徹底してください。



まとめ



SNSなどの普及もあり個人情報への関心が高まっている一方、どこまでが個人情報なのか、どこから管理が必要なのかの認識が曖昧になっています。

「知らなかった」「これくらいまでは許容範囲だと思っていた」では従業員の個人情報を守れず、働く上での安心感が損なわれる可能性があります。

個人情報の取扱いや意識向上は、取り扱う担当者だけではなく、企業全体で取り組む課題です。トラブル防止のためにも、事前に対策を検討し実施されることをおすすめします。