【法改正2022年4月施行】個人情報保護法における労務管理

個人情報の利用と情報提供の規制強化

利用目的の特定

以前まで個人情報を取り扱うにあたっては、以下のようでした。

「利用目的をできる限り特定しなければならない」

これが言うまでもなく曖昧な表現であることから、

「利用目的を、本人に通知し、または公表しなければならない」

と改正されます。

これは、本人が自らの個人情報をどのように取り扱われるのかを想定できない場合、利用目的を特定したことにはなりませんので、本人が予測できる程度に利用目的を特定することが求められるということです。

個人情報取扱事業者の追加情報

次に、個人情報取扱事業者は保有個人データに関して本人の知り得る状態に置かなければならないものの中に、個人情報取扱事業者の氏名または名称だけでなく、

「住所ならびに法人にあってはその代表者の氏名」

も追加されています。

更に、保有個人データの安全管理のために講じた措置も公表する必要があります。「安全管理のために講じた措置」については、漏洩事故が起こってからでは遅く、起こり得ないような仕組みを構築し、具体的な措置を公表しなければなりません。

違法な行為の行為の解釈

併せて個人情報取扱事業者は

「違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用してはならない。」

とされました。

「違法または不当な行為を助長し、または誘発するおそれ」の部分については、具体的な行為を示すことが難しいように、極めて広い範囲のハードルが課されることとなります。「違法」とは、法律に反する行為であることは一目瞭然ですが、「不当な行為」とは直ちに違法とは言えないものの公序良俗に反している場合や、社会通念上適切は言えない手法も抵触すると考えておくことが無難です。

最後に「おそれ」の部分についても個人情報の利用方法の客観的な事情を勘案し、利用時点においてある程度の予見可能性も踏まえての対応が求められるということです。

個人の権利強化

短期保有データの改正

改正により「または1年以内の政令で定める期間以内に消去することとなるもの」が削除され、6か月以内に消去される短期保有データについても保有個人データに含まれることとなります。今後の実務においても避けて通ることができない部分となります。

本人からの開示請求

次に、実務ではどのような目的で利用されるのかを本人へ通知することが必要となっていますが、それだけでなく、本人から個人情報取扱事業者に対して本人が識別される保有個人データの開示請求が可能となります。

尚、改正前は原則として書面による開示とされていましたが、改正後は「本人が請求した方法」（例えば電磁的記録）により開示請求（選択された方法を採用すると多額の費用を要する場合や当該方法の採用が困難な場合は、書面も可能）が可能となります。

尚、多額の費用を要する場合とは、大規模なシステム改修などが想定されますが、実務上は紛失リスクの高い書面よりもデータでの希望が多いと推察します。

退職者等の個人情報取扱

第三者提供の記録の開示も重要なポイントです。

旧来は本人が保有個人データの利用停止や消去を請求できる場面は限定されていましたが、改正後は利用する必要がなくなった場合、情報漏洩等が発生した場合、その他本人の権利または正当な利益が害されるおそれがある場合が追加されました。

労務管理上対応が必要となるケース

よって、これまで以上に本人から個人情報の利用停止や消去の請求に対しては対応しなければならなくなる機会が増えると考えられ、労務管理上では、以下のようなケースで対応が必要となると推察します。

利用する必要がなくなった場合

・従業員が退職する
・求職者と面接を行うものの、採用に至らなかった

本人の権利または正当な利益が害されるおそれがある場合

・退職した元従業員の情報を引き続き自社の従業員と見て取れるような形でホームページに掲載している場合で、本人へ不利益が生じるおそれがある 

正当か否かの峻別

次に正当か否かの峻別ですが、実務上も判断に迷うことが多いと考えます。

例えば、本人の利益の保護を上回る特別な事情がある場合として、法令順守の観点から、個人情報の取り扱いが必要な場合です。例えば給与支払報告や、社会保険の資格喪失届等は、むしろ対応しないことによって元従業員への不利益も生じることから正当な理由があると言えますが、そのような特別な事情がない限りは請求に応じることが求められます。

その他の改正点

実務上あってはなりませんが、漏洩事故が発生した場合の通知の義務化について確認しましょう。

個人情報を漏洩や滅失した場合、旧来は「本人へ通知することが望ましい」とされ、個人情報保護委員会へは「報告するよう努める」とされていましたが、改正後は本人と個人情報保護委員会への通知が義務化されます。

尚、以下のいずれかに該当した場合は、個人情報保護委員会への報告の対象です。

・要配慮個人情報の漏洩等（例えば本人の病歴）
・経済的な損失を伴うおそれがあるデータの漏洩等（例えばクレジットカードの番号）
・不正な目的をもって行われた恐れがある漏洩等（例えば内部不正）
・1,000人分を超える漏洩等

労務管理の分野においては労働安全衛生法上、最低年に1回実施する健康診断の結果などが要配慮個人情報にあたり、改正前後を問わず厳重な管理が求められます。

また、担当課においても必要以上に多くの担当者を割り振るよりも特定の担当者を決め、厳重な取扱いをすることで事故を未然に防ぐことが重要です。

また、罰則の強化も行われており、個人情報取扱事業者もしくはその従業員またはこれらであった者が、その業務に関して取り扱った個人情報データベース等を自らもしくは第三者の不正な利益を図る目的で提供しまたは盗用した場合、行為者は1年以下の懲役または50万円以下の罰金に処せられ、法人については1億円以下の罰金が科せられます。

それ以上に、社会的な信用問題に発展してしまうことは想像に難くありません。

実務上の留意点

開示請求があった場合

まずは開示請求があった場合の対応方法です。書面での請求であっても一定のリスクは伴いますが、書面以外の方法での求めがあった場合、どのような状況であっても、誤送信はあってはならないことです。よって、早急に取り組むべきことは請求があった際の対応手順のマニュアル整備です。

不適正な利用の定期的な精査

併せて「不適正な利用」にあたらないかの定期的な精査です。改正後は「違法または不当な行為を助長し、または誘発するおそれ」のある方法は選択することができず、気の緩みの積み重ねで、「おそれ」に繋がることは個人情報の取り扱いに限った話ではありません。

そして、起きないことに越したことはありませんが、万一漏洩事故が発生した場合の本人への通知、必要に応じて個人情報保護委員会への報告体制も踏まえた管理が必要となります。

最後に

昨今、個人情報の取り扱いは厳格化の方向に進んでおり、万一漏洩事故が生じた際の社会的な信用問題は小さくなく、その後も非常に大きな爪痕を残します。

また、ネット社会の弊害として一度流出してしまった情報は全てを消し去るのは困難であることから、信用の回復までには多くの時間と労力を要します。

改正を機に法改正の対応だけでなく、今一度事故が起こり得ない体制の構築を進めていくことが有用です。