個人情報保護法とは、その名の通り、個人の情報を保護するための法律です。個人情報保護法は2005年に施行され、個人情報の取扱件数5,000以上の事業者が法規制の対象となっていました。その後、2017年5月に「改正個人情報保護法」が施行され、現在は個人情報を1件でも取り扱うすべての事業者が対象となっています。
個人情報保護法の目的は二つあります。「個人情報に対する権利と利益の保護」と「個人情報を適正かつ効果的に活用するための有効性の維持」です。個人情報保護法第1条には、次のように記されています。
「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」
つまり、個人情報の効果的な利用とのバランスをとりながら個人の権利・利益を保護しなければならない、ということです。そのために、個人情報の取得や利用に同意が必要であることなど、企業が行うことを定めたのが個人情報保護法です。
なぜ個人情報保護法が施行されたのか、その背景を見ていきましょう。情報化社会が進むにつれて、クレジットカードの番号やその他の暗証番号などが流出し、悪用されるケースが増加します。世界的に個人情報保護の重要性が認知されるなか、日本では個人情報を保護する法律はおろか、個人情報とは何かを定めた法律もありませんでした。
個人情報の保護を目的とした法律を整備するべきという気運が高まり、政府はこれに応えるべく、法の整備を急ぎました。2005年4月、個人情報に関する定義や、外部流出による不正・悪用の防止を目的とした個人情報保護法が施行されます。
日本で個人情報保護法が施行されたのは2005年4月のことですが、個人情報保護に対する考え方がまとめられたのは、ここからさらにさかのぼります。
個人情報保護のガイドラインとなる最初のものは、1980年9月のOECD(経済協力開発機構)理事会勧告を基にして出された「OECDプライバシーガイドライン」と考えられています。OECDプライバシーガイドラインでは、国内におけるプライバシー保護と個人データの保護だけでなく、国際流通についてもまとめられています。
これを受けて、日本でも1990年代後半に現在の個人情報保護法につながる「JIS Q 15001」と「プライバシーマーク制度」が策定され、活用されるようになりました。「JIS Q 15001」は、個人情報を保護するためのコンプライアンス策定における基準をガイドライン化したもので、それに従っている企業の認定制度として、プライバシーマーク制度がスタートしました。
「JIS Q 15001」と「プライバシーマーク制度」を取り入れる企業は少なからずありましたが、個人への知名度はそこまで高くはありませんでした。また、個人情報保護に関する法制化も進める必要があったため、2005年4月の個人情報保護法の施行に至ります。
個人情報保護法が施行されてからも、情報化社会の進展は続きました。情報通信技術の飛躍的な進展によるビッグデータの収集・分析が可能となり、この分野での新産業や新サービスも多く登場します。同時に個人にとっては、高度な情報通信技術を使って、自分の個人情報が流出・悪用されるという危機感がさらに高まることになりました。
こうした技術進歩による個人情報保護の新たな課題を克服するため、2017年5月30日、約10年ぶりに個人情報保護法が改正され、「改正個人情報保護法」が施行されました。
改正個人情報保護法で改正されたポイントは大きく二つです。一つは、個人情報の分類がより細かく定義されたこと。もう一つは、個人情報の提供に関するルールが厳しくなったことです。詳しく見ていきましょう。
改正個人情報保護法では個人情報の分類が細かくなり、より明確になりました。次の三つの定義があります。
個人識別符号は、個人情報のメインとなる情報のことで、その情報で特定の個人が識別される情報のことをいいます。たとえば、指紋データ、顔認識データ、DNA情報などの身体情報のデータやパスポート番号、年金番号、マイナンバーなど特定の人に付された番号などの情報などが個人識別符号に該当します。
要配慮個人情報とは、その情報を知られることで、個人が差別や偏見などの不利益を被る恐れがある、特に配慮を要する情報のことをいいます。たとえば、人種や信条、身分、病歴や犯罪の経歴などの情報が要配慮個人情報に該当します。
改正個人情報保護法で、新しく定義された個人情報が匿名加工情報です。匿名加工情報とは、個人情報を特定の個人と認識できないように加工し、さらにその個人情報を復元できないようにした情報のことです。ビッグデータなどで活用するための情報ですが、厳密にいうと、匿名加工情報は個人情報ではありません。そのため本人の同意は不要です。ただし、個人情報保護委員会規則で定める基準に従い加工する、作成した匿名加工情報の項目を公表するなどの取り扱い方法が定められています。
情報通信技術の進化に合わせて、改正個人情報保護法では個人情報提供についてのルールも強化されています。
個人情報を第三者に提供する場合は、本人の同意が必要です。しかし、例外的に、第三者に提供する可能性があることをあらかじめ本人に通知しておく、または知ることのできる状況におくことで、本人の同意を得たとすることが可能です(要配慮個人情報を除く)。これをオプトアウトといいます。改正個人情報保護法では、このオプトアウトについて厳格化されました。オプトアウトで第三者提供を行う場合には、個人情報保護委員会に届け出をすることが義務付けられています。
個人情報を第三者に提供する場合、その第三者が誰であるかを把握しておく必要があります。そこで、その第三者の氏名などの記録を一定期間保存しておくことが義務付けられています。これをトレーサビリティ(追跡可能性)の確保といいます。提供を受ける側も、誰から提供を受けたのか、記録を保存する必要があります。
個人情報のグローバル化への対応を簡単にいうと、個人データを外国の第三者に提供する際にも個人情報保護法が適用される、ということです。原則として、本人の同意を得た場合に、外国の第三者にデータを提供することができます。
個人情報のグローバル化について人事部が対応するケースは少ないですが、オプトアウト手続きやトレーサビリティの確保は、人事部の業務において重要ポイントになるので、しっかりと理解しておくことが必要です。
個人情報保護法には、「個人情報に対する権利と利益の保護」と「個人情報を適正かつ効果的に活用するための有効性の維持」の二つの目的があります。個人情報が漏えいすれば、企業に大きな損害をもたらす可能性が高まります。そのため、企業はこれを未然に防ぐ対策をとる必要があります。人事部にとって、特に重要となるのが従業員の個人情報です。ここでは、従業員の個人情報を中心に、個人情報保護法における企業の対応を確認します。
従業員の個人情報において企業が行う作業は、大まかに「取得」「管理」「消去」の三つに分かれます。それぞれを見ていきましょう。
企業が従業員を採用・雇用する場合、家族の情報やマイナンバーなど、多くの個人情報を取得することになります。従業員のデータを取得する際には、その利用目的を特定しておく必要があります。
たとえば、社会保険の手続きや給与計算、人事考課というように項目を細かく規定し、本人に明示します。必須ではありませんが、後のトラブルを避けるためにも、本人から書面で同意を得るほうが良いでしょう。また、役所や保険会社などの第三者に個人情報を提供する場合は、事前に従業員の同意を得る必要があるため注意が必要です。
従業員の個人情報を取得したあとは、その情報を適切に管理する必要があります。管理において必要になるのは、主に次の二つです。
特に、マイナンバーの管理には注意が必要です。マイナンバーでは、ウイルスソフトなどを活用した安全管理、ID・パスワードなどによる管理者の特定、管理区域を他の仕事場と区別するなどの処置を行う必要があります。人事部のマンパワーでこれらを行うことは困難なことも多いため、個人情報の管理用ソフトを使う、安全措置のしっかりしたHRテクノロジーを利用する、といった施策が必要です。
改正個人情報保護法では、「利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない」ことが明示されました。そのため、従業員が退職し、一定期間が経過すれば個人情報を消去しなければなりません。
ここでいう消去とは、復元不可能な状態にすることです。紙の場合はシュレッダーにかけて廃棄(焼却)業者に依頼する、データの場合は削除ソフトを活用して削除するなどの対応が必要です。
個人情報の保護は、人事部のみで仕組みを考えたり体制を構築したりすることに限界があるため、企業を挙げての体制構築が不可欠です。個人情報保護のための体制づくりに必要なのは、主に次のものです。
まずは、従業員が個人情報保護の重要性を理解し意識を高く持てるよう、プライバシーポリシーと個人情報保護規定の整備を行います。プライバシーポリシーとは、個人情報に対する会社としての基本方針のことです。外部に対しても、個人情報保護にしっかり取り組んでいることのアピールになります。
次に、個人情報保護規定を社内ルールとして周知します。情報管理に関する事項だけでなく、各部署や役職ごとの権限や罰則なども規定します。続いて、就業規則や誓約書などの文書に個人情報を守る旨を記載し従業員に渡します。
個人情報を扱う部署はどこか、管理者は誰か、責任や権限はどこまであるのか、監査はどの部署が行うのかなど、社内体制を整備します。また、従業員への教育も必要です。どのような教育をするのか、研修内容や時期などを検討し実施します。
個人データを細かく集め、プロファイリングを行うことで従業員に適した配属先を決定するなど、個人データは人事部門のさまざまな業務で活用が進んでいます。しかし、匿名でデータを収集しても、その要素が増えれば増えるほど、プロファイリング技術によって特定の個人の健康面や内面的な部分を高い確率で当ててしまうリスクが高まります。
精神疾患や個人の信条のような要配慮個人情報は、取扱いに十分な注意が必要です。高いセキュリティを確保するとともに、どのようなデータを収集し、プロファイリングを行っているか従業員にしっかり説明することが大切です。個人データを基にしたプロファイリングが抱える課題については、下記のページを参考にしてください。
個人情報は、分野によって扱う情報が大きく変わるため、個人情報保護法の概要を理解するためのガイドラインも複雑です。どのようにポイントを押さえていけばいいのでしょうか。
個人情報保護法の具体的な運用に関して大枠の内容を理解するためにはガイドラインが便利ですが、まずガイドラインを読む前に押さえておくべきポイントがあります。それは、ガイドラインにおける言葉遣いの違いです。
ガイドラインの最初に記されていますが、法律において「しなければならない」や「してはならない」と書いてある場合、それに反すると法律違反で罰せられます。これに対して「努めなければならない」や「望ましい」といった言葉遣いがされている場合、ただちに法違反にはならないが、気を付けておくべきポイントであることを示しています。
個人情報保護法のガイドラインは、おおまかに分けると、下記のの四つがあります。
これらは、どの企業でも必ず目を通しておくべきガイドラインです。これらに加えて、金融関連分野・医療関連分野・情報通信関連分野など、特殊な情報を扱う企業には別途ガイドラインがあり、該当する分野の人は目を通しておかなければなりません。それぞれのガイドラインの概要をまとめると次のようになります。
「通則」とは、一般的な決まりのことを言います。ガイドラインの「通則編」でも、個人情報保護の取り扱いに関する最も基本的な事柄を述べています。具体的には、個人情報保護法の最も基本的な部分である個人情報の「定義」や、「個人識別符号」「要配慮個人情報」「匿名加工情報」などの用語説明などです。押さえておくべきポイントとしては、「本人の同意」や「提供」の意味、そして「漏えい等の事案が発生した場合等の対応」などがあります。
外国第三者提供編は、外国にある別の企業などの第三者に個人情報を提供する際の注意点などが書かれています。現在では外国とのやりとりも以前より頻繁になっていることから、このようなガイドラインが作成されました。情報の委託先に関する監督責任などについても書いてあります。
確認記録義務編は、個人情報の大規模な漏えい事件を背景として定められた、第三者から個人情報を受け取る際の確認すべき点などが書かれています。例えば、情報を受け取る際には、その情報の入手方法などを明らかにしなければならないなどのポイントが記載されています。
匿名加工情報編では、匿名加工情報の扱い方が解説されています。匿名加工情報とは、個人を特定できないよう加工した情報のこと。復元されることがないようにしなればならないため、氏名などの削除の徹底や匿名加工情報の作成時の公表などについて記載しています。
個人情報保護法のガイドラインは、関連する業者が一通り目を通すために書かれています。自社がどのガイドラインを読む必要があるのかは、自社の事業が各ガイドラインとどのようにかかわってくるかによって決まり、関連するものであればすべて目を通しておく必要があります。
「HRテクノロジー」とは、AIを使った人事評価や採用の決定、研修の最適化など、人事分野で使われるテクノロジーのことを指します。技術の発展によって大量の情報を迅速に扱うことができるため注目を集めていますが、個人情報も扱うため、注意が必要です。
HRテクノロジーで個人情報を使用する場合も、「利用目的の特定、本人への明示、本人からの同意」が必要であることに変わりありません。
AIなどを使った分析に「性別」「人種」「身長」といった応募者の適正や能力とは直接関係のない個人情報を採用条件に盛り込み、判断させている場合は明らかに不合理な差別であり、違法になる恐れがあるため、注意が必要です。
個人情報を利用したAIの計算や分析が正確なものかどうか、配慮することも重要です。AIのミスによって、本来受かるべき人が受からず、落ちるべき人が受かってしまったことが発覚した場合、企業に悪影響を及ぼす可能性があります。せっかく積み重ねてきた企業イメージが一夜にして悪化するという事例が、有名ブランドでも起きています。このようなリスクをレビュテーションリスクといいます。
今後、ストレスチェックなどの情報もデータで管理するようになり、人事に関するHRテクノロジーの利用はますます進むことが予測されますが、本人の同意なしに情報を取得しない、第三者に提供しないなど、個人情報の基本的な原則は変わりません。個人情報を取り扱うことのリスクを十分に理解した上で、HRテクノロジーを活用することが求められます。
改正個人情報保護法では、個人情報の不正な提供などについて個人情報データベース提供罪が新設されました。自己または第三者の利益を不正に得るために個人情報を提供した場合は、1年以下の懲役または50万円以下の罰金に処されます。
また、企業としても事実関係の調査や原因の究明、影響を受ける可能性がある本人への連絡、再発防止策等の公表などを行う必要があります。多くの労力がかかるだけでなく、社会的信頼も失いかねません。
昨今はGDPRの実施や巨大IT企業などの不祥事が相次ぎ、社会的不安や警戒も強まっています。情報通信技術が進むこれからの社会で企業が生き残っていくためには、個人情報保護法の遵守は必須となっています。
『日本の人事部』とは
