企業研修、採用、評価、人材開発、労務・福利厚生のナレッジコミュニティ

【ヨミ】コジンジョウホウホゴホウ 個人情報保護法

現代社会において情報は重要な資源です。情報を得ることでさまざまなビジネスチャンスにつながるため、多くの企業が個人情報の獲得を目指しています。そのなかで、個人情報の漏えいなど情報管理に関する問題を頻繁に耳にするようになりました。企業としても、個人情報が外部に流出すると多大な損害を被る可能性があります。そこで重要となるのが個人情報保護法の遵守です。ここでは、従業員の個人情報を扱う人事部門が押さえておくべきことに焦点を当てながら、個人情報保護法について解説していきます。
  • このエントリーをはてなブックマークに追加

1.個人情報保護法とは

個人情報保護法とは、その名の通り、個人の情報を保護するための法律です。個人情報保護法は2005年に施行され、個人情報の取扱件数5,000以上の事業者が法規制の対象となっていました。その後、2017年5月に「改正個人情報保護法」が施行され、現在は個人情報を1件でも取り扱うすべての事業者が対象となっています。

個人情報保護法の目的

個人情報保護法の目的は二つあります。「個人情報に対する権利と利益の保護」と「個人情報を適正かつ効果的に活用するための有効性の維持」です。個人情報保護法第1条には、次のように記されています。

「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」

つまり、個人情報の効果的な利用とのバランスをとりながら個人の権利・利益を保護しなければならない、ということです。そのために、個人情報の取得や利用に同意が必要であることなど、企業が行うことを定めたのが個人情報保護法です。

個人情報保護法が施行された背景

なぜ個人情報保護法が施行されたのか、その背景を見ていきましょう。情報化社会が進むにつれて、クレジットカードの番号やその他の暗証番号などが流出し、悪用されるケースが増加します。世界的に個人情報保護の重要性が認知されるなか、日本では個人情報を保護する法律はおろか、個人情報とは何かを定めた法律もありませんでした。

個人情報の保護を目的とした法律を整備するべきという気運が高まり、政府はこれに応えるべく、法の整備を急ぎました。2005年4月、個人情報に関する定義や、外部流出による不正・悪用の防止を目的とした個人情報保護法が施行されます。

個人情報保護法の歴史

日本で個人情報保護法が施行されたのは2005年4月のことですが、個人情報保護に対する考え方がまとめられたのは、ここからさらにさかのぼります。

個人情報保護のガイドラインとなる最初のものは、1980年9月のOECD(経済協力開発機構)理事会勧告を基にして出された「OECDプライバシーガイドライン」と考えられています。OECDプライバシーガイドラインでは、国内におけるプライバシー保護と個人データの保護だけでなく、国際流通についてもまとめられています。

これを受けて、日本でも1990年代後半に現在の個人情報保護法につながる「JIS Q 15001」と「プライバシーマーク制度」が策定され、活用されるようになりました。「JIS Q 15001」は、個人情報を保護するためのコンプライアンス策定における基準をガイドライン化したもので、それに従っている企業の認定制度として、プライバシーマーク制度がスタートしました。

「JIS Q 15001」と「プライバシーマーク制度」を取り入れる企業は少なからずありましたが、個人への知名度はそこまで高くはありませんでした。また、個人情報保護に関する法制化も進める必要があったため、2005年4月の個人情報保護法の施行に至ります。

個人情報保護法が施行されてからも、情報化社会の進展は続きました。情報通信技術の飛躍的な進展によるビッグデータの収集・分析が可能となり、この分野での新産業や新サービスも多く登場します。同時に個人にとっては、高度な情報通信技術を使って、自分の個人情報が流出・悪用されるという危機感がさらに高まることになりました。

こうした技術進歩による個人情報保護の新たな課題を克服するため、2017年5月30日、約10年ぶりに個人情報保護法が改正され、「改正個人情報保護法」が施行されました。

2.改正個人情報保護法で企業が知っておくべきこと

改正個人情報保護法で改正されたポイントは大きく二つです。一つは、個人情報の分類がより細かく定義されたこと。もう一つは、個人情報の提供に関するルールが厳しくなったことです。詳しく見ていきましょう。

個人情報の三つの定義

改正個人情報保護法では個人情報の分類が細かくなり、より明確になりました。次の三つの定義があります。

(1)個人識別符号

個人識別符号は、個人情報のメインとなる情報のことで、その情報で特定の個人が識別される情報のことをいいます。たとえば、指紋データ、顔認識データ、DNA情報などの身体情報のデータやパスポート番号、年金番号、マイナンバーなど特定の人に付された番号などの情報などが個人識別符号に該当します。

(2)要配慮個人情報

要配慮個人情報とは、その情報を知られることで、個人が差別や偏見などの不利益を被る恐れがある、特に配慮を要する情報のことをいいます。たとえば、人種や信条、身分、病歴や犯罪の経歴などの情報が要配慮個人情報に該当します。

(3)匿名加工情報

改正個人情報保護法で、新しく定義された個人情報が匿名加工情報です。匿名加工情報とは、個人情報を特定の個人と認識できないように加工し、さらにその個人情報を復元できないようにした情報のことです。ビッグデータなどで活用するための情報ですが、厳密にいうと、匿名加工情報は個人情報ではありません。そのため本人の同意は不要です。ただし、個人情報保護委員会規則で定める基準に従い加工する、作成した匿名加工情報の項目を公表するなどの取り扱い方法が定められています。

個人情報提供におけるルール

情報通信技術の進化に合わせて、改正個人情報保護法では個人情報提供についてのルールも強化されています。

(1)オプトアウト手続き~改正で厳格化

個人情報を第三者に提供する場合は、本人の同意が必要です。しかし、例外的に、第三者に提供する可能性があることをあらかじめ本人に通知しておく、または知ることのできる状況におくことで、本人の同意を得たとすることが可能です(要配慮個人情報を除く)。これをオプトアウトといいます。改正個人情報保護法では、このオプトアウトについて厳格化されました。オプトアウトで第三者提供を行う場合には、個人情報保護委員会に届け出をすることが義務付けられています。

(2)トレーサビリティの確保

個人情報を第三者に提供する場合、その第三者が誰であるかを把握しておく必要があります。そこで、その第三者の氏名などの記録を一定期間保存しておくことが義務付けられています。これをトレーサビリティ(追跡可能性)の確保といいます。提供を受ける側も、誰から提供を受けたのか、記録を保存する必要があります。

(3)個人情報のグローバル化への対応

個人情報のグローバル化への対応を簡単にいうと、個人データを外国の第三者に提供する際にも個人情報保護法が適用される、ということです。原則として、本人の同意を得た場合に、外国の第三者にデータを提供することができます。

個人情報のグローバル化について人事部が対応するケースは少ないですが、オプトアウト手続きやトレーサビリティの確保は、人事部の業務において重要ポイントになるので、しっかりと理解しておくことが必要です。

3.個人情報保護法における人事の対応

個人情報保護法には、「個人情報に対する権利と利益の保護」と「個人情報を適正かつ効果的に活用するための有効性の維持」の二つの目的があります。個人情報が漏えいすれば、企業に大きな損害をもたらす可能性が高まります。そのため、企業はこれを未然に防ぐ対策をとる必要があります。人事部にとって、特に重要となるのが従業員の個人情報です。ここでは、従業員の個人情報を中心に、個人情報保護法における企業の対応を確認します。

個人情報の取得から消去まで

従業員の個人情報において企業が行う作業は、大まかに「取得」「管理」「消去」の三つに分かれます。それぞれを見ていきましょう。

(1)取得

企業が従業員を採用・雇用する場合、家族の情報やマイナンバーなど、多くの個人情報を取得することになります。従業員のデータを取得する際には、その利用目的を特定しておく必要があります。

たとえば、社会保険の手続きや給与計算、人事考課というように項目を細かく規定し、本人に明示します。必須ではありませんが、後のトラブルを避けるためにも、本人から書面で同意を得るほうが良いでしょう。また、役所や保険会社などの第三者に個人情報を提供する場合は、事前に従業員の同意を得る必要があるため注意が必要です。

(2)管理

従業員の個人情報を取得したあとは、その情報を適切に管理する必要があります。管理において必要になるのは、主に次の二つです。

  • 個人データの漏えいや滅失などの防止をするための安全管理
  • 個人情報を取り扱う従業者に対しての適切な監督

特に、マイナンバーの管理には注意が必要です。マイナンバーでは、ウイルスソフトなどを活用した安全管理、ID・パスワードなどによる管理者の特定、管理区域を他の仕事場と区別するなどの処置を行う必要があります。人事部のマンパワーでこれらを行うことは困難なことも多いため、個人情報の管理用ソフトを使う、安全措置のしっかりしたHRテクノロジーを利用する、といった施策が必要です。

(3)消去

改正個人情報保護法では、「利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない」ことが明示されました。そのため、従業員が退職し、一定期間が経過すれば個人情報を消去しなければなりません。

ここでいう消去とは、復元不可能な状態にすることです。紙の場合はシュレッダーにかけて廃棄(焼却)業者に依頼する、データの場合は削除ソフトを活用して削除するなどの対応が必要です。

個人情報保護のための体制の構築

個人情報の保護は、人事部のみで仕組みを考えたり体制を構築したりすることに限界があるため、企業を挙げての体制構築が不可欠です。個人情報保護のための体制づくりに必要なのは、主に次のものです。

(1)プライバシーポリシーや個人情報保護規定、従業員向け文書の整備

まずは、従業員が個人情報保護の重要性を理解し意識を高く持てるよう、プライバシーポリシーと個人情報保護規定の整備を行います。プライバシーポリシーとは、個人情報に対する会社としての基本方針のことです。外部に対しても、個人情報保護にしっかり取り組んでいることのアピールになります。

次に、個人情報保護規定を社内ルールとして周知します。情報管理に関する事項だけでなく、各部署や役職ごとの権限や罰則なども規定します。続いて、就業規則や誓約書などの文書に個人情報を守る旨を記載し従業員に渡します。

(2)社内体制の整備

個人情報を扱う部署はどこか、管理者は誰か、責任や権限はどこまであるのか、監査はどの部署が行うのかなど、社内体制を整備します。また、従業員への教育も必要です。どのような教育をするのか、研修内容や時期などを検討し実施します。

(3)プロファイリングで導き出される要配慮個人情報に配慮

個人データを細かく集め、プロファイリングを行うことで従業員に適した配属先を決定するなど、個人データは人事部門のさまざまな業務で活用が進んでいます。しかし、匿名でデータを収集しても、その要素が増えれば増えるほど、プロファイリング技術によって特定の個人の健康面や内面的な部分を高い確率で当ててしまうリスクが高まります。

精神疾患や個人の信条のような要配慮個人情報は、取扱いに十分な注意が必要です。高いセキュリティを確保するとともに、どのようなデータを収集し、プロファイリングを行っているか従業員にしっかり説明することが大切です。個人データを基にしたプロファイリングが抱える課題については、下記のページを参考にしてください。

4.不正・不振な管理によるリスク

改正個人情報保護法では、個人情報の不正な提供などについて個人情報データベース提供罪が新設されました。自己または第三者の利益を不正に得るために個人情報を提供した場合は、1年以下の懲役または50万円以下の罰金に処されます。

また、企業としても事実関係の調査や原因の究明、影響を受ける可能性がある本人への連絡、再発防止策等の公表などを行う必要があります。多くの労力がかかるだけでなく、社会的信頼も失いかねません。

昨今はGDPRの実施や巨大IT企業などの不祥事が相次ぎ、社会的不安や警戒も強まっています。情報通信技術が進むこれからの社会で企業が生き残っていくためには、個人情報保護法の遵守は必須となっています。

  • このエントリーをはてなブックマークに追加

あわせて読みたい

CPO
Chief Privacy Officer。日本語で最高個人情報責任者。企業が管理する消費者、社員などの個人情報を保護する管理責任者のことです。執行役員など、上級管理職が担当する場合が多く、社員教育からプライバシーポリシーの構築、監査、評価、システム管理に至るまで情報保護に関する広範な業務を統括し...
マイナンバー制度
「マイナンバー制度」とは、2016年1月から運用が始まる「社会保障・税番号制度」の通称。日本国民と日本に居住する外国人一人ひとりに対して、重複しない固有の識別番号(マイナンバー)を割り振り、社会保障や納税などに関する個人情報を一元管理するしくみのことです。国民の利便性を高めると同時に、行政の透明化・...
EVP
EVPとは、Employee Value Propositionの頭文字をとった略語で、直訳すると「従業員価値提案」。つまり、企業が従業員に提供できる価値のことを指します。従来の「従業員は会社にどのような利益をもたらすか」という視点ではなく、「企業は従業員に何を提供できるか」という視点に立つのが、E...

関連する記事

小規模事業者も5月30日から適用対象に! 個人情報保護法ガイドライン 会社の現状チェックと対策
個人情報保護法改正の施行日が平成29年5月30日に迫っています。今回の改正により、今まで除外されていた小規模事業者も適用対象となるため、多くの中小規模事業者がその対象となるでしょう。本稿では、改正法施行に向けた、会社の現状チェックと対策のポイントを詳しく解説し...
2017/05/11掲載人事・労務関連コラム
「労働安全衛生法」と「個人情報保護法」とは矛盾?従業員の健康情報管理と企業の責任をどのように考えるか
「個人情報保護法」施行後の過剰反応がもたらす、従業員の健康情報管理問題について、紹介しています。
2006/12/04掲載人事・労務関連コラム
広がるネット情報とどうつき合うか 企業、人材紹介会社それぞれの対応とは
インターネットの充実は、転職の際の情報収集に大きな変化をもたらしました。以前であれば、企業の内部事情などは、その会社に知り合いがいない限り、知りようがありませんでしたが、最近ではクチコミ情報の専用サイトや掲示板を見れば、多くの企業の社内の雰囲気などの情報を得る...
2013/04/01掲載人材採用“ウラ”“オモテ”

関連するQ&A

個人情報保護法と労働組合
個人情報保護法対応で、労働組合と個人の情報をやり取りしていますが、この関係は共同利用となるのでしょうか?組合との関係をきちんと整理したく、お願いします。
個人情報の利用について
職場の上司が部下との個別の面談に際して,人事部門が管理する個人の情報を必要に応じて管理し,利用することは何か個人情報保護法の関係で問題があるのでしょうか。
社員の在籍確認について(個人情報保護法対策)
「個人情報保護法」についてですが、会社に在籍確認があった場合どのように対応すれば宜しいでしょうか? ①クレジットカード会社から在籍確認があった場合 ②「xxさんいらっしゃいますか?」の様な先方からの問い合わせで本人が既に退職していた場合 ⇒「xxは既に退職しております」は保護法に引っかかりますよね?...
新たに相談する
相談する(無料)

「人事のQ&A」で相談するには、『日本の人事部』会員への登録が必要です。

新規登録する(無料) 『日本の人事部』会員の方はこちら
業務に関するちょっとした疑問から重要な人事戦略まで、
お気軽にご相談ください。
各分野のプロフェッショナルが親切・丁寧にお答えします。
次世代リーダー育成特集

会員として登録すると、多くの便利なサービスを利用することができます。

研修費ゼロの人材育成 3,650社が活用!業界唯一の統合型eラーニング

50音・英数字で用語を探す

新着用語 一覧

注目コンテンツ


次世代リーダー育成特集

さまざまな取り組み方がある「リーダーシップ育成」について手法や外部ソリューションをご紹介します。
コンテンツトップバナー


【人事の日制定記念企画】
オピニオンリーダーからのメッセージ

HR領域のオピニオンリーダーの皆さまから全国の人事部門に向けてメッセージを頂戴しました。


人事メディア情報

人事メディア情報

人事・労務関連の代表的なメディアをご紹介いたします。


人を採り、定着させる人材戦略を「昼食」が支える!<br />
単なる福利厚生ではない「食事補助システム」の活かし方とは?

人を採り、定着させる人材戦略を「昼食」が支える!
単なる福利厚生ではない「食事補助システム」の活かし方とは?

近年、社員を取り巻く生活環境や価値観・就労観の変化などにより、企業にお...


「人のための組織づくり」への発想の転換<br />
今、企業社会のあり方が問い直されている

「人のための組織づくり」への発想の転換
今、企業社会のあり方が問い直されている

じっくり話しあって採用したはずの新入社員が「未来が見えない」といって早...