実務のポイント（2）「ルール作り」と「社員研修」

■【個人情報取り扱い事務のルール作り】
個人情報の取り扱い事務は次のように整理できます。≪図3≫

（1）利用目的を通知し、業務上必要な範囲で従業員や取引先・顧客より個人情報を取得する
（2）安全に管理し保管する
（3）利用目的の範囲内で利用する（目的外の利用ではないかを確認する）
（4）第三者提供をする場合には、原則として本人同意を得るようにする
（5）利用目的を達成後、速やかに廃棄・削除する（法令等で保管期限があるものは退職時に廃棄・削除しないよう期限に注意する）
（6）本人から会社が保管する個人情報について開示請求等があった場合は対応する

（1）～（6）の各段階で漏えい等の事故が起きないよう、担当者や運用方法を明確にし、取り扱いの記録が分かるようにしておくとともに、ガイドラインに則って安全管理措置（基本方針、取り扱いをルール化した規程の作成、書式等の準備）を講じておきましょう。

また、新たに明確にされた個人情報の定義によって少しずつ扱いが異なる部分を整理すると、≪図4≫のようになります。

人事・総務部門では従業員の個人情報・厳格な管理が必要な要配慮個人情報や特定個人情報を取り扱いますから、誰が・どのように・どの情報を扱うのか・また扱ってはいけないのかを、採用・入社・健康診断等の実務の場面まで落とし込むとともに、適切な保管方法についても検討しておきましょう。

■【社員研修】
情報漏えい等の事故は、どんなにシステムのセキュリティを堅固なものにしても100％防ぐことは困難です。インターネットを介し、瞬時に世界とつながることが可能な社会となった今、漏えい事故の大部分は人的なミスによるものです。

PC以外にもスマートフォン、携帯電話、タブレット等に登録されている名簿やアドレス帳はすべて個人情報データベースとなり、会社の個人情報資産が含まれています。私用のスマートフォンに取引先や会社の他の従業員の情報（私的に個人間で収受したもの以外）を登録していたことにより、そこから個人情報が流出……というようなことも考えられます。
また、業務用の持ち運びできるPCやタブレット・スマートフォンを使い、外出先で業務上のメールやグループウェア等を閲覧したり、作業をしたりということについても、自社でどのようなルールで運用するのかを明確にし、少なくとも年に1度は定期的に研修や利用状況の確認をし、その記録を残していきましょう。
ルール化したことは曖昧にせず、きちんと運用していくことが重要です。個人情報の漏えいとなれば、メディアで大きく取り上げられたり「炎上」したりということにつながります。

大切なことは、法令やガイドラインにない部分の「プライバシー権」に配慮することです。たとえ従業員の情報でも業務上必要のない、例えば他部署の同僚の個人情報を誰もが見られるというような管理方法については、今後は見直しが必要となってきます。
社員の個人的な連絡先を管理すべき部署と担当者を明確にし、利用目的外での私用な利用については、懲戒処分について就業規則等に定め、適切に情報を取り扱うよう指導していきましょう。


■［関連サービス］
「改正個人情報保護法への実務対応解説DVD+社員研修DVDセット」の資料請求はこちら