HRプロとは平成29年5月30日から、改正個人情報保護法が全面施行されます。
現行法では、取り扱う個人情報の数が5000件以下の事業者は規制の対象外とされていましたが、改正法ではこの制度が廃止されました。そのため、改正法は、個人情報を取り扱うすべての事業者に適用されます。
個人情報保護法の規制は、企業の実務のあらゆる場面に関係してきます。人事部においては、社員の方、求職者の方などの個人情報を保有されているはずです。企業の皆様は、全面施行に向けて、早急に法改正の対応に着手する必要があります。
現行法では、取り扱う個人情報の数が5000件以下の事業者は規制の対象外とされていましたが、改正法ではこの制度が廃止されました。そのため、改正法は、個人情報を取り扱うすべての事業者に適用されます。
個人情報保護法の規制は、企業の実務のあらゆる場面に関係してきます。人事部においては、社員の方、求職者の方などの個人情報を保有されているはずです。企業の皆様は、全面施行に向けて、早急に法改正の対応に着手する必要があります。
■改正で導入された新たな概念や制度って?最低限押さえておくこと
全面施行に備えてまず押さえておきたいのは、「個人識別符号」、「要配慮個人情報」、「匿名加工情報」といった、今回新たに導入される概念です。各概念の内容と対応ポイントについてご紹介します。
◆「個人識別符号」とは?
「個人情報」にあたるものとして、新たに設けられた概念です。以下①、②のいずれかに該当するものであり、政令・規則で個別に指定されています。
①身体の一部の特徴を電子計算機の用に供するために変換した符号
(例)DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋
②サービス利用や書類において対象者ごとに割り振られる符号
(例)旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証等
※民間が付番した番号(たとえばクレジットカード番号、会員番号等)は個人識別符号には含まれません。
人事部の方であれば、社員や採用候補者の方の個人識別符号を取り扱う場合が考えられます。「個人識別符号」は、それ単体で「個人情報」になりますので、取扱うにあたっては、取得・管理・利用・提供・開示等の各段階に応じた個人情報の規制を遵守する必要があります。
◆「要配慮個人情報」とは?
通常の個人情報よりも厳格に取り扱うことが求められる個人情報です。次のいずれかに該当する情報が「要配慮個人情報」となります。
①人種、信条、社会的身分、病歴、前科・前歴、犯罪被害情報
②その他本人に対する不当な差別、偏見が生じないように特に配慮を要するものと
して政令で定めるもの
(例)身体障害・知的障害・精神障害等があること/健康診断その他の検査の結果/保健指導、診療・調剤情報/本人を被疑者又は被告人として、逮捕、捜索等の刑事事件に関する手続が行われたこと/本人を非行少年又はその疑いのある者として、保護処分等の少年の保護事件に関する手続が行われたこと
要配慮個人情報は、原則として本人の同意がなければ取得できません。この点が通常の個人情報と大きく異なります。
また、要配慮個人情報は、いわゆるオプトアウト(本人の同意を得ずに個人データを第三者提供する手続き)による第三者提供ができません。
人事部において想定されるケースとしては、派遣会社との間で労働者の個人情報をやりとりする場合等です。今後はこういったやり取りの際に、要配慮個人情報が含まれていないか留意する必要があります。
◆「匿名加工情報」とは?
匿名加工情報とは、特定の個人を識別することができないように個人情報を加工し、復元できないようにした情報のことです。これは、安全にビッグデータを利活用できるようにするために新たに導入された制度です。タレントマネジメントシステム等のHRテクノロジー分野の様々なシステムを導入・検討されている企業の方であれば、特に注目しておきたい内容です。
匿名加工情報は、「個人情報」ではなくなっていますので、個人情報の規制は及びませんが、「匿名加工情報」固有の規制を守る必要はあります。
具体的には、
・匿名加工情報を作成する場合は、個人情報保護委員会の規則に従うこと
・安全管理措置を施すこと
・一定の事項を公表すること
・他の情報と照合しないこと
等です。
また、第三者との間で匿名加工情報をやり取りする場合においても、一定の事項を公表する義務等が課されていますので、詳細は後述するガイドラインをご参照ください。
注意したいのは、「当社は別に匿名加工情報とやらを作りたいわけではないが、個人情報を安全に管理するために、一部を加工して個人を特定できない状態にしておくようにしている。」という場合です。
この場合、加工後の情報は、基本的に「加工後も引き続き個人情報として取り扱うこと」、または、「匿名加工情報として取り扱うこと」のいずれかが求められます。個人情報を加工して特定の個人を識別できない状態にしたからといって、個人情報保護法の規制を受けなくなるわけではありませんので、ご注意ください。
■その他の対応ポイントは?
◆トレーサビリティ第三者に個人データを提供した際に、受領者の氏名等の所定の事項を記録し、一定期間保存する義務が新たに設けられました。また、第三者から個人データを受け取る際にも、提供者の氏名等や取得経緯を確認し、さらに、受領年月日、確認した事項等を記録し、一定期間保存する必要があります。全面施行に備え、予め確認・記録の体制を整備しておく必要があるのはもちろん、派遣会社との間で労働者の情報をやりとりする場合等に対応が必要になるでしょう。第三者提供時の確認・記録義務については、後述するガイドラインにおいて詳細な解説がなされていますので、是非ご参照ください。
また、海外に人材を送る、もしくは海外から人材を得るケースなどで、外国にいる第三者に個人データを提供する場合は、>原則として
改正個人情報保護法への対応は、企業にとって必ずしも容易ではありません。各部署において要配慮個人情報や匿名加工情報となりうるものを取り扱っていないか洗い出しをする、第三者提供時の確認・記録の体制を整える、オプトアウトを利用する場合は委員会に届出をする…等々、様々な対応が必要になります。5月末の全面施行に向け、今から準備を進めることが大切です。
◆参照情報
・個人情報保護委員会による各種ガイドライン
・同委員会事務局による「個人情報保護法の基本」
角谷 美緒(かくたに みお)
奧野総合法律事務所・外国法共同事業 アソシエイト弁護士
事業再生・倒産、各種契約書の作成、コンプライアンス対応等の企業法務、一般民事・家事事件等に従事。
