| 「個人情報の保護に関する法律」(略称:個人情報保護法)第8条の規定に基づき、個人情報の保護に関する施策及び個人情報の適正な取扱いの確保に関して行う活動を支援するため、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針(厚生労働省告示第259号)が策定されました。(参考:厚生労働省HP) |
| 個人情報の保護に関する法律 第8条 |
個人情報保護法第8条は次の通りです。
国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする。
|
| 指針の趣旨と主な項目 |
この指針の趣旨は、個人情報保護法の規定に基づき、雇用管理の観点から事業者が構ずべき措置に関しての指針を策定することにあります。
雇用管理情報については、病歴、収入、家族関係といった特殊性を含むことに鑑み、以下の項目について、その適切な取扱いを企業に要請することとします。
| (1) |
収集する個人情報の利用目的を具体的に特定すること。 |
| (2) |
安全管理措置
個人データ管理者を事業所ごとに設置すること。 |
| (3) |
個人データの処理を外部に委託する場合の取扱い
再委託を制限すること。
利用目的達成後に確実な破棄、削除をすること。 |
| (4) |
労働組合の役割
企業が個人情報の取扱いについて、重要事項を決定する場合に組合との事前協議を行うこと。 |
|
| 雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針 |
| 第一 趣旨 |
この指針は、個人情報の保護に関する法律(以下「法」という。)に定める事項に関し、雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置について、その適切かつ有効な実施を図るために必要な事項を定めたものである。
なお、雇用管理に関する個人情報については、本指針によるほか、当該個人情報取扱事業者が行う事業を所管する大臣等が策定した指針その他の必要な措置に留意するものとする。 |
| 第二 用語の定義 |
法第2条に定めるもののほか、この指針において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
| (1) |
事業者:法第2条第3項に規定する個人情報取扱事業者のうち雇用管理に関する個人情報を取り扱う者をいう(第四に規定する場合を除く。)。
(法第2条第3項)
この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
| 1. |
国の機関 |
| 2. |
地方公共団体 |
| 3. |
独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律第2条第1項に規定する独立行政法人等をいう。) |
| 4. |
その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者
|
|
| (2) |
労働者等:上記に規定する事業者に使用されている労働者、事業者に使用される労働者になろうとする者及びなろうとした者並びに過去において事業者に使用されていた者をいう。 |
|
| 第三 事業者が講ずべき措置の適切かつ有効な実施を図るための指針となるべき事項 |
| (1) |
法第15条に規定する利用目的の特定に関する事項 |
|
事業者は利用目的の特定に当たっては、単に抽象的、一般的に特定するのではなく、労働者等本人が、取得された当該本人の個人情報が利用された結果が合理的に想定できる程度に、具体的、個別的に特定すること。
(法第15条)
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならない。
個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
|
|
| (2) |
法第16条及び法第23条第1項に規定する本人の同意に関する事項
|
|
事業者が労働者等本人の同意を得るに当たっては、当該本人に当該個人情報の利用目的を通知し、又は公表した上で、当該本人が口頭、書面等により当該個人情報の取扱いについて承諾する意思表示を行うことが望ましいこと。
(法第16条)
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、法第15条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
上記の規定は、次に掲げる場合については適用しない。
| 1. |
法令に基づく場合 |
| 2. |
人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
|
| 3. |
公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
|
| 4. |
国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
|
(法第23条第1項)
個人情報取扱事業者は、次に掲げる場合(上記法第16条の例外と同様)を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
|
|
| (3) |
法第20条に規定する安全管理措置及び法第21条に規定する従業者の監督に関する事項
|
|
事業者は、雇用管理に関する個人データの安全管理のために次に掲げる措置を講ずるように努めるものとすること。
|
|
| 1. |
雇用管理に関する個人データを取り扱う従業者及びその権限を明確にした上で、その業務を行わせること。 |
| 2. |
雇用管理に関する個人データは、その取扱いについての権限を与えられた者のみが業務の遂行上必要な限りにおいて取り扱うこと。 |
| 3. |
雇用管理に関する個人データを取り扱う者は、業務上知り得た個人データの内容をみだりに第三者に知らせ、又は不当な目的に使用してはならないこと。その業務に係る職を退いた後も同様とすること。 |
| 4. |
雇用管理に関する個人データの取扱いの管理に関する事項を行わせるため、当該事項を行うために必要な知識及び経験を有していると認められる者のうちから個人データ管理責任者を選任すること。 |
| 5. |
雇用管理に関する個人データ管理責任者及び個人データを取り扱う従業者に対し、その責務の重要性を認識させ、具体的な個人データの保護措置に習熟させるため、必要な教育及び研修を行うこと。
|
(法第20条)
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
(法第21条)
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
|
|
|
| (4) |
法第22条に規定する委託先の監督に関する事項 |
|
事業者は、雇用管理に関する個人データの取扱いの委託に当たって、次に掲げる事項に留意するものとすること。
|
|
| 1. |
個人情報の保護について十分な措置を講じている者を委託先として選定するための基準を設けること。 |
| 2. |
委託先が委託を受けた個人データの保護のために講ずべき措置の内容が委託契約において明確化されていること。具体的な措置としては、以下の事項が考えられること。 |
|
| イ. |
委託先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること。 |
| ロ. |
当該個人データの取扱いの再委託を行うに当たっては、委託元へその旨文書をもって報告すること。 |
| ハ. |
委託契約期間等を明記すること。 |
| ニ. |
利用目的達成後の個人データの返却又は委託先における破棄若しくは削除が適切かつ確実になされること。 |
| ホ. |
委託先における個人データの加工(委託契約の範囲内のものを除く。)、改ざん等を禁止し、又は制限すること。 |
| ヘ. |
委託先における個人データの複写又は複製(安全管理上必要なバックアップを目的とするもの等委託契約範囲内のものを除く。)を禁止すること。 |
| ト. |
委託先において個人データの漏えい等の事故が発生した場合における委託元への報告義務を課すこと。 |
| チ. |
委託先において個人データの漏えい等の事故が発生した場合における委託先の責任が明確化されていること。
|
|
(法第22条)
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
|
|
|
| (5) |
法第23条に規定する第三者提供に関する事項 |
|
事業者は、雇用管理に関する個人データの第三者への提供(法第23条第1項第1号から第4号までに該当する場合を除く。)に当たって、次に掲げる事項に留意するものとすること。
|
|
| 1. |
提供先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること。 |
| 2. |
当該個人データの再提供を行うに当たっては、あらかじめ文書をもって事業者の了承を得ること。但し、当該再提供が、法第23条第1項第1号から第4号までに該当する場合を除く。 |
| 3. |
提供先における保管期間等を明確化すること。 |
| 4. |
利用目的達成後の個人データの返却又は提供先における破棄若しくは削除が適切かつ確実になされること。 |
| 5. |
提供先における個人データの複写及び複製(安全管理上必要なバックアップを目的とするものを除く。)を禁止すること。
|
(法第23条)
個人情報取扱事業者は、次に掲げる場合(法第16条の例外と同様)を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、上記の規定にかかわらず、当該個人データを第三者に提供することができる。
| 1. |
第三者への提供を利用目的とすること。 |
| 2. |
第三者に提供される個人データの項目 |
| 3. |
第三者への提供の手段又は方法 |
| 4. |
本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
|
個人情報取扱事業者は、上記に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
次に掲げる場合において、当該個人データの提供を受ける者は、上記の規定の適用については、第三者に該当しないものとする。
| 1. |
個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合 |
| 2. |
合併その他の事由による事業の承継に伴って個人データが提供される場合 |
| 3. |
個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
|
個人情報取扱事業者は、上記に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
|
|
|
| (6) |
法第25条第1項に規定する保有個人データの開示に関する事項 |
|
事業者は、あらかじめ、労働組合等と必要に応じ協議した上で、労働者等本人から開示を求められた保有個人データについて、その全部又は一部を開示することによりその業務の適正な実施に著しい支障を及ぼすおそれがある場合に該当するとして非開示とすることが想定される保有個人データの開示に関する事項を定め、労働者等に周知させるための措置を講ずるよう努めなければならないこと。
(法第25条第1項)
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
| 1. |
本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合 |
| 2. |
当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合 |
| 3. |
他の法令に違反することとなる場合 |
|
|
| (7) |
法第29条第2項に規定する本人の利便を考慮した適切な措置に関する事項 |
|
事業者は、労働者等からの雇用管理に関する個人データの開示等の求めができるだけ円滑に行われるよう、閲覧の場所及び時間等について十分配慮すること。
(法第29条第2項)
個人情報取扱事業者は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
|
|
| (8) |
法第31条に規定する苦情の処理に関する事項 |
|
事業者は、雇用管理に関する個人情報の取扱いに関する苦情の適切かつ迅速な処理を行うため苦情及び相談を受け付けるための窓口の明確化等必要な体制の整備に努めること。
(法第31条)
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
個人情報取扱事業者は、上記の目的を達成するために必要な体制の整備に努めなければならない。 |
|
| (9) |
その他事業主等が雇用管理に関する個人情報の適切な取扱いを確保するための措置を行うに当たって配慮すべき事項 |
|
| 1. |
事業者は、保有個人データの開示に関する事項その他雇用管理に関する個人情報の取扱いに関する重要事項を定めるときは、あらかじめ労働組合等に通知し、必要に応じて、協議を行うことが望ましいものであること。 |
| 2. |
事業者は、重要事項を定めたときは、労働者等に周知することが望ましいものであること。 |
|
|
| 第四 個人情報取扱事業者以外の事業者による雇用管理に関する個人情報の取扱い |
| 法第2条第3項に規定する個人情報取扱事業者以外の事業者であって、雇用管理に関する個人情報を取り扱う者は、第三に準じて、その適正な取扱いの確保に努めること。 |
