個人情報保護対策
個人情報保護法より
2005年4月1日より個人情報保護法が完全施行されました。
個人情報デ−タを事業の用に供しているもので、個人情報デ−タべ−スで識別される個人の数が、過去6ヶ月以内のいずれの日においても5,000件を超える場合、個人情報取扱事業者となります。
企業が持つ顧客情報や機密情報、加えて従業員の個人情報もその管理の対象となります。
個人情報取扱事業者とは
国や地方公共団体、独立行政法人等以外で、個人情報データ等を事業の用に供している者で個人情報データベースで識別される個人の数が、過去6ヶ月以内のいずれかの日において、5,000件を超える事業者をさします。
| 個人情報 | 個人を識別することができる情報。 個人情報を取得、利用する段階で利用。 |
| 個人データ | 検索できるよう体系的に構成されたデータベースとなる情報。 安全管理や第三者提供の際に問題とされる。 |
| 保有個人データ | 個人情報取扱事業者が開示等の権限をもっているデータ。 本人からの開示要求の際に問題とされる。 |
従業員の個人情報について
企業の雇用管理上の従業員の個人情報とは 以下のような個人情報を指します。
従業員の個人情報の種類
| 1.基本情報 | 住所、電話番号、年齢、性別、血液型、人種、出生地 | |
| 2.家族情報 | 家族構成、扶養関係、別居の有無、親族について | |
| 3.思想・信条 | 宗教や支持政党 | |
| 4.健康情報 | 心身の健康状態、病歴、運動能力、身体測定の記録 | |
| 5.私生活情報 | 交友関係、趣味、住宅情報 | |
| 6.資産・債務情報 | 債権、債務、不動産評価額 | |
| 7.賃金情報 | 年間給与、月額給与、賞与、その他諸手当、賃金形態 | |
| 8.人事情報 | 学歴、資格、人事考課、処分歴 | |
| 9.労働組合情報 | 労働組合活動歴、所属労働組合 |
書類の保管期間
| 法律名 | 書面・資料名 | 起算日 | 保存期間 | 時効関係 |
| 労働 基準法 |
労働者名簿 | 死亡、解雇、退職の日 | いずれも 3年間 |
2年 (退職手当は5年) |
| 賃金台帳 | 最後の記入をした日 | |||
| 雇い入れに関する 重要な書類 |
死亡、解雇、退職の日 | |||
| 解雇、退職に関する 重要な書類 |
死亡、解雇、退職の日 | |||
| 災害補償に関する 重要な書類 |
災害補償の終わった日 | |||
| 賃金その他労働関係に関する重要な書類 | その完結の日 | |||
| 雇用保険 | 雇用保険に関する書類 | 完結の日から | 2年間 | 2年 |
| 被保険者に関する書類 | 4年間 | |||
| 徴収法 | 徴収に関する書類 | 完結の日から | 3年間 | 2年 |
| 被保険者関係 届出事務等処理簿 |
4年間 | |||
| 労災保険 | 特に規定なし | 最低2年間が望ましい | 2年 (年金等の給付は5年) |
|
| 労働安全衛生法 | 特別教育の記録 | 3年間 | ||
| 健康診断の記録 | 5年間 | |||
| 社会保険 | 特に規定なし | 最低2年間が望ましい | 2年 (年金は5年) |
|
| 民法 | 債務不履行責任 | 10年 | ||
| 不法行為 | 3年 |
従業員の個人情報漏洩対策
現在、誰でも重要情報や従業員の個人情報にアクセスできる状態で従業員の賃金や扶養情報等の個人情報の取り扱いについて何の対策もしていない状態になっていませんか?
個人情報保護法において、企業は従業者に個人情報を扱わせるにあたり、必要かつ適切な監督をしなければならないとしています。ここでいう「従業者」には、雇用関係にある従業員のみならず、取締役、執行役、監査役派遣労働者も含まれます。
特に派遣労働者は、派遣元との就業規則と雇用契約が適用される為、派遣先の就業規則や機密保持規定からは漏れてしまいます。そこで、派遣先にて知り得た秘密等を他に漏らさない旨の誓約書を、派遣就業開始前およびできれば派遣就業終了時にも提出してもらうことをお勧めします。
さらに個人情報保護法第22条では、個人情報取扱事業者に対し、委託先の適切な監督の義務を課しています。税務、社会保険手続き、給与計算業務などは、他社に委託することも多いと思いますが、近年、委託先での情報漏洩が増加しています。契約書の内容や、委託先での事務処理の状況等を再度確認する必要があります。
以下が従業員の個人情報に関する情報漏洩対策の参考条文です。
| 第20条(安全管理措置) 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。 |
安全管理措置4本の柱について
組織的安全管理措置
安全管理について従業員の責任と権限を明確に定め、安全管理に対する規程や手順書を整備運用し、その実施状況を確認すること。
- 個人データの安全管理措置を講じるための組織体制の整備
- 規定や手順書等の整備と規程等に従った運用
- 安全管理措置の評価・見直し・改善
- 個人データの取扱い状況を一覧できる手段の整備
- 事故又は違反発生への対処
人的安全管理措置
従業員に対する業務上の秘密と指定された個人データの非開示契約の締結や教育、訓練等を行うこと。
- 雇用及び契約時における非開示契約の締結
- 業務上の機密事項の指定
- 非開示規定の整備
- 従業員に対する教育、訓練
物理的安全管理措置
入退館の管理、個人データの盗難の防止措置。
- 安全管理区域の設置
- 入退館(室)の管理
- データ盗難等の防止対策措置
- 機器・装置の物理的な保護
技術的安全管理措置
個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策,情報システムの監視等、個人データに対する技術的な安全管理措置。特に従業員の雇用情報については、データのアクセス権限を限定し、限られたものだけが扱うようにする必要があります。
- 個人データへのアクセスにおける識別と認証
- 個人データへのアクセス制御
- 個人データへのアクセス権限の管理
- 個人データへのアクセスの記録
- 個人データを取り扱う情報システムに対する不正ソフトウェア対策
- 個人データの移送・通信時の対策(暗号化)
- 個人データを取り扱う情報システムの作動確認時の対策
- 個人データを取り扱う情報システムの監視
個人情報の管理監督について
| 第21条(従業者の管理) 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。 |
個人情報取扱事業者は、法第20条に基づき安全管理措置を遵守させるよう、従業者に対し、必要かつ適切な監督をしなければなりません。
特に派遣労働者は、派遣元との就業規則と雇用契約が適用される為、派遣先の就業規則や機密保持規定からは漏れてしまいます。そこで、派遣先にて知り得た秘密等を他に漏らさない旨の誓約書を、派遣就業開始前およびできれば派遣就業終了時にも提出してもらうことをお勧めします。
なお従業者とは、組織内にあって直接間接に事業者の指揮命令を受けて事業者の業務に従事している者をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パ−ト従業員、アルバイト従業員等)にのみならず、取締役、執行役、監査役、派遣社員なども含まれます。
| 第22条(委託先の監督) 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。 |
委託先への監督のために契約書に記載が望まれる事項
- 委託先および受託者の責任の明確化
- 個人データの安全管理に関する事項(個人データの漏洩防止、盗用禁止に関する事項、委託先契約範囲外の加工・利用の禁止、委託契約範囲外の複写、複製の禁止、委託処理期間終了後の個人データの返還・消去・廃棄に関する事項)
- 再委託に関する事項(再委託を行うに当たっての委託先の文章による報告)
- 個人データの取引状況に関する委託者に対する報告内容および頻度
- 契約内容が遵守されていることの確認(あらかじめ定められた間隔で確認)
- 契約内容が遵守されていなかった場合における措置
- セキュリティ事件および事故の発生時における報告・連絡に関する事項
