人事が対応すべき個人情報保護法vol1(アウトソース先への個人情報の提供について)

意外と対応されていない、個人情報保護法

個人情報保護法の対応できておりますか?2020年に大型の改正、さらに2023年にも改正が行われたにもかかわらず、全く対応されていないケースがしばしばあります。特に人事部門は個人情報を取り扱うことが多く、労務管理、採用活動、健康診断等多岐にわたります。本来個人情報はユーザーと事業者の2者間で目的を明らかにしたうえで回収するプロセスになっておりますが、それを委託先や協業会社に提供することは可能なのでしょうか?今回は人事部門として知っておきたい個人情報保護法について解説していきます。今回は個人情報や個人情報取扱事業者等の定義と個人情報の第三者提供・委託・共同利用について解説します。

そもそも個人情報とは??

個人情報も加工具合等によっていくつかの区分けがあり、各区分け事に設けられている義務が異なってきます。そのため、まずはこの法律における用語の定義を理解することが重要です。主に使われる用語を解説します。

個人情報

個人情報とは、生存する個人に関する情報であって、氏名や生年月日等により特定の個人を識別することができるものを言います。また、他の情報と容易に照合することができ、それにより個人を識別することができるものも含むとされています。例えば、「電話番号と氏名の組み合わせ」等も個人情報です。また、個人識別符号(基礎年金番号や免許証の番号、マイナンバー等の個人を識別できる記号や番号等)を含むものも個人情報として取り扱います。

要配慮個人情報

「要配慮個人情報」とは、個人情報のうち本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとしてをいう。

例えば、心身の状態、賞罰歴、障害に関する情報等が要配慮個人情報となります。

ただし、一定の推知させる情報にすぎないもの(書籍の購買や貸出しに係る情報等)については要配慮個人情報となりません。

個人情報データベース等

「個人情報データベース等」とは、特定の個人情報をコンピュータ等を用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物をいう。すなわち、整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものが該当となり、ノートやエントリーシートのファイル等も該当となります。

電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)

従業者の労務管理のため、社員No、氏名、所属部署等の情報をデータ化しており、管理ソフト等で取り扱っている場合

人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合

等が該当となります。

個人データ

「個人データ」とは、個人情報取扱事業者が管理する「個人情報データベース等」を構成する個人情報をいいます。

「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいいます。ただし、国の機関や地方公共団体等は該当となりません。

保有個人データ

「保有個人データ」はその存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいいます。

本人又はその代理人から請求される開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の全てに応じなければなりません。

※今回は個人関連情報、仮名加工情報、匿名加工情報は割愛します。

個人情報法の対象となる「取扱事業者」とは

個人情報保護法では、「個人情報取扱事業者」に一定の義務を課している法律となります。その「個人情報取扱事業者」にはどのような場合に該当となるのでしょうか?

「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいいます。ただし、国の機関や地方公共団体等は該当となりません。

ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問わないとされています。

すなわち、顧客データにとどまらず、従業員管理や採用候補者等をリスト化し管理していれば、「個人情報取扱事業者」となります。

個人情報取扱事業者に課せられた主な義務

事業活動を行っているほぼすべての企業、個人事業主が個人情報取扱事業者となることはご理解いただけるかと思います。たとえフリーランスであっても、事業活動において個人情報データベース等を取り扱うことがあれば、個人事業取扱事業者として本法の制約を受けます。では、個人情報取扱事業者はどのような義務があるのでしょうか?

利用目的の通知

個人事業取扱事業者取得する個人情報の利用目的を以下①②いずれかの方法で通知しなければなりません。

①ホームページ等であらかじめその利用目的を公表する。(プライバシーポリシーや個人情報保護方針等で公開するのが一般的です。)

②本人に通知する。(プライバシーポリシーで適切に利用目的が公開されていない場合は、漏れなく本人に通知する必要があります。)

※「本人に通知」とは、本人に直接知らしめることをいい、内容が本人に認識される合理的かつ適切な方法によらなければなりません。

採用活動や営業活動において、漏れなく確実に本人に通知することはかなり煩雑になりますので、実際は公開することととなるのが一般的と言えるでしょう。

またこの利用目的は「できる限り特定しなければならない」とされています。ガイドラインでは次の通り記載されています。

個人情報取扱事業者は、個人情報を取り扱うに当たっては、利用目的をできる限り具体的に特定しなければならないが、利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい。

なお、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的の特定に当たっては、その旨が明確に分かるよう特定しなければならない

【具体的に利用目的を特定している事例】
事例) 事業者が商品の販売に伴い、個人から氏名・住所・メールアドレス等を取得するに当たり、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」等の利用目的を明示している場合

【具体的に利用目的を特定していない事例】
事例1)「事業活動に用いるため」
事例2)「マーケティング活動に用いるため」

そのため、例えば採用活動における利用目的は下記程度の具体性を持つことが望ましいと考えられます。

採用条件の検討・決定、採否の検討・決定、応募履歴の確認、応募者の職務経歴・背景の調査を遂行するため 問い合わせ対応、事務連絡、その他採用選考に必要な手続きを遂行するため 採用決定後の入社に関する必要事項の案内、その他これに必要な手続きを遂行するため

利用目的の範囲を超えて利用する場合の制約

個人情報取扱事業者は、あらかじめ本人の同意を得ないで、公表又は本人に通知することにより、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはなりません。

個人情報を他社へ渡すことが可能かどうか?

ここまで説明した通り、個人情報は本人に利用目的を通知したうえで取得しなければならなりませんが、それは2者間で行われます。すなわち、利用目的に同意したユーザーが個人情報取扱事業者へ個人情報を提供するというのが個人情報のやり取りとなります。しかし、アウトソースなどにより個人情報を第3者へ提供しなければならない場合もあるかと思います。その様な場合に個人情報の提供をどのように行えばよいか考えていきます。

個人情報を自社以外の事業者に提供する方法は以下の3パターンが考えられます。

①委託:企業が利用目的の達成に必要な範囲内において、個人データの取扱いの全部又は一部を委託することに伴って、当該個人データが提供される場合のことを言います

②共同利用:当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲で、当該個人データを共同して利用することを言います。

③個人情報の第三者提供:①②以外で、第三者に個人情報を提供することを言います。

※上記以外にも「事業継承」が該当となりますが、今回は人事部門をターゲットに記載しておりますので、説明を割愛させていただきます。

それぞれどのようなものか見ていきましょう。

委託・共同利用

委託

実務では、事務処理の委託のために、他社に顧客情報を渡さなければならないケースがあります。このように、企業が利用目的の達成に必要な範囲内において、個人データの取扱いの全部又は一部を委託することに伴って、当該個人データが提供される場合のことを言います。つまり、個人データの取扱いの委託に伴う提供であれば、利用目的達成に必要な範囲内にとどまる限り、ユーザー本人の同意が不要となります。そのため、提供元の利用目的の通知が適切に行われていることが要件となります。

ただし、委託元には委託先に対する監督義務(下記①~③)が発生します。

①適切な委託先の選定義務(委託先の個人情報保護の管理体制が適切かどうかを確認する。)

②委託契約の締結義務 (個人データを漏らさない、その他情報管理に関する契約書を締結する。)

③委託先における個人データの取扱状況を把握する義務 (プライバシーポリシーや個人情報管理規程等が適正なものか確認し、適切に運用できているかなどを確認する)

※③の確認方法は口頭での確認でも要件は満たしますが、委託先の管理により漏洩などが起こったとしても管理責任を問われます。そのため、少なくとも規程類などの書面の確認を行うことを推奨いたします。

委託の具体例は以下の通りです。

・税理士や社会保険労務士に事務をアウトソースする場合

・百貨店が注文を受けた商品の配送のために、宅配業者に個人データを提供する場合

・郵送・配送

委託先の義務

提供元の個人情報保護方針に従って個人情報の管理を行う必要があります。また、委託先での個人情報の管理方法をプライバシーポリシー等で明確にすることが望ましいと考えられます。

再委託、再々委託以降には特別な手続きが必要となるのか?

個人データの取扱いの委託に伴う提供であれば、利用目的達成に必要な範囲内にとどまる限り、ユーザー本人の同意は不要となり、特段の手続きなどは不要です。目的達成のために委託先も含めて、対応しているものと解されるため、再委託以降の監督責任も提供先にあります。再委託以降で個人情報の流失が発生しても、提供先及び元請にも責任を問われることとなります。

共同利用

共同利用はグループ企業などにより、総合的なサービスを提供するために取得時の利用目的の範囲内で情報を共同利用することなどを言います。

共同利用を行うには個人データの共同利用を開始する前に、以下の①~⑤を本人に対して通知するか、本人が容易に知り得る状態に置く必要があります。

①共同利用をする旨、

② 共同して利用される個人データの項目、

③共同して利用する者の範囲、

④利用する者の利用目的及び

⑤当該個人データの管理について責任を有する者の氏名又は名称

個人情報の第三者提供について

個人情報の第三者提供とは?

上記に記載した「委託」「共同利用」以外で個人情報取扱事業者が個人データを第三者に渡すことを個人情報の第三者提供といいます。

この個人情報の第三者提供は原則禁止とされています。しかし、一定の手続きを踏むことで、第三者提供が可能となります。この手続きを踏まず個人情報を提供した場合、最大1億円の課せらる可能性のある内容となっているため、必ず対応しなければならない内容となります。

それでは、個人情報の第三者提供の手続きを詳細に見ていきましょう。

提供者の義務

以下の①②のいずれかの方法によって、必ず本人の同意を取らなければなりません。※法構成上①が原則と定められおります。

①オプトイン:ユーザー本人に第三者提供を行うことについて個別に同意を取ることを言います。同意は以下の方法が考えられます。
・同意書面をもらう、メール等のやり取りに同意してもらう
・ホームページ上で、個人情報を記述してもらう際にチェックボックスで確認を取る 

※口頭も違法ではございませんが、個人情報保護委員会の監査時に客観的に出せる記録があった方がよいことや漏れなく同意を取るためにも記録を残すことをお勧めします。

②オプトアウト:プライバシーポリシー等で事前に第三者に提供される個人データの取得の方法、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること、本人の求めを受け付ける方法等について公開することにより、個人データを第三者へ提供することです。

オプトアウトの方式をとる場合は一定の事項について個人情報保護委員会へ届け出る必要があります。

また、要配慮個人情報の取得には、原則として直接本人の同意をとる必要であり、オプトアウトによる第三者提供は認められていません。

上記いずれかの方法を取らずに、取得した個人情報を第三者へ提供することは、悪質な個人情報流失とみなされる場合がありますので必ず対応するようにしましょう。

受領者の義務

・受領者

個人情報取扱事業者が第三者から個人データの提供を受ける場合には、違法に入手された個人データが流通することを抑止するため、当該第三者が当該個人データを取得した経緯等を確認する義務を課されています。また、当該第三者の氏名等の記録を作成・保存しなければならないとされています。

個人情報の改正は頻繁

個人情報保護法は、2015年の改正により3年ごと見直し規定が盛り込まれ、この規定を根拠の改正は直近でいくと令和2年改正法(令和4年4月全面施行)また、デジタル社会の形成を図るための関係法律の整備に関する法律により令和3年改正法(令和4年4月一部施行)が行われました。

引用(個人情報保護委員会資料:https://www.soumu.go.jp/main_content/000747671.pdf )

対応事項も多く、プライバシーポリシー等の作成等には専門的な知識が必要となります。対応には専門家に依頼するのが無難です。是非、弁護士等の専門家にご相談ください。

執筆者

社会保険労務士法人ユナイテッドグローバル 

代表 社会保険労務士 川合 勇次

大手自動車部品メーカーや東証プライム上場食品メーカーで人事・労務部門を経験後、京都府で社会保険労務士法人代表を勤める。単なる労務業務のアウトソースだけでなく、RPAやシステム活用することで、各企業の労務業務の作業工数を下げつつ「漏れなく」「ミスなく」「適法に」できる仕組作りを行い、工数削減で生まれた時間を活用した人材開発、要員計画などの戦略人事などを行う一貫した人事コンサルティングを得意としている。

※本記事はあくまで当職の意見にすぎず、行政機関または司法の見解と異なる場合があり得ます。
また誤記・漏れ・ミス等あり得ますので、改正法、現行法やガイドライン原典に必ず当たるようお願いします。

Follow me!

    コメントを残す

    メールアドレスが公開されることはありません。 が付いている欄は必須項目です

    9 − one =