従業員に関する情報も個人情報保護の対象！改正や取り扱い時のポイントなど

2022年4月から改正個人情報保護法が施行され、事業所の規模を問わず、全ての企業が対応しなければなりません。

この改正された個人情報保護法は、情報を漏洩される側の個人の権利保護を目的としており、内容は多岐にわたります。

特に健康情報をはじめとする要配慮個人情報の取り扱いに関する規制が強化されたため、従業員の個人情報を取り扱うべく、内容を適切に確認しておくことが必要となります。

そこで、従業員の個人情報の保護について、会社側の労働問題、人事労務問題、情報保護問題に精通した弁護士法人ALGの神戸法律事務所の弁護士が、以下解説していきますので、ぜひご参照ください。

従業員に関する情報も個人情報に該当するのか？

「個人情報保護法」により規制対象となる「個人情報」（法2条1項）とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）」のことを指します。

具体的には、氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表すすべての情報で、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化されているかどうかを問わない、とされています。

要は、役員、従業員等に関する氏名等の情報は法の規制対象となる「個人情報」とお考えいただいてよいかと思います。

なお、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものが含まれた個人情報である「要配慮個人情報」については、以下の記事でも詳しく解説しておりますので、ぜひご参照ください。

個人情報保護法とは

「個人情報保護法」とは、企業や団体、行政機関等が個人情報を取り扱う際に順守すべき義務を定め、利用者や消費者の権利利益を保護するとともに、個人情報を有効に活用できるように、共通のルールを定めた法律です（法1条）。

昨今のデジタル技術の飛躍的な進展によって、ビッグデータの収集・分析が可能となり、また、経済・社会活動のグローバル化にともなって、越境データの流通が増大するなど、利用される個人情報は質・量ともに日に日に変化しています。

このような近時の社会の変化に対応できるよう、令和2年に初めての「個人情報保護法」の法改正がありました（令和4年4月1日全面施行）。

従業員の個人情報とは

従業員の「個人情報」として規制対象となるのは、以下のような情報とされています。

• 生年月日
• 連絡先（住所・居所・電話番号・メールアドレス）
• 会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報
• 官報、電話帳、職員録等で公にされている情報（本人の氏名等）
• 特定の個人を識別できるメールアドレス情報
• 雇用管理情報（会社が従業員を評価した情報を含む。）

2022年4月には改正個人情報保護法が施行

2022年4月に施行された改正「個人情報保護法」のポイントは、以下の5つです。

1. 個人による個人情報の利用停止・消去等の請求権の拡充
2. 企業や事業者の責務（個人情報の漏えい・滅失・毀損があり、個人の権利・利益を害するおそれが大きい場合の報告・通知の義務化）
3. 外国事業者に対しての規定を変更（外国にある第三者への情報提供で本人同意を得る際、追加情報を提供する義務を追加）
4. 法令違反があったときの罰則を強化（違反や虚偽報告を抑止するため、措置命令や報告義務違反の罰則内容の引き上げ）
5. 新しいデータ分類（「仮名加工情報」と「個人関連情報」と呼ばれるデータの分類を新しく定義）

特に罰則の強化などもあるため、企業としては、法改正にもきちんと取り組むべく、十分に内容を確認するようにしましょう。

企業が従業員の個人情報を漏洩した場合のペナルティ

上記でも触れましたが、2022年4月に施行された改正「個人情報保護法」では、企業が従業員の個人情報を漏洩した場合の罰則・ペナルティも規定されています。

具体的には、個人情報取扱業者である企業は、以下のような「個人情報」の漏えいなど、個人の権利利益を害するおそれが大きい事態が生じたときは、個人情報保護委員会（社内に設ける委員会ではなく、公的機関である個人情報保護委員会）への報告および本人への通知が義務づけられました（法26条）。

• 要配慮個人情報（法2条3項）の漏えいなど
• 財産的被害が生じるおそれがある個人データの漏えいなど
• 不正目的による個人データの漏えいなど
• 1、000を超える漏えいなどが発生、または発生したおそれがある事態が生じたとき
  その上で、以下のような罰則等もありますので、注意が必要です。

刑事上の罰則

上記のとおり、情報の漏洩等の場合には、個人情報保護委員会への報告等が必要になりますが、以下のとおり、罰則が用意されています。

1. 個人情報保護委員会へ虚偽の報告・資料提出をした場合、50万円以下の罰金が科されます（法182条）。
   ⇒　改正前の30万円以下の罰金から引き上げられています。
2. 個人情報保護委員会からの命令に違反した場合、1年以下の懲役または100万円以下の罰金が科されます（法178条）
   ⇒　改正前の6か月以下の懲役または30万円の罰金から引き上げられています。
3. 法人に対する罰金の上限額が１億円以下の罰金に引き上げられています（法184条1項）。
   ⇒　改正前の法人に対する罰金の上限額は行為者と同じでしたが引き上げられています。

民事上の損害賠償責任

上記の刑事上の罰則のみならず、企業としては、民事上の損害賠償責任を負う可能性があります。

具体的には、情報を漏洩した従業員が不法行為責任（民法709条）を負い、情報が漏洩された当事者に生じた損害を賠償しなければなりません。

しかし、その従業員だけでなく、企業も雇用主として使用者責任を負う可能性があり、また企業の体制に問題があった場合、企業自身の責任として同様の不法行為責任を負うこともあります。

社会的信用の低下

情報漏洩等によるリスクとして大きいのは、企業としての社会的信用の低下です。

情報漏洩等の態様、範囲などによっては、企業にとって致命的な影響を与えかねません。

そもそも、企業内にはさまざまな情報やデータが存在します。特に企業の機密情報、個人情報、顧客情報の 3 つは、悪用されたり、場合によっては犯罪に利用されるなどするため、外部に漏洩してしまうと非常に危険です。

取引先等からも、「セキュリティ事故があった企業」として見られるため、社会的な信用が大きく低下します。

さらに、顧客からの企業イメージの低下により、取引停止や株価の下落などに発展するリスクも高まるでしょう。

また、働いている社員も顧客や取引先からの問い合わせ、苦情などの対応に追われることで、モチベーションの低下につながるおそれもあります。

従業員の個人情報を取り扱う際に気を付けるべき5つのポイント

それでは、企業としては、従業員の個人情報を取り扱う際に、どのような点に気を付けるべきなのでしょうか。

ここでは、５つのポイントを挙げながら説明したいと思います。

①個人情報の取得時には本人に利用目的を伝える

まず、①従業員から個人情報を取得する場合には、少なくとも、従業員本人に利用目的を伝えるようにしましょう。

従業員だからといって何も説明せずに個人情報を取得しようとしても、従業員の不安をあおる結果になってしまうでしょう。

その意味では、そもそも個人情報を取得する段階で、従業員本人に利用目的を伝えるようにすべきです。

②取得した個人情報は目的外のことに利用しない

また、②従業員から取得した個人情報は、目的外のことには基本的に利用しない、というルール設定も重要と言えます。

基本的には、個人情報というセンシティブな情報を取得するのですから、どういった目的の元で取得するか、という点から安易に逸脱するのは当然望ましくありません。

仮に、目的外で使用するとしても、厚労省の指針にもあるとおり、個人情報の目的外利用（法16条）に規定する本人の同意については、「当該本人が口頭、書面などにより当該個人情報の取り扱いについて承諾する意思表示を行うことが望ましい」として個別同意の取得が推奨されています。

③取得した個人情報は安全に管理する

さらに、③取得した個人情報は安全に管理するという体制、仕組みも重要です。

例えば、従業員の個人情報やマイナンバー等、秘匿性の高い情報を取得するとき、誰が、どのように管理するかをルール化しておくことが対策として有効です。

また、従業員であれば誰でも情報にアクセスできると、情報漏洩のリスクが高まるうえ、万が一情報が漏洩した場合に、そもそもの原因の把握が困難になりかねません。

そこで、従業員の立場に応じて情報へのアクセスを制限したりするなど、情報への接近の度合いをコントロールしておきましょう。

④個人情報を第三者へ提供する際は本人の同意を得る

④従業員の個人情報について、対外的に提供する、すなわち、第三者に提供する場合には、従業員本人の同意を取るようにしましょう。

第三者へ提供するとしても、厚労省の指針にもあるとおり、個人情報の第三者提供（法23条1項）に規定する本人の同意については、「当該本人が口頭、書面などにより当該個人情報の取り扱いについて承諾する意思表示を行うことが望ましい」として個別同意の取得が推奨されています。

⑤本人からの個人情報の開示請求には応じる

また、⑤従業員本人からの個人情報の開示請求には応じるようにしましょう。

そもそもですが、企業が保有する個人データについて、本人が開示（第28条）、訂正等（第29条）、利用停止等（第30条）を請求する権利があると定められています。

そのため、企業は本人からの開示等の請求を受けた場合、遅滞なく開示等を行うことが求められています。

その際、どのような内容の請求なのか、どのような手順で行わせるのか、など企業内でしっかりとルールを定めておくようにしましょう。

従業員の個人情報保護のために企業が実施すべき対策

それでは、従業員の個人情報保護のために企業としては、どのような対策を取るべきなのでしょうか。

企業として実施すべき対策について具体的に見ていきましょう。

社内マニュアルを策定する

まず、社内においてマニュアルを策定するようにしましょう。

そもそもの情報漏えい等を防止するためのマニュアルだけでなく、情報漏えい等が発生してしまった際のマニュアルも用意しておきましょう。

情報漏洩等が発生してしまった後の対応遅延による信用低下、レピュテーションリスクは企業に大きな損失をもたらすため、事前の対策が極めて重要です。

個人情報保護に関する研修を行う

次に、企業としては、個人情報保護に関する研修を行いましょう。

上記したとおり、法改正を踏まえて、個人情報保護については、企業として重要な課題として取り組むべきであり、従業員を含めて企業全体として研修や勉強会などで、周知徹底すべきものといえます。

この点、「何から対応すべきかわからない」、「社内に知識がある人間がいない」など課題を抱えている方には、専門家に相談されて、対応されることおすすめします。

個人情報取扱責任者を設置する

社内において、個人情報の取扱責任者を設置するようにしましょう。

個人情報取扱責任者については、特段の資格が必要というわけではありません。

もっとも、「当該企業の事業内容全般を理解していること」、「個人情報保護のルールの運用にあたり、指揮を執ることが出来て、社内に何かを依頼・命令が出来ること」を備えた方が就くことがベターといえます。

小さい会社であれば、社長自身が対応するケースもありますし、管理職クラスの方にやっていただいても構いませんし、部署等ある程度組織がしっかりしている企業であれば、総務など管理系の部門の方になっていただいても良いと思います。

セキュリティ対策を万全にする

また、個人情報の漏えい等を防ぐべく、セキュリティ対策を取ることも肝要です。

データの整理を進めるとともに、データの保存環境、アクセス権限などが適切になっているかの定期的な見直しは、個人情報の保護の観点からは必要不可欠です。

また、情報漏えいを防ぐためのシステムの導入、操作ミスや設定不備による漏えいの対策を講じていく必要があります。

例えば、以下のような対策が考えられます。

• エンドポイント（PCやサーバ）やゲートウェイにおけるセキュリティ対策製品の利用
• 適切なアクセス権の付与
• データの持ち出し対策
• 個人情報の暗号化

苦情処理体制を整備する

個人情報取扱事業者である企業は、個人情報の取扱いに関する苦情の適切かつ迅速な処理を行うために、必要な体制の整備に努めなければならないとされています（法第 35 条第２項）。

例えば、苦情処理の担当者や苦情処理の手順を定めておくことなどが考えられます。

従業員の個人情報の取扱いに関する裁判例

従業員の個人情報として、「健康情報」というセンシティブな情報が他に漏洩してしまったという裁判例（福岡高判平成27年1月29日判決）について紹介します。

事件の概要(福岡高判平成27年1月29日判決)

Y病院で勤務する看護師のXは、Z病院にて血液検査を受けた結果、HIV陽性と診断されてしまったのですが、Z病院の医師から情報取得したY病院の医師がXの同意なく、Y病院の他の職員に伝達して情報を共有しました。

Xは、Ｙ病院に対して、個人情報保護法23条違反（第三者提供の禁止）、同16条違反（目的外利用の禁止）であり、かつ、Ⅹのプライバシー権の侵害であるとして訴訟を提起しました。

裁判所の判断

裁判所は、患者個人の医療情報は、医師法に守秘義務が課されている（刑法134条1項参照）ことから明らかなとおり、重要な秘密とされる個人情報であるとして、また、ＨＩＶ感染者に対する偏見・差別があることを踏まえ、ＨＩＶ感染症に罹患しているという情報は、他人に知られたくない個人情報であるから、本件情報を本人の同意を得ないまま法に違反し取り扱った場合には、特段の事情のない限り、プライバシー権の侵害の不法行為が成立する、と判断しました。

ポイント・解説

疾病に関する情報は、「健康情報」の中でも、社会的差別を招くおそれのある、特に慎重な対応が必要なセンシティブ情報です。

そのため、本判決がⅩのプライバシー権の侵害を認め、不法行為責任を認めたことは妥当だと思われますし、企業として、このようなセンシティブ情報を漏えいしてしまった場合の信用低下、レピュテーションリスクには十分ご注意いただく必要があるかと思います。

従業員の個人情報の取扱いでお悩みの際は、弁護士に一度ご相談ください

これまで見てきたとおり、個人情報保護法は、企業に対して、従業員の個人情報の保護のために罰則付きできびしいルールを課しているものといえます。

ただし、企業として、従業員の管理などに際して、従業員の個人情報の取得は必須であり、個人情報の取得なく企業運営することはできないでしょう。

そのため、企業としては、従業員の個人情報を適切に取得し、適切に管理し、明確な目的のもとで利用する、といった基本的な対応が求められるところです。

こういった「個人情報」の保護の体制などを取るべきは、全ての会社です。

ただし、「何から対応すべきかわからない」、「社内に知識がある人間がいない」など課題を抱えている企業も少なくないと思われ、そういった場合には、速やかに専門家に相談されて、対応されることおすすめします。

弁護士法人ALGの神戸法律事務所の弁護士は、これまで情報管理、会社側の人事問題を数多く扱ってきた実績と経験があるため、弁護士法人ALGの神戸法律事務所の弁護士に一度ご相談ください。