2022年4月から改正個人情報保護法が事業所の規模を問わず、全ての企業に施行されました(以下「改正法」といいます)。
この改正法は情報を漏洩される側の個人の権利保護を目的としており、内容は多岐にわたります。特に健康情報をはじめとする要配慮個人情報の取り扱いに関する規制が強化されたため、従業員の個人情報を取り扱う実務担当者は内容を適切に確認しておくことが必要となります。
そこで今回は、企業の実務担当者が押さえておきたい改正法のポイントについて解説します。
要配慮個人情報漏洩時には個人情報保護委員会への報告が義務化
一つ目の改正点は、個人情報の漏えいが発生した事案のうち、個人の権利を害する恐れが大きいとして定められているケースでは、個人情報保護委員会(社内に設ける委員会ではなく、公的機関である個人情報保護委員会の事を指します)に対し速やかに報告することと、漏洩された本人に対し通知を行うことが義務化された点です。
これまでも個人情報漏洩時の報告制度は存在していましたが、義務ではなかったこともあり、積極的に報告しないケースが散見されました。そのため適切な措置を講ずることができていなかったという反省のもとに、今回から報告が義務化されました。
特に労務管理の観点で重要なのは、要配慮個人情報が1件でも漏洩した場合に上記の対応を取る必要があるという点です。要配慮個人情報とは、人種(国籍は含まない)、信条、社会的身分、病歴、犯罪の経歴、身体や精神障害、健康診断の結果等を指します。これらの情報は労務管理上の必要性から採用時や入社時に取得することが多い情報ですが、秘匿性が高いという観点から、情報を取得するには事前に利用目的を特定して本人の同意を得ることが必要となります。
要配慮個人情報漏洩時の個人情報保護委員会への報告フォーム
- 報告には新規報告と続報(修正報告を含む)の2種類があります
- 回の改正で、報告義務違反による指導の結果としての罰則が強化されます
個人情報保護委員会への報告フォームの内容は、組織概要、事案の概要とともに、どのように加工された情報を漏洩したか、二次被害の恐れはあるか、本人へはどのように通知したか、会社として公表する予定はあるか、どのような再発防止策を講じるかなどを詳細に報告することが必要です。これらの全てを企業の実務担当者だけで決定することは困難であるため、法改正を機に組織としてどのように対応していくか経営を巻き込んだ体制整備を行うことが必要となります。
個人情報保護法では従来から、組織的な安全管理措置を企業に求めていますが、特に人手の足りない中小企業では対応の遅れも目立ちます。また今回の改正で、委員会へ虚偽の報告をした場合などで、委員会の指導に従わなかった際の罰金が30万円から50万円に引き上げられました。こうした規制強化への対応としては、日頃から情報を漏洩させない仕組みの構築とともに、雇用管理上必要のない要配慮個人情報はできるだけ取得しないという意思決定も大切です。
従業員からの利用停止・削除・第三者への提供停止請求への対応義務化
今回の改正で、特定の状況下で従業員から自身の個人情報の利用停止・削除・第三者への提供停止を請求された場合には、企業は対応をしなければならなくなりました。具体的には、自身の個人情報が不適正に利用されている場合などです。
今までは取得時に同意を取り、その後の情報利用や管理は企業任せとなっていましたが、今後は企業の情報利活用に関して不適切な点が認められたり、本人の利益を侵害している場合には、本人からの請求に企業が応じる必要が出てきます。また、実際に情報漏洩されている場合はもとより、退職後にも自身の個人情報がHP上に掲載されている場合などにも利用停止や削除請求が可能となりました。
利用停止・消去、第三者への提供の停止などを請求できるケース
利用目的の特定方法の規制強化
従来から個人情報を取得する際には、利用目的をできる限り特定することが必要(個人情報保護法第15条)と規定されていましたが、AI技術の進歩により、個人の行動履歴などを収集したり、プロファイリングしたりすることが可能になりました。あるサイトで買い物をした後に関連する商品を勧められる広告が出てくることも日常茶飯事です。
今回の改正法ガイドライン(通則)では、「本人が、自らの個人情報や個人関連情報がどのように取り扱われることになるか、利用目的から合理的に予測・想定できないような場合には、利用目的を特定したことにはならない」と明記されました。
例えば、履歴書や面接で得た情報だけでなく(本人が分析されていることを想定していない)行動履歴の情報を分析し、人事採用に活用するケースでは、利用目的を単に「採用のため」と記載することでは足りず、「行動履歴を分析して、活用します」などと、データの具体的な処理方法などについても特定することが必要となりました。
このことから、各企業では、現在のプライバシーポリシーや個人情報保護方針を点検し、必要であれば利用目的の文言を修正する作業が必要となるため注意が必要です。
本人から得た情報から、行動、関心などの情報を分析する場合の利用目的の例
- 1閲覧履歴や購買履歴等の情報を分析することによって、本人の趣向等に応じた広告を配信するケース
- × 広告配信のために利用いたします。 〇 取得した閲覧履歴や購買履歴などの情報を分析して、趣向に応じた新商品・サービスに関する広告のために利用いたします。
- 2履歴書や面接で得た情報のみならず、(本人が分析されることを想定していない)行動履歴等の情報を分析し、人事採用に活用するケース
- × 取得した情報を採否の検討・決定のために利用いたします。 〇 履歴書や面接で得た情報に加え、行動履歴などの情報を分析して、当該分析結果を採否の検討・決定のために利用いたします。
- 3行動履歴等の情報を分析の上、結果をスコア化した上で、当該スコア(辞退を提供することを本人に通知することなく)を第三者へ提供するケース
- × 取得した情報を第三者へ提供いたします。 〇 取得した行動履歴等の情報を分析し、結果をスコア化した上で、当該スコアを第三者へ提供いたします。