改正個人情報保護法の施行により人事労務担当者に求められる対応について、今回は実務上のポイントをご案内致します。
実務のポイント(1)「要配慮個人情報」と「第三者提供」
■【要配慮個人情報の取り扱い】人事・総務部門が特に注意すべきは、要配慮個人情報と定義された部分の情報の取り扱いです。要配慮個人情報は、本人の同意のない取得・第三者提供は禁止され、業務上必要な場合でなければ取得してはならないとされています。
要配慮個人情報の具体例は、≪図1≫に示した通りです。
業務上必要な場合とは、障がい者雇用を推進するために採用の際に障がいの有無や状態について聞くというような場合や、従業員が業務に耐えられる健康状態かを確認するために業務に差し支えのある疾病はないか、あるいは治療のための服薬等が必要であればそのために会社が配慮すべきことがあるかの確認のために情報を取得するような場合が該当します。
実務上では、その情報は取得すべきことかどうかの判断基準を決めておき、採用、入社時、毎年の健康診断やストレスチェックの実施時等の各場面において、利用目的や利用目的外には使わない等の文言を含んだ書式を用意しておくことで、担当者が替わっても同じように扱えるようにしておくとよいでしょう。
また、要配慮個人情報については、アクセスできる担当者を必要最低限にし、紙の情報であれば施錠できる場所に保管し、鍵を担当者のみが管理し、データであればIDやパスワード等で制限をかけて管理しておきましょう。
■【第三者提供】
グループ会社であっても、法人間での個人情報の移動については第三者提供となり、原則として本人同意が必要となります。
特定個人情報(マイナンバーを含む情報)については、行政への届出以外はたとえ本人の同意があったとしても第三者への提供は禁止です。要配慮個人情報については、法令での定めや、身体・生命・財産等に危害が及ぶような緊急性があり本人同意を得ることが困難な場合でなければ、同意を得ずに第三者提供してはならないこととされています。
第三者提供にあたらないのは、以下のような場合になります。
・委託…個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取り扱いの全部または一部を委託する場合
例) 税手続きを税理士に、社会保険手続を社会保険労務士に委託
・合併…事業承継や合併等で個人データが提供される場合
・共同利用…共同利用する者の範囲、利用目的、責任者氏名・名称を予め本人に通知または知り得る状態において利用する場合
外国にグループ会社や支店等がある場合の扱いについては、第三者提供にあたります。従業員の個人情報についても、≪図2≫を参考に運用のルールやデータの収受方法等について現在の取り扱い方法でよいのかを見直しておきましょう。