改正個人情報保護法Q&A
改正個人情報保護法Q&A

改正個人情報保護法の概要と実務上の留意点」

〜すべての事業者に義務付けられる個人情報管理のポイント〜


個人情報の保護に関する法律(個人情報保護法)の改正法が2017530日に完全施行されました。旧法では、常時取り扱う個人情報の数が5000件を超えない事業者については、適用対象外とされていましたが、改正個人情報保護法では、取り扱う個人情報の数にかかわらず、個人情報を取り扱うすべての事業者が「個人情報取扱事業者」に該当し、個人情報保護法に則って、安全かつ適切に個人情報を取り扱うことを求められることになりました。

 また、改正法では、個人情報の定義が明確化され、新たに設けられた「要配慮個人情報」やマイナンバーを含む「特定個人情報」については、厳格な管理が事業者に義務付けられることになりました。

 改正法下において、すべての事業者は、個人情報保護法の内容を理解し、新たに策定されたガイドラインに則って、顧客や取引先の個人情報のみならず、従業員やその家族の個人情報を適切に取り扱わなければなりません。

 そこで、本コーナーでは、改正個人情報保護法の概要、および事業者が顧客や従業員等の個人情報を取り扱う際の留意点について、Q&A形式で解説します。

 

Q.個人情報保護法はどうして改正されたのか?

A.個人情報保護法改正の背景には、社会環境の変化により、同法が制定された当時には想定されていなかった様々な問題が顕在化してきたという事情があります。


 具体的には、IT技術の急速な進展により、膨大なパーソナルデータ(個人の行動・状態等に関するデータ)の収集・分析が可能となり、パーソナルデータを活用した新たなビジネスやサービスが期待されるようになりました。しかし、旧個人情報保護法では、事業者が利用できる個人情報の範囲が曖昧であったために、いわゆる「グレーゾーン」問題が発生していました。

 また、グローバル化が進む中で、個人情報が国境を越えてやり取りされることが増えていますが、日本の個人情報保護法は個人情報保護先進国が求めるレベルに達していないとされ、EU諸国から日本への個人情報の自由な移転が禁じられていました。そのため、現地法人をもつ企業等では、親子会社間での個人情報のやり取りが困難な状況となっていました。

さらに、20146月にベネッセコーポレーションの業務委託先の社員が3万5千件を超える個人情報を持ち出して名簿業者に売り渡していたことが発覚し、名簿業者に流れた個人情報が犯罪に利用されたり、プライバシー侵害につながったりすることに対する社会的不安が一気に高まりました。

 こうした背景事情の下、個人情報保護法とマイナンバー法を同時に改正する法律が2015年9月3日に成立しました。また、この改正に伴い、それまで各主務大臣が策定していた27分野・38本にわたる個人情報に関するガイドラインは、個人情報取扱事業者に対する一元的な監督権限を有することになった「個人情報保護委員会」が新たに策定したガイドラインに一本化されることになりました。


Q.改正法では個人情報の定義に新たに「個人識別符号」が追加されましたが、具体的にどのようなものが個人識別符号にあたりますか?
A.個人識別符号の具体的内容は、個人情報の保護に関する法律施行令第1条に定められています。

     旧法では、個人情報は、次のように定義されていました。

 

「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別できることになるものを含む)。」

 

 改正法では、いわゆる「グレーゾーン」をなくして、より客観的かつ容易に個人情報に該当するか否かを判断できるように、個人情報保護法第2条(定義)において、「文書、図画若しくは電磁的記録に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項」や、「個人識別符号が含まれるもの」が個人情報の定義に追加されました。そして、具体的にどのようなものが「個人識別符号」に当たるかについては、政令(個人情報の保護に関する法律施行令)で定められています。

 これにより、顔認識データや指紋認証データ、防犯カメラに録画された画像、ボイスレコーダーに録音された音声などのほか、マイナンバー、旅券番号、運転免許証番号などの公的機関が発行する番号も個人情報に該当することが明確になりました。

  なお、携帯電話番号やクレジットカード番号のように民間企業が消費者との契約に基づいて発行する番号については、様々な契約形態や運用実態があり、いかなる場合においても特定の個人を識別することができるとは限らないことから、個人識別符号には当たらないとされています。

 ただし、これらの番号も、氏名等の他の情報と容易に照合することができ、それによって特定の個人を識別することができる場合は、個人情報に該当します。

 

Q.「要配慮個人情報」とは、どのようなものですか?

A.改正法では、「要配慮個人情報」の概念が新設され、本人に対する不当な差別、偏見その他の不利益が生じるおそれのある情報については、一般的な個人情報よりも厳格に保護されることになりました。

 
要配慮個人情報とは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして、政令(個人情報の保護に関する法律施行令)で定める記述等が含まれる個人情報」のことをいいます。

 

「要配慮個人情報」に該当する情報

(1)人種

 民族的・種族的出身や世系

 ※「外国人」という情報は、法的地位であり人種に含まれない。

(2)信条

 思想や信仰等、個人の内心の基本的考え方

(3)社会的身分

 その境遇として固着していて、一生の間、自らの力によって脱し得ないような地位

 ※学歴や職業的地位は社会的身分に含まれない。

(4)病歴

 ガンに罹患した経歴等

(5)犯罪の経歴

 業務上横領罪の前科、万引きの前科等

(6)犯罪により害を被った事実

 空き巣に入られた、暴行を受けた等

(7)心身の機能障害

 身体障害者手帳、療育手帳の交付を受けている等

(8)健康診断等の結果

 健康診断の結果、ストレスチェックの結果、特定健康診査の結果等

 ※会社が法人契約しているフィットネスクラブが保有している従業員の身長、体重、

  血圧、脈拍、体温等の個人の健康情報は「健康診断の結果」には当たらない。 

(9)健康診断の結果に基づき診療または調剤は行われたこと

 健康診断等の結果により医師または保健師が行う保健指導、面接指導等

(10)刑事事件の手続きが行われたこと(犯罪の経歴を除く)

 逮捕、捜査、差押え、勾留、公訴の提訴等の刑事手続きを受けた事実

(11)少年の保護事件の手続きが行われたこと

 少年法に基づき、調査、観護の措置、審判、保護処分等の手続きを受けた事実

 

 要配慮個人情報は、原則として、予め本人の同意を得ないで取得することはできません。オプトアウトによる第三者提供も認められません。ただし、法令に基づく場合や、委託、事業承継、および共同利用に該当する場合は、あらかじめ本人の同意を得ることなく取得、利用または第三者提供を行うことができます。

 なお、要配慮個人情報とよく似た概念に、「機微情報」があります。金融分野のガイドラインでは、「個人情報取扱事業者は、要配慮個人情報ならびに労働組合への加盟、門地、本籍地、保護医療および性生活に関する情報(以下「機微(センシティブ)情報」という)について、取得、利用または第三者提供を行わないこととする」と規定されています。

 事業者は、従業員の要配慮個人情報を取り扱うにあたっては、新ガイドラインに則って取り扱うことはもとより、要配慮個人情報に該当しない個人情報についても、従業員のプライバシーを侵害しないよう、十分な配慮が必要とされます。

 

「要配慮個人情報」に該当しない情報の例
(1)本籍地
(2)国籍
(3)反社会的勢力に該当する事実
(4)運転免許証の条件等および臓器提供意思の確認欄
(5)労働組合への加盟
(6)性生活
(7)介護に関する情報


※ここに記載している情報は、パブリックコメントで取り上げられた情報です。

 

Q.従業員の健康診断の結果等の取扱いについて、なにか変更点はありますか?

A.従前における規律水準と比較して変更はなく、事業者は、これまでと同様に適切に取り扱うよう留意すべきとされています

 

 

 従業員の心身の健康に関する情報は、要配慮個人情報であり、事業者は、その取扱いについて十分に留意する必要があります。この点について、「雇用管理に関する個人情報のうち健康情報を取り扱うにあたっての留意点について」(平成29年5月29日付個人情報保護委員会事務局長・厚生労働省基準局長通知)では、健康診断の結果等の健康情報の取扱いについて、新ガイドラインの通則編に定める措置の実施にあたっては、従前における規律水準と比較して変更はなく、事業者においてこれまでと同様に適切に取り扱うよう留意すべきとされています。

 

 また、この通知では、「HIV感染症やB型肝炎等の職場において感染したり、蔓延したりする可能性が低い感染症に関する情報や、色覚検査等の遺伝性疾病に関する情報については、職業上の特別な必要性がある場合を除き、事業者は、労働者等から取得すべきではない。ただし、労働者の求めに応じて、これらの疾病等の治療等のため就業上の配慮を行う必要がある場合については、当該就業上の配慮に必要な情報に限って、事業者が労働者から取得することは考えられる。」とされています。

 

 実際に、ガンを患った従業員の仕事と治療の両立や、メンタルヘルス不調者の休職や職場復帰などにおいては、事業者が適切な就労環境を整備するために、本人から心身の状況に関する情報を取得したうえで、他の従業員と情報を共有することが必要になるものと思われます。要配慮個人情報の取得については、従業員の業務量の調整、適正配置等を行ううえで不可欠な情報か否か、従業員に対する就業上の配慮を行ううえで必要な情報であるかなどを判断基準として、取得する情報の範囲および利用目的を定めることが求められます。

 

 取得した要配慮個人情報について、職場の上司や同僚等と情報を共有することは「第三者提供」には当たらないため、本人の同意は必要とされません。ただし、情報の共有にあたっては、本人のプライバシーに配慮し、情報を共有する対象者や共有する情報の範囲(具体的病名は公表しないなど)について本人と事前に話し合い、本人の意向を確認したうえで、慎重に判断する必要があります。

 

 なお、従業員が要配慮個人情報に該当する情報をSNSなどを使ってインターネット上で自ら公開(限定公開は除く)している場合、閲覧するだけであれば、「取得」にあたりませんが、当該情報を記録する行為は、「取得」にあたるため、本人の事前の同意が必要となります。

 

Q.個人情報の第三者提供に関する義務は強化されたとのことですが、具体的にどのように強化されたのですか?

A.第三者提供に関する義務強化のポイントは、次の3つです。
@ 第三者提供に伴う届け出義務の新設
A 第三者提供を行った際、および第三者から提供を受けた際の記録
  の作成・保存
B 「個人情報データベース等不正提供罪」の新設

 

 今回は、@の届出義務について解説します。

 本人の事前の同意なく個人データを第三者に提供し、本人の求めがあった場合には、第三者への提供を停止するという方法により個人データを第三者に提供することを「オプトアウトによる第三者提供」といいます。オプトアウトによる第三者提供を行う個人情報取扱事業者は、次の事項についてあらかじめ本人がわかる状態にしておく必要があります。

 

(1)第三者への提供を利用目的とすること
(2)第三者に提供される個人データの項目
(3)第三者への提供の方法

(4)本人の求めに応じて本人が識別される個人データの第三者への提供を停止すること

(5)本人の求めを受け付ける方法

 

 改正法では、オプトアウトによる第三者提供を行う個人情報取扱事業者に対し、これらの事項について個人情報保護委員会に届け出ることを義務付け、個人情報保護委員会がその内容を公表することが規定されています。

 そして、施行規則により、個人情報取扱事業者自身も、個人情報保護委員会に届け出た内容について、自ら公表しなければならないとされています。

 公表の方法について、新ガイドラインでは、インターネットで行うことが望ましいとしていますが、インターネット以外の方法も認められています。

 自社従業員の個人情報に関してオプトアウトによる第三者提供が行われるケースとしては、建設事業や構内作業を伴う事業者が安全管理のために元請け企業からの求めに応じて自社従業員の名簿を提出することなどが想定されますが、このような場合についても、オプトアウトによる第三者提供を行うにあたっては、個人情報保護委員会への届出が必要となります。

 なお、給与計算等の情報処理を委託している外部事業者に自社従業員の個人データを開示するなど、委託業務の遂行に必要な範囲で委託先に個人情報を開示する場合には、第三者提供の問題は生じません。

 

Q.第三者提供の際の記録の作成について教えてください。

A.事業者は、個人データを第三者に提供する際には、第三者の氏名や提供した個人データの項目等について記録を作成して保存する義務があります。他方、第三者から個人データを受領した際にも、第三者の氏名や取得の経緯、提供を受けた個人データの項目等について、記録の作成・保存が必要とされます。

 

 改正法では、いわゆる名簿業者対策として、個人情報の流通経路のトレーサビリティ確保のため、個人データを第三者に提供した際に記録を作成すること、また、第三者から提供を受けた際にも、原則として当該個人データの取得の経緯などを確認し、その記録を作成・保存することが個人情報取扱事業者に義務付けられました。

 

この記録は、国内に限らず、外国にある事業者との間で個人データを授受する場合にも作成する必要があります。たとえば、近時では国内外の大学からインターンシップ生を受け入れる企業が増えていますが、大学からインターンシップ生の個人情報を受領する際も、記録の作成・保存が必要となります。

 

 実務上対応しなければならない事項の詳細は、ガイドラインの「第三者提供時の確認・記録義務編」に規定されていますので、個人データを第三者に提供する場合、または第三者から受領する場合は、ガイドラインの内容を確認し、適切に対応することが必要とされます。

 

ただし、委託、事業承継、共同利用等による提供に該当する場合は、記録の作成・保存義務の適用はありません。また、ガイドラインでは、記録作成義務が適用されないケースとして、次の例が挙げられています。

  1.  SNS上で投稿者のプロフィール、投稿内容を取得する場合
  2. 事業者が顧客から電話で契約内容の紹介を受けたため、社内の担当者の氏名、連絡先等を当該顧客に案内する場合
  3. 提供者が氏名などを削除するなどして個人が特定できないようにしたデータの提供を受けた場合 

[第三者提供した際の記録事項]

 

提供年月日

第三者の氏名等

本人の氏名等

個人データの項目

本人の同意

オプトアウトによる第三者提供

 

本人の同意による

第三者提供

 

出典:個人情報保護法ガイドライン(確認記録義務編)

 

[第三者から受領した際の記録事項]

 

提供を受けた年月日

第三者の氏名等

取得の経緯

本人の氏名等

個人データの項目

個人情報保護委員会による公表

本人の同意

オプトアウトによる

第三者提供

 

本人の同意による

第三者提供

 

 

私人などのからの

第三者提供

 

 

 

出典:個人情報保護法ガイドライン(確認記録義務編)

 

[記録の保存期間]

    保存期間
記録の作成方法 本人を当事者とする契約書等に基づく個人データの授受について記録する場合 最後に当該記録に係る個人データの提供した日または提供を受けた日から起算して1年を経過する日までの間
特定の事業者との間の継続的または反復した個人データの授受について一括して記録を作成する場合 最後に当該記録に係る個人データを提供した日または提供を受けた日から起算して3年を経過する日までの間
上記以外の場合 3年間

 

 

Q.改正法ではこれまでになかった罰則が設けられたそうですが、どのようなものですか?

A.個人情報取扱事業者もしくはその従業者またはこれらであった者が、その業務に関して取り扱った個人情報データベース等を不正な利益を図る目的で提供し、または盗用したときは、1年以下の懲役または50万円以下の罰金に処せられることになりました。さらに、当該従業員等の所属する法人にも両罰規定として50万円以下の罰金が科されます。

 

個人情報の保護に関する法律 第83条 

個人情報取扱事業者(その者が法人[法人でない団体で代表者又は管理人の定めのあるものを含む。第87条第1項において同じ。]である場合にあっては、その役員、代表者又は管理人)もしくはその従業者またはこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部または一部を複製し、または加工したものを含む。)を自己もしくは第三者の不正な利益を図る目的で提供し、または盗用したときは、1年以下の懲役または50万円以下の罰金に処する。

 

個人情報の保護に関する法律 第87条

第1項 法人の代表者または法人もしくは人の代理人、使用人その他の従業者が、その法人または人の業務に関して、第83条から第85条までの違反行為をしたときは、行為者を罰するほか、その法人または人に対しても、各本条の罰金刑を科する。

 

ここにいう「従業者」とは、事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、具体的には、従業員のほか、取締役、監査役、理事、監事、派遣労働者等が含まれます。

 

また、「その業務に関して取り扱った」とは、具体的に個人情報を取り扱う業務に従事していたことまでを要するものではなく、たとえば、顧客名簿等の取扱いに従事していない従業者が業務上知り得たパスワードを利用して顧客名簿のデータベースにアクセスしたうえで第三者に漏えいしたような場合にも本罪の適用があります。

 

 本罪の適用については、行為者に「不正な利益を図る目的」があることが要件とされていますが、「不正な利益」とは、入手した個人情報を第三者に販売して経済的利益を得ることなどを指します。そのため、会社に対する嫌がらせや興味本位で個人情報を持ち出した場合には、本条の適用がない可能性が高いものと思われます。

 

事業者としては、悪質な名簿業者や個人情報漏えい事件に対する社会的な危機意識が高まったことにより本罪が新設されたことを理解し、自社において個人情報の漏えい事件が発生することを未然に防止するためにも、この機会に、自社における個人情報の管理方法について確認・見直し等を行うとともに、従業者に対する個人情報の保護についての教育・研修を継続的に実施することが望まれます。

 

Q.海外にある業務委託先との間で従業員の個人情報をやり取りする際、注意すべき事項はありますか?

A.外国にある第三者に個人データを提供する際は、原則として、本人から同意を得ることが必要です。この同意は、委託、事業承継、共同利用の目的で第三者に個人データを提供する場合も必要とされます。また、オプトアウト方式により外国にある第三者へ個人情報を提供することはできません。


 改正法により、個人情報取扱事業者が海外の事業者に個人データを提供する場合には、原則として、外国にある第三者への提供を認める旨の本人の同意が必要となりました。外国にある第三者への個人データの提供については、日本国内の第三者に個人データを提供する場合とは異なり、「委託」、「事業承継」、「共同利用」に該当する場合であっても、原則として本人の事前の同意が必要となりますので、注意が必要です。

 

 「外国にある第三者」とは、日本以外の国・地域にある者であって、提供者である個人情報取扱事業者と本人以外の者をいいます。「外国にある第三者」に該当するか否かは、個人データを提供する個人情報取扱事業者と異なる法人格を有するか否かで判断されます。たとえば、同一法人の海外支店や駐在員事務所は法人格を有しないため「第三者」に該当しません。これに対して、海外にある親会社や子会社などの現地法人は、傘下のグループ企業であっても別の法人格を有するため、「外国にある第三者」に該当します。

 

 個人情報取扱事業者は、次の4つのいずれかに該当する場合に外国にある第三者に個人データの提供を行うことができます。

 

  1. あらかじめ、本人から「外国にある第三者への提供を認める」旨の同意を取得した場合
  2. 改正法第23条第1項各号のいずれかに該当する場合※1
  3. 外国にある第三者が個人情報保護委員会が我が国と同等の水準にあると認められる個人情報保護制度を有している国として個人情報保護委員会規則で定める国にある場合※2
  4. 外国にある第三者が個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合※3

※1 法令に基づいて提供する場合、人の生命、身体または財産などの権利利益が侵害されるおそれがある場合、公衆衛生の向上等のために必要な場合、および国の機関等により協力を求められた場合

※2 現時点(20188月)では個人情報保護委員会規則で定める国はありませんが、近いうちにEUがこれに該当することが予定されています。

※3 「外国にある第三者が委員会規則で定める基準に適合する体制を整備していることへの該当性については、新ガイドラインにその判断基準が規定されています。

 

[外国にある第三者への提供の可否]

 

 「外国にある第三者への提供を認める」旨の本人の同意の取得に際しては、本人が同意するか否かを適切に判断できるように、提供先の国または地域名を個別に示したり、外国にある第三者に提供する場面を具体的に特定するなどして、適切かつ合理的な方法で取得することが求められます。 

そのため、現地法人や外国にある委託先事業者等との間で従業員等の個人情報のやり取りを行っている事業者については、個人情報の取得および利用等に関する同意書を作成したり、既に同意書のフォームがある場合にはその内容の見直しを行う必要があると思われます。

Q.欧州と日本の間で個人データのやり取りする際に注意すべき事項はありますか?

A.EU加盟国およびアイスランド、リヒテンシュタイン及びノルウェー(EEA)域内から十分性認定により移転を受けた個人データについては、個人情報保護委員会が2018年8月24日に公表した「個人情報の保護に関する法律にかかるEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」に則った取扱いが必要とされます。


「個人情報の保護に関する法律にかかるEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(以下「十分性認定補完的ルール」といいます)は、日本の個人情報取扱事業者がEEA域内からEU一般データ保護規則(General Data Protection Regulation : GDPR(※1)の第45条に基づく十分性認定に基づいて個人データを移転する場合に遵守する必要があるルールです。十分性認定補完的ルールは、法的拘束力を有する規律であり、十分性認定補完的ルールに基づく権利および義務は、個人情報保護委員会の執行対象となります。また、十分性認定補完的ルールに定める権利および義務に対する侵害があった場合、本人は裁判所からも救済を得ることができます。

 

個人情報取扱事業者は、EEA域内からGDPRに基づく十分性認定により移転を受けた個人データの取扱いについて、十分性認定補完的ルールに基づき、次の5つの事項を遵守する必要があります。

 

@ 個人データについて、「性生活」、「性的指向」、「労働組合」に関する情報について、要配慮個人情報と同様の取扱いをすること

 

A 6か月以内に消去することとなる個人データについても、保有個人データとして扱うこと

 

B 確認記録義務を通じて確認した利用目的の範囲内で利用目的を特定し、その範囲で個人データを利用すること

 

C 本人の同意に基づき再移転する場合は、本人が同意するために必要な移転先の状況についての情報を提供し、提供先の体制整備をもって再移転する場合は、契約等により、個人情報保護法と同水準の保護措置を実施すること

 

D 個人情報保護法上の匿名加工情報として扱おうとする場合は、加工方法に関する情報を削除し、再識別を不可能なものとすること 

 

 十分性認定補完的ルールは、EEA域内からGDPRに基づく十分性認定により移転を受けた個人データの取扱いに関して適用されるものであり、標準契約条項(SCC(※2)や拘束的企業準則(BCR(※3)などに基づいて移転を受けた個人データには適用されません。

 

 なお、GDPRに基づく十分性認定の時期については、日欧の共同プレースメントにおいて「両者は、2018年の秋までに日・EU間の相互の円滑な個人データ移転の枠組みが運用可能となるために必要とされる関連国内手続きを完了させることにコミットする」と宣言されていますが、具体的な時期については、今のところ明らかになっていません。 

※1 EU一般データ保護規則(General Data Protection RegulationGDPR)は、欧州経済領域(European Economic AreaEEAEU加盟28か国およびアイスランド、リヒテンシュタイン、ノルウェー)の個人データ保護を目的とした管理規則であり、個人データの移転と処理について法的要件が定められているものです。

 

※2 2018525日から適用が開始されたGDPRでは、EEA内からEEA外への個人データの移転は原則として違法とされていますが、データ輸出者とデータ輸入者との間で標準的契約条項(Standard contractual clausesSCC)を締結することが、移転が適法と認められるためのひとつの手段とされています。

 

※3 拘束的企業準則(Binding Corporate RulesBCR)は、EU内にある企業が同じ企業の中で個人データを移転する際の方針を定めた内部規定で、主に多国籍企業によって用いられています。


Q.保有個人データの開示、訂正、利用停止等に関して何か変更点はありますか?

A.保有個人データの開示、訂正、利用停止等の個人情報取扱事業者に対する請求について、裁判上も認められる請求権であることが明確化されました。


  保有個人データの開示、訂正、利用停止等の個人情報取扱事業者に対する請求について、裁判上も認められる請求権であることが明確化されたことに伴い、今後、従業員から事業者に対して、本人の人事考課に関する情報についての開示等の請求が行われるケースが増えることが考えられます。

 

 人事考課情報の開示については、「労働者の個人情報保護に関する行動指針」(平成121220日労働省告示)で、「開示請求があった個人情報が、請求者の評価、選考等に関するものであって、これを開示することにより業務の適正な運営に支障が生ずるおそれがあると認められる場合等には、その全部または一部に応じないことができるものとする」とされています。また、「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」(平成1671日厚生労働省告示)においても、人事評価、選考に関する個人の情報については、「基本的に非開示とすることが考えられる」とされています。 

 これらの告示は、既に失効しているものですが、従前、人事考課については、これらの指針を踏まえて非開示とする対応が取られるケースが多かったものと思われます。しかし、近時では、人事考課における評価の公正化を担保し、従業員のモチベーション向上を図る目的から、評価の「透明化」を図る企業が増えている傾向が認められます。そこで、事業者としては、人事考課における評価の仕組み評価の基準となった「事実」について開示を求められた場合には、積極的に応じるという対応を取ることが考えられます。 

他方、人事考課の評価の内容について開示を求められたり、訂正、削除等の請求を受けたりした場合は、原則として、応じる必要はないと考えられます。なぜなら、人事考課は、本人の知識、能力、資質等に対する「評価」であり「事実」ではないため、請求の対象にはならないと考えられるからです。 

 事業者としては、今後このような請求が増える可能性があることを踏まえ、請求を受けた際に開示できる情報と開示できない情報があること、また、訂正、削除の請求について応じない場合があることについて、その理由も含めてきちんと説明できるようにしておくことが望まれます。


CONTACT

毎熊社会保険労務士事務所


〒101-0043
東京都千代田区神田富山町7
BIZ SMART神田富山町603
電話:03-6868-3782