2017年5月30日に全面施行される改正個人情報保護法により、社員の個人情報の取り扱いに関してどのような変更があるでしょうか。
社員の個人情報管理に関して関連のある主な改正は、①個人情報定義の明確化、②要配慮個人情報の取得、③第三者提供に係る記録の義務の3点です。
個人情報定義の明確化では、個人識別符号を定義しました。勤怠管理や事業所のセキュリティー管理を指紋認証で行っている場合、その情報も個人情報として取り扱わなければならないことになります。
- 個人識別符号
-
- ①身体の一部の特徴を電子計算機のために変換した符号(顔、手指の静脈、指紋など生体認証に利用可能な符号)
- ②サービス利用や書類において対象者ごとに割り振られる符号(基礎年金番号、雇用保険番号、個人番号等)
要配慮個人情報とは、不当な差別、偏見、不利益が生じないよう特に配慮を要するものとして本人の人種、信条、社会的身分、病歴、身体障害・知的障害・精神障害その他心身の機能の障害があること、健康診断等の結果等が定められています。これらの情報を取得する際には、原則として事前に本人の同意を得る必要があり、第三者提供の際にも本人の同意を得なければなりません。
人種、信条、社会的身分については、公正な採用選考ルールにおいて取得が制限されているので法改正に伴う問題は生じませんが、それ以外の項目は社内取り扱いの変更が必要になる可能性があります。例えば休職中の社員から医師の診断書が提出され、その内容について社外の産業医に相談する場合、第三者提供に該当するため、本人の同意を得て実施しなければなりません。定期健康診断の結果は、医療・介護関係事業者の個人情報ガイドライン(平成28年12月1日改訂版)において、次のとおり定められているので新たに同意を得る必要はないと考えられます。
医療機関等が、労働安全衛生法第66条により、事業者が行う健康診断等を受託した場合、その結果である労働者の個人データを委託元である当該事業者に対して提供することについて、本人の同意が得られていると考えられる。
しかし、安全衛生法で規定する健康診断項目以外の項目を受診している場合、法令で定める項目以外は本人の同意なく取得できないと思われます。
上述の産業医に診断書を見せたり、自社のホームページで社員紹介をしたりする場合、第三者提供に該当するため、提供先、提供個人データの氏名・項目、本人の同意を得た旨を記録し、その記録を3年間保存しなければなりません。
POINT利用しない個人情報消去の努力義務
利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならないと個人情報保護法が改正されました。改正前は法律で消去まで求めていませんでしたが、努力義務が設けられました。保存期間の期間切れ、不必要となった個人データの取り扱いもご検討ください。
Profile
社会保険労務士 中宮 伸二郎 (なかみや しんじろう)
立教大学法学部卒業後、流通大手企業に就職。2000年社会保険労務士試験合格し、2007年社会保険労務士法人ユアサイド設立。労働法に関する助言を通じて、派遣元企業、派遣社員双方に生じやすい法的問題に詳しい。2007年より派遣元責任者講習講師を務める。
