第22回 改正個人情報保護法の施行に向けて
平成17年から全面施行された個人情報保護法は、その後の事業者等を取り巻く様々な状況変化を受けて改正され、その改正法が平成29年5月30日から全面施行されることになっているところである。
この改正は、職業紹介事業者の方々に大きな影響を及ぼすものであるので、その内容について解説してみたい。
1 改正の背景
個人情報保護法は、制定後10年余を経過し、①個人情報(参考)に該当するかどうか判断することが困難ないわゆる「グレーゾーン」が拡大してきたこと、②パーソナルデ-タ(「個人情報」に限定されない、個人の行動・状態に関するデータ)を含むビッグデータの適正な利活用ができる環境の整備が必要となってきたこと等の環境変化に対応し、消費者の個人情報を図りつつ、事業者によるパーソナルデ-タの円滑な利活用を促進させ新産業・新サービスを創出するための環境整備を行うことを目的に改正されたものである。
2 改正のポイント
(1)個人情報保護委員会の新設(平成28年1月1日施行)
個人情報の保護に関する独立した機関として、特定個人情報保護委員会を改組して、新設された(マイナンバー関係も取り扱うため、マイナンバー法施行に併せて設立された)。
(2)個人情報の定義の明確化
個人情報の定義を明確化し、特定の個人の身体的特徴を変換したもの(例:顔、指紋、静脈の形状等の認識データ等)を個人情報に含むものとした。
(3)要配慮個人情報についての取扱いの厳格化
要配慮個人情報として、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実等が含まれる個人情報については、本人の同意を取って取得することを原則義務化し、本人の同意を得ない第三者提供の特例(オプトアウト)を禁止した。
(4)小規模取扱事業者に対する適用
これまでは個人情報保護法が適用されていなかった5000人分以下の個人情報しか取り扱わない小規模取扱事業者に対しても適用することとした。
(5)利用目的の変更要件の緩和
当初の利用目的から新たな利用目的への変更の要件を緩和した。
(6)オプトアウト手続きの厳格化
事業者は、オプトアウト手続きによって個人データを第三者に提供しようとする場合、データ等の項目等を個人情報保護委員会へ届け出なければならないこととし、同委員会はその旨を公表するものとした。
(7)トレーサビリティ(追跡可能性)の確保
個人データを提供した事業者は、その受領者の氏名等の記録を一定期間保存しなければならず、また個人データを第三者から受領した事業者は、提供者の氏名やデータの取得経緯等を確認し、一定期間その記録を保存しなければならないこととした。
(8)個人情報データベース等不正提供罪の新設
個人情報データベース等を取り扱う事務に従事する者又は従事していた者が、不正な利益を図る目的で個人情報データベース等を提供し又は盗用する行為を処罰する規定を新たに設けた。
(9)個人情報保護委員会の権限の強化
現行の主務大臣の有する権限を個人情報保護委員会に集約し、立入検査の権限等を追加した。
3 職業紹介事業者が守るべきルール
今回の改正により、すべての職業紹介事業者が個人情報取扱事業者として個人情報保護法を遵守しなければならなくなったことから、職業安定法の規定も踏まえ、個人情報を取り扱う際に、特に職業紹介事業者が留意しなければならない点は次のとおりである。
なお、職業安定法は個人情報の保護対象を求職者に限定しているが、今回の個人情報保護法の改正により、すべての職業紹介事業者は、求職者に限らず、求人者の担当者や職業紹介事業者の従業者等の個人情報についても同法による保護を行わなければならないことに留意が必要である。
(1)個人情報を取得する際のルール
・取得時の利用目的の特定、通知・公表等
職業紹介事業者は、個人情報を取り扱うに当たってはその利用目的を特定し、また、取得するに当たっては、①取得前にあらかじめその利用目的を公表する、又は②取得後速やかにその利用目的を本人へ通知あるいは公表することが必要である。なお、書面により本人から直接取得する場合は、あらかじめ本人にその利用目的を明示する必要がある。
なお、利用目的としては、一般的には「職業紹介業務」関する利用以外考えられない。
・適正な手段による取得等
職業紹介事業者は、偽りその他不正な手段によって個人情報を取得してはならず、また、①要配慮個人情報及びそれに含まれない「職業紹介事業者等指針(平11年労働省告示141号)」で定められている本籍地・出生地、門地その他社会的差別の原因となるおそれのある事項(家族の職業・収入、本人の資産・負債等の情報、容姿・スリーサイズ等差別的評価につながる情報)、信条に関する推知情報(購読新聞・雑誌、愛読書等)、労働組合への加入状況(労働運動、学生運動、消費者運動その他社会運動に関する情報)については原則取得することはできないとされていること、②オプトアウト手続きによって個人データを第三者に提供しようとする場合、データ等の項目等を個人情報保護委員会へ届け出なければならず、同委員会からその旨が公表されることとされていることに留意する必要がある。
・利用目的の変更
職業紹介事業者は、特定した利用目的の範囲内で個人情報を取り扱わなければならず、その目的の範囲を超えて取り扱う場合はあらかじめ本人の同意を得る必要がある。ただ、この点に関し、従前の規制が緩和され、変更前の利用目的に関連すると合理的に認められる範囲内であれば利用目的を変更できることとされたが、変更された目的を本人へ通知又は公表する必要がある。
(2)個人情報を保管管理する際のルール
・個人データは正確で最新の内容に保ち、利用する必要がなくなったときは、データを消去するように努めなければならない。
・個人データの漏洩や滅失を防ぐため、セキュリティーソフトの利用やパスワードの設定を行うなど、事業の規模等に応じた適切な技術的措置等を取る必要がある。
・安全にデータが管理されるよう、従業員に対し適切な監督を行わなければならない。
(3)個人情報の取扱いに関する苦情
・職業紹介事業者は、個人情報の取扱いに関する苦情について適切・迅速な処理に努めなければならない。
(4)職業紹介事業者の持つ個人情報の確認
・本人は、職業紹介事業者に対して、自分の個人情報の開示を請求することができ、職業紹介事業者は、その個人情報が保有個人データである場合には、第三者の利益を害する等の一定の場合を除き、原則として本人からの開示請求に応じなければならない。
・本人からの請求に応じて、保有個人データの内容に誤りがある場合には訂正・削除を、職業紹介事業者が個人情報保護法の義務に違反している場合には保有個人データの利用停止・消去等をする必要がある。
・保有個人データの利用目的や職業紹介事業者の名称等を継続的にHPに掲載するなど本人が知ることができる状態に置き、本人の求めに応じて、その本人の保有個人データの利用目的を通知しなければならない。
(5)第三者に提供する際のルール
・原則として、あらかじめ本人の同意をとれば、職業紹介事業者は個人データを他の求人者等に提供することができるが、次の場合は、例外的に本人の同意がなくとも提供できる。
① 法令に基づく場合(警察から刑事訴訟法に基づく要請があった場合等)、国の機関等へ協力する必要があり、かつ、本人の同意を得るとその遂行に支障を及ぼす恐れがある場合(統計調査に協力する場合等)等
② 次の3点すべてを行って提供する場合(オプトアウト手続き。要配慮個人情報を提供する場合を除く)
・本人の求めに応じて、その本人の個人データについて、第三者への提供を停止することとしていること
・本人の求めを受け付ける方法等をあらかじめ本人に通知、又は継続的にHPに掲載するなど本人が容易に知ることができる状態に置くこと
・本人に通知等した事項を個人情報保護委員会に届け出ること
(6)不正な流通が発覚した場合の漏洩元等の特定
・個人情報保護委員会が、以下の記録を調査することによって、漏洩元等を特定する。
・第三者提供時の記録等
―職業紹介事業者は、提供年月日、受領者の氏名等を記録し一定期間保存しなければならない
・第三者からの受領時の確認・記録等
―職業紹介事業者は、提供者の氏名等、その提供者が個人データを取得した経緯を確認するとともに、受領年月日、確認した事項等を記録し一定期間保存しなければならない
(7)国による監督
・職業紹介事業者が、法違反をしていると疑われる場合には、国は職業紹介事業者に対して、必要に応じて報告を求めたり、立入検査を行うことができ、その実態に応じ必要な指導・助言を行うほか、勧告・命令を行うことができる。
・職業紹介事業者が、国からの命令に違反した場合には6月以下の懲役又は30万円以下の罰金が、虚偽の報告をした場合等には30万円以下の罰金が科される。
・個人情報データベース等を取り扱う事務に従事する者又は従事していた者等が、不正な利益を図る目的で個人情報データベース等を提供し、又は盗用した場合は、1年以下の懲役又は50万円以下の罰金が科される。
(8)その他
・個人情報管理規程(個人情報の取扱者の範囲、その者の研修等教育訓練、個人情報の開示又は訂正・削除の取扱い、苦情処理を含む)の作成
・個人情報の開示又は訂正を求めた求職者に対する不利益取扱いの禁止
4 おわりに
職業紹介事業者は、今後、個人情報保護法の規定を遵守するとともに、職業安定法の個人情報保護に関する規定(現行の考え方については本稿第5回を参照)も遵守する必要があることから、改正個人情報保護法の施行(平29年5月30日)までに厚生労働省から出されると予想される職業安定法の取扱いを含む個人情報の取扱いに関する考え方を踏まえた適切な対応に努めることが求められることとなるので、この点に十分留意して紹介業務を行う必要がある。
(参考1)個人情報とは
生存する個人に関する情報であって、
① 氏名、生年月日、住所等により特定の個人を識別することができるもの(他の情報と容易に照合でき、それにより特定の個人を識別することができるものを含む)
―例 データベース化されていない書面、写真、音声等に記載されているもの
② 個人識別符号(イ又はロ)が含まれるもの
イ 特定の個人の身体の一部の特徴を電子計算機のために変換した符号
―顔、指紋、静脈の形状等の認識データ等
ロ 対象者ごとに異なるものとなるように役務の利用、商品の購入又は書類に付される符号
―旅券番号、免許証番号等
(参考2)個人データとは
個人情報データベース等(注)を構成する個人情報
(注)名簿、連絡帳のように、個人情報を含む情報の集合物であって、電子媒体・紙媒体を問わず、特定の個人情報を検索することができるように体系的に構成したもの
(参考3)保有個人データとは
個人情報取扱事業者が開示、訂正、削除等の権限を有する個人データ(6か月以内に消去することとなるものを除く)
―例 自社の事業活動に用いている顧客名簿、従業員等の人事管理情報
(参考4)個人情報取扱事業者とは
個人情報保護法上の義務規定を守らなければならない、個人情報をデータベース化して事業活動に利用している者のことをいう。その取り扱う個人情報の件数にかかわらず個人情報を取り扱うすべての事業者が該当する。