労務安全資料室（労働者の個人情報保護に関する行動指針の解説

[資料番号] 00123
[題　　名] 労働者の個人情報保護に関する行動指針の解説（H12.12.20労働省）
[区　　分] その他

[内　　容]

労働者の個人情報の保護に関する行動指針の解説

リンク　労働者の個人情報保護に関する行動指針
　（平成１２年１２月２０日労働省）

第１　総則
１．目的
　この指針は、民間企業等が保有する労働者の個人情報の適正な処理に関し必要な事項を定めることにより、民間企業等が、業務の実態を踏まえつつ、労働者の個人情報の保護に関する規程を整備することを支援、促進し、もって労働者の個人情報について、円滑な処理に配慮しつつ、保護の一層の推進を図ることを目的とする。

第１．の１は、この行動指針の目的を定めたものである。
　この行動指針は、民間企業等が労働者の個人情報の保護を図る上で必要となる社内規程等を整備する際のよりどころとして活用されることを通じて、各企業等において個人情報保護のため自主的な取組みが促進されることを期待するものである。

　「民間企業等」については、個人情報保護の重要性は労働者が働く事業所の規模等により異なるものではなく、また、この指針は企業等の自主的な取組を促すことを目的とするものであるので、営利、非営利を問わず、また、法人だけでなく幅広く個人も含めてすべての者を対象とすることとした。

　「民間企業等」の「等」としては、民法第34条に基づく公益法人（特別法による法人（特定非営利活動法人、社会福祉法人、学校法人、宗教法人、医療法人等）を含む。）や上記以外の特別法による法人（事業協同組合等）が考えられる。

　なお、個人情報の保護に当たっては、政府の「情報通信技術（ＩＴ）戦略本部」における個人情報保護のあり方に関する検討の過程でも指摘されたように、「保護の必要性と利用面等の有用性のバランス」を考慮することが重要であるが、雇用契約の締結に伴って収集等される労働者の個人情報は、商取引等によって収集等される個人情報、いわゆる顧客情報とは性格を異にする面があり、労働者の利益を図る上でもその円滑な処理が欠かせないという特徴を有するので、指針の目的を定めるに当たっては、「円滑な処理に配慮」すべきことについても言及することとした。

２．用語の定義
　この指針において、次の各項に掲げる用語の意義は、当該各項に定めるところによる。

（１）　労働者　民間企業等において現に使用される者で、賃金、給料等を支払われる者をいう。

（２）　労働者の個人情報（以下「個人情報」という。）労働者個人に関する情報であって、氏名、生年月日その他の記述等により特定の個人を識別することができるもの（その情報のみでは識別できないが、他の情報と容易に照合することができ、それにより特定の個人を識別できるものを含む。）をいう。

（３）　個人情報の処理　個人情報の収集、保管その他すべての使用をいう。

（４）　同意　労働者が、個人情報の処理に関する情報を与えられた上で、自己に関する個人情報の処理について承諾する意思表示を行うことをいう。

第１の２は、この指針において使用する基本的用語を定めるものである。
　職業紹介事業の対象者等の求職者等については、平成11年７月の職業安定法等の法改正において、個人情報の保護に関する法制度が整備されたこと等を踏まえ、この指針では、「労働者」とは現に雇用されている労働者、いわゆる労働基準法の適用対象となる労働者を対象とすることとした。
　したがって、この指針では、退職者等の過去において労働者であった者、あるいは家内労働者のような雇用関係にはないがそれに類似の関係の下で就業する者等に関する個人情報については、直接の対象とならないが、その保護を促進すべきことは現役の労働者の場合と同様であり、これらの者に関する個人情報の保護についてもこの指針の該当個所を参考としつつ必要な取組みが推進されていくことが必要である。

　また、派遣労働者については、第一義的には、労働者派遣事業の適正な運営の確保及び派遣労働者の就業条件の整備等に関する法律（いわゆる労働者派遣法）に基づき、個人情報の保護が図られるものであるが、派遣先の企業等においても、この指針を参考に、個人情報保護の取組みを一層推進することが望まれる。

　「労働者の個人情報」とは、「労働者の個人情報保護に関する研究会報告書」（平成10年６月）の用語の解説（１）の＜１＞から＜９＞までに掲げられている類型に示されているような、企業等が労働者について人事、労務管理上収集、保管、利用等する個人情報を意味し、その限りにおいて労働者個人に関するすべての情報が対象となる。

＜参考＞
「労働者の個人情報保護に関する研究会報告書」（平成10年６月）用語の解説

（抜粋）

(1) 個人情報

　　（略）
　労働者の個人情報について類型化すると次のようになる。

　＜１＞　基本情報（住所、電話番号、年齢、性別、出身地、人種、国籍など）

　＜２＞　賃金関係情報（年間給与額、月間給与額、賞与、賃金形態、諸手当など）

　＜３＞　資産・債務情報(家計、債権、債務、不動産評価額、賃金外収入など）

　＜４＞　家族・親族情報（家族構成、同・別居、扶養関係、家族の職業・学歴、家族の収入、家族の健康状態、結婚の有無、親族の状況など）

　＜５＞　思想・信条情報（支持政党、政治的見解、宗教、各種イデオロギー、思想的傾向など）

　＜６＞　身体・健康情報（健康状態、病歴、心身の障害、運動能力、身体測定記録、医療記録、メンタルヘルスなど）

　＜７＞　人事情報（人事考課、学歴、資格・免許、処分歴など）

　＜８＞　私生活情報（趣味・嗜好・特技、交際・交友関係、就業外活動、住宅事情など）

　＜９＞　労働組合関係情報（所属労働組合、労働組合活動歴など）

　「特定の個人を識別」とは、当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号（電話番号、金融機関の口座番号、被保険者証番号等）により、その個人が特定の誰であるかが識別できることをいい、その情報だけでは識別できなくとも、他の情報と組み合わせることによって個人を識別できるものも含まれる。したがって、労働者に関する情報であっても、例えば統計調査の用に供される場合のように、個人が識別、特定できないよう加工されたものはこの指針でいう個人情報には当たらない。

　「個人情報の処理」とは、この指針においては個人情報の取扱いに関するすべての行為をいうこととする。「収集」とは、個人情報を入手、作成する行為をいい、「保管」とは、収集した個人情報を保存、蓄積し、管理する行為をいうこととする。また、「使用」は、大きくは「利用」と「提供」とに分けられるが、「利用」とは、個人情報を収集した者が自らこれを用いる行為を、「提供」とは、収集した者以外の第三者の用に供するためこれを移転、伝達する行為をいうこととする。

　なお、平成12年10月、政府の「情報通信技術（ＩＴ）戦略本部」の下に設けられた「個人情報保護法制化専門委員会」において取りまとめられた「個人情報保護基本法制に関する大綱」においては、この指針における「処理」に相当するものとして「取扱い」という表現が用いられ、「処理」については「取扱い」の一部の行為を表す概念として用いられるとともに、「収集」に相当するものとして「取得」という表現が用いられている。この指針においても大綱の表現に揃えることを検討したが、当面、これまでの国内外の個人情報の保護に関する勧告、指針等の用例にならい、（２）のように定義することとした。各企業等において具体的に個人情報保護に関する規程を整備するに当たっては、大綱の表現に置き換えることも含めできる限りわかりやすい表現が検討されることが必要である。

　「同意」については、本人が個人情報の収集等の処理の内容について「同意」していることは、本人が直接これに関わることを意味し、個人情報の保護を図る上で重要な要素であるので、定義をおくこととした。

　「処理に関する情報を与えられた上で」とは、個人情報の収集目的等についてあらかじめ理解できる状況にあることを意味し、具体的には、収集時に収集目的等について口頭で説明を受けること、個人情報の届出書、申告書等に収集目的等が明示されていること、就業規則等において収集する個人情報の処理のあり方が明示されていること等が考えられる。

　意思表示のあり方については、口頭によるもの、文書への署名、押印等によるものなど様々であり、個人情報の収集等の手続きにおいて反対の意思表示を行わないなどの黙示的方法によるものも含まれ得るが、保護の必要性が高い場合には、文書にとどめる等の明示的な方法によることが望ましい。

３．責務

　（１）　使用者及び労働者は、個人情報の保護及び処理の重要性を認識し、その理解の醸成を図るものとする。

　（２）　使用者は、この指針を尊重し、個人情報の保護に努めるものとする。

　（３）　労働者は、使用者がこの指針に従って実施する措置に協力するとともに、自らも個人情報の保護に努めるものとする。

　これまでのところ、労働者の個人情報保護の問題については、必ずしも事業主、人事・労務管理担当者、あるいは個々の労働者など関係者の問題意識は熟しているとは言い難い面があり、この問題に的確に対応していくためには、関係者の認識を高め、その理解を深めていくことが重要である。このため、具体的な個人情報の処理のあり方について規定するに先立ち、関係者の責務を定めることとし、（１）において、労使共通の責務を定めた上で、（２）において使用者の責務を、（３）において労働者の責務をそれぞれ定めることとした。

　なお、「使用者」とは、労働基準法第10条に定める使用者（事業主又は事業の経営担当者その他その事業の労働者に関する事項について、事業主のために行為をするすべての者）を意味する。

４．対象となる個人情報の種類

　この指針は、民間企業等において、その全部又は一部がコンピュータ等の自動的手段により処理されている個人情報及び手作業により処理されている個人情報であって、組織的に保有するファイリングシステムの全部又は一部をなすものを対象とする。

　この指針が対象とする個人情報の範囲については、コンピュータ等の自動的手段により処理された個人情報に加えて、手作業により処理された個人情報についても一定の範囲内のものを含めるものとする。

　個人情報の保護を図るに当たっては、コンピュータ等の自動的手段により処理される場合には、その処理の迅速性、大量性等から個人情報が漏洩し、個人の権利が侵害されるおそれが著しく高まること等にかんがみ、昭和63年に制定された「行政機関の保有する電子計算機処理に係る個人情報保護に関する法律」等の例においては、もっぱらコンピュータ等の自動的手段により処理された個人情報を対象としている。

　しかしながら、この指針においては、手作業により処理された個人情報であっても、本来、保護の必要性においては自動的手段により処理されたものと違いはなく、また、今日においては、情報通信技術の発達の下、手作業処理による個人情報であっても容易に自動的手段による処理形式に転換され得ることを踏まえ、手作業により処理される個人情報であっても一定のものについては保護の対象とすることが適当と考え、手作業により処理される個人情報のうち、「企業等が組織的に保有するファイリングシステムの全部又は一部を構成するもの」については保護の対象とすることとした。

　なお、1998年10月末から発効している「個人データの処理に係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」（いわゆるＥＵの個人情報保護指令）においても、自動的手段により処理される情報に加えてファイリング等により検索可能な情報を対象としている。

　「組織的に保有」とは、企業等が組織として収集、保管等の処理を行っているものを対象とするということであり、個人の住所録や私的メモなど個人が自己のために個人情報を処理している場合は対象としない。

　なお、「ファイリングシステム」とは、個人情報の集合体であって、個人名、個人別に付された番号、記号その他の符号により当該個人に関する情報が検索可能な形で記録、保存されているものをいう。

第２　個人情報の処理に関する原則

１．処理の一般原則

（１）　個人情報の処理は、労働者の雇用に直接関連する範囲内において、適法かつ公正に行われるものとする。

（２）　個人情報の処理は、原則として収集目的の範囲内において、具体的な業務に応じ権限を与えられた者のみが、業務の遂行上必要な限りにおいて行うものとする。

（３）　使用者を含め、個人情報の処理に従事する者は、業務上知り得た個人情報の内容をみだりに第三者に知らせ、又は不当な目的に使用してはならない。その業務に係る職を退いた後も、同様とする。

（４）　使用者は、個人情報の保護の推進の観点から、その処理のあり方について定期的に評価・点検するものとする。

（５）　使用者は、労働者に対し、個人情報の処理を通じて、雇用上の不法又は不当な差別を行ってはならない。

（６）　使用者は、労働者に対し、個人情報の保護に関する権利の一方的な放棄を求めてはならない。

　第２の１の（１）における「適法」とは、個人情報を処理する手段が法令、規則等の個人情報を取り扱う事務又は事業における規範に違反していないことをいい、「適法でない」場合としては、例えば、収集先に法令上の守秘義務違反を犯すことを働きかけて個人情報の収集を行う場合等が考えられる。

　「公正」とは、個人情報を処理する手段が法秩序一般の理念に適合しており、社会通念に照らして正当であると客観的に判断されることをいい、「公正を欠く」場合としては、収集目的を偽って個人情報の収集を行う場合などが考えられる。

　「雇用に直接関連する範囲」とは、雇用契約を結び、維持する等に当たって具体的に必要とされる範囲をいう。労働者の個人情報の処理について、「雇用に直接関連する範囲」に限定する趣旨は、雇用契約を結んでいることのみをもって使用者が無制限に労働者の個人情報の収集等の処理を行い得るものではないことを明らかにすることにより、労働者の個人情報の処理について必要不可欠な範囲にとどめ、その保護を図ろうとするものである。

　第２の１の（２）は、企業等において人事、労務管理上の目的で労働者から収集される個人情報は多岐にわたるが、企業等の組織内部の者であることをもって、これらの情報の一部について利用等できる者が他の情報についても利用等できるとする場合には、個人情報の管理責任があいまいになるとともに、悪用又は流出の潜在的危険が増大することから、個人情報の処理に従事する者について、それぞれの職務上の権限の範囲に応じ、利用等できる情報の範囲を限定することにより、情報の恣意的な利用等を防止し、その保護を図ろうとするものである。

　「権限を与えられた者」とは、企業等の組織内において、個人情報処理に係る諸規定の決定及び運営に関し、職務上の権限を与えられている情報管理者及びその担当者や人事、給与、福利厚生、労働安全衛生等の分野ごとに個人情報の処理に関する権限を与えられている人事・労務管理上の責任者及びその担当者等をいい、労働者にとって誰がどのような権限を与えられた者であるか理解できることが望ましい。
　また、「収集目的の範囲内」という制限を設けるのは、個人情報の収集が「雇用に直接関連する範囲内」という原則の下に適正に行われたものであったとしても、使用者は収集された情報を無制限に処理できる権限まで与えられているものではないことを明確にすることにより、労働者の個人情報の処理を重ねて制限し、その保護を図ろうとするものである。

　第２の１の（３）は、個人情報を取り扱う実務担当者及び担当者であった者に対し、職務上知り得た個人情報について適正な取扱いを義務づけることにより、個人の権利利益の侵害を防止しようとするものである。

　「みだりに第三者に知らせ」るとは、第三者に知らせることが業務上の権限に当たらない場合及び自己の事務に属しない場合、あるいは業務上の権限及び自己の事務の範囲内であっても、正当な理由なく知らせることをいう。

　「不当な目的に使用してはならない」とは、自己の利益のために個人情報を使用する場合、他人の正当な利益や公益に反して個人情報を取り扱う場合等をいう。

　「その業務に係る職を退いた後も、同様とする」とは、退職等により雇用関係がなくなった場合や人事異動により職を代わった場合においても、この規定の適用があることを示したものである。

　第２の１の（４）は、収集する個人情報の範囲、処理のあり方について、いったん制度化したものは継続するというのではなく、絶えずその必要性を見直し、処理される個人情報が必要不可欠なものとなるよう配慮する必要があることを定めるものであり、情報通信技術の進歩等を踏まえた個人情報の保護・安全対策の見直しなどが行われるべきである。
　なお、「定期的」については、具体的期間は一律に定められるものではなく、個々の企業等ごとに決定されるものである。

　第２の１の（５）は、労働者の個人情報保護を保障する上で重要な条件である。
　使用者においてこの指針の内容に照らして不適切な個人情報の処理が行われた場合において、労働者がそのことを理由に当該個人情報の処理を拒否したり、これについて苦情、異議の申立て等を行ったりしたときは、使用者はその処理の拒否等を理由に労働者に対し解雇等の不利益な扱いをしてはならない。そうでないとすれば、労働者は不適切な個人情報の処理について事実上拒むことができず、個人情報の保護は実質的に保障されないことになる。
　また、個人情報の処理結果は、特定の労働者を直接的又は間接的に差別するために用いられることがあってはならない。

　第２の１の（６）は、個人情報の保護に関する権利は労働者にとって最も基本的な権利の一つであるので、使用者と労働者との力関係によって、これが実質的に保障されないようなことがあってはならないことを確認の意味で定めたものである。

　この場合、「個人情報の保護に関する権利」としては、第一義的には伝統的なプライバシーの議論に見られるように、私生活をみだりに公開されないよう個人情報の保護が図られることがその内容として考えられるが、コンピュータ及びこれを繋げたネットワークの普及が著しい今日においては、これに加えて、自己に関する情報が知らないところで一人歩きし、思わぬ不利益を被ることがないよう、自己に関する情報の流れを把握し、管理できるような形で個人情報の処理が行われていることが重要になる。

２．個人情報の収集

（１）　使用者は、個人情報を収集する場合には、本人から直接収集するものとする。ただし、次に掲げる場合にあってはこの限りでない。

　（イ）　収集目的、収集先、収集項目等を事前に本人に通知した上で、その同意を得て行う場合

　（ロ）　法令に定めがある場合

　（ハ）　労働者の生命、身体又は財産の保護のために緊急に必要があると認められる場合

　（ニ）　業務の性質上本人から収集したのでは業務の適正な実施に支障を生じ、その目的を達成することが困難であると認められる場合

　（ホ）　（イ）から（ニ）にまでに掲げる場合のほか本人以外の者から収集することに相当の理由があると認められる場合

（２）　使用者は、収集目的の範囲を超えて収集された個人情報については、破棄又は削除若しくは本人に返却する場合を除き、その個人情報を処理してはならない。

（３）　使用者は、次に掲げる個人情報を収集してはならない。ただし、法令に定めがある場合及び特別な職業上の必要性があることその他業務の適正な実施に必要不可欠であって、収集目的を示して本人から収集する場合は、この限りでない。

　（イ）　人種、民族、社会的身分、門地、本籍、出生地その他社会的差別の原因となるおそれのある事項

　（ロ）　思想、信条及び信仰

（４）　使用者は、法令若しくは労働協約に特段の定めがある場合又は法令若しくは労働協約に基づく義務を履行するために必要があると認められる場合を除き労働組合及び労働者の意思に反して、労働者の労働組合への加入又は労働組合活動に関する個人情報を収集してはならない。

（５）　使用者は、法令に定めがある場合及び就業規則等において、使用者を含め医療上の個人情報の処理に従事する者についてこの指針の第２の１の（３）の原則を明らかにした上で、次に掲げる目的の達成に必要な範囲内で収集する場合を除き、医療上の個人情報を収集してはならない。

　（イ）　特別な職業上の必要性

　（ロ）　労働安全衛生及び母性保護に関する措置

　（ハ）　（イ）及び（ロ）に掲げるほか労働者の利益になることが明らかであって、医療上の個人情報を収集することに相当の理由があると認められるもの

（６）　労働者がこの指針に反する質問を受けた場合には、使用者は、労働者がその質問への回答を拒否したこと等を理由として、労働者に対し、解雇その他の不利益な扱いを行ってはならない。

　第２の２は、個人情報の処理に関わる一連の行為の最初の段階である収集について明確な制限を設けることが、その後の個人情報の適正な処理を確保する上で重要であることを考慮して、個人情報の収集に関する原則を定めたもので、1980年のＯＥＣＤ理事会勧告において示された「プライバシー保護と個人データの国際流通についてのガイドライン」、いわゆるＯＥＣＤガイドラインの８原則のうちの「収集制限の原則」及び「目的明確化の原則」に対応するものである。

　（１）においては、労働者の主体性を尊重するとともに、労働者が使用者によって処理される自己情報について明確に把握することが、その個人情報の保護を図る上で重要であることから、本人から直接収集することを原則とするとともに、その例外となる場合について定めることした。
　本人から直接、個人情報を収集する形態としては、一般には本人からの届出、申告、申請、相談、受診、調査回答等があるが、本人に対する視聴、面接等による場合は、その結果、評価等を記録することも直接収集に含まれる。
　本来、第三者からの個人情報の収集については、本人が承知していないところで個人情報が収集されることによって予期せぬ権利利益の侵害が生ずるおそれが高いことから、慎重な対応が求められるが、それ故、（イ）の本人の同意を得るに当たっては、収集目的、収集先、収集する個人情報の項目等の個人情報の処理に関わる重要事項を本人に知らせ、その理解を得た上で同意を得ることを求めることとした。

　収集目的、収集先及び収集項目のほかに本人に知らせることが望ましい事項としては、収集する個人情報を第三者に提供する場合の提供先、収集する個人情報に関する開示、訂正等の扱いなどの事項が考えられる。

　なお、本人から直接収集する場合については、基本的には収集に応じたことをもって黙示の同意があったとみなしてよいと考えられ同意については特に規定していないが、この場合にあっても、個人情報の届出書、申告書等に同意を確認する文書を加える、あるいは定型化された個人情報の収集については就業規則等において定めをおく等、本人の同意の下での収集であることが明らかになるよう配慮しておくことが望ましい。
　さらに、文書により包括的に同意を求める場合については、内容があいまいなままで同意が為された場合には、かえって文書が一人歩きし、恣意的な情報処理の原因となりかねないため同意書に関わる個人情報の範囲、収集目的、同意書の有効期間等について明確にしておくことが望ましい。

　（ロ）の「法令に定めがある場合」とは、例えば、労働安全衛生法第66条の４に基づく健康診断結果に係る医師等からの意見聴取等が考えられる。
　なお、「法令」とは、法律及び政令その他の命令をいい、この指針においては、地方公共団体が定める条例を含めるものとする。この点は、以下においても同様である。

　（ハ）の「生命、身体又は財産の保護」とは、災害、事故により生命、身体又は財産の損失のおそれがある場合のほか、犯罪等の人為的危険などから労働者を守ることをいう。
　「緊急に必要があると認められる場合」とは、個人情報を労働者本人から収集する時間的余裕がなく、他に適当な代替手段がない場合で、社会通念等により客観的に判断してその必要性及び合理性が認められる場合である。

　（ニ）の「業務の性質上本人から収集したのでは業務の適正な実施に支障を生じ、その目的を達成することが困難であると認められる場合」とは、調査等に関する業務において、本人から収集したのでは業務が公正、正確に行われず、その目的を達成することが困難である場合等をいい、例えば、職場におけるいじめやいやがらせ等が問題となり、その事実関係を調査することが必要とされる一方で、当事者からの事情聴取だけでは事実関係を確認できず、加害者の疑いをかけられた者について、本人には告げずにその周辺の者から情報収集を行わざるを得ない場合などが考えられる。

　（ホ）の（イ）から（ニ）までに掲げる場合と同様に「本人以外の者から収集することに相当の理由があると認められる場合」とは、例えば、労働者から個人情報を収集する際に使用者への提供を予定していることについてあらかじめ労働者の同意を得ている労働組合から労働者の個人情報を収集する場合などである。
　「相当の理由がある」とは、使用者の自由裁量ではなく、社会通念等により客観的な判断して必要性及び合理性がある場合を意味し、できる限り限定的に解釈されるべきものであるが、この点は、以下においても同様である。

　（２）は、使用者が、結果として必要とする範囲を越える労働者の個人情報を収集した場合の取扱いについて定めることにより、使用者が無限定に労働者の個人情報の処理を行うことができるものではないことを明らかにし、その保護を図ろうとするものである。

　（３）は、個人情報の中でも特に機微に触れる個人情報、いわゆるセンシティブ情報に関する収集制限の規定である。すなわち、（３）の（イ）及び（ロ）に関する個人情報は、人格そのものに関わる個人情報であったり、不当な差別に利用されるおそれが高い個人情報であったりすることから、労働者にとって不安や苦痛を感じさせる程度が強く、基本的人権を侵害する危険性が高いと考えられるため、原則としてその収集を禁止することとしたものである。

　「法令に定めがある場合」とは、例えば、障害者の雇用の促進等に関する法律第14条第５項に基づき、身体障害者又は知的障害者である労働者の雇用に関する状況を労働大臣に報告するため、障害に関する労働者の個人情報を収集する場合等が考えられる。
　また、「特別な職業上の必要性」とは、例えば、政党機関紙の職員としての適性を検討する上で、その政治信条に関する情報を収集する場合等が考えられる。
　「社会的差別」とは、人間が集まって生活を営む集団内において、不当な理由により行われるあらゆる区別、排除、制限であって、その対象となった者の基本的人権の享有及び行使を妨げるものをいう。

　（４）は、労働組合への加入状況等の個人情報に関する収集制限の規定である。労働組合への加入状況等の個人情報については、（３）の（イ）及び（ロ）に関する個人情報と同様に特に機微に触れる性格を有する情報であり、労働組合の活動の自由に対する使用者による支配介入及び労働組合への加入等を理由とする労働者に対する不利益取扱いが不当労働行為として禁止されていることにかんがみ、法令若しくは労働協約に特段の定めがある場合又は法令若しくは労働協約に基づく義務を履行するために必要であると認められる場合を除き、労働組合及び労働者の意思に反する収集を禁止することとした。
　この場合、「労働協約に特段の定めがある場合」とは、労働協約に使用者は当該労働協約を締結した労働組合への加入状況の調査を行うことができる旨の規定があるとき等である。また、「法令に基づく義務を履行するために必要があると認められる場合」とは、使用者が労働組合法第７条の団体交渉応諾義務の履行のため、団体交渉を行うに際し必要な場合に、労働組合から労働組合員名簿の提供を受けるときや、労働基準法第36条の協定の締結等のための過半数組合の要件についての組合員数調査のため、労働組合の加入状況を調査するときなどであり、さらに、「労働協約に基づく義務を履行するために必要があると認められる場合」とは、チェックオフ協定等の履行のために、労働組合からの労働組合員名簿の提出を受ける場合が考えられる。
　なお、「必要がある」とは、社会通念、判例等により客観的に判断して必要性及び合理性がある場合をいう。
　また、一般的に、使用者が健全な労使関係を構築するため、労働組合及び労働者の意向に沿った形で使用者が情報を収集することは許される。

　労働組合への加入状況等の個人情報については、本来、労働組合から収集されるべきものであり、使用者が労働者本人に対して労働組合への加入状況等を直接調査することについては、組合員である労働者に対して精神的動揺を与えるおそれもあるため、十分慎重であるべきである。
　なお、この指針は、労使関係に関するこれまでの労使双方の権利義務関係に変更を加えるものではなく、個人情報の保護を口実として本来認められるべき情報の提供等が行われないようなことがあってはならない。

　（５）は、「医療上の個人情報」に関する収集制限の規定である。「医療上の個人情報」としては、健康状態、病歴、心身の障害、健診記録等に関する個人情報が考えられるが、これらの情報については、（３）の（イ）及び（ロ）に関する個人情報と同様に特に機微に触れる性格を有する情報であり、かつ、その収集に当たっては少なからぬ場合において身体等への負担を伴うものであることから、一般的には、（３）の（イ）及び（ロ）に関する個人情報と同様に収集段階での厳正な制限が必要と考えられる。
　しかしながら、その一方において、我が国においては、事業者は、労働安全衛生法等の関係法令によれば、労働安全衛生上必要な措置を講ずることが求められる等労働安全衛生に関し重い責任を有するとともに、判例等によれば民事上の安全配慮義務を果たすことを強く期待されているため、労働者の健康状態、病歴に関する情報、すなわち医療上の個人情報について幅広く収集しておくことが求められるという点において欧米諸国とは異なる状況にあることを考慮する必要がある。
　このため、この指針においては、「医療上の個人情報」については、＜１＞法令に定めがある場合及び＜２＞これらの情報の処理に従事する者について、就業規則等において業務上知り得た個人情報の漏洩防止等が義務づけられているという一定の要件の下で（イ）から（ハ）までに掲げる目的のいずれかの達成に必要な範囲内で行われる場合に限り、収集を認めることとした。
　「法令に定めがある場合」とは、労働安全衛生法第66条に基づく健康診断の実施、第66条の４に基づく健康診断結果に係る医師等からの意見聴取等が考えられる。

　（イ）の「特別な職業上の必要性」については、社会通念等により客観的に判断して必要性及び合理性がある場合で、例えば、医師、看護婦等について結核等の感染症に感染していないことを確認する場合、パイロットやバス、トラック等輸送機関の運転手について視力が一定水準以上であること等を確認する場合などが考えられる。

　（ロ）の「労働安全衛生及び母性保護に関する措置」については、事業者が、労働安全衛生法に基づき、労働者の健康を確保するため必要な措置を講ずる場合や、雇用の分野における男女の均等な機会及び待遇の確保等に関する法律（いわゆる男女雇用機会均等法）に基づき、女性労働者の妊娠中及び出産後の健康管理に関して必要な措置を講ずる場合等をいう。

　（ハ）については、労働者が病気休暇を申し出た際や、労働者が健康上の理由で配置転換等を申し出た際に、使用者が診断書の提出を求める場合等が考えられる。なお、「相当の理由がある場合」とは、社会通念等により客観的に判断して必要性及び合理性がある場合をいう。

　（６）は、第２の１「個人情報の処理に関する一般原則」の（５）について、特に問題が起こりやすい収集時に関し、改めて規定したものである。使用者からこの指針の内容に照らして不適切な質問等が行われた場合において、労働者がそのことを理由に質問への回答を拒否したり、不正確又は不完全な回答を行ったりしたときは、使用者はその回答拒否等を理由に労働者に対し解雇等の不利益な扱いをしてはならないことを明らかにすることにより、個人情報の適正な収集を実質的に保障しようとするものである。
　特に、第２の２の（３）から（５）までに関わる個人情報の収集に当たっては、これらの個人情報は不当な差別に利用されるおそれが高く、その収集が不適切に行われた場合には労働者の権利利益の侵害も甚だ大きなものとなることから、この点について十分留意すべきである。

３．個人情報の保管

（１）　個人情報の保管は、収集目的の範囲内において行うものとし、労働者にわかりやすく、かつ、差別をもたらすことがない方法により行うものとする。

（２）　使用者は、収集目的に照らして保管する必要がなくなった個人情報については、速やかに破棄又は削除するものとする。

（３）　医療上の個人情報は、原則として就業規則等においてこの指針の第２の１の（３）によることを義務づけられている者が他の個人情報とは別途に保管するものとする。

（４）　使用者は、保管する個人情報について、収集目的に応じ必要な範囲内において、正確かつ最新の状態であるよう点検・更新するものとする。

　使用者は、人事労務管理上の観点から労働者に係る様々な個人情報を保管しているが、その方法によっては、個人情報の保護上問題が生じ、労働者に不利益を及ぼすおそれがあることから、「保管」についてそのあり方を規定することとした。

　（１）は、収集された情報が収集目的とは異なる目的で利用等されると、その情報が有する意味が歪められ、労働者に思わぬ不利益が及ぶおそれがあることから、使用者は、収集された情報を自由かつ無制限に保管できるものではないことを明確にし、これを制限することにより、個人情報の保護を図ることとしたものである。

　労働者の個人情報の保護に当たっては、労働者が「自己に関する情報の流れを把握できる」ことが重要であり、そのためには、労働者が使用者の保有する個人情報の内容等について開示を受けた場合に容易に理解できるよう、保管は「労働者にわかりやすい」方法で行われることが必要である。
　また、労働者にわからないよう記号、数字を付すこと等により、例えば、職業能力とは直接関係のない容姿についてランク分けする等、労働者間において差別をもたらすような保管は行うべきではない。

　（２）は、個人情報が不必要に保管され続けると、その悪用又は流出など、個人情報の保護が侵害される潜在的危険が存続し続ける又は増大することから、保管期間を利用目的の範囲内でできるだけ制限するとともに、保管期間を経過した後は流出することがないよう適正に処理することを求めたものである。

　「破棄又は削除」については、焼却、裁断、溶解、磁気的消去等の方法により、他に漏出したり、盗用されたりすることがないよう確実な方法により行われることが必要である。

　（３）は、医療上の個人情報は、個人情報の中でも特に機微に触れる情報であり、その保護が図られなければならないものであることにかんがみ、通常の個人情報と一緒に保管することによって医療上の個人情報に関し権限のない者までがこれを知ることがないよう、その閲覧等を制限するため、できる限り別途保管することが望ましいとしたものである。

　（４）は、ＯＥＣＤガイドラインの８原則のうちの「データ内容の原則」に対応するものである。労働者の個人情報が正確性、最新性を欠く状態で保管されると、例えば雇用上の決定が労働者の状況を公正に反映しない形で行われ、労働者に思わぬ不利益が及ぶこと等が考えられる。
　コンピュータ及びそのネットワークの普及により、個人情報がいったん入力されると、本来の文脈とは切り離れた形で断片的に利用されたり、瞬時に広範囲に伝達されたりする危険が著しく増大しており、情報が誤っていた場合には取返しがつかないことが考えられるので、誤った情報により労働者に予期せぬ不利益が及ぶことを防止するためには、個人情報の正確性、最新性の維持は重要である。なお、更新の頻度については、一律に定められるものではなく、個人情報の収集目的ごとにその目的を達成する上で必要かつ合理的と認められる範囲内において行われるべきものである。

４．個人情報の利用及び提供

（１）　個人情報の利用及び提供は、収集目的の範囲内において行うものとする。ただし、次に掲げる場合にあってはこの限りでない。

（イ）　収集目的以外の利用又は提供の目的、提供の場合にあっては提供先等について、事前に本人に通知した上で、その同意を得て行う場合

（ロ）　法令に定めがある場合

（ハ）　労働者の生命、身体又は財産の保護のために緊急に必要があると認められる場合

（ニ）　公共の利益の保護のために必要があると認められる場合

（ホ）　（イ）から（ニ）までに掲げる場合のほか労働者の利益になることが明らかであって、収集目的の範囲を超えて利用又は提供することに相当の理由があると認められる場合

（２）　使用者は、個人情報を第三者に提供する場合には、提供先に対して、提供目的の範囲内において処理すること等必要な制限を付し、その処理が適正に行われるよう配慮するものとする。

　第２の４は、個人情報の利用及び提供についてその原則を定めたものであり、ＯＥＣＤガイドラインの８原則のうちの「利用制限の原則」に対応するものである。
　なお、第１の２の定義において既に述べたところであるが、「利用」とは、個人情報を収集し、保管する企業等が自らこれを閲覧、加工等し用いることをいい、「提供」とは、個人情報を収集し、保管する企業等が、自らと法人格を異にする第三者の用に供するため、当該第三者に対し個人情報を移転、伝達することをいう。例えば、本社において保有される個人情報を支社において処理する場合のように、同一法人組織内において使用者から権限を与えられた担当者が処理を行う場合は「利用」に該当する。

　（１）は、個人情報の利用及び提供は、収集目的の範囲内において行われるものであること、すなわち、商業目的のような当初の収集目的以外の目的で利用及び提供することは原則として認められないものであることを定めるものであり、使用者は、いったん収集された個人情報であるからといって無制限にこれを利用及び提供することができるものではないことを明らかにすることにより、個人情報の保護を図ろうとするものである。

　また、（１）の（イ）から（ホ）において、原則の例外として認められる場合を明らかにすることとした。これは、収集目的以外の利用及び提供（以下「目的外利用等」という。）は、当初予定されたのとは異なる状況下において個人情報の処理が行われることになり、労働者が思わぬ不利益を被るおそれが高いので、個人情報の保護の推進の観点からは原則として認め難いものではあるが、「第１　総則」の「１．目的」において言及したように、個人情報の処理に当たっては円滑な処理に配慮することも重要であり、目的外利用等であっても、それが労働者にとって不利益をもたらすおそれがない、あるいは、むしろ利益をもたらすことが見込まれる場合には、例外的にこれを認めることが適切な場合があり得ることを踏まえて、一定の範囲内で例外を認めることとしたものである。

　（イ）は、目的外利用等であっても、その事前の段階において、労働者がその内容を理解した上でこれに応ずるか否かを改めて判断することができることにより、労働者が自己に関する情報の流れに主体的に関わることができ、労働者が不利益を被るおそれがない場合である。

　（ロ）の「法令に定めがある場合」とは、例えば、刑事訴訟法第218条第１項の規定により令状による捜査を受けた場合、民事訴訟法第223条の規定により裁判所から文書提出命令を受けた場合等が考えられる。

　（ハ）の「生命、身体又は財産の保護」とは、災害、事故により生命、身体又は財産の損失のおそれがある場合のほか、犯罪等の人為的危険などから労働者を守ることをいう。
　「緊急に必要があると認められる場合」とは、目的外利用等による以外に適当な代替手段がなく、かつ時間的余裕がない場合で、社会通念等により客観的に判断してその必要性及び合理性が認められる場合である。例えば、事故で意識不明となっている者の手術を行おうとする医療機関から特に配慮を必要とする既往歴等について照会があり、応じる場合等が考えられる。

　（ニ）の「公共の利益の保護のために必要があると認められる場合」とは、社会通念等により客観的に判断して、その必要性及び合理性が認められる場合であるが、例えば、社会的に極めて重大な影響を有する犯罪の捜査等に協力するため、労働者の個人情報について提出することが必要となる場合が考えられる。

　（ホ）の「労働者の利益になることが明らかであって、相当の理由があると認められる場合」とは、例えば、表彰制度の候補対象者について候補となることが確定しておらず、本人にその事実を知らせることが適当でない段階で、その者に関する資料提供の要請に応える場合などが考えられる。
　「相当の理由がある場合」とは、社会通念等により客観的に判断して必要性及び合理性がある場合をいう。

　なお、同一企業内であって、一般的には、個人情報をその収集目的に関する業務とは関係のない業務のために利用することは目的外利用になると考えられる。例えば、同一企業内であっても、人事部門において人事管理上収集、保管している労働者の住所録等の個人情報を、営業部門において新製品の販売活動の対象者名簿として利用する場合は、目的外利用に該当する。

　（２）は、個人情報の保護に関し問題が生じるのは、個人情報の不適切な提供を通じて、提供先において個人情報が悪用、乱用されることにより生じる場合が多く、本人に無断で第三者に提供された個人情報が一人歩きすることによって、労働者に思わぬ不利益がもたらされ、場合によっては長期間にわたってその影響を回復することが困難となる場合があることから、個人情報の提供に関しては特に適正に行われるように留意すべきことを定めたものである。

　個人情報の提供に当たって、提供目的の範囲内における処理の義務づけに加えて付すべき「必要な制限」としては、提供先における処理担当者の守秘義務、再提供の禁止又は制限、提供先における保管期間等の明確化、処理終了後における速やかな個人情報の返却又は破棄、削除の義務づけ、複写又は複製の禁止等が考えられ、個人情報の処理に当たって提供先がその保護を図るために講ずべき措置内容を契約において明らかにしておくことが望ましい。

５．個人情報の処理の委託
　使用者は、個人情報の処理を第三者に委託する場合には、個人情報の保護について十分な措置を講じている者を選定し、委託契約等において、委託目的の範囲内において処理すること等必要な制限を付し、その処理が適正に行われるよう配慮するものとする。

　第２の５は、情報化の進展に伴い、企業等における情報処理業務がますます多様化、複雑化している中で、個人情報の処理業務そのものを外部に委託する場合が増加しているほか、例えば、通知の発出等個人情報の処理を伴う業務の外部委託が進んでいることから、個人情報の処理の委託に関しては、個人情報の第三者への提供の一形態ではあるが、特に、第２の４に重ねてその適正処理に留意すべきことを定めることとした。

　個人情報の処理の委託に当たっては、委託先業者の選定基準を設けること等により、個人情報の保護を図る上で適切な業者を選択するよう努めるとともに、委託先に対して、委託先が個人情報の保護のために講ずべき措置内容を委託契約等において明確化しておくことが重要である。

　個人情報の処理の委託に際して委託目的の範囲内における処理の義務づけに加えて付すべき「必要な制限」としては、委託先における個人情報処理担当者の守秘義務、再委託の禁止又は制限、委託処理期間等の明記、処理の終了後における速やかな個人情報の返却又は破棄、削除の義務づけ、複写又は複製の禁止、事故時等の報告義務等が考えられるが、個人情報の漏出等の事故が発生した場合における委託先との責任関係を明確化しておくことも重要である。

　なお、特に個人情報の収集を第三者に委託する場合には、委託先が収集を委任されている範囲について、あたかも使用者が求めているかのようにこれを偽ったり、あるいは誤解を招くよう故意にあいまいに説明を行ったりすることにより、労働者から必要以上の個人情報の収集等を行うといった「不正又は誤解を生むような代理行為」が行われることがないよう、特に留意する必要がある。

６．特定の収集方法

（１）　使用者は、原則として、労働者に対し次に掲げる検査を行ってはならない。

　（イ）　うそ発見器その他類似の真偽判定機器を用いた検査

　（ロ）　ＨＩＶ検査

　（ハ）　遺伝子診断

（２）　使用者は、労働者に対し、性格検査その他類似の検査を行う場合には、事前にその目的、内容等を説明した上で、本人の明確な同意を得るものとする。

（３）　使用者は、労働者に対するアルコール検査及び薬物検査については、原則として、特別な職業上の必要性があって、本人の明確な同意を得て行う場合を除き、行ってはならない。

（４）　使用者は、職場において、労働者に関しビデオカメラ、コンピュータ等によりモニタリング（以下「ビデオ等によるモニタリング」という。）を行う場合には、労働者に対し、実施理由、実施時間帯、収集される情報内容等を事前に通知するとともに、個人情報の保護に関する権利を侵害しないよう配慮するものとする。ただし、次に掲げる場合にはこの限りでない。

　（イ）　法令に定めがある場合

　（ロ）　犯罪その他の重要な不正行為があるとするに足りる相当の理由があると認められる場合

（５）　職場において、労働者に対して常時ビデオ等によるモニタリングを行うことは、労働者の健康及び安全の確保又は業務上の財産の保全に必要な場合に限り認められるものとする。

（６）　使用者は、原則として、個人情報のコンピュータ等による自動処理又はビデオ等によるモニタリングの結果のみに基づいて労働者に対する評価又は雇用上の決定を行ってはならない。

　職場においては、労働者の適切な配置、労働者に対する安全配慮義務の履行等の観点から、労働者の精神又は身体の状態を把握するための諸検査が行われる場合がある。また、勤怠評価、不正行為の防止、生産性の向上、顧客サービスの向上、安全管理等の目的で、ビデオカメラやコンピュータ等を利用した労働者のモニタリングが行われる場合がある。

　これらの諸検査やモニタリングは、その対象が労働者の人格、尊厳そのものに関わるものであるため、その実施方法や程度等によっては、労働者の個人情報の保護を図る上でその権利を侵害するおそれが高く、その実施に当たっては慎重な配慮が必要である。　このため、第２の６においては、個人情報の収集手段のうち労働者の個人情報の保護を図る上で大きな影響を及ぼすことが考えられる「特に機微な手段」について、そのあり方を定めることとした。

　（１）から（３）は、労働者の個人情報の保護を図る上で、その権利を侵害するおそれが高い諸検査の制限についての規定である。
　これらの検査は雇用との関連性等において問題があり、誤った検査結果により労働者が誤解を受けて不利益を被ったり、仕事とは関係のない次元において偏見を持たれたりする危険性が高いこと等から、特にその取扱いについて定めることとした。
　規定に当たっては、個人情報保護の侵害のおそれの程度、通常の雇用関係における検査の必要性、企業等における検査の実施状況等を踏まえ、３つの類型に分けて規定することとした。

　（１）に掲げる諸検査については、雇用との関連性、検査結果の信頼性等において問題があり、誤解、偏見等に基づき労働者が思わぬ不利益、いわれのない差別を受けるおそれが高いと考えられることから、その実施を禁止することとした。
　なお、ＨＩＶ検査については、「職場におけるエイズ問題に関するガイドライン」（平成７年２月20日付け基発第75号、職発第97号）においても禁止とされている。

　（２）に掲げる性格検査等については、労働者の適切な配置、労働者に対する安全配慮義務の履行等の観点からその実施が必要とされるが、目的等があいまいな形で行われた場合には問題を生じることが考えられるので、労働者に対して、あらかじめ検査の目的、内容等を説明した上でその明確な同意を得て行うこととした。

　性格検査等については適正な手続きの下で行われる限りにおいては実施そのものを制限するものではないが、その結果は、労働者の人格そのものに関わる個人情報であるだけに、その実施に当たっては手続きの適正さを確保する必要性が高いと考えられるので、「明確な」同意を必要とすることとした。「明確な」同意とは、例えば文書への署名、押印等の明示的な方法による同意などが考えられる。
　「その他類似の検査」とは、適性検査の一つである職場適性検査等が考えられる。

　（３）のアルコール検査及び薬物検査については、通常の雇用関係においてはこれを行う必要がないことから、原則として、他者の安全に直接関わる職務である等職務の性質に照らしてその実施に合理性がある場合を除いては行ってはならないこととした。

　「特別な職業上の必要性」がある場合とは、例えば、パイロットやバス、トラック等の輸送機関の運転業務に従事する者に対してアルコール検査を行う場合や医師、薬剤師等の医療職等に対して薬物検査を行う場合が考えられる。
　なお、例外的に、アルコール等の影響により業務の適正な実施に支障を生じていることを疑うに足る相当の理由がある場合等においてこれらの検査を行うことが必要となる場合も考えられるが、その場合も含め、その実施に当たっては、本人の明確な同意を得ることを含め検査の実施手続きの明確化を図る等慎重な対応が求められる。
　アルコール検査及び薬物検査の考え方について参考となるものとしては、ＩＬＯの「職場におけるアルコール及び薬物問題の管理に関する行動準則」（1996年）、「職場における薬物とアルコール検査に関する指導原則」（1993年）がある。
　アルコール検査等についても、その結果は労働者の人格そのものに関わる個人情報であり、性格検査等を行う場合と同様に、手続きの適正さを確保する必要性が高いと考えられるので、「明確な」同意を必要とすることとした。

　（４）及び（５）は、いわゆる労働者のモニタリングに関する規定である。職場における労働者のモニタリングは、前述のとおり人事・労務管理上の様々な目的で行われているが、判例（関西電力事件（最高裁第３小　平成７年９月５日労働判例680号28貢）、岡山電気軌道事件（岡山地判　平成３年12月17日労働判例606号50貢）、広沢自動車学校事件（徳島地判　昭和61年11月17日労働判例488号46貢）等）にも見られるように職場内であっても私的領域が存在すると考えられ、モニタリングの手段、程度によっては労働者の個人情報の保護を図る上で問題が生じる場合があるものと考えられる。

　モニタリングについては、これまでの電話の録音やビデオカメラによる撮影等に加え、コンピュータ・ネットワークの利用に関わる新たな形態もみられるようになっており、例えば、システムの維持管理を目的としてコンピュータ上に蓄積されたコンピュータの利用記録が労働者の勤務状況等のモニタリング目的に転用される可能性も考えられるようになるなど新たな状況も生まれている。
　こうした中、近年における視聴覚機器、コンピュータの技術的な進歩と相まって、モニタリングが曖昧な形で行われた場合には、労働者の側にその不安感から精神的な圧迫、苦痛を与えるおそれが高く、個人情報の保護を図る上で問題が生じることが考えられる。
　このため、モニタリングについても一定の要件の下に行われることが必要であり、（４）において、モニタリングを行う場合には、その実施理由、内容等について労働者に事前に通知すること等の一般的な配慮事項を定めることとした。

　個人情報の保護に関し労働者の権利を侵害しないよう配慮する観点からは、モニタリングは時間帯又は期間を限定して行われるべきものであるが、職場における労働者の健康及び安全確保等の観点から例外的な扱いが必要となる場合も考えられることから、（５）において、継続的なモニタリングが例外的に認められる場合について定めることとした。

　最近話題になることが多い電子メールやインターネットの接続状況のモニタリングについては、私用の防止や企業等の機密情報の漏洩による損害防止、企業内の情報システムの安全確保等の目的で行われるものについては、「業務上の財産の保全」のために行われるものに当たると考えられる。
　電子メール等のモニタリングのあり方については、なお今後の議論に待つところもあるが、その実施に当たっては、第２の６の（４）に従って、電子メール等の利用規則にその旨を明示すること等により、あらかじめその概要を労働者に知らせた上で行うことが適当と考えられる。具体的な運用に当たっては、例えば、電子メールのモニタリングでは原則として送受信記録あるいはこれにメールの件名を加えた範囲について行うこととし、必要やむを得ない場合を除いてはメールの内容にまでは立ち入らないようにするなど、あくまでも目的の達成に必要不可欠な範囲内で行い労働者等の権利利益を侵害しないよう十分配慮することが望ましい。

　情報処理・通信技術が進歩する中で、今後自動処理システムにより処理された結果等を直接用いて労働者の評価等が行われる機会が増加することが考えられるが、（６）はその場合の配慮事項を定めたものである。

　自動処理システムによる処理は、大量の個人情報を効率的に処理する上では有意義であり、例えば昇進等の選考過程で候補者が極めて多数いるような場合に候補者の絞込みを行うに当たってもっぱら自動処理の結果によることが必要となる場合も考えられ得るが、その用途によっては、自動処理またはモニタリングの結果のみに基づいて判断を行う場合には、一部の機械的な処理による情報が一人歩きすることによって、労働者の総合的な評価を誤ってしまうおそれがあり、その場合には、結果として労働者に予想外の不利益を与える場合も考えられる。

　このため、（６）においては、自動処理またはモニタリングの結果のみに基づき雇用に関する判断、決定を行うことを原則として禁止することとした。
　「雇用上の決定」とは、昇進や昇給、解雇やその他の懲戒処分等人事・労務管理上の決定をいうが、これらの決定を行う場合には、自動処理の結果等には反映されなかった処理結果に至った事情、理由等について労働者本人からの意見聴取の機会を設けるなど、総合的にその評価、判断ができるような仕組みが工夫されることが望ましい。

　第３　自己情報の開示等に関する原則

１．自己情報の開示

（１）　使用者は、労働者に対して、その保管する個人情報に関し定期的に情報提供を行うものとする。

（２）　使用者は、労働者から、自己に関する個人情報について、開示の請求があった場合には、合理的な期間内にこれに応ずる（請求者に関する個人情報が存在しないときはその旨を知らせることを含む。）ものとする。ただし、法令に定めがある場合及び請求があった個人情報が、請求者の評価、選考等に関するものであって、これを開示することにより業務の適正な運営に支障が生ずるおそれがあると認められる場合等には、その全部又は一部に応じないことができるものとする。

（３）　使用者は、労働者からの自己に関する個人情報の開示の請求ができるだけ円滑に行われるよう、閲覧時間等について十分配慮するものとする。

　第３の１から３までは、労働者本人の求めによる自己情報の開示、訂正等及び利用停止等について定めたもので、ＯＥＣＤガイドラインの８原則のうちの「公開の原則」及び「個人参加の原則」に対応するものである。

　コンピュータ及びそのネットワークの急速な普及、拡大の中で、個人情報の保護を確実なものとするためには、使用者の側における個人情報保護の取組みを推進するとともに、労働者自らが、自己に関する情報が知らないところで一人歩きし、思わぬ不利益を被ることがないよう、「自己に関する情報の流れを把握し、管理すること」が重要であることは前述のとおりであり、これを保障する上で重要な役割を果たすのが個人情報の「開示」、「訂正等」及び「利用停止等」である。

　「開示」とは、求めに応じて個人情報の内容を本人に知らせることをいい、「訂正等」とは、求めに応じて個人情報の誤りを修正することをいい、追加、削除を含むものである。また、「利用停止等」とは、求めに応じて個人情報の不当な利用、提供等を停止、修正、削除等することをいう。

　第３の１は、開示に関する規定であるが、（１）においては、労働者が開示を求めることができるためには、まず第一に、使用者が労働者についてどのような情報をどのような形で処理しているかを労働者自らが知ることができなければならないことから、開示の前提として、労働者の個人情報の処理に関し、使用者による定期的な情報提供が必要であることを定めることとした。

　使用者が労働者に対して情報提供を行うに当たっての具体的な方法及び頻度については、この規定の趣旨が満たされる上で合理的と思われる範囲において、企業等ごとにその実態を踏まえつつ決定されるものと考える。

　（２）は、開示のあり方に関する基本的な考え方を示したものであり、労働者が自らに関する情報の正確性等について懸念等を抱いた場合には、これについて確認することができるよう、使用者は労働者から求めがあれば原則として開示に応じる必要があることを定めるとともに、ただし書き以下において、企業等が有している個人情報の中には、社会通念等に照らして開示の原則を適用することが適当でない場合があることに言及している。

　開示の原則を適用することが適当でない場合としては、「法令の定め」により本人へ開示することができない場合のほか、「評価、選考等に関する個人情報であって、これを開示することにより業務の適正な実施に支障が生ずるおそれがあると認められる場合等」が考えられる。

　「評価」とは、勤務状況、業績など、個人の能力、適性等についてその内容を見定めることをいい、「選考」とは、個人の知識、能力、資質等の調査等に基づいて、特定の職業、地位等に関する適任者の選定を行うことをいう。
　「評価、選考等」の「等」としては、「指導」「相談」などのほか、健康状態等について専門的見地から診察等を行うことを意味する「診断」などが考えられるが、これらに関する個人情報については、開示することにより、業務の過程や基準等を知らせることになり、その適正な実施に支障が生ずるおそれがあることから、個別の事例ごとに開示の原則の適用除外を認める必要がある。

　また、「評価、選考等に関する個人情報であって、これを開示することにより業務の適正な実施に支障が生ずるおそれがあると認められる場合等」の「等」に当たる場合としては、

　・　開示の請求があった個人情報に本人以外のものの情報が含まれている場合であって、これを開示することにより第三者の権利利益を侵害するおそれがあると認められる場合

　・　開示の請求があった個人情報が、犯罪等の捜査、保安上の調査、争訟等に関するものであって、これを開示することによりその業務の適正な実施に支障が生ずるおそれがあると認められる場合等が考えられる。

　前者の場合には、第三者の権利利益との競合について調整する必要があり、後者の場合には開示することにより捜査、調査等の目的、手順を知らせることになり、その円滑な実施が阻害され、本来の目的の達成が困難となるおそれがあることから、開示の原則の適用除外を認めることが適当と考える。

　なお、既に述べたとおり、開示の原則の例外を認めるに当たっては、類型化された適用除外事項として画一的な判断を下すのではなく、個別事例ごとに判断することが重要であり、開示に応じない場合には、その理由の説明に努めることが望ましい。

　「合理的な期間」とは、開示が、理由無く遅延されたり、あるいは時機を失ってって行われたりすることにより、実効性を失うことがないよう、社会通念等に照らし合理的と考えられる一定の期間内行われるべきものであることに言及したものであり、具体的な期間については企業等ごとにその実態等を踏まえつつ決定されるものと考える。

　（３）は、開示制度について、閲覧時間等具体的な運用のあり方によっては、（２）の規定にかかわらず、その活用が不当に制限され趣旨が損なわれることになりかねないことも考えられるため、具体的な運用に当たっての留意点を念のため定めることとしたものである。「閲覧時間等」の「等」については、開示に要する費用負担のあり方等が考えられる。

２．自己情報の訂正等

（１）　使用者は、労働者から、自己に関する個人情報について事実に誤りがあることを理由として訂正、削除等（以下「訂正等」という。）の請求があった場合において、その内容が正当と認められるときは、合理的な期間内にこれに応ずるものとする。

（２）　使用者は、個人情報を訂正等する場合には、それまで不正確な又は不完全な個人情報を提供していた関係者に対し、加えた修正内容を可能な範囲で通知するものとする。ただし、労働者が通知は不要である旨同意した場合にはこの限りでない。

　第３の２は、労働者本人の求めによる自己情報の訂正等について定めたもので、ＯＥＣＤガイドラインの８原則のうちの「個人参加の原則」に対応するものである。

　（１）においては、開示の結果、当該個人情報が事実に誤りがあるとの理由により訂正等を必要とすることが判明した場合において、これを訂正等し、自己情報が最新かつ正確なものであることを確保することができないとすれば、開示制度を設けた趣旨が損なわれ、自己に関する情報の流れを把握、管理することが実質的に保障されないこととなるため、使用者は労働者から個人情報の訂正等の求めがあった場合には、原則としてこれに応ずる必要があることを定めることとした。

　「事実」とは、氏名、住所、家族構成、学歴、職歴、資格等の客観的に判断できる事項をいう。
　「訂正等」には、単に記録内容の間違いの訂正だけでなく、記録が古すぎて現在では正確でないものの訂正、記録が不備である場合の追加及び記録が余分である場合の削除等を含むものである。

　「合理的な期間」とは、必要な訂正措置が、理由無く遅延されたり、あるいは時機を失って行われたりすることにより、実効性を失うことがないよう、社会通念等に照らし合理的と考えられる一定の期間内行われるべきものであることに言及したものである。具体的な期間については企業等ごとにその実態等を踏まえつつ決定されるものと考えるが、例えば、当該企業等における個人情報の更新期をとらえて行うこと等が考えられる。

　（２）は、訂正等が行われた場合にあっても、それ以前に誤った情報が第三者に提供等されている場合には、提供先等において誤った情報が一人歩きすることによって労働者に不利益が及ぶおそれがあり、これについて一定の取組みがなされない場合には、訂正等の実効性が失われ、制度を設けたことの趣旨が損なわれることから、誤った情報の提供先等に訂正等があった旨を通知することを求めることとした。

　訂正等に関する通知の範囲については、本来は誤った個人情報の提供等を受けたすべての者に通知を行うことが望ましいが、個人情報の提供等が広範に及ぶ場合には、社会通念等に照らし、技術的あるいは費用的に困難を伴う場合があり得ることから「可能な範囲」において行うこととしたものであり、使用者が全くの自由裁量で決定し得るものではないことに留意すべきである。

３．自己情報の利用停止等
　使用者は、労働者から、自己に関する個人情報についてこの指針に反して処理されていることを理由として利用又は提供の停止、削除等の請求があった場合において、その内容が正当と認められるときは、合理的な期間内にこれに応ずるものとする。

　第３の３は、労働者本人の求めによる自己情報の利用停止等について定めたもので、ＯＥＣＤガイドラインの８原則のうちの「個人参加の原則」に対応するものである。

　開示の結果、当該個人情報についてこの指針に反する利用又は提供等が為されており、その利用停止等を必要とすることが判明した場合において、これを求めることができないとすれば、開示制度を設けた趣旨が損なわれ、自己に関する情報の流れを把握し、管理することが実質的に保障されないこととなるため、使用者は労働者から個人情報の利用停止等の求めがあった場合には、原則としてこれに応ずる必要があることを定めることとした。

第４　労働組合等の役割等に関する原則

１．労働組合等への通知等
　使用者は、個人情報に関するコンピュータ等による自動処理システム又はビデオ等によるモニタリングの導入等を行う場合には、原則として労働組合等に対し事前に通知し、必要に応じ協議を行うものとする。

　第４の１は、労働者の個人情報の保護を図る上で特に重要であり、使用者が個人情報の保護に関する施策を策定するに当たり、労働組合等に対し理解と協力を求める必要性が高いと思われる、自動処理システムの導入等の場合について、労働組合等の関わり方を定めたものである。

　本来、労働組合等は、労働関係に関わる問題全般について、団体交渉等を通じて労働者の地位の向上を目指すものであり、改めてこの規定を設けるまでもなく、個人情報の処理のあり方やその中でも特に重要性の高いと思われる個別問題について当然その対象とし得るものであることは明らかであるが、ここでは、念のため特に典型的な場合を例に挙げて定めをおくこととした。

　なお、「労働組合等」とは、労働者の過半数で組織する労働組合があるときはその労働組合を、労働者の過半数で組織する労働組合がないときは労働者の過半数を代表する者を意味する。

２．労働組合における個人情報の処理

　労働組合は、個人情報の処理を行う場合にあっては、使用者が個人情報を処理する場合に準じて、その活動の目的の遂行に必要な範囲内で行うとともに、その適正な管理を行うものとする。

　第４の２は、労働組合について、使用者がこの指針を踏まえて個人情報の保護の取組みを行う場合に準じて、個人情報保護に取り組むべきことを定めたものである。

　労働組合は、その活動に当たって、自ら組合員である労働者の個人情報を収集し、また、使用者から労働者に関する個人情報の提供を受ける機会を有すると考えられることから、労働者の個人情報の処理に関して、使用者と同様にこれを適正に行うことが求められる。

　繰り返しになるが、この指針は、労使関係に関するこれまでの労使双方の権利義務関係に変更を加えるものではなく、個人情報の保護を口実として本来認められるべき情報の提供等が行われないようなことがあってはならない。

第５　適正な管理体制の整備に関する原則

１．個人情報の適正管理
　使用者は、個人情報への不当なアクセス又はその情報の紛失、破壊、改ざん、漏えいの防止その他の個人情報の適正な管理のため、必要な措置を講ずるものとする。

　第５の１は、ＯＥＣＤガイドラインの８原則のうちの「安全保護の原則」に対応するものであり、個人情報の紛失、破壊、改ざん、漏えい等を防ぐためには、情報処理体制について、設備、技術、運用面にわたって総合的な見地から個人情報の安全性を確保するための措置をとる必要がある。

　コンピュータによる情報処理システムについては、設備面では、情報処理システムに関わる施設及び設備を自然災害、不法侵入者による破壊行為等の危険から物理的に保護するための措置等が必要であり、技術面では、情報システムへのアクセス制限やデータの暗号化等安全性を高めるためのソフトウェアの導入、及びそれらのソフトウェアの導入が可能となるハードウェアの導入等の措置が考えられる。また、運用面については、設備面、技術面での安全策を実効あるものとするため、個人情報の適正管理に関する組織及び規程の整備、情報処理に従事する者の意識啓発等の措置が考えられる。
　なお、コンピュータによる情報処理システム等に関する具体的な安全基準としては、「情報システム安全対策基準（平成９年通商産業省告示第536号）」、「情報通信ネットワーク安全・信頼性基準」（平成９年郵政省告示第364号）、「情報システム安全対策指針（平成11年国家公安委員会告示第19号）等が示されている。

　また、手作業により処理された個人情報の保管に当たっても、保管場所や保管庫、施錠のあり方等について配慮するとともに、運用面について、コンピュータによる情報処理システムの場合と同様に、組織及び規程の整備や情報処理に従事する者の意識啓発等を推進することが必要である。

　「必要な措置」とは、社会通念等により客観的に判断して、個人情報の適正管理という目的を達成する上で必要かつ合理的である措置をいう。なお、合理性には経済的に実現可能なものであることが含まれる。

２．管理責任者の選任等

（１）　使用者は、この指針の内容を理解し実践する能力のある者を選任し、個人情報の管理責任者としての業務を行わせるものとする。

（２）　管理責任者は、この指針の内容を理解し実践するとともに、個人情報の保護のあり方及びその実現に必要な手段に関する決定権限及び責任を有するものとする。

（３）　使用者又は管理責任者は、個人情報の処理に従事する者の範囲及びその権限を明確にした上で、その業務を行わせるものとする。

　第５の２及び３は、ＯＥＣＤガイドラインの８原則のうちの「責任の原則」に対応するものであり、このうち第５の２は、個人情報の適正な処理を行うための責任体制の整備について定めたものである。

　２の（１）及び（２）は、個人情報の処理に関し責任者を明確にするとともに、その責任者の権限及び責務を明確に定めることを通じて、個人情報の適正処理に関する責任体制の確立を図ろうとするものである。

　「管理責任者」については、企業等の規模に応じて複数名を選任することを妨げるものではないが、個人情報の管理全般に責任を有する者である性格上、複数名を選任する場合には、それらの者の間での役割分担を明確にすることが必要である。また、「管理責任者」は、特段の資格等を求められるものではないが、対外的に責任を持つことができる者という意味において、一定の役職にある者が選任されることが望ましいと思われる。

　（３）は、個人情報の保護を図る上では、責任者の役割とともに、現に個人情報の処理に従事する者の役割が重要であることから、個人情報の処理における処理従事者の位置づけを明らかにすることを求めるものである。
　なお、個人情報の処理に従事する者の権限等を定めるに当たっては、今日、企業等において個人情報の処理に従事する者については、その企業等のいわゆる正規の従業員だけではなく、派遣労働者や臨時職員等が従事する場合も考えられることに十分配慮する必要がある。

３．教育・研修の実施

　使用者は、労働者に対しこの指針の理解及び遵守を周知徹底するとともに、管理責任者及び個人情報の処理に従事する者に対し、その責務の重要性を認識させ、具体的な個人情報の保護措置に習熟させるため、必要な教育及び研修を行うものとする。

　第５の３は、個人情報の処理に関わる関係者等の意識啓発について定めたものである。個人情報の漏えい等は、何気ない日常的な行動や発言に起因するものが少なくなく、個人情報保護の重要性に関する認識不足によるところが大きいことから、個人情報の保護を推進するには、個々の労働者に対する意識啓発を行うとともに、個人情報処理の責任者や処理従事者に個人情報の適正管理に関する意識づけを行うことが重要である。
　なお、個人情報の処理に関する研修等は、多くの場合着任時において実施されているが、情報通信技術等の著しい進歩に対応するとともに、適正管理に対する意識を高めるためには、定期的に行われることが望ましい。

４．苦情及び相談への対応

　使用者は、労働者からの個人情報の処理又は開示等に関する苦情及び相談について、これらを受け付けるための窓口の明確化等を行い、適切かつ迅速に対応するものとする。

　第５の４は、個人情報保護の実効性を確保する観点から、使用者に対して、苦情処理・相談窓口の設置等により苦情等が適正に処理される体制の整備を図ることを求めるものである。

　個人情報の保護の問題は、個人情報の不適切な取扱いという事実行為に起因しており、すべて法的に解決するというよりも、当事者間での事実上の対応等により解決し得る場合も多いと考えられ、また、何よりもできるだけ迅速な解決が望まれることなどから、事後的な対応の充実が効果的である。
　このような観点から苦情処理・相談窓口の明確化等が重要となる。