|
第 1 趣旨
この指針は、個人情報の保護に関する法律(以下「法」という。)に定める事項に関し、雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置について、その適切かつ有効な実施を図るために必要な事項を定めたものである。
なお、雇用管理に関する個人情報については、本指針によるほか、当該個人情報取扱事業者が行う事業を所管する大臣等が策定した指針その他の必要な措置に留意するものとする。
第 2 用語の定義
法第2条に定めるもののほか、この指針において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
1 事業者 法第2条第3項に規定する個人情報取扱事業者のうち雇用管理に関する個人情報を取り扱う者をいう(第4に規定する場合を除く。)。
2 労働者等 前号に規定する事業者に使用されている労働者、前号に規定する事業者に使用される労働者になろうとする者及びなろうとした者並びに過去において事業者に使用されていた者をいう。
第 3 事業者が講ずべき措置の適切かつ有効な実施を図るための指針となるべき事項
1 法第15条に規定する利用目的の特定に関する事項
事業者は利用目的の特定に当たっては、単に抽象的、一般的に特定するのではなく、労働者等本人が、取得された当該本人の個人情報が利用された結果が合理的に想定できる程度に、具体的、個別的に特定すること。
2 法第16条及び法第23条第1項に規定する本人の同意に関する事項
事業者が労働者等本人の同意を得るに当たっては、当該本人に当該個人情報の利用目的を通知し、又は公表した上で、当該本人が口頭、書面等により当該個人情報の取扱いについて承諾する意思表示を行うことが望ましいこと。
3 法第20条に規定する安全管理措置及び法第21条に規定する従業者の監督に関する事項
事業者は、雇用管理に関する個人データの安全管理のために次に掲げる措置を講ずるように努めるものとすること。
(1) 雇用管理に関する個人データを取り扱う従業者及びその権限を明確にした上で、その業務を行わせること。
(2) 雇用管理に関する個人データは、その取扱いについての権限を与えられた者のみが業務の遂行上必要な限りにおいて取り扱うこと。
(3) 雇用管理に関する個人データを取り扱う者は、業務上知り得た個人データの内容をみだりに第3者に知らせ、又は不当な目的に使用してはならないこと。その業務に係る職を退いた後も同様とすること。
(4) 雇用管理に関する個人データの取扱いの管理に関する事項を行わせるため、当該事項を行うために必要な知識及び経験を有していると認められる者のうちから個人データ管理責任者を選任すること。
(5) 雇用管理に関する個人データ管理責任者及び個人データを取り扱う従業者に対し、その責務の重要性を認識させ、具体的な個人データの保護措置に習熟させるため、必要な教育及び研修を行うこと。
4 法第22条に規定する委託先の監督に関する事項
事業者は、雇用管理に関する個人データの取扱いの委託に当たって、次に掲げる事項に留意するものとすること。
(1) 個人情報の保護について十分な措置を講じている者を委託先として選定するための基準を設けること。
(2) 委託先が委託を受けた個人データの保護のために講ずべき措置の内容が委託契約において明確化されていること。具体的な措置としては、以下の事項が考えられること。
(1) 委託先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること。
(2) 当該個人データの取扱いの再委託を行うに当たっては、委託元へその旨文書をもって報告すること。
(3) 委託契約期間等を明記すること。
(4) 利用目的達成後の個人データの返却又は委託先における破棄若しくは削除が適切かつ確実になされること。
(5) 委託先における個人データの加工(委託契約の範囲内のものを除く。)、改ざん等を禁止し、又は制限すること
(6) 委託先における個人データの複写又は複製(安全管理上必要なバックアップを目的とするもの等委託契約範囲内のものを除く。)を禁止すること。
(7) 委託先において個人データの漏えい等の事故が発生した場合における委託元への報告義務を課すこと。
(8) 委託先において個人データの漏えい等の事故が発生した場合における委託先の責任が明確化されていること。
5 法第23条に規定する第三者提供に関する事項
事業者は、雇用管理に関する個人データの第三者への提供(法第23条第1項第1号から第4号までに該当する場合〔編注〕を除く。)に当たって、次に掲げる事項に留意するものとすること。
| 〔編注〕 第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。 一 法令に基づく場合 二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。 四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。 |
(1) 提供先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること。
(2) 当該個人データの再提供を行うに当たっては、あらかじめ文書をもって事業者の了承を得ること。但し、当該再提供が、法第23条第1項第1号から第4号までに該当する場合を除く。
(3) 提供先における保管期間等を明確化すること。
(4) 利用目的達成後の個人データの返却又は提供先における破棄若しくは削除が適切かつ確実になされること。
(5) 提供先における個人データの複写及び複製(安全管理上必要なバックアップを目的とするものを除く。)を禁止すること。
6 法第25条第1項に規定する保有個人データの開示に関する事項
事業者は、あらかじめ、労働組合等と必要に応じ協議した上で、労働者等本人から開示を求められた保有個人データについて、その全部又は一部を開示することによりその業務の適正な実施に著しい支障を及ぼすおそれがある場合に該当するとして非開示とすることが想定される保有個人データの開示に関する事項を定め、労働者等に周知させるための措置を講ずるよう努めなければならないこと。
7 法第29条第2項に規定する本人の利便を考慮した適切な措置に関する事項
事業者は、労働者等からの雇用管理に関する個人データの開示等の求めができるだけ円滑に行われるよう、閲覧の場所及び時間等について十分配慮すること。
8 法第31条に規定する苦情の処理に関する事項
事業者は、雇用管理に関する個人情報の取扱いに関する苦情の適切かつ迅速な処理を行うため苦情及び相談を受け付けるための窓口の明確化等必要な体制の整備に努めること。
9 その他事業主等が雇用管理に関する個人情報の適切な取扱いを確保するための措置を行うに当たって配慮すべき事項
(1) 事業者は、6に定める保有個人データの開示に関する事項その他雇用管理に関する個人情報の取扱いに関する重要事項を定めるときは、あらかじめ労働組合等に通知し、必要に応じて、協議を行うことが望ましいものであること。
(2) 事業者は、9の(1)の重要事項を定めたときは、労働者等に周知することが望ましいものであること。
第 4 個人情報取扱事業者以外の事業者による雇用管理に関する個人情報の取扱い
法第2条第3項に規定する個人情報取扱事業者以外の事業者であって、雇用管理に関する個人情報を取り扱う者は、第3に準じて、その適正な取扱いの確保に努めること。