雇用管理分野における個人情報保護に関するガイドライン of 労働者派遣法のポイント

労働者派遣法をもっと理解するためのサイト「労働者派遣法のポイント」

HOME > 雇用管理分野における個人情報保護に関するガイドライン

雇用管理分野における個人情報保護に関するガイドライン

(平成24年厚生労働省告示第357号)

 個人情報の保護に関する法律(平成十五年法律第五十七号)第八条の規定に基づき、雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針(平成十六年厚生労働省告示第二百五十九号)の全部を次のように改正し、平成二十四年七月一日から適用する。
 平成二十四年五月十四日
  厚生労働大臣小宮山洋子

目次

第1 趣旨
第2 定義
第3 適用対象者の範囲
第4 雇用管理情報の利用目的に関する義務
第5 雇用管理情報の取得に関する義務
第6 個人データの管理に関する義務
第7 個人データの第三者提供に関する義務
第8 保有個人データの開示等に関する義務
第9 苦情処理に関する義務
第10 その他事業者が配慮すべき事項
第11 法違反又は法違反のおそれが発覚した場合の対応
第12 勧告、命令等についての考え方
第13 他の個人情報保護に関するガイドラインへの留意
第14 ガイドラインの見直しについて

第1 趣旨

 このガイドラインは、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第8条の規定に基づき、及び法第7条第1項に基づき定められた基本方針(「個人情報の保護に関する基本方針」(平成16年4月閣議決定)をいう。)を踏まえ、事業者が雇用管理(船員に関するものを除く。以下同じ。)に関する個人情報の適正な取扱いの確保に関して行う活動を支援するため、当該活動の実情や特性等を踏まえ、事業者が講ずる措置が適切かつ有効に実施されるよう具体的な指針として定めるものである。
 法は、法第1条の規定により、個人情報の取扱いに当たっては、個人情報の有用性に配慮しつつ、消費者等、個人の権利利益を保護することを目的としており、当該目的は、本ガイドラインにおいても同様である。
 このガイドラインにおいて「ならない」(「努めなければならない」を除く。)とされている規定については、法の義務規定の対象である個人情報取扱事業者の法的義務であるため、事業者が当該規定に従わない場合には、法違反と判断される可能性がある。一方、当該事業者でない者が当該規定に従わない場合には、法違反と判断されることはない。
 また、このガイドラインにおいて「望ましい」とされている規定に従わない場合については、事業者か否かを問わず、法違反と判断されることはない。
 なお、法違反と判断されることがない場合においても、法第3条に定める法の基本理念を踏まえ、可能な限り取り組むことが望まれる。

第2 定義

 このガイドラインにおいて、次の各号に掲げる用語の意義は、それぞれ次に定めるところによる。

1 個人情報

 「個人情報」とは、生存する個人に関する情報であって、特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。)をいう。
 「個人に関する情報」とは、氏名、性別、生年月日、住所、年齢、職業、続柄等の事実に関する情報のほか、個人の身体、財産、職種、肩書等の属性に関する判断や評価を表す全ての情報をいい、公刊物等によって公にされている情報や、映像、音声による情報も含む。複数以上の「個人に関する情報」を照合することにより、特定の個人を識別することができる場合においては、当該「個人に関する情報」全てが「個人情報」に該当する。
 生存しない個人に関する情報であっても、同時に、遺族等の「生存する個人に関する情報」に当たる場合には、当該生存する個人に関する情報となる。
 また、企業名等、法人その他の団体に関する情報は、基本的に「個人情報」には該当しないが、当該情報に役員の氏名等の個人に関する情報が含まれる場合は、その部分については「個人情報」に該当する。
 なお、「個人」は外国人も含む。

2 雇用管理に関する個人情報(以下「雇用管理情報」という。)

 「雇用管理情報」とは、事業者が労働者等の雇用管理のために収集、保管、利用等する個人情報をいい、その限りにおいて、病歴、収入、家族関係等の機微に触れる情報(以下「機微に触れる情報」という。)を含む労働者個人に関するすべての情報が該当する。

3 個人情報データベース等

 「個人情報データベース等」とは、次に掲げるものをいう。
(1) 特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物。
(2) コンピュータを用いない場合であって、紙面で処理した個人情報を五十音順等の一定の方法に従って整理及び分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人も容易に検索することができる状態に置いているもの。

4 個人データ

 「個人データ」とは、個人情報データベース等を構成する雇用管理情報をいう。

5 個人情報取扱事業者

 「個人情報取扱事業者」とは、次に掲げる者以外の、個人情報データベース等を事業の用に供している者をいう。
 「事業の用に供する」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ、社会通念上事業と認められるものをいい、営利事業のみを対象とするものではない。
 また、「事業の用に供する」の「供する」とは、事業のために個人情報データベース等を利用することであり、その具体的な利用の目的及び方法を問わない。
 なお、法人格を有しない団体や一般個人であっても、個人情報取扱事業者に該当する。

(1) 国の機関
(2) 地方公共団体
(3) 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)第2条第1項に規定する独立行政法人等をいう。)
(4) 地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第2条第1項に規定する
地方独立行政法人をいう。)
(5) その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ない者として個人情報の保護に関する法律施行令(平成15年政令第507号)第2条の規定により、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6箇月以内のいずれの日においても5千を超えない者。

ただし、当該者に該当するか否かの判断に当たっては、次のとおりとする。
[1] 5千を超えるか否かは、事業者が管理する全ての個人情報データベース等を構成する個人情報によって識別される特定の個人の数の総和により判断する。ただし、同一個人の重複分は除く。
[2] 個人情報データベース等が次に掲げる要件の全てに該当する場合には、それを構成する個人情報によって識別される特定の個人の数は、5千の数に含めない。

イ 個人情報データベース等の全部又は一部が他人の作成によるものであること。
ロ 氏名、住所及び居所、電話番号のみが記載された個人情報データベース等であること又は不特定かつ多数の者に販売することを目的として発行され、かつ、不特定かつ多数の者により随時に購入することができる、若しくはできた個人情報データベース等であること。
ハ 事業者自らが、その個人情報データベース等を事業の用に供するに当たり、新たに個人情報を加えることで特定の個人の数を増やす、他の個人情報を付加する等により、当該個人情報データベース等を編集又は加工していないこと。

6 事業者

 「事業者」とは、個人情報取扱事業者のうち雇用管理情報を取り扱う者をいう。

7 労働者等

 「労働者等」とは、6に規定する事業者に使用されている労働者(労働基準法(昭和22年法律第49号)第9条に規定する労働者をいう。以下同じ。)、当該労働者になろうとする者及び当該労働者になろうとした者並びに過去において当該事業者に使用されていた者をいう。

8 本人

 「本人」とは、雇用管理情報によって識別される特定の個人をいう。

9 保有個人データ

 「保有個人データ」とは、事業者が、本人又はその代理人から求められる開示、内容の訂正、追加及び削除、利用の停止、消去並びに第三者への提供の停止の全てに応じることができる権限を有する個人データをいう。ただし、その存否が明らかになることにより公益その他の利益が害されるものとして次に掲げるもののほか、6箇月以内に消去(更新を除く。)することとなるものを除く。

(1) 本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの。
(2) 違法又は不当な行為を助長し、又は誘発するおそれがあるもの。
(3) 国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの。
(4) 犯罪の予防、鎮圧、捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの。

10 公表

 「公表」とは、広く一般に内容を発表することをいう。
 ただし、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法による必要があり、特に雇用管理情報は、機微に触れる情報を含むため、事業者は、自らの置かれた状況に応じ、労働者等に内容が確実に伝わる媒体を選択する等の配慮を行うものとする。

11 本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。以下同じ。)

 「本人の知り得る状態」とは、ウェブサイトへの掲載、パンフレットの配布、本人の求めに応じて遅滞なく回答を行うこと等、本人が知ろうとすれば、知ることができる状態をいい、常にその時点での正確な内容を本人の知り得る状態に置く必要がある。
 本人の知り得る状態とするに当たっては、必ずしもウェブサイトへの掲載、事業所等の窓口等における掲示が継続的に行われることまでを要しないが、事業の性質及び雇用管理情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法による必要がある。

12 本人が容易に知り得る状態

 「本人が容易に知り得る状態」とは、継続的な方法により、本人が知ろうとすれば、時間的にもその手段においても簡単に知ることができる状態をいう。
 個人データの第三者提供に際して本人が容易に知り得る状態とするに当たっては、事業の性質及び雇用管理情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法による必要があり、1回限りの公表では足りない。特に雇用管理情報は、機微に触れる情報を含み、第三者に容易に提供しないことを前提に収集されている可能性が高いことから、本人が定期的に閲覧すると想定されるウェブサイトへの継続的な掲載、事業所内において広く頒布されている刊行物における定期的な掲載等により、本人が確実に知り得ると想定される状態に置くものとする。

13 本人に通知

 「本人に通知」とは、本人に直接内容を知らしめることをいう。
 ただし、本人に通知するに当たっては、本人に内容が認識されるように事業の性質及び雇用管理情報の取扱状況に応じ、合理的かつ適切な方法による必要がある。

14 個人データ又は保有個人データの提供

 「個人データ又は保有個人データの提供」とは、個人データ又は保有個人データを第三者が利用可能な状態に置くことをいう。
 個人データ又は保有個人データが物理的に提供されない場合であっても、備付けやネットワーク等の利用により、第三者が利用(閲覧を含む。)できる場合においては、当該提供に該当する。

15 本人の同意

 「本人の同意」とは、本人が、個人情報取扱事業者の示す方法によって雇用管理情報が取り扱われることを承諾する旨の当該本人の意思表示をいう。
 「本人の同意を得る」とは、本人の承諾の意思表示を当該個人情報取扱事業者が認識することをいう。
 事業者が本人の同意を得るに当たっては、事業の性質及び雇用管理情報の取扱方法に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法による必要があり、当該本人に当該雇用管理情報の利用目的を通知し、又は公表した上で、当該本人が口頭、書面等により当該雇用管理情報の取扱いについて承諾する意思表示を行うことが望ましい。

 また、第7の個人データの第三者提供に際しての本人の同意を得るに当たっては、可能な限り提供先である第三者を具体的に特定した上で、当該第三者提供の度に、本人の意思を確認することが望ましい。

 なお、労働者等が未成年者、成年被後見人、被保佐人及び被補助人である等、雇用管理情報の取扱いに関して同意したことによって生ずる結果について判断できる能力を有していない等の場合は、親権者、法定代理人等から同意を得る必要がある。

16 労働組合等

 「労働組合等」とは、事業所に労働者の過半数で組織する労働組合があるときはその労働組合を、労働者の過半数で組織する労働組合がないときは労働者の過半数を代表する者(労働基準法施行規則(昭和22年厚生省令第23号)第6条の2に定める者をいう。)をいう。

17 委託

 「委託」とは、個人情報取扱事業者が、個人データの取得、加工、編集等の取扱いの全部又は一部を他の者に行わせることをいい、委託を行う事業者を「委託元」と、委託を受ける者を「委託先」という。

18 主務大臣

「主務大臣」とは、法第36条第1項第1号の定めるところにより、厚生労働大臣及び事業所管大臣をいう。

第3 適用対象者の範囲

 このガイドラインは、事業者を対象とする。
 雇用管理情報を扱う者であって当該事業者に該当しない者についても、法第3条に規定する基本理念を踏まえ、このガイドラインに定める事項を遵守することが望ましい。

第4 雇用管理情報の利用目的に関する義務

1 利用目的の特定(法第15条第1項関係)

(1) 事業者は、雇用管理情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)を可能な限り具体的に特定しなければならない。

 利用目的の特定に当たっては、事業者において雇用管理情報が最終的にどのような事業の用に供され、どのような目的で利用されるかが本人にとって一般的かつ合理的に想定できる程度に具体的であることが望ましく、個別具体的な利用目的を詳細に列挙するまでの必要はないものの、抽象的であっても雇用管理情報の取扱いが利用目的の達成に必要な範囲内か否かを実際に判断できる程度に明確にするものとする。つまり、利用目的の達成に必要な範囲内か否かをめぐって、事業者と本人との間で争いとならない程度に明確にするものとし、当該争いの発生を未然に防止するためには、第10に定めるところにより、あらかじめ労働組合等に通知し、必要に応じて協議を行うことが望ましい。

(2) 雇用管理情報は、機微に触れる情報を含むとともに項目ごとに利用目的が異なることも想定されるため、可能な限り個人情報の項目ごとに利用目的を特定することが望ましい。
 なお、あらかじめ雇用管理情報を第三者に提供することを予定している場合には、利用目的においてその旨を特定することが望ましい。

2 利用目的の変更(法第15条第2項及び法第18条第3項関係)

(1) 事業者は、1の規定により特定した利用目的を変更する場合には、変更前の利用目的からみて、社会通念上本人が想定できる範囲を超えた変更を行ってはならない。

(2) 変更された利用目的は、本人に通知し、又は公表しなければならない。

(3) 本人が想定できる範囲を超えて利用目的の変更を行う場合には、3の規定により、本人の同意を得なければならない。

3 利用目的による制限(法第16条第1項関係)

 事業者は、あらかじめ本人の同意を得ることなく、1の規定により特定した利用目的の達成に必要な範囲を超えて、雇用管理情報を取り扱ってはならない。ただし、あらかじめ本人の同意を得るために雇用管理情報を利用することは、当初特定した利用目的にない場合にも、目的外利用には当たらない。

4 利用目的による制限(事業承継の場合)(法第16条第2項関係)

 事業者は、合併、分社化、事業譲渡等により他の事業者から事業を承継することに伴って雇用管理情報を取得した場合は、あらかじめ本人の同意を得ることなく、承継前における当該雇用管理情報の利用目的の達成に必要な範囲を超えて、当該雇用管理情報を取り扱ってはならない。ただし、あらかじめ本人の同意を得るために雇用管理情報を利用することは、承継前の利用目的にない場合にも、目的外利用には当たらない。

5 利用目的による制限の例外(法第16条第3項関係)

 次に掲げる場合においては、3又は4の規定により本人の同意を得ることが求められる場合であっても、本人の同意を得ることなく、利用目的の達成に必要な範囲を超えて雇用管理情報を取り扱うことができる。

(1) 刑事訴訟法(昭和23年法律第131号)の規定に基づく捜査への対応等、法令に基づいて、利用目的の達成に必要な範囲を超えて雇用管理情報を取り扱う場合。なお、当該法令に目的外利用の便益を得る相手方についての根拠のみがあり、目的外利用をする義務までは課されていない場合においては、事業者は、当該法令の趣旨に照らして目的外利用の必要性及び合理性が認められる範囲内で対応するものとする。

(2) 急病人の連絡先を医師に伝える等、人(法人を含む。)の生命、身体又は財産の保護のために利用目的の達成に必要な範囲を超えて雇用管理情報を取り扱う必要がある場合であって、本人の同意を得ることが困難であるとき。

(3) 児童虐待のおそれのある家庭の状況に係る情報を児童相談所、警察等が共有する必要がある場合等、公衆衛生の向上又は児童の健全な育成の推進のために特に利用目的の達成に必要な範囲を超えて雇用管理情報を取り扱う必要がある場合であって、本人の同意を得ることが困難であるとき。

(4) 統計法(平成19年法律第53号)第2条第5項に基づく統計調査(以下「統計調査」という。)に回答する場合等、国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して事業者が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるときに、利用目的の達成に必要な範囲を超えて雇用管理情報を取り扱う場合。

第5 雇用管理情報の取得に関する義務

1 適正な取得(法第17条関係)

 事業者は、偽りその他不正の手段により雇用管理情報を取得してはならない。

2 取得時の利用目的の通知又は公表(法第18条第1項関係)

 事業者は、雇用管理情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表しなければならない。

3 書面等による直接取得時の利用目的の明示(法第18条第2項関係)

 事業者は、契約書等の書面等により、直接本人から雇用管理情報を取得する場合は、あらかじめ本人に対しその利用目的を明示しなければならない。ただし、人(法人を含む。)の生命、身体又は財産の保護のために緊急に必要がある場合は、あらかじめ本人に対してその利用目的を明示する必要はないが、その場合には、2の規定に基づき、取得後速やかにその利用目的を本人に通知し、又は公表しなければならない。

 なお、「本人に対し、その利用目的を明示」とは、本人に対し、その利用目的を明確に示すことをいい、事業の性質及び雇用管理情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法による必要がある。

4 利用目的の通知等をしなくてよい場合(法第18条第4項関係)

 次に掲げる場合については、2、3及び第4の2の(2)の規定は適用しない。

(1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合。

(2) 利用目的を本人に通知し、又は公表することにより、事業者の権利又は正当な利益を害するおそれがある場合。

(3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。

(4) 取得の状況からみて利用目的が明らかであると認められる場合。

第6 個人データの管理に関する義務

1 データ内容の正確性の確保(法第19条関係)

 事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。

2 安全管理措置(法第20条関係)

 事業者は、その取り扱う個人データの漏えい、滅失又はき損(以下「漏えい等」という。)の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

 その際、事業者において、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質、個人データの取扱状況及び個人データを記録した媒体の性質等に起因するリスクに応じ、必要かつ適切な措置として次に掲げるものを講ずるよう努めるものとする。

(1) 個人データを取り扱う従業者及びその権限を明確にした上で、その業務を行わせること。

(2) 個人データは、その取扱いについての権限を与えられた者のみが業務の遂行上必要な限りにおいて取り扱うこと。

(3) 個人データを取り扱う者は、業務上知り得た個人データの内容をみだりに第三者に知らせ、又は不当な目的に使用してはならないこと(その業務に係る職を退いた後も同じ。)。

(4) 個人データの取扱いの管理に関する事項を行わせるため、当該事項を行うために必要な知識及び経験を有していると認められる者のうちから個人データ管理責任者を各事業所において選任すること。

 なお、個人データ管理責任者は、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成16年厚生労働省・経済産業省告示第4号)に規定する個人情報保護管理者とは異なるが、兼任することができる。

3 従業者の監督(法第21条関係)

 事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

 その際、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じ、個人データ管理責任者及び個人データを取り扱う従業者に対する教育及び研修等につき、必要かつ適切な措置として次に掲げるものを講ずるよう努めるものとする。

(1) その責務の重要性を認識させるために必要な教育及び研修の実施

(2) 具体的な個人データの保護措置に習熟させるために必要な教育及び研修の実施

4 委託先の監督(法第22条関係)

 事業者は、個人データの取扱いの全部又は一部を外部に委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託先に対する必要かつ適切な監督を行わなければならない。

 その際、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じ、次に掲げる事項に留意しつつ、必要かつ適切な措置を講ずるものとする。

(1) 個人情報の保護について十分な措置を講じている者を委託先として選定するための基準を設けること。

(2) 委託先が委託を受けた個人データの保護のために講ずべき措置として、次に掲げる内容が委託契約において明確化されていること。

[1] 委託先において、その従業者に対し、当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること。

[2] 当該個人データの取扱いの再委託を行うに当たっては、委託元へその旨の文書をもって報告すること。

 ただし、個人データの取扱いの再委託については、雇用管理情報の漏えい等の危険性が増大すること等からできる限り行わないことが望ましい。

[3] 委託契約の期間、委託先における個人データの管理方法及び委託契約終了後の個人データの処理(返却又は委託先における破棄若しくは削除をいう。以下この号において同じ。)の方法を明記すること。

[4] 利用目的達成後の個人データの処理が適切かつ確実になされること。

[5] 委託先における個人データの加工(委託契約の範囲内のものを除く。)、改ざん、委託契約の範囲を超えたデータの書き換え及び不正な情報の追加を禁止し、又は制限すること。

[6] 委託先における個人データの複写又は複製(以下「複写等」という。安全管理上必要なバックアップを目的とするもの等委託契約の範囲内のものを除く。)を禁止すること。

 なお、個人データの複写等は、委託契約の範囲内であっても、バックアップを目的とする場合等の必要不可欠なものに限定すること。

[7] 委託先において個人データの漏えい等の事故が発生した場合における委託元への報告義務を課すこと。

[8] 委託先において個人データの漏えい等の事故が発生した場合における委託先の責任が明確化されていること。

 なお、委託先において個人データの漏えい等の事故が発生した場合には、委託元と委託先との連携により、再発防止に努めること。

第7 個人データの第三者提供に関する義務

1 第三者提供の制限に関する原則(法第23条第1項関係)

 事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

2 第三者提供の制限に関する例外(法第23条第1項関係)

 次のいずれかに該当する場合は、1の規定にかかわらず、個人データを第三者に提供することができる。

(1) 刑事訴訟法の規定に基づく捜査への対応等、法令に基づく場合。なお、当該法令に第三者提供を受ける相手方についての根拠のみがあり、第三者提供をする義務までは課されていない場合には、事業者は、当該法令の趣旨に照らして第三者提供の必要性及び合理性が認められる範囲内で対応するものとする。

(2) 急病人の連絡先を医師に伝える等、人(法人を含む。)の生命、身体又は財産の保護のために個人データを第三者に提供する必要がある場合であって、本人の同意を得ることが困難であるとき。

(3) 児童虐待のおそれのある家庭の状況に係る情報を、児童相談所、警察等が共有する必要がある場合等、公衆衛生の向上又は児童の健全な育成の推進のために特に個人データを第三者に提供する必要がある場合であって、本人の同意を得ることが困難であるとき。

(4) 統計調査に回答する場合等、国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して事業者が協力する場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるときに、個人データを第三者に提供する場合。なお、事業者は、任意の求めの趣旨に照らして第三者提供の必要性及び合理性が認められる範囲内で対応するものとする。

3 いわゆるオプトアウト(法第23条第2項及び第3項関係)

 事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているときは、1及び2の規定にかかわらず、当該個人データを第三者に提供することができる。

(1) 第三者への提供を利用目的とすること。

(2) 第三者に提供される個人データの項目

(3) 第三者への提供の手段又は方法

(4) 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。

 ただし、事業者がこの規定による第三者提供を行っている場合であって、(2)又は(3)に掲げる事項を変更する場合は、変更する内容について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

4 第三者に該当しないもの(法第23条第4項及び第5項関係)

 次に掲げる場合において、当該個人データの提供を受ける者は「第三者」に該当しないものとし、1から3までの規定にかかわらず、事業者は当該個人データを提供することができる。

(1) 事業者が利用目的の達成に必要な範囲内において、個人データの取扱いの全部又は一部を委託する場合。

(2) 合併、分社化、事業譲渡等による事業の承継に伴って個人データが提供される場合。

(3) 個人データを特定の者との間で共同して利用する場合であって、次に掲げる事項について、当該共同利用をする前にあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているとき。

[1] 共同利用をする旨

[2] 共同して利用される個人データの項目

[3] 共同して利用する者(以下「共同利用者」という。)の範囲

[4] 利用する者の利用目的

[5] 開示等の求め及び苦情を受け付け、その処理を確実に行うとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、個人データの安全管理等について共同利用者の中で責任を有する事業者の氏名又は名称

 ただし、[2]又は[3]に掲げる事項を変更する場合は、あらかじめ本人の同意を得なければならない。また、[4]又は[5]に掲げる事項を変更する場合は、変更する内容について、変更前にあらかじめ本人に通知し、又は本人が容易に知りうる状態に置かなければならない。

5 第三者提供に当たっての留意事項

 事業者は、個人データの第三者への提供(2の(1)から(4)までに掲げる場合に該当する場合を除く。)に当たっては、次に掲げる事項に留意するものとする。

(1) 提供先において、その従業者に対し、当該個人データの取扱いを通じて知り得た雇用管理情報を漏らし、又は盗用してはならないこととされていること。

(2) 当該個人データの再提供(提供先が別の第三者に提供することをいう。以下同じ。)を行うに当たっては、あらかじめ文書をもって当該事業者の了承を得ること。ただし、当該再提供が2の(1)から(4)までに掲げる場合に該当する場合を除く。

(3) 提供先における個人データの保管期間、管理方法、利用目的達成後の個人データの処理(返却又は提供先における破棄若しくは削除をいう。以下この号において同じ。)の方法を明確化すること。

(4) 利用目的達成後の個人データの処理が適切かつ確実になされること。

(5) 提供先における個人データの複写等(安全管理上必要なバックアップを目的とするものを除く。)を禁止すること。

 なお、個人データの複写等は、バックアップを目的とする場合等の必要不可欠なものに限定すること。

第8 保有個人データの開示等に関する義務

1 保有個人データに関する事項の公表等(法第24条関係)

(1) 事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態に置かなければならない。

[1] 当該事業者の氏名又は名称

[2] 全ての保有個人データの利用目的(第5の4の(1)から(3)までの規定に該当する場合を除く。)

[3] 保有個人データに関する本人からの次に掲げる求め(以下これらの求めを「開示等の求め」という。)に応じる手続(7の規定により手数料を定めたときは、その手数料の額を含む。)
イ 法第24条第2項の規定に基づく利用目的の通知の求め
ロ 法第25条第1項の規定に基づく開示の求め
ハ 法第26条第1項の規定に基づく内容の訂正、追加又は削除(以下「訂正等」という。)の求め
ニ 法第27条第1項の規定に基づく利用の停止又は消去(以下「利用停止等」という。)の求め
ホ 法第27条第2項の規定に基づく第三者提供の停止の求め

[4] 当該事業者が行う保有個人データの取扱いに関する苦情を受け付ける担当窓口名及び係名、郵送用住所、受付電話番号その他の苦情申出先

[5] 当該事業者が認定個人情報保護団体(法第37条第1項の認定を受けた者をいう。以下同じ。)の対象事業者である場合には、当該認定個人情報保護団体の名称及び苦情の解決の申出先

(2) 事業者は、次のいずれかに該当する場合を除き、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。なお、利用目的を通知しない旨の決定をしたときも、本人に対し、遅滞なく、当該決定をした旨を通知しなければならない。

[1] (1)の規定により当該本人が識別される保有個人データの利用目的が明らかな場合

[2] 第5の4の(1)から(3)までの規定に該当する場合

2 保有個人データの開示(法第25条関係)

(1) 事業者は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、書面の交付による方法(開示の求めを行った者が同意した方法があるときは当該方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができるが、開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

[1] 保有個人データを開示することにより、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合。

[2] 保有個人データを開示することにより、当該事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合。

[3] 保有個人データを開示することが他の法令に違反することとなる場合。

(2) 他の法令の規定により、本人が識別される保有個人データの全部又は一部を、当該本人に対し(1)に規定する方法に相当する方法で開示することとなる場合には、(1)の規定は適用しない。

(3) 事業者は、労働者等本人から開示を求められた保有個人データについて、あらかじめ労働組合等と必要に応じ協議した上で、その全部又は一部を開示することによりその業務の適正な実施に著しい支障を及ぼすおそれがある場合に該当するとして非開示とすることが想定される保有個人データの開示に関する事項を定め、労働者等に周知させるための措置を講ずるよう努めなければならない。

3 保有個人データの訂正等(法第26条関係)

(1) 事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの訂正等を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。

(2) 事業者は、(1)の規定により訂正等を求められた保有個人データの内容の全部又は一部について訂正等を行ったときは、本人に対し、遅滞なく、その旨(訂正等の内容を含む。)を通知しなければならない。 また、利用目的からみて訂正等が必要でない場合、本人からの誤りである旨の指摘が正しくない場合等、訂正等に応じる必要がなく、訂正等を行わない旨の決定をしたときも、同様とする。

4 保有個人データの利用停止等(法第27条関係)

(1) 事業者は、本人から、次に掲げる理由によって当該本人が識別される保有個人データの利用停止等を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。

[1] 同意のない目的外利用
当該本人が識別される保有個人データが第4の3から5までの規定に違反して取り扱われているという理由

[2] 不正の手段による個人情報の取得
当該本人が識別される保有個人データが第5の1の規定に違反して取得されたものであるという理由

 ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

(2) 事業者は、本人から、当該本人が識別される保有個人データが第7の1及び2の規定に違反して第三者に提供されていることを理由として、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

(3) 事業者は、(1)及び(2)に規定する求めに対し、保有個人データの全部又は一部について、その求めに応じたとき、又はその求めに応じない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

5 理由の説明(法第28条関係)

 事業者は、開示等の求めに対し、本人から求められた措置の全部又は一部について、その措置をとらない旨又はその措置と異なる措置をとる旨を本人に通知する場合は、併せて、本人に対して、その理由を説明するよう努めなければならない。

6 開示等の求めに応じる手続(法第29条関係)

(1) 事業者は、開示等の求めに関し、その求めを受け付ける方法として次に掲げる事項を定めることができ、定めた場合には、本人の知り得る状態に置いておかなければならない。この場合において、本人は、当該方法に従って、開示等の求めを行わなければならない。

[1] 担当窓口名及び係名、郵送用住所、受付電話番号等の開示等の求めの申出先

[2] 開示等の求めに際して提出すべき書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。)の様式その他の開示等の求めの方式

[3] 開示等の求めをする者が本人又は代理人(未成年者若しくは成年被後見人の場合はその法定代理人、又は開示等の求めをすることにつき本人が委任した者がいる場合はその受任者)であることの確認の方法

[4] 保有個人データの利用目的の通知又は保有個人データの開示について手数料を徴収する場合は、その徴収方法

(2) 事業者は、本人に対し、開示等の求めに対応するため、その対象となる保有個人データの特定に必要な事項の提示を求めることができる。なお、その際、本人が容易かつ的確に開示等の求めができるよう、当該保有個人データの特定に資する情報の提供、閲覧の場所及び時間等への十分な配慮等により本人の利便性を考慮しなければならない。

(3) 事業者は、(1)及び(2)の規定により開示等の求めに応じる手続を定めるに当たっては、事業の性質、保有個人データの取扱状況、開示等の求めの受付方法等に応じて適切なものになるよう配慮し、例えば、本人確認のために、当該事業者が保有している個人データに比して必要以上に多くの情報を求めないようにする等、本人に過重な負担を課するものとならないよう配慮しなければならない。

7 手数料(法第30条関係)

 事業者は、保有個人データに係る利用目的の通知の求め又は開示の求めに応じる場合には、手数料を徴収することができる。その手数料の額を定める際には、実費を勘案して合理的と認められる範囲内でなければならない。また、手数料の額を定めた場合には、本人の知り得る状態に置かなければならない。

第9 苦情処理に関する義務

 事業者は、雇用管理情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。また、事業者は、苦情の適切かつ迅速な処理を行うに当たり、苦情処理窓口の設置や苦情処理の手順を定める等必要な体制の整備に努めなければならない。

 なお、担当窓口名及び係名、郵送用住所、受付電話番号その他の苦情申出先については、本人の知り得る状態に置かなければならない。

第10 その他事業者が配慮すべき事項

1 事業者は、第8に定める保有個人データの開示その他雇用管理情報の取扱いに関する重要事項を定めるときは、あらかじめ労働組合等に通知し、必要に応じて、協議を行うことが望ましい。

2 事業者は、当該重要事項を定めたときは、労働者に周知することが望ましい。

第11 法違反又は法違反のおそれが発覚した場合の対応

 事業者は、その取り扱う雇用管理情報(委託先が取り扱うものを含む。)について、法違反又は法違反のおそれが発覚した場合には、次に掲げる対処を実施することが望ましい。

1 事実調査及び原因の究明

 事実関係につき調査を行い、法違反又は法違反のおそれを把握したときは、その原因の究明に当たる。

2 影響の及ぶ範囲の特定

 1の規定により把握した事実による影響の及ぶ範囲を特定する。

3 再発防止対策の検討及び実施

 1の規定により究明した原因を踏まえ、再発防止対策を検討し、速やかに実施する。

4 二次的な被害の発生等の防止

 特に個人データの安全管理について法違反があった場合には、二次的な被害の発生又は類似の法違反の防止を図るため、事実関係等について速やかに本人へ連絡し、又は本人が容易に知り得る状態に置くとともに、事実関係及び再発防止対策等について、速やかに公表することが望ましい。

5 主務大臣及び認定個人情報保護団体への報告

 事業者は、法違反又は法違反のおそれが発覚した場合には、事実関係及び再発防止対策等について、速やかに主務大臣に報告するよう努めなければならない。また、認定個人情報保護団体に加入している場合は、当該認定個人情報保護団体に報告するよう努めなければならない。

第12 勧告、命令等についての考え方

 法第34条に基づく勧告、命令及び緊急命令については、厚生労働大臣が各事業所管大臣と連携して手続を行う。

 法第34条第2項又は第3項の規定に基づく命令に違反した者は、法第56条の規定に基づき、6月以下の懲役又は30万円以下の罰金が科される。

第13 他の個人情報保護に関するガイドラインへの留意

 雇用管理情報については、本ガイドラインによるほか、次に掲げる事業者が行う事業を所管する大臣等が策定したガイドラインその他の必要な措置に留意する。

1 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン

2 労働者派遣に係る事業を行う者については、「派遣元事業主が講ずべき措置に関する指針」(平成11年労働省告示第137号)

3 労働者の募集を行う者については、「職業紹介事業者、労働者の募集を行う者、募集受託者、労働者供給事業者等が均等待遇、労働条件等の明示、求職者等の個人情報の取扱い、職業紹介事業者の責務、募集内容の的確な表示等に関して適切に対処するための指針」(平成11年労働省告示第141号)

4 雇用管理情報のうち、健康診断の結果等の労働者等の健康情報を取り扱う者については、厚生労働省労働基準局長が示した留意事項

第14 ガイドラインの見直しについて

 このガイドラインについては、社会情勢の変化、国民の意識の変化、技術動向の変化等諸環境の変化を踏まえ、必要に応じ見直しを行う。

ふくなが社労士事務所では、毎月1回、顧問契約を頂いているお客様にのみ、中小企業事業主向けに役立つ人事・労務情報を私自身がお客様に有用な情報と思われるネタを厳選し、毎月頭をひねりながら内容を考えたものをニュースレターとして郵送しております。

あるとき、せっかく苦労をして作っているニュースレターの情報を少しでも多くの経営者等にお届けしたいと考え、このブログを見ていただいた方に特別に、メールサーバーの関係上配信数限定でこのニュースレターのメルマガ版を送信することといたしました。

このニュースレターのメルマガ版のご登録は、こちらから。
LinkIcon「ふくなが社労士事務所便り(無料メルマガ版)」のご登録

販売用バナー.png販売用バナー.png
bana3.jpgbana3.jpg

無料メルマガ発行中

あなたの会社に役立つ情報を毎月1回お届けする「ふくなが社労士事務所便り(無料メルマガ版)」のご登録はこちらから
LinkIcon「ふくなが社労士事務所便り(無料メルマガ版)」のご登録

「労働者派遣法のポイント」のメニュー