従業員個人情報管理におけるコンプライアンスの要点分析

はじめに

個人情報の安全に関わるコンプライアンス作業の徹底に伴い、現在、多くの企業が個人情報のコンプライアンス作業に応じ、法規や監督管理の要求に合わせるために相当のコストを投入している。しかし、実務では、企業は「従業員の情報は個人情報保護の範囲に入るのか？HRが収集した未採用の履歴書は如何に処理するのか？従業員に顔スキャンで出退勤を記録させる場合、コンプライアンスを如何に行えばいいのか？」などの問題にしばしば遭う。この状況で、従業員の個人情報保護に関する企業コンプライアンスを検討することは極めて現実的な意味を持つ。

本文

実務では、人事部門、法務コンプライアンス部門および技術部門はそれぞれの職務があるため、通常、従業員の個人情報の管理およびコンプライアンスのような部門をまたがる事項の着手は困難である。本稿は、法規および監督管理の要点、現場のコンプライアンスの要点およびコンプライアンスについての総合的提案という三つの部分に分けており、企業における従業員の個人情報の収集・使用・および保存に対応したコンプライアンスを提案し、企業の従業員個人情報管理作業の参考とされたい。

一、    法規および監督管理の要点

1. 従業員の個人情報の範囲

上表から、監督・管理・保護を受ける個人情報の範囲が比較的広いことが読み取れる。「個人情報安全規範」付録Aにおける判断基準によれば、当該情報で特定の自然人、または既知の特定の自然人の活動を識別できる情報であれば、いずれも個人情報と判断され、保護を受けるべきである。中国では現在、まだ従業員の個人情報に対する法的要求がないが、「労働契約法」第8条によれば、「使用者は労働者の労働契約に直接関連のある基本状況を知る権利を有し、労働者は如実に説明しなければならない。」そのため、労働契約の管理と履行のための日常的実務からすると、企業は必要な従業員情報を収集する権利を有する。この種類の情報は通常、従業員の個人履歴書、生体識別情報、健康診断報告書などの形式で具現化される。この種類の情報は多くの状況で上記規定に挙げられた個人情報に属する。よって、個人情報の範囲に入るこれらの従業員情報に対し、企業はやはり監督管理の要求に従い、法規に沿って収集・使用・保存する必要がある。企業おいて、個人情報の法規および監督管理文書に留意し、人事の作業に係る従業員の個人情報を整理し、個人情報安全コンプライアンス体系に取り入れることを提案する。

2. 法的責任とリスク

注意すべきなのは、上表に示すように、法的リスクは行政責任と刑事責任と2つの部分を含み、既存の処罰事例を見れば分かるように、他にも監督管理部門が部門規章と規範性文書に従い、責任主体に製品の撤去、調査・警告などのための事情聴取である「約談」などの措置を講じる可能性がある。また責任を負担する主体は企業だけでなく、直接の責任を負う主管者およびその他の直接責任者も含む。実務をふまえて分析すると、コンプライアンス体系の構築およびコンプライアンス措置の履歴記録などの手段は法的責任のリスクを有効に軽減できる。そのため、企業において、従業員の個人情報の収集・処理・保存など、個人情報のライフ・サイクルの各段階で有効なコンプライアンス措置を講じ、監督管理の要求に速やかに応え調整を行うことを提案する。

以下、実際の場面をふまえ、企業の従業員管理実務の参考までに、コンプライアンスの要点を提示する。

二、    具体的な場面におけるコンプライアンスの要点

1. 従業員入職前

（1）個人履歴書の取得

この段階で、申込者が履歴書を自ら送付した場合、企業による当該個人情報の収集は情報主体の授権と同意を得ていると見做せる。もし第三者（求人情報ウェブサイト、ヘッドハンティング会社、外部推薦などを含む）から履歴書を取得した場合、企業は当該第三者に個人情報の出所が法規に合致するか否か、当該情報主体の授権と同意を得ているか否か、および企業に履歴書を提供することを情報主体に告知し同意を得ているか否か確認する必要がある。長期的に提携する第三者に対しては、提携契約を締結し、情報の出所が法規に合致することの確認義務と責任を明確にすることを企業に提案する。

履歴書の選別後、面接に至らなかった履歴書は原則直ちに削除し、または定期検査整理メカニズムを築くべきである。人材プールを設けるまたは関連主体に履歴書を提供する場合、企業はメールまたはその他の電子的方法で当該情報主体の授権と同意を得ることができるが、使用において前記の目的を超えるべきではない。

（2）面接における情報取得

一部の企業では採用面接を行う際に、また候補者に企業自製の個人情報シートに記入させている。これには候補者の年齢、性別、民族、戸籍所在地、住所、婚否、学歴、職歴、家族、更に家族の仕事情報などを含む。

ここで注意すべきなのは、企業が取得できるのは仕事自体に関係する情報のみで、最小限に必要な範囲を超えるべきでないということである。民族、戸籍所在地、住所、家族などの情報は仕事のポストに直接関係しないため、ポストの特殊性による必要性を企業が証明できない限り、収集が不要な情報である。

また、提案として、企業は個人情報シートの末尾に告知同意の条項を追加して太字で示し、候補者に署名させることができる。HRの面接官が自ら記録した、候補者のプライバシーに関わる情報は適切に保存し、面接の結果が出た後、直ちに削除すべきである。

（3）背景調査による情報取得

企業が就職しようとする従業員の背景調査を第三者機関に依頼する場合は、第三者と締結した契約において相応の秘密保持条項を明確にし、企業の依頼事項を完了後、速やかに依頼情報を削除するよう提供者に求めるべきである。同時に、企業は候補者にもメールなどの方式で、合法的な手段で背景調査を行う可能性がある旨、および対外に提供する候補者の個人情報の内容を告知し、候補者の授権と同意を得るべきである。

（4）健康診断報告書の取得

健康診断報告書は企業の収集しなければならない従業員情報の一つになっている。「個人情報安全規範」3.2における定義によれば、個人の健康・生理の情報は個人の敏感な情報である。一旦漏洩したり、不法に提供または濫用されたら、人身と財産の安全に危害を与え、個人の名誉・心身の健康を損ない、または差別的待遇を招く可能性があるため、この種類の情報にはより多くの保護を与える必要がある。この状況で、健康診断報告書は個人の敏感な情報に属するため、企業は個人からこの種類の情報を取得する際、相応の監督管理要求に合致すべきである。

最小必要原則に合うように、採用通知書の中で当該健康診断の項目が仕事と関連性があるか否かを説明することを企業に提案する。そしてメールの受領確認などの方式で情報主体の明示的な同意を得、従業員が正式に入職手続を行う際、また書面をもって授権を得ることもできる。当該情報は目的を実現したら速やかに破棄または削除すべきである。

2. 従業員入職後

（1） 個人プロファイルの作成

従業員は通常、企業の一般の管理ニーズにより、入職後に個人プロファイル作成のための個人情報登録シートに記入するよう求められる。従業員が自ら記入した行為は企業による当該情報の収集に授権･同意したと見做せる。しかし、目的明確化の原則、最小必要原則に合致するように、従業員ハンドブックまたは労働契約書などの文書で個人情報収集の範囲、使用目的および保存期限などの内容を明確にすることを企業に提案する。企業は入職者に対し、労働契約に関する内容、たとえば当該入職者の氏名、身分情報、学歴、職歴および重大な疾患歴、犯罪歴などの情報のみ収集することを明確にするとともに、収集後に総括管理を行う部門と個人情報記録の照会方式も告知する。第三者に提供する可能性がある場合、企業は個人情報を収集すると同時に、前記文書などの規則において入職者に告知しておき、関連情報主体の同意を得るために、譲渡前に再び書面をもって告知することができる。個人の敏感な情報、たとえば健康診断記録、身分証明書類情報などに係った場合、「個人情報安全規範」9.1の要求によれば、また敏感な情報の類型、受取側の身分とデータセキュリティの能力も告知する必要がある。

（2） 生体情報の収集と使用

出退勤記録におけるコンプライアンス要求については、指紋による出退勤記録、顔スキャンによる出入管理などの技術の普及につれて、従業員の指紋、顔の特徴などの生体情報を出退勤管理のために収集する企業が多くなりつつある。「個人情報安全規範」5.4の要求によれば、個人の生体識別情報を収集する前に、生体情報を収集・使用する目的、方式、範囲および保存期間などの規則を単独で個人情報の主体に告知し、個人情報の主体の明示的な同意を得るべきである。企業においては、初回の収集前に従業員に書面の告知を送付し、授権と同意を得ることを提案する。同時に、従業員ハンドブックまたは作業管理書類に個人の生体識別情報の保護規則を追加し、その内容を従業員研修に入れることも提案する。なお、「個人情報安全規範」6.3によれば、企業は例外の状況がない限り、通常、個人の元の生体識別情報（たとえば従業員の顔画像の元ファイルなど）を保存すべきではない。企業において、これらの情報の要約のみを保存し、またはこれらの画像を企業のサーバーにアップロードせず、認識・認証のために認識装置の端末にのみ保存することを提案する。また、認証機能を実現させた後当該情報の抽出可能な元画像を削除することもできる。

（3） モニタリング

作業環境のモニタリングにおけるコンプライアンス要求については、企業の営業秘密を保護するために、内部でモニタリング体系を築き、従業員のメールのやり取りをモニタリングする企業がある。このほか、仕事の効率化とインターネットセキュリティへの配慮から、企業は通常、トラフィックをモニタリングしたり、モニタリングシステムを設置したりすることで、異常アクセスやセキュリティーインシデントを自動/人工処理する意思決定メカニズムを設置する。この外、一部の特殊な産業（たとえば出前、オンライン予約のタクシー）は作業のクオリティを追跡する必要性から、個人の行方を追跡するニーズもある。

企業に対して、各種のモニタリング措置を講じる際、まずはモニタリングの必要性、合理性、およびリスクと生じうる結果を評価し、モニタリング措置が必須であるか否か、代替案があるか否かを検討するよう提案する。たとえば、従業員がポルノサイトを見ることを防ぐために、従業員のウェブサイト閲覧ログを記録するよりは、インターネットファイアウォールをインストールする方が、従業員のプライバシーへの影響が少ない。従業員がサボるのを防ぐために、半公開のエリアに監視カメラを設置する代わりに、不定期に抜き打ち検査を行うこともできる。監視カメラは更衣室、休憩室、哺乳室など比較的プライベートなエリアに設置してはならない。

次に、企業は従業員にモニタリングのシーンとモニタリングの目的、収集する情報の類型および処理方法を告知すべきである。従業員の利益に関係するこれらの措置は民主的な討論を経て、大多数の同意を得るべきである。同時に、実施の手続については、透明性を増やし、従業員にモニタリングの合理性を認めてもらう。

モニタリングする情報は従業員の割とプライバシー性の高い行為に関する情報に属するため、企業においては、情報の漏洩により企業と従業員個人に悪影響を招かないように、これらの情報の収集と使用に厳格な管理制度およびアクセス権限を設け、かつ責任者、使用目的および保存期限を明確にすることを提案する。

（4） 従業員の個人情報の越境発送

オフィスが異なる国に位置することや管理上のニーズから、従業員の情報を国外の親会社に発送する必要のある企業もあるが、これは個人情報の越境発送のコンプライアンスに係る。「個人情報出国安全評価弁法（意見募集稿）」の要求によれば、企業は個人情報を国外に出す前に、自己評価を行い、所在地の省級インターネット情報機関に個人情報出国安全評価を申告しなければならない。その第14条によれば、企業は国外の受取人と契約または法的効力を持つ他の文書を締結しなければならず、かつ電子メール、インスタントメッセージ、書簡、ファクシミリなどの方式で個人情報の主体にネットワークの運営者と受取人の基本状況、および国外に個人情報を提供する目的、提供する類型と保存期間を告知しなければならない。この文書はまだ発効していないため、企業において、この評価弁法に基づき、先に個人情報国外発送のコンプライアンスのプロセスを構築し、将来、文書の公布・発効に従い速やかに調整することを提案する。

（5） 委託、共有、譲渡、開示または公開の場合

企業運営において、従業員の個人情報を第三者に処理してもらったり、譲渡したりすることがある。たとえば内部の財務処理作業を第三者機関にアウトソーシングしたり、または企業の統合・分割・再編のため、従業員の個人情報を共有・譲渡する必要がある場合である。この外に、法律法規または監督管理の要求により、従業員の個人情報を開示・公開する必要があることもある。たとえば伝染病の発生状況をコントロールするために、擬似症状のある従業員の情報を衛生機関に報告したり、あるいは法により従業員の個人情報を公開する場合、たとえばネットワークの運営者がネットワークセキュリティの責任者または個人情報保護の責任者を設け、その個人情報をユーザーに公開する場合である。

以上のような場合、企業への提案として、第三者に委託する際、授権と同意の例外が存在するか否かを厳格に区分し、「個人情報安全規範」9.1の規定に従い委託行為による個人情報の安全への影響を評価し、受託者に監督措置を講じ、受託者が個人情報を処理する状況を記録・保存し、それに応じてリスク発生時の救済措置を制定する。また、従業員の個人情報の共有・譲渡に係る場合は、「個人情報安全規範」9.2の要求に従い、安全への影響を評価し、従業員に目的、受取側の類型およびあり得る結果を告知して授権と同意を得、受取側を監督して責任を明確にし、従業員による個人主体の権利行使を幇助するなどの措置を講じる。この外に、従業員の個人情報の発送において、非特定化処理を行う必要もある。

3. 従業員の離職後

従業員が企業と労働関係を解除して離職した後、その個人情報の処理については、仕事の引継ぎにおいて、当該部分の個人情報の処理につき従業員と書面による約定を行い、留保期間、当該情報の使用目的と用途、および第三者が従業員の背景調査を行う根拠として対外に提供してもよいか否かを明確にすることを企業に提案する。約定した目的の完了後、企業は速やかに当該情報を削除しまたは匿名化処理を行うべきである。実務をふまえ、企業において個人情報の状況を定期的に確認するメカニズムを築き、離職した従業員の個人情報に速やかにコンプライアンス処理を行うことを提案する。

三、    結びと提案

現在、企業の従業員個人情報保護作業は、個人情報保護の法規および監督管理の要求を選択的に適用する必要があることから、企業への提案としては、その個人情報安全コンプライアンス体系の構築や整備において、従業員の個人情報保護をその一環として、制度文書の考案および実行を行うと同時に、下記4点から重点的に検討する。

1.既存の従業員個人情報の収集と使用のコンプライアンス状況を評価し、一般の個人情報と敏感な個人情報を区分し、分類整理を行う。

2.コンプライアンス作業の主導機関を設立し、人事部門、法務コンプライアンス部門およびIT部門の関係者を集めてこれらの作業を処理し、従業員個人情報のコンプライアンス作業を立案し、操作性と実現可能性を向上させる。

3.従業員個人情報の発送、保存などの段階において安全保護措置を講じ、暗号化発送の要求、アクセス制限、周期的検査・監査などの制度を設ける。

4.最近、個人情報とデータの安全に関する法規および監督管理の要求が頻繁に公布、更新されているため、監督管理の要求に常に留意して速やかに調整し、必要時は専門機関に規則の解読への協力およびコンプライアンスについての提案を依頼することを考慮する。