Q 当社は、従業員の給与計算などに必要なデータ入力、編集業務などをグループ会社に委託していますが、個人情報保護法との関係で気を付けることは何かありますか。
A 例えば、従業員の氏名、生年月日、収入、家族関係に関する情報やマイナンバーなどは個人情報保護法における個人情報です。これらを自社以外の第三者に提供する場合、本人の同意が必要となります。提供先がグループ会社でも別法人であれば第三者提供に該当するので注意が必要です。
なお個人情報取扱事業者が従業員の給与計算などに必要な業務の委託に伴って個人情報を取り扱う場合には、例外的に第三者提供には該当せず、本人の同意なしでも可能です。ただし、委託先において個人データの安全管理が図られるように必要かつ適切な監督を行わなければなりません。
従業員に関する情報と個人情報
従業員に関する情報も顧客情報と同様に特定の個人を識別できる個人情報です。平成29年5月30日施行の改正個人情報保護法(以下、法という)で定義がより明確になり、生存する個人に関する情報で、①そこに含まれる氏名、生年月日などにより特定の個人を識別できるもの、②個人識別符号が含まれるものが個人情報とされました。
個人識別符号とは、DNA、指紋などの「身体の一部の特徴を電子計算機のために変換した符号」またはマイナンバー、免許証番号などの「サービス利用や書類において対象者ごとに割り振られる符号」のどちらかに該当する政令・規則で個別指定されたものです。
また、病歴や健康診断の結果などは「要配慮個人情報」として、他の個人情報よりも保護が強いので、原則として本人の同意なくして取得することは禁じられています。
関連会社の「第三者」と業務委託
個人情報取扱業者からみて、そのグループ会社などへ個人情報を提供する際にも、法における「第三者」への提供に該当しますので、原則として本人の同意を必要とします。ただし、個人情報をグループ企業と共同で利用する場合に、①共同で利用すること、②利用する個人情報の項目、③利用する者の範囲、④利用目的、⑤情報の管理に責任を有する者の氏名・名称などを本人に通知するか容易に知り得る状態にしてあれば同意は不要です。
他方で設問のように、個人情報の入力や編集を外部業者に委託する場合は、「第三者」に該当しないものとされますので、業務委託先に対する個人情報の提供に関しては、本人の同意を個別に受けることは要求されません。しかし、次に述べるように委託先の監督が必要です。
委託先の監督
本人の同意が要らなくても個人情報は保護を図る必要があります。そこで法律上は、個人情報取扱事業者に個人データの取り扱いの全部または一部を委託する場合は、委託された個人データの安全管理が図られるよう、受託者に対して必要かつ適切な監督を行わなければならないとしています。
個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」では、委託先の監督として、次に掲げる必要かつ適切な措置を講じなければならないとしています。
①適切な委託先の選定
委託先の安全管理措置が、少なくとも法20条および右記ガイドラインで求められるものと同等であることをあらかじめ確認しなければならない。
②委託契約の締結
委託元・委託先双方が同意した内容とともに、委託された個人データの取り扱い状況を委託元が合理的に把握することを委託契約に盛り込むことが望ましい。
③個人データ取り扱い状況の把握
委託した個人データの取り扱い状況を把握するためには定期的に監査を行うなどにより、委託契約で盛り込んだ内容の実施の程度を調査したうえで、委託の内容などの見直しを検討することを含め、適切に評価することが望ましいといえる。 (弁護士・岡田 尚人)
お問い合わせ
会社:Supported by 第一法規株式会社
住所:東京都港区南青山2-11-17
電話:03-3796-5421
