プライバシーと個人情報の違いとは?その基本と漏えいリスクを解説
本記事では、従業員の個人情報およびプライバシーを守るための基礎知識として、これらの定義や権利の種類、プライバシー侵害の判例を詳しく解説。また、企業が実施できるプライバシー保護の対策も紹介していきます。個人情報保護の基礎知識を身につけたい方は、ぜひ本記事を参考にしてください。
人事部門は、従業員個人や家族の情報を多く取り扱う部署です。従業員から収集した情報を適切に利用・管理するためには、プライバシーおよび個人情報に関する知識を身に付けたうえで、状況に合った対策を講じる必要があります。
そこで本記事では、従業員の個人情報およびプライバシーを守るための基礎知識として、これらの定義や権利の種類、プライバシー侵害の判例を詳しく解説します。記事の後半では、企業が実施できるプライバシー保護の対策も紹介していきます。
従業員からさまざまな情報を収集・管理するうえで、求められる“あり方”や“基礎知識”を身につけたい方は、ぜひ本記事を参考にしてください。
個人情報とプライバシーの基本理解
個人情報とプライバシーは、世間一般で混同されやすい概念です。しかし、人事労務担当者が従業員から収集した個人および家族などの情報を適切に取り扱うためには、その重要概念である個人情報およびプライバシーの定義や考え方を理解することが重要になります。
この章では、法律との関係性の観点から、個人情報とプライバシーの定義を確認します。そして、そのうえで両者の違いを明確にしていきます。
個人情報とはなにか
個人情報は、「個人の保護に関する法律」に登場する法律用語です。個人の保護に関する法律とは、いわゆる個人情報保護法を指します。個人情報の法的な位置づけを理解するためには、個人情報保護法がどういったものかを知る必要がありますので、ポイントを見ていきましょう。
・個人の保護に関する法律(個人情報保護法)とは
個人情報保護法とは、個人情報の有用性に配慮しながら、個人の利益や権利を守るための法律です。個人情報保護法には、個人情報を取り扱う全事業者・組織が守られなければならない共通ルールが記載されています。
なお、ここでいう“組織”には、行政機関や地方公共団体、独立行政法人も含まれます。
<参考>:「個人情報保護法」を分かりやすく解説。個人情報の取り扱いルールとは?(政府広報オンライン)
個人情報の取り扱いにも影響する「共通ルール」については、後ほど詳しく解説します。
・個人情報保護法が指す「個人情報」の定義とは
個人情報保護法における「個人情報」とは、以下の2要件の両方に該当する情報の総称です。
|
① 生存する個人に関する情報
|
上記は、他情報との容易な照合を通じて、特定個人を識別できるものも含みます。
たとえば、社内に「日本 花子」という同姓同名の従業員が3名いると仮定します。
この3名の氏名だけでは、特定個人の識別ができません。
しかしそこで、生年月日・電話番号・社員番号といった他情報と組み合わせると、「今年新卒で入った日本花子」や「営業部長の日本花子」といった識別が可能となります。
この具体例は、「電話番号」や「生年月日」のようにその情報単体では特定個人の識別が難しくても、氏名などと組み合わせて識別に使えるものであれば、個人情報に該当する可能性が高いことを意味するものです。また、メールアドレスの場合、ユーザー名やドメイン名から特定個人が識別できれば、単体でも個人情報にあたります。
なお、近年における個人情報の取り扱いでは、行政手続きや社内システムの電子化が進むなかで、従来からある個人情報(氏名・生年月日・住所・メールアドレスなど)に加えて「個人識別符号」という概念の重要性が高まっています。
個人識別符号とは、政令・規則で定められたその情報単体で特定個人を特定できる番号・記号・符号などの総称です。この個人識別符号が含まれる情報は「個人情報である」と判断されます。政府では、個人識別符号が含まれる情報の一例として以下を紹介しています。
|
① 身体の一部の特徴を電子処理のために変換した符号で、顔、指紋、
<出典>:「個人情報保護法」を分かりやすく解説。個人情報の取り扱いルールとは?(政府広報オンライン)
|
プライバシーとは
プライバシーは、個人情報の取り扱いをするうえで意識すべき重要な概念です。しかし、技術革新や社会の変化にともなって、その意味自体が変化してきています。
プライバシーを深い部分から理解するためには、古くから用いられてきた「従来型プライバシー権」と、近年重視されている「自己情報コントロール権」という2つの意味を押さえておく必要があります。
それぞれのプライバシー権の定義および変遷の背景について、詳しく見ていきましょう。
・従来型のプライバシー権とは
古い時代のプライバシーは、「私生活の平穏を守る権利」に重きが置かれていました。
このことから、国語辞典のデジタル大辞泉では、プライバシーの意味について「個人や家庭内の私事・私生活。個人の秘密。また、それが他人から干渉・侵害を受けない権利」と示されています。
多くの人は、職場や社会などの「公共空間での活動」と、家族や友人といった親密な相手との間で行う「私的空間の活動」を行うのが一般的です。そういったなかで従来型の古典的なプライバシー権は、両空間の間に線を引き、「私」の部分の平穏を守る権利を指す概念だったのです。
・現代のプライバシーで重視される「自己情報コントロール権」とは
近年重視されているプライバシーの定義「自己情報コントロール権」は、1960年以降の欧米で生まれたものです。
自己情報コントロール権とは、たとえば会員サイトへの登録やSNSなどの投稿などによりある程度が公になっている情報であっても、それらが適切な文脈を離れて第三者に提供されたり、みだりに使われたりすることがプライバシーの侵害にあたるという考え方から生まれました。
プライバシーにおいて自己情報コントロール権が重視され始めた背景には、科学技術の発展により、さまざまな場面で個人のデータが収集・処理されるようなった影響があります。
このような社会で従来型のプライバシー権にある「私生活の平穏」を守り、それぞれが自分らしく安心して生きていくためには、情報に対する自己制御・決定が必要です。自己情報コントロール権は、現代におけるプライバシー保護の議論をするうえで重要な考え方となっているのです。
従来と現代におけるプライバシー権の違いを並べると、以下のとおりになるでしょう。
|
【従来型のプライバシー権】 【現代のプライバシー権】
|
個人情報とプライバシーにおける定義の違い
ここまで紹介してきた内容をまとめると、個人情報とプライバシーには、以下の違いがあることが見えてきます。
|
【個人情報】
【プライバシー】
|
個人情報保護法の遵守とプライバシー権の注意点
人事部門では、給与計算や年末調整、労務管理などの業務を行うために従業員の個人情報に関して収集・使用・管理を行います。そこで重要となってくるのが、先ほど紹介した「個人情報保護法」です。
では、人事部門が個人情報の適切な取り扱いを行わず、個人情報保護法に違反した場合は、どのようなペナルティが科せられてしまうのでしょうか。また、個人情報とともに重視すべき「プライバシー権」を侵害した場合、企業側にはどのようなリスクが生じる可能性があるのでしょうか。
この章では、法律の遵守やペナルティ・リスクの観点から、個人情報やプライバシー権を守ることの意味をさらに深く解説します。
個人情報およびプライバシーの対象範囲
まず、個人情報は「これは個人情報である・ない」といった識別を行えるものです。
一方でプライバシー権は、あくまで自分が情報をコントロールしたり私生活の平穏を保ったりする「権利」であるため、企業側が一律に判断・線引きすることができません。それはつまり、プライバシー権は「人の主観によって異なる」という話になるわけです。
たとえば、社内で連絡網をつくる目的から、従業員の氏名・電話番号・住所という3項目を使ってリストを作成したと仮定します。この3項目および作成したリストは、個人情報保護法に従って管理すべき個人情報にあたるでしょう。これに対してプライバシーには、各従業員の主観の影響を受けて、以下のような認識や印象の違いがでてくるかもしれません。
|
【Aさん】
【Bさん】
|
個人情報保護法が事業者に求める4つの基本ルールと義務
個人情報保護法では、企業(個人情報の取り扱い事業者)に対して以下の4つの義務を課しています。
事業者が「従業員の個人情報を守る」とは、個人情報保護法で定める以下の4つの義務をすべて果たし続けることを指すでしょう。
| 義務 | 概要 | 詳細ポイント |
| 1.取得・利用 | 勝手に使わない |
|
| 2.保管・管理 | なくさない、 漏らさない |
|
| 3.提供 | 勝手に人に 渡さない |
|
| 4.開示請求等 への対応 |
問い合わせに 対応する |
|
<出典>:「個人情報保護法」を分かりやすく解説。個人情報の取り扱いルールとは?(政府広報オンライン)
個人情報保護法に違反した場合の
ペナルティとリスク
個人情報保護委員会では、個人情報保護法で定めた上記のルールを違反した事業者に対して、以下の3つの対応を行えます。事業者がこれらに従わない場合、刑事罰が科せられる可能性もあるでしょう。
|
|
また、たとえば情報漏えいや第三者への提供といったルール違反が発覚すれば、大事な個人情報を提供している従業員はもちろんのこと、取引先や顧客といったステークホルダーからの信頼も低下してしまうはずです。
個人情報のルール違反とプライバシー侵害による
損害賠償請求
企業に個人情報を提供した本人(個人)は、漏えいや悪用などの被害にあっても、個人情報保護法の“違反のみ”を理由とした民事上の損害賠償請求は原則として認められません。ただし、プライバシー権を侵害されたことへの損害賠償は可能です。
つまり、個人が企業に対して損害賠償を請求する際に問題となるのは、「個人情報の取り扱い」ではなく「プライバシー権侵害」ということです。
したがって企業側では、個人情報保護法を遵守するのはもちろんのこと、“情報を提供した個人”のプライバシー権を守る配慮をする必要があります。
プライバシー侵害の3要件と具体例
プライバシー権の侵害は主観による部分が大きいことから、人事部門側での完全なる洗い出しや想定が難しいものです。しかし、損害賠償請求などの法的救済が与えられるプライバシー侵害は、3つの要件に該当するかどうかで見ていく傾向があります。
この章では、プライバシー侵害に該当する可能性が高い3要件と具体例を見ていきましょう。
プライバシー侵害の3要件とは
公開された情報のプライバシー侵害に対して法的救済が与えられるためには、以下の3要件に該当する必要があります。
|
【要件1】 【要件2】 【要件3】
|
ただし、情報の公開に対して正当な理由や公共性があったり、本人が承諾していたりする場合は、プライバシー侵害として認められないケースもあります。上記の3要件を意識しながら、総合的に判断する必要があるでしょう。
プライバシー侵害に該当する具体例
プライバシー侵害は、個人情報や私生活について本人が望んでいないにも関わらず公開・共有された場合に該当する可能性が高くなります。具体的には、以下のようなケースが考えられるでしょう。
|
|
OECDの8原則と
プライバシー保護のための対策
プライバシー権の侵害による損害賠償請求などを防ぐためには、個人データの収集や管理をする際に、「プライバシー保護につながる対策」を行う必要があります。そこで参考になるのが、個人情報保護法の土台となった「OECDの8原則」です。
OECDの8原則は、日本も加盟する国際機関が1980年に採択した国際的なガイドラインとなります。この章では、OECDの8原則における概要を確認したうえで、人事担当者がプライバシー保護のために実施すべき5つの対策・配慮を紹介していきます。
OECD8原則の概要
OECDの8原則は、以下の8項目で構成されています。
| 項目 | 概要 | |
| 1 | 目的明確化の原則 | 収集目的を明確にし、データ利用は収集目的に合致するべき。 |
| 2 | 利用制限の原則 | データ主体の同意がある場合、法律の規定による場合以外は目的以外に利用使用してはならない。 |
| 3 | 収集制限の原則 | 適法・公正な手段により、かつ情報主体に通知又は同意を得て収集されるべき。 |
| 4 | データ内容の原 | 利用目的に沿ったもので、かつ、正確、完全、最新であるべき。 |
| 5 | 安全保護の原則 | 合理的安全保護措置により、紛失・破壊・使用・修正・開示等から保護するべき。 |
| 6 | 公開の原則 | データ収集の実施方針等を公開し、データの存在、利用目的、管理者等を明示するべき。 |
| 7 | 個人参加の原則 | 自己に関するデータの所在及び内容を確認させ、又は意義申立を保証するべき。 |
| 8 | 責任の原則 | 管理者は諸原則実施の責任を有する。 |
<引用>:プライバシー尊重と個人情報保護(公益社団法人 全日本病院協会)
プライバシーを保護するために行うべき対策
前述したOECDの8原則が示す項目は、個人情報を取り扱うすべての組織が目指すべき状態です。
ただし、これらの状態を維持し、従業員のプライバシーを保護するための対策は、各社が取り扱う個人情報の形式や使えるリソースの影響を受けるものです。ですから、プライバシー保護の取り組みを行う際には、「自社の現状」や「取り扱う情報」や「対象者に合う施策」を選択することが重要です。
この章では、多くの企業が実施・導入するプライバシー保護の方法と、その取り組みを効果的なものにするための対策例を解説していきます。
対策(1)従業員の同意を毎回とる
プライバシー保護の観点で考えたときに必ず実施すべきなのが、データの収集および利用をする際に、従業員本人から同意を得ることです。このときに大切なポイントは、万が一のプライバシー侵害が起きたときに、「その程度が受忍限度の範囲内であった」と言えるようにすることになります。
そのためには、個人情報の内容や取扱い範囲・方法に応じて、可能な限りプライバシー侵害の程度が少ない手段を選択する必要があります。また、同意をとるときには「言った・言わない」のトラブルを防ぐためにも、書面を配布し同意書にサインをもらったうえで、内容に違和感や疑問点がある場合は質問を受け付ける姿勢が求められるでしょう。
なお、行政機関などでは、個人情報の取り扱いに関する同意書をインターネット上で公開しています。自社で独自の文書を作成する際には、以下のような各機関の同意書を参考にするとよいでしょう。
<参考>:様式第3号 個人情報の取扱いに関する同意書(東京都産業労働局)
対策(2)人事労務システムを導入する
たとえば、従業員から収集した紙の申請書などをファイリングしてデスク上に並べている場合、そのデスクがある部屋に入室できる人のすべてが個人情報にアクセスできてしまいます。
このように不特定多数の人が情報閲覧できてしまうことでプライバシーが侵害される問題を防ぐためには、権限管理を行える人事労務管理システムを導入するのも一つの策です。具体的には、以下のように閲覧できる人を情報ごとに制限すると、プライバシー侵害を防げるのはもちろんのこと、対象従業員からの同意もとりやすくなるでしょう。
|
【給与情報】人事部門、管理職、経営陣 【健康診断の情報】人事部門の管理職と健康管理担当のみ
|
また、専用システム上でデータの収集・利用・管理をすると、万が一個人情報の漏えいなどが起きたときの原因特定や改善策の検討も進めやすくなるはずです。
対策(3)セキュリティツール・監視ツールを導入する
個人情報のプライバシー侵害は、サイバー攻撃による情報漏えいなどから起こる可能性もあります。こうしたトラブルから大事な情報を守るためには、セキュリティ対策ツールや監視ツールを導入することも重要です。
具体的な機能は、利用サービスや契約プランごとに異なります。一般的には、以下のようなカテゴリ・機能を持つツールが多いでしょう。
| カテゴリ | 機能名 |
| コンピュータの保護機能 | デバイスコントロール |
| マルウェア・スパイウェア対策 | |
| Webカメラ保護 | |
| アンチセプト | |
| インターネット接続時の保護機能 | フィッシング対策 |
| 電子メールクライアント保護 | |
| インターネットバンキング時の保護 | |
| ネットワークの保護機能 | 侵入検知システム(IDS) |
| ファイアウォール | |
| ホームネットワークの保護 |
対策(4)プライバシーポリシーを策定する
個人情報を収集される本人に同意・納得してもらううえでは、プライバシーポリシーを策定することも一つの対策になります。
プライバシーポリシーとは、個人情報保護法にもとづき作成される指針です。わかりやすくいえば、「個人情報の取り扱いやプライバシーへの配慮をどのように行っているか」を示すものです。
なお、プライバシーポリシーは、国民や利用者の情報を収集・利用する行政機関でも公開しているものです。以下を参考にしながら独自のプライバシーポリシーを作成し、従業員から同意を得るステップで活用してみるとよいでしょう。
<参考>:プライバシーポリシー(経済産業省)
<参考>:プライバシーポリシー(厚生労働省)
・従業員教育を行う
職場におけるプライバシー侵害を防ぐためには、個人情報とプライバシー保護の従業員教育を行い、一人ひとりの意識を高めることも重要です。教育における具体的なポイントは、以下の4つとなります。
|
|
また、人事部門の場合、個人情報の収集・利用、それにともなう同意を得る仕事が日々のなかで頻繁に行われるはずです。そこで仮に、新しいメンバーが「年末調整の書類回収」や「会社説明会での参加者アンケート回収」などの仕事をはじめて担当する場合、同意を得ることの重要性や閲覧・利用時に注意すべきことを丁寧に伝える必要があるでしょう。
プライバシー侵害に関する判例から
見えること
従業員のプライバシー侵害に関しては、さまざまな企業で損害賠償などの訴えが起こされています。人事担当者が適切な対策を講じたり、教育のなかで従業員に危機意識を感じてもらったりするためには、過去の裁判例を参考にするのもよいかもしれません。
この章では、プライバシー侵害に関する2つの判例を紹介しましょう。
(1)東京地裁 平成24年5月31日判決
ある企業が、支店内に設置した監視カメラや原告従業員に貸与した業務用携帯電話のナビシステムを使い、本人の居場所などを確認しました。その一連の行為が、プライバシー侵害およびパワーハラスメントにあたるとして、損害賠償請求されたのがこの事件です。
この件に対して裁判所は、監視カメラの設置とナビシステムの使用の2つに分けて、下記の判断をしています。
|
【監視カメラの設置】
【ナビシステムの使用】
|
(2)福岡高判 平成27年1月29日判決
ある病院に勤務する看護師が、血液検査によってHIV陽性が発覚しました。その事実が、本人の同意なく無断で勤務先の医師らに伝えられた、という事件です。この病院では、この事実を受けて以下の2つが決定されました。
|
|
看護師は、副院長および看護部長らの指示により休むこととなり、最終的に退職しています。この事件における判決のポイントは、以下の3つです。
|
①HIV診断結果の情報共有は、同一事業者内の情報提供であることから、
②HIV陽性と診断した病院から勤務先である現場への伝達は、
③HIV感染症の罹患は、他人に知られたくない個人情報である。
|
以上、2件の判例をご紹介しましたが、このような情報も参考にしながら自社での適切な対策を検討してみてください。
人事労務のアウトソーシングならラクラスへ
本記事では、従業員の個人情報およびプライバシーを守るための基礎知識として、これらの定義や権利の種類、プライバシー侵害の判例を詳しく解説してきました。個人情報やプライバシーの保護については多くの注意点があるため、人事部のなかでも負担に感じている方は多いのではないでしょうか。
もし人事業務における業務効率化をお考えであれば、ラクラスにお任せください。ラクラスなら、クラウドとアウトソーシングを掛け合わせた『BpaaS』により、人事のノンコア業務をアウトソースすることができコア業務に集中できるようになります。
ラクラスの特徴として、お客様のニーズに合わせたカスタマイズ対応を得意としています。他社では難色を示してしまうようなカスタマイズであっても、柔軟に対応することができます。それにより、大幅な業務効率の改善を見込むことができます。
また、セキュアな環境で運用されるのはもちろんのこと、常に情報共有をして運用状況を可視化することも心掛けています。そのため、属人化は解消されやすく「人事の課題が解決した」という声も数多くいただいております。
特に大企業を中心として760社86万人以上の受託実績がありますが、もし御社でも人事の課題を抱えており解決方法をお探しでしたら、ぜひわたしたちラクラスへご相談ください。
