個人情報取扱事業者 従業員

��`:�l���戵���Ǝ�

���u�l���戵���Ǝ��v�Ƃ�
�@�����R���Ɏ��̂悤�ɒ�`����Ă��܂��B �@

���̖@���ɂ����āu�l���戵���Ǝҁv�Ƃ́A�l���f�[�^�x�[�X�������Ƃ̗p�ɋ����Ă����҂������B

�������A���Ɍf����҂������B

�� ���̋@��

�� �n�������c��

�O�@�Ɨ��s���@�l��

�l ���̎�舵���l���̗ʋy�ї��p���@����݂Ȑl�̌������v���Q���邨���ꂪ���Ȃ����̂Ƃ������߂Œ�߂��

���u�l���f�[�^�x�[�X�v�Ƃ�
�@���̖@���̒��ł́u�l�����܂ޏ��̏W�����v�ł����āA�u�d�q�v�Z�@��p���Č����”\�ȑ̌n�I�ɍ\���������́v�ɉ����āu�l����e�ՂɌ����”\�ȑ̌n�I�ɍ\���������̂Ő��߂Œ�߂���́v�Ƃ���܂��B
�@�R���s���[�^��i�d�q�}�́j�ŊǗ�����l���S�ĂƁA���x�[�X�ł����Ă��A�Z���^���͂��̂��̑ΏۂƂȂ�܂��B
�@����ł́u���h�v�́H�Ƃ����ƁA������Ɛ����E�Ǘ����ꂽ�u���h�z���_�[�v�Ȃǂ͑ΏۂɂȂ肻���ł����A�������̖��h�𗐎G�ɕۊǂ����ꍇ�́H�ȂǁA�ׂ��ȓ_�ɂ‚��ẮA�X�ɎЉ�ʔO�ɏ]���Ĕ��f����邱�ƂɂȂ���̂Ǝv���܂��B

���u���Ƃɗp�ɋ����Ă����v�Ƃ�
�@�u���Ƃ̗p�ɋ����Ă���v�Ƃ������Ƃ́A���Ɖ^�c�ɕK�v�ȏ��Ƃ������ƂɂȂ�܂��B
�@�����ł����u���Ɓv�Ƃ́A�u���̖ړI�������Ĕ����p�����Đ��s����铯��̍s�ׂ̑��̂��w���A�c���A��c���̕ʂ���Ȃ��B�v�Ƃ���Ă��܂��B�������A���Ƃɓ����邩�ۂ��̔��f�́A���̎��Ԃ𓥂܂��āA�Љ�ʔO�ɏ]���čs���邱�ƂɂȂ�܂��B�i156�񍑉�ⓚ�ق��j
�@��Ɓi�l���Ǝ҂��܂ށj�̏ꍇ�A��Ƃ̑����Ƃ����ړI�������āA�����I�p���I�Ɏ��Ƃ��s�Ȃ��Ă���킯�ł�����A���̕����ł́A�S�Ă̊�Ƃ́A�l���戵���Ǝ҂̑ΏۂƂȂ蓾�邱�ƂɂȂ�܂��B

���K�p�O�ƂȂ�u���߂Œ�߂���v
�@�l���ŁA�l���̗ʋy�ї��p�@�ɂ���Ă͐��߂œK�p�O�Ƃ��邱�Ƃ�������Ă��܂����A��ɐ��肳�ꂽ���߂ɂ���āA�u�l��񂪐��̍��v���ߋ��Z���ȓ��̂�����̓��ɂ����Ă��ܐ�𒴂��Ȃ��҂Ƃ���B�v�ƂȂ�܂����B
�@���́u5000�v�Ƃ���������5000�l�Ƃ������ƂɂȂ�܂��B
�@5000�l�ȉ��ł���΁A�K�p���O�Ƃ����킯�ł����A�l���ɂ͌ڋq�Ɋւ�����͂������A�����̕��̏��A�]�ƈ��Ɋւ�����Ȃǂ��܂܂�܂�����A��قǂ̏��K�͎��Ǝ҈ȊO�͂��̑ΏۂƂȂ链��ƍl���Ă����ł��傤�B
�@�����A5000�Ƃ̂��������́A���X�X�̌l���X���x�̕��X��ΏۊO�Ƃ��邱�Ƃ�z�肵�Ă͂����o���ꂽ�����ŁA�u"���"�ƌĂ΂��悤�ȑg�D�͑S�Ă��Ώۂł���B�v�Ƃ��炢�ɍl���Ă������ق��������Ǝv���܂��B

�@�A���A�������l���̊��p���u���Ƃ̗p�ɋ����Ă���v���A���邢�͔ۂ��𔻒f���邱�Ƃ�����̂���R����A������A���낢��Ƌc�_����A���ߓ��Ŏ�����Ă������̂Ǝv���܂��B
�@�Ⴆ�΁A�u�Ö{�����񂪁A�l����w�����������̔�����s�ׂ́A�l��񂻂̂��̂̔������ƂƂ��Ă���킯�łȂ��̂œK�p�O�Ƃ���B�v�u�����L���R�s�[�����鎖�Ǝ҂́A���̌l�����Ƃɋ����Ă��邩��K�p����v�i156�񍑉� ���ⓚ�ق��j�ȂǁA�󋵂ɉ����āA���f����邱�ƂƎv���܂��B

���K�p���O
�@�X�ɁA��܏\���Ŏ����ꂽ�A�����@�ցA�V���ЁA�ʐM�Ђ��̑��̕񓹋@�ցA���q���ƂƂ��čs���ҁA��w���̑��̊w�p������ړI�Ƃ���@�֎Ⴕ���͒c�̖��͂����ɑ�����ҁA�@���c�́A�����c�̂Ȃǂ��A���̊����ړI�ɋ�����l���͓K�p���O�ƂȂ�܂��B
�@�������A���ꂼ��̎��Ƃ̖ړI�O�Ɏ��W���ꂽ�l���͑ΏۂƂȂ�܂��B

�@�ȏ�𓥂܂��āA���̖@���̓K�p�͈͂�}�Ŏ����Ǝ��̂悤�ɂȂ�܂��B�i�ԐF�����j

1 厚労省の各指針と他省庁の指針との関係

(1) 厚労省指針と他省庁の指針との関係
人事情報への対応についても、基本法方針に従い、既に、厚生労働省は、前述の通り、「法に定める事項に関し、雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置について、その適切かつ有効な実施を図るために必要な事項を定め」るため、平成16年7月１日に厚労省指針を公表し、「本指針によるほか、当該個人情報取扱事業者が行う事業を所管する大臣等が策定した指針その他の必要な措置に留意するものとする」とされ、例えば、平成16年10月に最終版が公表された経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」（以下、経産省指針という）等においても、厚労省指針を踏まえた指針が示されている。

(2)厚労省指針への解説
さらに、前述の通り、厚労省指針に関する同省の同指針解説が公表されている。

(3)職場での個人情報保護に関するその他の指針等
とくにセンシティブ（機微）情報の典型である労働者の健康情報に関しては、厚生労働省は、平成16年10月29日「雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項について」（基発1029009 号。以下、留意事項という）を示し、健康保険組合との情報の提供や共有のできる場合等につき言及している。
なお、従業員の健康情報に関して、実務的には、上記各指針や解説等のほか、厚生労働省の平成16年12月27日付「健康保険組合等における個人情報の適切な取扱いのためのガイドライン」（以下、健保指針という）も参酌されるべき重要指針となる。

(4)従前の行動指針・同解説との関係の不明
なお、厚労省指針・同解説には、従前示されていた「労働者の個人情報保護に関する行動指針」（平12.12.20労働省告示。以下、行動指針という）やその「指針の解説」（平成12.12.20労働省。以下、行動指針解説という）との関係が明確ではない。おそらく当面は、相互補完関係にあるものとして運用されていくものと解されるが、行動指針等記載の各事項について、法に即した実施義務事項と努力義務事項との統合整理が望まれる。

2 各指針の拘束力の程度･内容・法的意義
ところで、上記の通り、各指針の定める事項の中には、行政指導とその違反に罰則等の対象となり得る実施義務を負うものとそこまではいかない努力義務に留まるものが含まれている。この点、経産省指針は、「本ガイドライン中、『しなければならない』と記載されている規定については、それに従わなかった場合は、経済産業大臣により、法の規定違反と判断され得る。一方、『望ましい』と記載されている規定については、それに従わなかった場合でも、法の規定違反と判断されることはない」と明確に指摘している。この相違は、厚労省指針では、「すること」「するものとする」と「望ましいこと」「努めるものとすること」との表現との差について同様に解釈して対応する必要がある。
しかし、「望ましい」と記載されている規定への違反についても、個人情報保護の推進の観点から、できるだけ取り組むことが望まれる。例えば、行政指導等の対象とならなくとも慰謝料等の請求を受けることもあり得るからである。もっとも、これは、個人情報の保護に当たって個人情報の有用性に配慮することとしている法の目的（法１条）の趣旨に照らし、公益上必要な活動や正当な事業活動等までも制限するものではない（経産省指針参照）。
以上の解釈については、厚労省指針解説でも同旨が示されている。なお、留意されたいのは、同解説では、「求められる」と記載されていることも、努力義務の対象である旨明確にされている点である（同解説１頁）。

3 法規制及び厚労省指針の対象となる「個人情報」

(1)法の規制対象となる「個人情報」
そもそも、法の直接の規制対象（法2条1項）となる「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）」のことである。具体的には、氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表すすべての情報で、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化されているかどうかを問わない。なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となる。また、「生存する個人」には日本国民に限られず、外国人も含まれるが、法人その他の団体は「個人」に該当しないため、法人等の団体そのものに関する情報は含まれない。ただし、役員、従業員等に関する情報は個人情報となる（経産省指針参照）。

(2)個人情報としての人事情報には、どのようなものが含まれるか
厚労省指針では触れていないが、経産省指針では、個人情報に該当する例として、「生年月日、連絡先（住所・居所・電話番号・メールアドレス）、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報」「官報、電話帳、職員録等で公にされている情報（本人の氏名等）」「特定の個人を識別できるメールアドレス情報(

4 法規制及び厚労省指針の対象となる事業者と労働者等

(1)法の規制対象事業者
そもそも、法の直接の規制対象となる者は、法2条3項に規定する個人情報取扱事業者となっている。具体的には、その事業の用に供する個人情報データベース等（法２条2項。特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物、又はコンピュータを用いていない場合であっても、カルテや指導要録等、紙面で処理した個人情報を一定の規則、例えば、五十音順、年月日順等に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているもので、具体的には、電子メールソフトに保管されているメールアドレス帳＜メールアドレスと氏名を組み合わせた情報を入力している場合＞、従業員が、名刺の情報を業務用パソコンの表計算ソフト等を用いて入力・整理し、他の従業員等によっても検索できる状態にしている場合、人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合など）を構成する個人情報によって識別される特定の個人の数の合計が過去６か月以内のいずれかの日において5000 人を超える者は対象となる。
ここでの5000人の個数は、顧客情報と従業員の情報の双方を含む。したがって、専属的乃至少数の顧客とのみ取引している下請企業等で顧客の個人情報が 5000人に達していなくとも、従業員が多く個人情報データベース等を構成する個人情報の個数が5000人を超せば個人情報取扱事業者となる。逆に、DM 業者やテレ通販やE－コース等の事業者のように、従業員が少なくとも、上記情報が5000人を超せば、人事情報についても法の規制を受けることになる（厚労省指針解説６頁参照）。

(2)厚労省指針の対象となる事業者
なお、厚労省指針は、その対象となる事業者につき、上記(1)の「個人情報取扱事業者のうち雇用管理に関する個人情報を取り扱う者をいう」としている。したがって、従業員が存在し、上記(1)の要件を充たす場合には、法の規制を受けると考えて良い（厚労省指針解説６頁参照）。

(3)法規制及び厚労省指針の対象となる労働者等
なお、厚労省指針では、前記(2)に規定する事業者に使用されている労働者、その事業者に使用される労働者になろうとする者及びなろうとした者並びに過去において事業者に使用されていた者をいう、とされている。
つまり現在、雇用されている労働者だけでなく、当該事業者に応募してきた者や、雇用関係が終了した者をも含むということである。
さらに厚労省指針解説では（同9頁以下）、実質的な役員は含まれないこと、派遣労働者は含まれること、個人請負人は対象とならないこと、インターンシップについては、法的義務の対象でないが保護が求められる、とされている。
この内、経団連は、パブリックコメントにおいて、役員につき、保護が及ばないことにつき反対、保護範囲の拡大を求めていたが、厚労省指針解説確版でも変更はなかった（9頁）。ただし、回答は、「当指針において保護される対象とはなり得ませんが、個人情報の保護に関する法律の上においては、こうした『役員』の個人情報であっても、保護される対象となります。」と付言している。

5 法適用事業者における人事情報を管理する際の留意点
以上を前提に、法適用事業者における人事情報を管理する際の主な留意点について厚労省指針等を踏まえて検討してみる。

(1)従業員の個人情報取得方法について
前述の通り、従業員の雇用情報も法の保護の対象となる個人情報である。しかし、法によれば、従業員の個人情報取得するに際しても目的外利用（16条）、第三者提供（23条）の場合を除いては、従業員の個人情報を取得するためには、あらかじめ利用目的を通知・公表しておけば足りることになる。その通知・公表の方法は、採用時の募集要綱や後述の就業規則等で足りると解される（厚労省指針解説15頁では個別同意を原則としているようだが、後述の通り疑問である）。
なお、前述の行動指針の第２の2では、「個人情報の収集」につき、「(1)使用者は、個人情報を収集する場合には、本人から直接収集するものとする。ただし、次に掲げる場合にあってはこの限りでない。／（イ）収集目的、収集先、収集項目等を事前に本人に通知した上で、その同意を得て行う場合／（ロ）法令に定めがある場合／（ハ）労働者の生命、身体又は財産の保護のために緊急に必要があると認められる場合／（ニ）業務の性質上本人から収集したのでは業務の適正な実施に支障を生じ、その目的を達成することが困難であると認められる場合／（ホ）（イ）から（ニ）にまでに掲げる場合のほか本人以外の者から収集することに相当の理由があると認められる場合」と制限されているが、厚労省指針はこの点について触れていない。当然、行動指針を前提としているとも解されるが、少なくとも、前述の通知・公表があれば法違反の問題は招かないものと解される。

(2)従業員の個人情報の取得目的の特定
実際に法との関係で取得に当たって問題となるのは、上記通知・公表における利用目的の特定であろう。この点、厚労省指針も法15条（利用目的の特定）の適用に当たり、「事業者は利用目的の特定に当たっては、単に抽象的、一般的に特定するのではなく、労働者等本人が、取得された当該本人の個人情報が利用された結果が合理的に想定できる程度に、具体的、個別的に特定すること。」と指摘している。
厚労省指針解説は、その目的についての労働者過半数代表者との協議の必要や、利用目的明示の具体例を紹介している（例えば、「雇用契約の締結の際にご記入いただいたご家族等の氏名、住所、電話番号は、法令に基づく各種手続のほか、社内規定に基づく各種手当の支給及びご本人に万一のことがあった際の緊急連絡先としてのみ使用させていただきます。」等の記載例が挙げられている。同解説12頁以下参照）。
(3)目的外利用（法16条）及び第三者提供（法23条1項）に規定する本人の同意に関する留意点
厚労省指針は、目的外利用（法16条）及び第三者提供（法23条1項）に規定する本人の同意について、「事業者が労働者等本人の同意を得るに当たっては、当該本人に当該個人情報の利用目的を通知し、または公表した上で、当該本人が口頭、書面などにより当該個人情報の取り扱いについて承諾する意思表示を行うことが望ましい」としている。
特に、第三者提供については、厚労省指針は、事業者は、雇用管理に関する個人データの第三者への提供（法23条1項1号から4号までに該当する場合を除く）に当たって、次に掲げる事項に留意しなければならないとしている。即ち、[1]提供先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること、[2]当該個人データの再提供を行うに当たっては、あらかじめ文書をもって事業者の了承を得ること（但し、当該再提供が、法23条1項1号から4号までに該当する場合を除く）、[3] 提供先における保管期間等を明確化すること、[4]利用目的達成後の個人データの返却又は提供先における破棄若しくは削除が適切かつ確実になされること、[5] 提供先における個人データの複写及び複製（安全管理上必要なバックアップを目的とするものを除く）を禁止すること、である。

(4)従業員の同意取得の方法
以上の通り、厚労省指針では、目的外利用（法16条）及び第三者提供（法23条1項）に規定する本人の同意について、「当該本人が口頭、書面などにより当該個人情報の取り扱いについて承諾する意思表示を行うことが望ましい」として個別同意の取得を推奨しているかにも解せる。前述の通り、厚労省指針解説も同旨を示している。しかし、同指針が、「望ましい」という表現に留めたことからも示唆されるように、ここでの同意が個別合意である必然性はない。
ことは、あたかもかつて、出向につき個別同意を要するとしていたのが、現在では就業規則等の定めで足りるとされているのと同旨である（新日鉄事件・最判平 15.4.18労判847号14頁等）。そもそも「就業規則が労働者に対し、一定の事項につき使用者の業務命令に服従すべき旨を定めているときは、そのような就業規則の規定内容が合理的なものであるかぎりにおいて当該具体的労働契約の内容をなしている」とも解されており（帯広電報電話局事件・最判昭和 61.3.13労判470号６頁）、従業員から取得する個人情報の取得につき、法令に基づく場合に限らず、適切な配置･異動・人材育成・人材交流・企業の人材能力の宣伝・広報、取引先企業等との情報交換の円滑化による販売・共同開発の促進、健康管理等に合理的に必要な情報取得は、個々の従業員の同意がなくても、就業規則にそれらの取得目的や第三者提供の範囲等が定められていれば、前述の目的外利用（法16条）及び第三者提供（法23条1項）への同意とみなされるものと解される（同旨、菅原貴与志「詳解・個人情報保護法と企業法務」第２版117頁参照）。

(5)従業員の個人情報保護態勢の整備
さらに、厚労省指針は、従業員の個人情報保護態勢の整備措置としての、安全管理措置（法20条）及び従業者の監督につき、事業者は、雇用管理に関する個人データの安全管理のために次に掲げる措置を講ずるように努めなければならないと次のような努力義務を課している。即ち、[1]雇用管理に関する個人データを取り扱う従業者及びその権限を明確にした上で、その業務を行わせること、[2]雇用管理に関する個人データは、その取扱いについての権限を与えられた者のみが業務の遂行上必要な限りにおいて取り扱うこと、[3]雇用管理に関する個人データを取り扱う者は、業務上知り得た個人データの内容をみだりに第三者に知らせ、又は不当な目的に使用してはならず、その業務に係る職を退いた後も同様とすること、[4]雇用管理に関する個人データの取扱いの管理に関する事項を行わせるため、当該事項を行うために必要な知識及び経験を有していると認められる者のうちから個人データ管理責任者を選任すること、[5]雇用管理に関する個人データ管理責任者及び個人データを取り扱う従業者に対し、その責務の重要性を認識させ、具体的な個人データの保護措置に習熟させるため、必要な教育及び研修を行うこと、である。
なお、この点につき、次の点に留意すべきである。
まず、雇用管理に関する個人データ管理責任者とは、経産省指針でいうところの「個人情報保護管理者」とは区別されるが、兼任は可能とされている（厚労省指針解説18頁）。
次に、従業員の個人情報保護態勢の整備措置としての「従業者の監督」につき、経産省指針は、「人的安全管理措置」として、「雇用契約時及び委託契約時における非開示契約の締結」を求めているが、派遣労働者と契約が結べるのか、という問題、非開示契約締結拒否者への処分問題等につき、明確化が問われていたところ（経団連意見書参照）、厚労省指針解説でも明確にはなっていないが（同10頁）、回答においては、以下のようにかかる契約の締結を適法としている。即ち、「派遣先と派遣労働者との間における『個人情報について開示しない契約』の締結や誓約書・念書の取り交わしについては、雇用関係とならないものであれば、これによって個人情報保護法、労働者派遣法又は職業安定法に抵触することとなるものではありません。また、派遣先と派遣労働者との間には雇用関係がないことから、『個人情報について開示しない契約』の締結等に応じない派遣労働者に派遣先が懲戒処分を課すことはできないものです。」と指摘している。

＜経産省指針＞

人的安全管理措置
人的安全管理措置とは、従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練等を行うことをいう。

【人的安全管理措置として講じなければならない事項】

[1]雇用契約時及び委託契約時における非開示契約の締結
[2]従業者に対する教育・訓練の実施

なお、管理者が定めた規程等を守るように監督することについては、法第２１条を参照。

【各項目について講じることが望まれる事項】
[1]雇用契約時及び委託契約時における非開示契約の締結をする上で望まれる事項

• 従業者の採用時又は委託契約時における非開示契約の締結
  ※雇用契約又は委託契約等における非開示条項は、契約終了後も一定期間有効であるようにすることが望ましい。
• 非開示契約に違反した場合の措置に関する規程の整備
  ※ 個人データを取り扱う従業者ではないが、個人データを保有する建物等に立ち入る可能性がある者、個人データを取り扱う情報システムにアクセスする可能性がある者についてもアクセス可能な関係者の範囲及びアクセス条件について契約書等に明記することが望ましい。なお、個人データを取り扱う従業者以外の者には、情報システムの開発・保守関係者、清掃担当者、警備員等が含まれる。

[2]従業者に対する周知・教育・訓練を実施する上で望まれる事項

• 個人データ及び情報システムの安全管理に関する従業者の役割及び責任を定めた内部規程等についての周知
• 個人データ及び情報システムの安全管理に関する従業者の役割及び責任についての教育
• 訓練の実施
• 従業者に対する必要かつ適切な教育・訓練が実施されていることの確認

(6)コンプライアンス誓約書等の提出をめぐる問題
これらの具体的実施に関しては個人情報保護管理規程やこれを担保するため、前述の通り、経産省指針も指摘する通り、個人データ管理責任者及び個人データを取り扱う従業者からコンプライアンス誓約書等を提出させることなども検討されるべきであろう。なお、経産省指針では、誓約書の締結等の雇用契約時の非開示契約の締結は「ねばならない」事項として罰則を背景とした実施義務となっている。
なお、法対応に限らず、コンプライアンス態勢整備の一環として、企業が労働者に対して、企業に対するコンプライアンス遵守の誓約書の提出を求めることが多く行われているが、労働者においてこのような誓約書提出義務があるのか否かという点も問題となる。多くの場合、コンプライアンス規程などで提出義務を定めている場合が多いようである。このような規定は、通常は、誓約書の記載が、文字通り、法令遵守の徹底のために、客観的合理性を有するものである限り、有効と認められる場合が多いと予想されるが、｢内心の自由への侵害｣という問題を孕んでいる。
この点、そもそも、労働者が、経営方針に賛同することを表明することが一般的に義務付けられるだろうか。この問題が争われた裁判例では（大阪相互タクシー事件・大阪地判昭和58.2.10労判403号38頁。なお、同裁判例に関する拙稿「労働判例研究」ジュリ834号94頁参照）、憲法の保障する思想・信条の自由等の精神的自由は、民法90条の公序良俗の内容として、私人間においても、特に実質的な支障のない限りなるべく広範囲に保障されるべきである、としてこれを否定している。
しかし、コンプライアンス誓約書は、その内容の客観的合理性を条件として（帯広電報電話局事件・最判昭61.3.13前掲参照）、就業規則への規定により提出義務が生じるものと解される（拙著「実務労働法講義」318頁参照）。

(7)従業員の個人データの外部委託の際の保護措置
さらに、厚労省指針は、事業者は、雇用管理に関する個人データの取扱いの委託に当たって、次に掲げる事項に留意しなければならないとしている。即ち、[1] 個人情報の保護について十分な措置を講じている者を委託先として選定するための基準を設けること、[2]委託先が委託を受けた個人データの保護のために講ずべき措置の内容が委託契約において明確化されていること。具体的な措置としては、以下の事項が考えられるとしている。[3](a)委託先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること、(ｂ)当該個人データの取扱いの再委託を行うに当たっては、委託元へその旨文書をもって報告すること、(ｃ)委託契約期間等を明記すること、(d)利用目的達成後の個人データの返却又は委託先における破棄若しくは削除が適切かつ確実になされること、(e)委託先における個人データの加工（委託契約の範囲内のものを除く）、改ざん等を禁止し、又は制限すること、(ｆ) 委託先における個人データの複写又は複製（安全管理上必要なバックアップを目的とするもの等委託契約範囲内のものを除く）を禁止すること、(ｇ)委託先において個人データの漏えい等の事故が発生した場合における委託元への報告義務を課すこと、(ｈ)委託先において個人データの漏えい等の事故が発生した場合における委託先の責任が明確化されていること、である。
当然、外部委託に当たっては、これらの項目を織り込んだ委託契約書の整備とその監督権限の行使・監視の履行が求められる。

(8)企業の保持する人事考課の結果等の人事情報の開示請求につき拒否できる場合
前述の通り、法上では、人事考課等の評価情報も保護対象となっているが、そのことは当然に、従業員が自分の人事考課内容の開示を事業者に請求できることを認めるものではない。例えば、行動指針においても、その第３の1の(2)で、開示「請求があった個人情報が、請求者の評価、選考等に関するものであって、これを開示することにより業務の適正な運営に支障が生ずるおそれがあると認められる場合等には、その全部又は一部に応じないことができるものとする」と指摘し、さらにその解説においても、「『評価』とは、勤務状況、業績など、個人の能力、適性等についてその内容を見定めることをいい、『選考』とは、個人の知識、能力、資質等の調査等に基づいて、特定の職業、地位等に関する適任者の選定を行うことをいう。／＜中略＞これらに関する個人情報については、開示することにより、業務の過程や基準等を知らせることになり、その適正な実施に支障が生ずるおそれがあることから、個別の事例ごとに開示の原則の適用除外を認める必要がある。／また、『評価、選考等に関する個人情報であって、これを開示することにより業務の適正な実施に支障が生ずるおそれがあると認められる場合等』の『等』に当たる場合としては、開示の請求があった個人情報に本人以外のものの情報が含まれている場合であって、これを開示することにより第三者の権利利益を侵害するおそれがあると認められる場合／ 開示の請求があった個人情報が、犯罪等の捜査、保安上の調査、争訟等に関するものであって、これを開示することによりその業務の適正な実施に支障が生ずるおそれがあると認められる場合等が考えられる。／前者の場合には、第三者の権利利益との競合について調整する必要があり、後者の場合には開示することにより捜査、調査等の目的、手順を知らせることになり、その円滑な実施が阻害され、本来の目的の達成が困難となるおそれがあることから、開示の原則の適用除外を認めることが適当と考える。」と指摘している。
これらに照らしても、いわゆる人事考課等の評価情報は、法25条1項但書２号の「当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合」に該当し、開示請求を拒否できるものと解される。
厚労省指針解説も、人事評価、選考に関する個々人の情報については、「基本的には非開示 とすることが考えられる」としている（同28頁）。

(9)開示拒絶事由等に関する労使協議と決定事項の周知
[1]開示拒絶事由等に関する労使協議
しかし、上記情報開示の拒否事由等に関して、厚労省指針は、「事業者は、あらかじめ、労働組合等と必要に応じ協議した上で、労働者等本人から開示を求められた保有個人データについて、その全部又は一部を開示することによりその業務の適正な実施に著しい支障を及ぼすおそれがある場合に該当するとして非開示とすることが想定される保有個人データの開示に関する事項を定め、労働者等に周知させるための措置を講ずるよう努めなければならない」としている（同解説 28頁）。
努力義務とは言え、ここでの協議の具体的内容に関しては、前述の行動指針の解説の次の指摘が参考となるだろう。例えば、「開示の請求があった個人情報に本人以外のものの情報が含まれている場合であって、これを開示することにより第三者の権利利益を侵害するおそれがあると認められる場合」などである。なお、同様に同解説が指摘する「開示の原則の例外を認めるに当たっては、類型化された適用除外事項として画一的な判断を下すのではなく、個別事例ごとに判断することが重要であり、開示に応じない場合には、その理由の説明に努めることが望ましい」などである。

[2]労使協議決定事項の周知等
なお、厚労省指針は、さらに、「その他事業主等が雇用管理に関する個人情報の適切な取扱いを確保するための措置を行うに当たって配慮すべき事項」として、 [1]事業者は、保有個人データの開示に関する事項その他雇用管理に関する個人情報の取扱いに関する重要事項を定めるときは、あらかじめ労働組合等に通知し、必要に応じて、協議を行うことが望ましいものであること、[2]事業者は、上記[1]の重要事項を定めたときは、労働者等に周知することが望ましいものであることを指摘している（厚労省指針解説28頁参照）。

(10)開示手続における場所・時間等への配慮措置
なお、法29条2項の情報開示手続きに関して、厚労省指針は、事業者は、労働者等からの雇用管理に関する個人データの開示等の求めができるだけ円滑に行われるよう、閲覧の場所及び時間等について十分配慮することを求めている。厚労省指針解説は、「閲覧の場所及び時間等について、十分配慮していると考えられる事例としては、例えば、事業所における掲示・回覧等に加え、ホームページ上のアクセスが容易な場所に掲載するといった措置」を挙げている（同29頁）。
なお、経産省指針によれば、「開示等の求めを受け付ける方法を定めない場合には、自由な申請を認めることとなる。」とされており、かかる観点からも、個人情報管理規程における開示手続の整備が必要となる。

(11)苦情処理手続
法31条の求める苦情処理手続につき、厚労省指針は、「事業者は、雇用管理に関する個人情報の取扱いに関する苦情の適切かつ迅速な処理を行うため苦情及び相談を受け付けるための窓口の明確化等必要な体制の整備に努める」ことを求めている。同解説は、「必要な体制の整備のための取組」として下記例を挙げている(同30頁)。

[1]労働者等による雇用管理に関する個人情報の取扱いに関する苦情処理・相談窓口の設置及び担当者の配置

[3]電話、郵便、電子メール、FAX等による苦情処理・相談体制の整備

[3]苦情処理・相談担当者用のマニュアルの作成及び配布

[4]苦情処理に係る社内手続の決定及びその内容の周知徹底

[5]研修等を通じた苦情処理・相談担当者への知識の付与 」

なお、当然ながら、無理な要求にまで応じなければならないものではない（経産省指針）。

6 個人情報取扱事業者以外の事業者による雇用管理に関する個人情報の取扱い
なお、厚労省指針は、個人情報取扱事業者以外の事業者であっても、雇用管理に関する個人情報を取り扱う者は、５で述べた留意事項に基づいて、その適正な取扱いの確保に努めることを求めている。前述の通り、法を待たずとも、判例は労働者の個人情報の漏洩につき損害賠償を認めているので（ＨＩＶ感染者解雇事件・東京地判平成7.3.30労判667号 14頁等）、法による指導や罰則の適用はなくても、民事責任を負担することはあり得る。この点で、５の留意事項を遵守していたか否かが損害賠償責任の成否や損害額の多寡に影響すると解されるので、5000人の個人データを保有しない小規模な企業で、個人情報取扱事業者以外であると安心していると足元をすくわれることになるので注意がいる（同指針解説32頁参照）。

7 法施行前の個人情報の取扱
なお、この法律の施行前に取得された個人情報の取扱いについては、個人情報の保有自体について法は適用されないが、利用に関しては、付則２条から５条が同意や通知の不要な場合やその要件について定めているので注意して頂きたい。経産省指針によれば、法施行前から保有している個人情報については、法施行時に個人情報の取得行為がなく、法第18条（取得に際しての利用目的の通知等）の規定は適用されない。ただし、保有個人データ（個人情報データベース等を構成する個人情報)に関する事項の本人への周知については、法施行時に法24条１項の措置（公表義務）を講ずる必要がある。

8 その他の実務上の諸問題

(1)企業と健康保険組合の情報の相互利用と第三者提供
留意事項では、同じ健保組合と事業主が共同主催した場合以外では、健保組合が入手した情報を事業主に提供するには労働者の同意を求めている。しかし、理論的には、健保組合規約や就業規則での健康管理規程等の整備により、健康情報の相互利用による健康配慮の徹底が図られるものと解される。

(2)出向での情報提供への本人同意
厚労省指針解説では、転籍・出向につき、労働者個人情報の提供につき本人の同意を求めている（同38頁）。しかし、経団連意見書の通り、実態にあわないところから、同解説は、同案に比較すると、「出向先・転籍先の候補となりうる提供先の範囲を、ホームページ等において明記することが望まれる。」「出向・転籍における第三者提供の際の本人の事前同意については、第三者提供に係る本人の意向が的確に反映されるよう、可能な限りその都度、当該意思確認を行うことが望まれる」として若干の緩和がなされている（下線部分等が修正された。同解説 38頁）。少なくとも、雇用確保のための措置としての提供範囲等が明示されている場合には、個別同意なしに就業規則等の定めに基づき対応可能と解される。

(3)退職時の転職先への制限
厚労省指針解説では、退職者につき、労働者個人情報の転職先や予定先への提供についても、本人の同意なくしてはできないとしている（同38頁）。しかし、これについても、少なくとも、提供範囲等が職務歴等の合理的範囲で、提供が明示されている場合には、就業規則等の定めに基づき対応可能と解される。

(4)不採用者の情報の処理
厚労省指針解説では、不採用者の個人情報につき、破棄、削除等することを求めている（同 37-38頁）。しかし、経団連意見書の通り、不採用の時点で直ちに必要でなくなるとも言えず、利用の範囲･期間等が明示され、その範囲等が合理的なものである場合には、募集要項等の定めに基づき対応可能と解される。

自社従業員の個人情報は？

従業員の個人情報の範囲は？

個人情報取扱事業者の従業員数は？

個人情報の従業員利用目的は？