「個人情報保護法への対応は、大企業がやること」と思っていませんか。実はそれは大きな誤解です。個人情報保護法はすべての規模の事業者に適用され、2022年の改正により漏えい時の報告義務や罰則がさらに厳しくなりました。法人への罰金は最大1億円にまで引き上げられており、中小企業といえども対岸の火事ではありません。
しかし現実には、専任のセキュリティ担当者を置く余裕がなく、総務や人事が兼務しながら日々の業務をこなしている企業がほとんどです。「何から手をつければよいかわからない」「自社の対応が正しいか不安」という声は、中小企業の経営者・人事担当者から非常に多く聞かれます。
本記事では、改正個人情報保護法 2022年 企業対応の観点を軸に、中小企業が今すぐ取り組むべき実務ポイントをわかりやすく解説します。法律の難しい言葉に惑わされず、「自社で何をすべきか」を具体的に把握していただくことを目的としています。
2022年改正個人情報保護法で何が変わったか
個人情報保護法は2022年4月に改正が全面施行されました。中小企業の実務に直結する変更点を三つに整理します。
①漏えい等の報告・通知義務が新設された
改正前は、個人情報が漏れた場合でも法律上の報告義務は存在しませんでした。しかし改正後は、一定の条件を満たす漏えいが発生した場合、個人情報保護委員会への報告と本人への通知が義務となりました。
報告が必要となる主なケースは以下のとおりです。
- 人種・信条・病歴・犯罪歴などの要配慮個人情報(特に慎重な取り扱いが必要な情報)が漏えいした場合
- 不正利用されるおそれがある漏えいが発生した場合
- 1,000件以上の個人情報が漏えいした場合
速報は漏えいを知った日から「おおむね3〜5日以内」、確報は「30日以内(不正目的の場合は60日以内)」とされています。この期限を知らずにいると、発覚後の対応が後手に回り、行政処分や社会的信用の失墜につながりかねません。
②本人の権利が拡充された
改正により、個人情報の本人(従業員・顧客等)が企業に対して求められる権利が広がりました。従来の開示・訂正・削除に加え、利用停止や第三者提供の停止を請求できる範囲が拡大しています。従業員から「自分の情報を開示してほしい」「削除してほしい」という請求が来た場合の対応手順を、あらかじめ定めておく必要があります。
③罰則が大幅に強化された
違反行為に対する法人への罰金が最大1億円に引き上げられました。個人(従業員等)への罰則も強化されており、従業員が顧客情報を不正に持ち出した場合なども処罰対象になります。罰則の重さを社内で周知することが、抑止力としても有効です。
労働分野の個人情報管理:人事担当者が特に注意すべきポイント
人事・労務の現場では、通常の顧客情報以上に慎重な取り扱いが求められる情報が多く存在します。
採用選考時のNG情報収集
採用選考時には、業務遂行に無関係な個人情報を収集することが法令上・行政指導上、問題とされます。厚生労働省の「雇用管理に関する個人情報の適正な取扱いを確保するための措置に関する指針」では、応募者の思想・信条・家族の職業・資産状況・家族構成などは収集を控えるよう求めています。
面接でうっかり聞いてしまうケースも多いため、面接官向けのチェックリストを作成し、採用選考 個人情報 取得 NG項目を事前に共有することが現実的な対策です。不採用になった応募者の履歴書・エントリーシートは、シュレッダー処理等で確実に廃棄し、その記録を残しておくことも必要です。
健康診断結果・病歴の管理
健康診断の結果は要配慮個人情報に該当します。これはとりわけ慎重な取り扱いが求められる情報であり、取得には原則として本人の同意が必要です。実務上は、就業規則や雇用契約書の中で健康診断実施・結果管理に関する同意を取得しているケースが多いですが、その内容が実態と合致しているか確認が必要です。
健康診断の結果や病歴は、産業医・衛生管理者のみがアクセスできる形で管理することが基本です。人事担当者や上司が閲覧できる状態になっていると、要配慮個人情報の不適切な取り扱いとなるリスクがあります。従業員のメンタルヘルス情報なども同様で、メンタルカウンセリング(EAP)を外部委託している場合は、相談内容の取り扱いについて委託契約書に明記することが求められます。
マイナンバーの厳格管理
マイナンバーは「特定個人情報」として通常の個人情報よりもさらに厳格な管理が必要です。利用目的は税務・社会保険等の法定手続きに限定されており、目的外の利用は厳禁です。
マイナンバー管理 中小企業 実務で特に注意すべき点は、取得のタイミングです。内定段階ではマイナンバーを取得する必要はなく、入社が確定した後に取得するのが原則です。また、退職後も一定期間(社会保険・税務等の法定保管期間)は適切に保管し、期間経過後は確実に廃棄する手順を定めておく必要があります。
体制整備:まず「管理の仕組み」をつくる
個人情報保護の取り組みは、担当者の個人的な努力に依存していては継続しません。組織として取り組む「仕組み」を整備することが先決です。
個人情報保護管理者(CPO)の任命
CPO(Chief Privacy Officer)とは、組織内で個人情報の取り扱いに関する責任者のことです。法律上、中小企業に対してCPOの設置が義務付けられているわけではありませんが、責任の所在を明確にすることはリスク管理の観点から不可欠です。
専任者を置けない場合でも、「個人情報保護管理者は総務部長が兼務する」などと社内規程で明確化することで、問題発生時の対応が迅速になります。
個人情報の「棚卸し」と台帳管理
自社にどのような個人情報が、どこに、何件あるのかを把握できていない企業は非常に多いです。まずは個人情報の棚卸しを行い、取得・利用・保管・廃棄・提供の各フェーズごとに情報を整理した個人情報管理台帳を作成することをお勧めします。
人事部門であれば、採用情報・雇用契約書・給与情報・健康診断結果・マイナンバーなど、管理すべき情報は多岐にわたります。台帳化することで、漏えいリスクの高い情報がどこにあるかを視覚的に把握でき、優先的に対策すべき箇所が明確になります。
規程・プライバシーポリシーの整備
個人情報取扱規程は、取得・利用・保管・廃棄・提供の各場面でのルールを文書化したものです。既に作成している企業も、2022年改正に対応した内容に更新できているか確認が必要です。また、自社ウェブサイト上のプライバシーポリシーに、利用目的・問い合わせ窓口・第三者提供の有無などが正確に記載されているかも併せて見直してください。
委託先・クラウドサービスの管理:見落とされがちなリスク
給与計算の外部委託や、人事管理クラウドサービスの利用など、業務効率化のために個人情報を外部に預けるケースは増えています。しかしここに大きな落とし穴があります。
個人情報保護法では、個人情報の取り扱いを外部に委託した場合でも、委託元(自社)が安全管理措置について監督責任を負うと定められています。つまり、「委託先がやったこと」であっても、自社が免責されるわけではありません。
委託契約書に盛り込むべき事項
- 個人情報の取り扱い目的の限定(委託業務以外への利用禁止)
- 再委託の禁止または事前承認の要件
- 安全管理措置の内容(暗号化・アクセス制限等)
- 漏えい発生時の報告義務と手順
- 契約終了時の個人情報の返却・廃棄義務
社労士事務所や給与計算会社への委託では、これらの条項が契約書に含まれているか確認してください。クラウドサービスについては、サービス提供会社の利用規約やセキュリティポリシーを確認し、クラウドサービス 個人情報 委託 契約の観点から安全管理措置が十分かどうか評価する必要があります。海外にサーバーがある場合は「外国への第三者提供」として追加の手続きが必要になる場合もあります。
また、産業医サービスの外部委託においても、健康診断結果や面談記録などの要配慮個人情報を取り扱うことになるため、委託契約書における個人情報の取り扱いに関する条項の整備は特に重要です。
テレワーク環境と退職時対応:見落としやすい二大リスク
テレワーク時のセキュリティ管理
在宅勤務の普及により、個人情報の管理リスクが多様化しています。テレワーク セキュリティ 個人情報 管理の観点から、最低限整備すべきルールは以下のとおりです。
- 端末管理:私用PCでの業務利用を禁止するか、セキュリティソフトの導入等の条件を定める
- 通信の安全確保:社内システムへのアクセスはVPN(仮想プライベートネットワーク)等の安全な通信経路を使用する
- 画面・書類の管理:プライバシーフィルターの使用、公共の場での業務処理の禁止
- 書類の持ち出しルール:紙の個人情報を自宅に持ち帰る場合の手続きと廃棄方法を明確化する
- インシデント報告経路:テレワーク中に情報漏えいが疑われる場合の報告先・手順を周知する
これらを就業規則や情報セキュリティポリシーに明記し、入社時・テレワーク開始時に説明・確認を行うことが重要です。
退職時のリスク管理
情報漏えいの一定割合は、退職者による持ち出しや元従業員へのアクセス権限の消し忘れによって発生しています。退職時には以下を必ず実施し、記録として残してください。
- 退職日当日または前日までに、社内システム・メール・クラウドサービスへのアクセス権限をすべて停止する
- 社用PC・スマートフォン・USBメモリ・書類等を回収し、返却確認書を取得する
- 退職時に秘密保持誓約書へ改めて署名してもらう(在職中に取得済みの場合でも再確認の意味で有効)
- 退職者の雇用管理情報は、法定・社内規程の保管期間が経過するまで適切に保管を続ける
今日から始める実践ポイント:優先順位別アクションリスト
リソースが限られる中小企業では、すべてを一度に整備しようとすると挫折しがちです。以下のように優先順位をつけて取り組むことをお勧めします。
まず取り組むべき「緊急度が高い」対策
- 漏えい時の対応手順を決める:報告義務の発生条件・報告先・担当者・期限を一枚のフロー図にまとめ、すぐに使える状態にしておく
- 個人情報管理台帳を作成する:どこに何の個人情報があるかを把握するだけでも、リスクの全体像が見えてくる
- 委託先との契約書を見直す:既存の委託先(給与計算会社・社労士・クラウドサービス等)との契約書に個人情報の安全管理条項が含まれているか確認する
- アクセス権限の棚卸し:現在の在職者・退職者のシステムアクセス権限を確認し、不要なアクセス権限を削除する
継続的に取り組む「仕組みづくり」
- 年1回の従業員教育:全体会議や朝礼の場を活用するだけでも継続的な意識付けになる。e-ラーニングツールの活用も効果的
- プライバシーポリシー・規程の定期見直し:法改正・業務変化に合わせて年1回以上の確認を行う
- インシデント事例の共有:他社の情報漏えい事例を定期的に共有し、他人事ではないという意識を醸成する
完璧な体制を最初から目指す必要はありません。「何も対応していない状態」から一歩踏み出すことが、リスクを大きく下げる第一歩です。
まとめ
個人情報保護への対応は、コストや手間がかかるものとして後回しにされがちですが、一度漏えいが発生すれば取引先や顧客からの信頼を失い、行政処分や損害賠償請求のリスクも生じます。特に2022年の改正により、漏えい時の報告義務・罰則強化・本人権利の拡充が実施されており、中小企業も例外ではありません。
まずは自社の個人情報の棚卸しと管理体制の現状把握から始め、委託先管理・テレワークルール・退職時対応など、見落とされやすいリスクポイントを一つずつ整備していくことが重要です。専任担当者がいなくても、仕組みと手順を文書化しておくことで、誰がいつ対応しても適切に動けるようになります。
個人情報保護への取り組みは、従業員を守ることにも直結します。健康情報やメンタルヘルス情報の適切な管理が、安心して働ける職場環境の基盤となります。
よくある質問(FAQ)
個人情報が漏えいした場合、どこに・いつまでに報告すればよいですか?
要配慮個人情報の漏えいや1,000件以上の漏えい等、一定の条件を満たす場合は個人情報保護委員会への報告と本人への通知が義務となります。速報は漏えいを知ったときからおおむね3〜5日以内、確報は30日以内(不正目的の場合は60日以内)が目安とされています。あらかじめ社内で報告フローを定め、いざというときに迅速に対応できる体制を整えておくことが重要です。
採用面接で聞いてはいけない情報とは何ですか?
厚生労働省の指針では、業務遂行に無関係な情報の収集を控えるよう求めています。具体的には、応募者の思想・信条・宗教・家族の職業・資産状況・家族構成・本籍地・出生地などが該当します。これらは個人情報保護法上の問題だけでなく、公正な採用選考の観点からも収集すべきでない情報です。面接官に対し、事前にNG質問のリストを共有しておくことをお勧めします。
クラウドサービスに個人情報を保存することは問題ありませんか?
クラウドサービスへの個人情報の保存自体は違法ではありませんが、個人情報保護法上は「委託」として自社が安全管理措置の監督責任を負います。サービス提供会社のセキュリティポリシーを確認し、データの暗号化・アクセス制限・漏えい時の報告義務などが契約書や利用規約に明記されているかを確認してください。また、サーバーが海外にある場合は外国への第三者提供として追加手続きが必要になる場合があります。
従業員の健康診断結果は誰が管理・閲覧できますか?
健康診断結果は要配慮個人情報に該当するため、業務上必要な範囲に限定した管理が求められます。原則として産業医・衛生管理者のみがアクセスできる形で保管し、直属の上司や一般の人事担当者が自由に閲覧できる状態にすることは適切ではありません。就業制限等の業務対応が必要な場合も、産業医の意見書等を通じた情報共有の仕組みを整えることが重要です。
