従業員の個人情報管理は、今や中小企業においても避けて通れない経営課題です。「うちは小さな会社だから大丈夫」という認識は、2022年の個人情報保護法改正によって完全に過去のものとなりました。法人への罰金が最大1億円に引き上げられ、漏洩時の報告義務が新設されるなど、規制の網は中小企業にも等しくかかっています。
しかし実際には、紙とデジタルのファイルが混在したまま管理されていたり、健康診断の結果や病歴といったセンシティブな情報が人事書類と一緒に保管されていたりするケースが少なくありません。担当者の退職・異動による引継ぎ不全で、誰がどの情報を持っているかすら把握できていない企業もあります。
本記事では、中小企業の経営者・人事担当者が今すぐ取り組むべき従業員個人情報ファイルの管理体制を、関連法令の要点とともにわかりやすく解説します。
なぜ今、従業員の個人情報管理が問われるのか
2022年に施行された改正個人情報保護法は、中小企業の個人情報管理実務に大きな変化をもたらしました。改正以前は「6ヶ月以内に廃棄するデータは保有個人データに該当しない」とする運用が認められていましたが、この例外規定は撤廃されました。つまり、採用選考で取得した応募者情報や、短期雇用者のデータも含め、保有するすべての個人データが法律の管理対象となっています。
さらに重要な改正ポイントが、漏洩等の報告義務化です。不正アクセスによる情報流出や、病歴・健康情報といった「要配慮個人情報」(本人の人種、信条、病歴、障害など特に慎重な取り扱いが必要な情報のこと)の漏洩が発生した場合、個人情報保護委員会への報告と本人への通知が義務となりました。報告を怠った場合も行政指導・命令の対象となりえます。
また、従業員から個人情報の開示や訂正を求める「開示請求・訂正請求」への対応義務も強化されています。電磁的記録(デジタルデータ)での開示請求や、自分の情報が第三者に提供された記録の開示請求にも応じる必要が生じており、「請求されても対応手順がない」という状態は法的リスクに直結します。
従業員の個人情報ファイル、まず何から整理すべきか
情報資産台帳(棚卸し)の作成から始める
管理体制を整えるうえで最初に行うべき作業は、自社が保有する従業員の個人情報を「見える化」することです。これを「情報資産台帳」と呼びます。どの情報が、どこに(紙・PC・クラウドなど)、誰の管理のもとで、何の目的で保存されているかを一覧化します。
人事部門が扱う主な個人情報としては、次のようなものが挙げられます。
- 雇用契約書・労働条件通知書
- 履歴書・職務経歴書
- 給与・賞与関連書類、賃金台帳
- マイナンバー関連書類
- 健康診断個人票、産業医との面談記録
- 源泉徴収票・年末調整関係書類
- 雇用保険・社会保険関係書類
- 懲戒・評価・異動に関する記録
これらが紙とデジタルで混在している場合は、棚卸しを機に管理場所と担当者を明確にしましょう。特に注意が必要なのは、健康情報とマイナンバーはそれ以外の一般人事情報と物理的・システム的に分離して管理することが強く推奨されている点です。
法定保存期間を正しく把握する
従業員の個人情報ファイルには、法律によって保存期間が定められているものがあります。誤って早期に廃棄したり、逆に不要になった情報をいつまでも持ち続けたりすることはいずれも問題となります。主な書類の保存期間は以下のとおりです。
- 労働者名簿・賃金台帳:最後の記載から3年(労働基準法)
- 雇用契約書・労働条件通知書:労働関係終了から3年(労働基準法)
- 健康診断個人票:5年(特殊健康診断は種別により5〜30年)(労働安全衛生法)
- 雇用保険関係書類:4年(雇用保険法)
- 源泉徴収関係書類:7年(税法)
- マイナンバー関連書類:法定保存期間満了後、速やかに廃棄(番号法)
なお、2020年の労働基準法改正により、賃金請求権の消滅時効が延長されたことに伴い、賃金台帳をはじめ多くの書類について将来的に5年保存への移行が予定されています(当面は3年)。最新の情報を確認しながら対応することが重要です。
退職者の情報についても、上記の保存期間が満了するまでは適切に管理を続ける必要があります。「退職したら不要」と即座に廃棄してしまうのは法令違反になりかねません。一方で、保存期間が満了した書類は適切に廃棄することも義務の一つです。
マイナンバーと健康情報は特別な管理が必要
マイナンバーの厳格な分離管理
マイナンバー(個人番号)は、給与支払いに関する源泉徴収票の作成、雇用保険・社会保険の手続きなど、法律で定められた目的にのみ利用が許されています。それ以外の目的での収集・利用は番号法(マイナンバー法)によって禁止されています。
実務上の管理ポイントとして特に重要なのは以下の点です。
- マイナンバー書類は専用のファイル・専用フォルダで一般の人事書類と分けて管理する
- 閲覧できる担当者を必要最小限に限定し、アクセス権限を設定する
- 給与計算代行会社や社会保険労務士事務所など外部委託先に提供する場合も、委託契約書に守秘義務・安全管理措置の条項を必ず盛り込む
- 法定保存期間が終了した書類は速やかに廃棄する(放置することが法律違反となる)
委託先事業者(給与計算代行、クラウド給与システム提供事業者など)への監督義務も事業者側に課せられています。「外部に任せているから自社は無関係」とは言えない点に注意が必要です。
健康情報の取り扱いと産業医との連携ルール
病歴、健康診断の結果、産業医面談の内容といった健康情報は、個人情報保護法上の「要配慮個人情報」に該当します。取得には原則として本人の同意が必要であり、目的外の利用も厳しく制限されています。
特に中小企業が頭を悩ませやすいのが、産業医・保健師から人事部門への情報提供の範囲です。厚生労働省が2019年に策定した「事業場における労働者の健康情報等の取扱規程を策定するための手引き」では、産業医や保健師が取得した健康情報を人事部門と共有できるのは、就業上の措置(業務の制限・配置転換・休業措置など)に必要な範囲に限るとされています。
たとえば、「この従業員が〇〇という病気である」という診断名をそのまま上司に伝えることは原則として不適切です。伝えるべき情報は「業務負荷を軽減する配慮が必要」「深夜労働は当面避けることが望ましい」といった就業上の措置に必要な範囲の情報に絞ることが求められます。
こうしたルールを明文化するために、健康情報取扱規程を社内で策定しておくことが強く推奨されています。産業医が関与している場合は、産業医との情報共有ルールを規程に明記しておくことで、担当者が変わっても一貫した対応が可能になります。産業医サービスを活用している企業であれば、産業医と連携しながら規程整備を進めると実効性が高まります。
情報漏洩が起きたとき、中小企業はどう動くか
どれだけ予防策を講じても、情報漏洩のリスクをゼロにすることは困難です。重要なのは、漏洩が発生した際に迅速かつ適切に対応できる体制を事前に整えておくことです。
2022年改正個人情報保護法により、以下の場合は個人情報保護委員会への報告と本人への通知が義務となりました。
- 要配慮個人情報(健康情報・病歴など)が漏洩した場合
- 不正アクセス等による漏洩が発生した場合
- 財産的被害が生じるおそれのある漏洩があった場合
- 1,000人を超える個人データの漏洩があった場合
報告期限は、速報:事態を知った日から3〜5日以内、確報:30日以内(不正目的の場合は60日以内)が目安とされています。
対応フローの整備として最低限用意しておきたい手順は以下のとおりです。
- 漏洩を発見した際の第一報先(社内責任者)の明確化
- 被害拡大を防ぐための初動対応手順(アクセス遮断・媒体の隔離など)
- 漏洩の規模・内容の事実確認と記録
- 個人情報保護委員会への報告手続き
- 影響を受けた本人への通知対応
事前に対応フローを文書化しておき、担当者全員が把握している状態をつくることが、いざという時の混乱を防ぎます。
クラウドサービス・外部委託先への対応
給与計算代行、勤怠管理システム、人事評価ツールなど、クラウドサービスや外部業者への情報提供は、もはや多くの中小企業にとって日常的なものとなっています。しかし、個人情報保護法では、外部に個人データの取り扱いを委託する場合、委託先の安全管理措置を監督する義務が委託元(=企業側)に課せられています。
外部委託に際して確認・整備すべき事項は次のとおりです。
- 委託契約書に守秘義務・目的外利用の禁止・再委託の制限・安全管理措置・漏洩時の対応義務を明記する
- クラウドサービスはサーバー所在地(国外の場合は外国への移転規制に注意)を確認する
- セキュリティ認証(ISO27001など)の取得状況を確認する
- 委託先の安全管理状況を契約時だけでなく定期的に確認する
特に注意が必要なのは、クラウドサービスを通じてデータが海外のサーバーに保存される場合です。2022年改正個人情報保護法では、外国への個人データ移転規制が明確化されており、移転先国の情報保護水準の確認や本人への情報提供が必要となる場合があります。契約前に必ず確認しましょう。
今日から始める実践ポイント
法令対応のための整備は、一度に完成させようとすると負担が大きく、結果として何も進まないことになりがちです。優先度の高いものから段階的に取り組むことを推奨します。
ステップ1:情報の棚卸しとアクセス権限の整理(すぐに着手)
まず自社が保有する従業員の個人情報を一覧化し、保管場所・担当者・保存期間を明確にしましょう。同時に、各情報にアクセスできる人を必要最小限に絞り込みます。健康情報とマイナンバーは、今すぐ一般人事情報と分離した保管に移行してください。
ステップ2:社内規程の整備(1〜3ヶ月以内)
個人情報保護方針(プライバシーポリシー)、健康情報取扱規程、マイナンバー取扱規程の3つを最優先で整備します。既製のひな形を活用しながらも、自社の実情に合わせてカスタマイズすることが重要です。
ステップ3:廃棄ルールの確立と委託先の見直し(3〜6ヶ月以内)
保存期間が満了した書類の廃棄手順を定めます。紙はクロスカットシュレッダーまたは専門業者による廃棄、デジタルデータは完全削除の手順を明文化します。同時に、外部委託先との契約書を見直し、必要な条項が盛り込まれているか確認してください。
ステップ4:従業員への周知と開示請求対応手順の整備(並行して実施)
採用時の利用目的の明示、在籍従業員への規程の周知を行います。また、従業員から開示請求・訂正請求が来た際の対応手順(窓口担当者・回答期限・方法)を事前に定めておきましょう。
従業員のメンタルヘルスに関する健康情報の管理に不安がある場合は、メンタルカウンセリング(EAP)の導入と合わせて、健康情報の取り扱いルールを整備することも有効な手段の一つです。
まとめ
従業員の個人情報管理は、単なるコンプライアンス対応にとどまらず、従業員との信頼関係を築くための土台でもあります。情報が適切に守られていると感じることができる職場環境は、従業員の安心感にもつながります。
2022年の個人情報保護法改正により、中小企業であっても漏洩報告義務・開示請求対応・外部委託先の監督義務などへの対応が求められるようになりました。「まだ対応できていない」という企業は、今回ご紹介したステップを参考に、できるところから着手してください。
特に健康情報については、産業医や社会保険労務士などの専門家と連携しながら取り扱いルールを整備することが、リスク軽減と適切な健康管理の両立につながります。一人で抱え込まず、専門家のサポートを積極的に活用することをお勧めします。
従業員の個人情報管理で、中小企業が最初に取り組むべきことは何ですか?
まず「情報資産台帳」を作成し、自社が保有する従業員の個人情報の種類・保管場所・担当者・保存期間を一覧化することから始めましょう。特に健康情報とマイナンバーは一般の人事書類と分離して管理することが法令上求められており、現状把握なしには対策が立てられません。棚卸しをしながら、アクセス権限の設定や社内規程の整備を段階的に進めることが現実的なアプローチです。
退職した従業員の個人情報は、いつまで保管すればよいのでしょうか?
書類の種類によって法定保存期間が異なります。労働者名簿・賃金台帳・雇用契約書は最後の記載または労働関係終了から3年(将来的に5年へ移行予定)、健康診断個人票は5年(特殊健康診断は種別により異なる)、源泉徴収関係書類は7年です。退職したからといってすぐに廃棄すると法令違反になる場合があります。一方でマイナンバー関連書類は法定保存期間満了後に速やかな廃棄が義務付けられていますので、「保存しすぎ」にも注意が必要です。
産業医が知った従業員の健康情報を、人事担当者に伝えることはできますか?
産業医が把握した健康情報を人事部門に共有できるのは、就業上の措置(業務軽減・配置転換・休業措置など)に必要な範囲に限られます。具体的な診断名や詳細な病状を人事担当者に伝えることは原則として適切ではなく、「〇〇の配慮が必要」「残業を避けることが望ましい」といった措置に必要な情報に絞って伝えることが求められます。この範囲と手順を明確にするために、社内で「健康情報取扱規程」を策定しておくことが強く推奨されています。
クラウドの給与計算サービスを使っていますが、個人情報保護上の問題はありますか?
クラウドサービスへの個人データの提供は「委託」として扱われるため、委託先の安全管理措置を監督する義務が事業者側に生じます。具体的には、守秘義務・目的外利用禁止・漏洩時の報告義務などを盛り込んだ委託契約書を締結すること、セキュリティ認証(ISO27001など)の取得状況を確認することが必要です。また、データが海外サーバーに保存される場合は外国への個人データ移転規制への対応も求められます。「外部に任せているから安全」ではなく、委託元としての管理責任が残ることを認識してください。
労務管理の課題を抱える企業様には、INTERMINDの産業医サービスをご検討ください。産業医と連携した従業員の健康管理体制を構築できます。
