2022年4月に全面施行された改正個人情報保護法は、企業規模を問わずすべての事業者に適用されます。「うちは小さな会社だから関係ない」と思っていた経営者や人事担当者も、今や例外ではありません。従業員の健康診断結果、給与情報、マイナンバー、採用応募者のデータ——これらすべてが法律の規制対象であり、管理が不十分であれば最大1億円の罰金が科される可能性もあります。
しかし、専任の法務担当者を置く余裕がない中小企業では、「何をどこまでやればよいのかわからない」という声が絶えません。本記事では、改正法の重要ポイントを整理しながら、中小企業の人事担当者が今すぐ実践できる具体的な対応策をわかりやすく解説します。
「中小企業は対象外」は大きな誤解——改正個人情報保護法の基本を整理する
かつて個人情報保護法には、取り扱う個人情報が5,000件以下の小規模事業者を適用除外とする規定がありました。しかし、この規定は2017年の法改正ですでに廃止されています。現在は従業員が1人でも個人情報を取り扱う事業者はすべて法律の適用対象です。
2022年の改正(同年4月全面施行)では、さらに踏み込んだ義務が追加されました。主な改正点は次の5つです。
- 漏洩が発生した場合の行政機関(個人情報保護委員会)への報告および本人への通知の義務化
- 本人による利用停止・消去請求権の対象拡大
- 「仮名加工情報」という新たな情報類型の創設
- 外国事業者(海外クラウドサービス等)への個人情報提供に関する規制強化
- 罰則の強化(法人への罰金は最大1億円)
中小企業に特に影響が大きいのは、漏洩報告義務の新設と、クラウドサービス利用に伴う委託先管理義務の明確化です。この2点については、後の章で詳しく解説します。
人事データの「種類」を正しく理解する——要配慮個人情報とマイナンバーの特別ルール
個人情報といっても、法律上のリスクの高さは情報の種類によって異なります。人事部門が扱う情報は大きく3つのカテゴリーに分けられます。
要配慮個人情報(最も厳格な管理が必要)
人種、信条、病歴、犯罪歴、障害の有無など、不当な差別や偏見につながりやすい情報を「要配慮個人情報」といいます。人事部門で取り扱う代表例は健康診断の結果や病歴、障害情報です。
要配慮個人情報の取得には原則として本人の明示的な同意が必要です。また、アクセスできる人員を産業医や特定の人事担当者に限定するなど、通常の個人情報よりも厳格な管理体制が求められます。採用選考のためにSNSで候補者の情報を調査する場合も、宗教観や政治的信条などが含まれる情報に触れてしまう可能性があるため、十分な注意が必要です。
特定個人情報(マイナンバー法との二重規制)
マイナンバー(個人番号)を含む個人情報は「特定個人情報」と呼ばれ、個人情報保護法に加えてマイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)による二重の規制が適用されます。
マイナンバーは法律で定められた目的(給与所得の源泉徴収票の作成、社会保険の手続き等)以外に利用することが厳禁です。「せっかく番号を預かったのだから他の目的にも使いたい」という発想が、法律違反に直結します。収集・保管・廃棄のすべての段階で適切な手順を踏む必要があります。
機密性の高い個人情報(給与・評価情報)
給与情報や人事評価の記録は、法律上「要配慮個人情報」には分類されませんが、漏洩した場合に従業員間のトラブルや信頼失墜につながる機密性の高い個人情報です。アクセス権限の設定や保存場所の管理において、相応の注意が求められます。
2022年改正で新設された漏洩報告義務——期限と手順を把握する
従来、個人情報が漏洩した場合の行政機関への報告は「努力義務」にとどまっていました。しかし2022年の改正により、一定の条件を満たす漏洩については個人情報保護委員会への報告と本人への通知が法律上の義務となりました。
報告が義務となる主な対象は以下のとおりです。
- 要配慮個人情報が漏洩した場合(または漏洩のおそれがある場合)
- 財産的な被害が生じるおそれがある漏洩(クレジットカード情報など)
- 不正な目的(なりすまし等)が疑われる漏洩
- 1,000件を超える個人情報の漏洩
報告の期限は2段階に分かれています。「速報」は漏洩を知ったのち概ね3日から5日以内に行う必要があり、詳細な原因分析や被害範囲の確定を待たずに報告しなければなりません。その後、「確報」を30日以内(不正目的が疑われる場合は60日以内)に提出します。
中小企業が対応で失敗しやすいのは、「原因が完全にわかってから報告しよう」と考えて速報の期限を過ぎてしまうケースです。速報はわかっている範囲の情報で行ってよいものです。インシデント(事故・事件)発生時の初動対応マニュアルを事前に整備しておくことが、いざというときの適切な対応につながります。
クラウドサービス利用時の落とし穴——委託先管理義務とデータの保存場所
勤怠管理システム、給与計算ソフト、採用管理ツール——今や多くの企業がクラウドサービス(SaaS)を人事業務に活用しています。便利な反面、個人情報保護の観点では注意すべき点がいくつかあります。
委託先への監督義務
クラウドサービス事業者に人事データの処理を任せる行為は、法律上「委託」に該当します。委託をした場合、委託元の企業(つまりあなたの会社)は委託先に対する監督義務を負います。具体的には、契約書に個人情報の取り扱いに関する条項を盛り込むこと、委託先が再委託する場合は事前に承認・確認を行うことが求められます。
「大手のクラウドサービスだから安心」と思い込み、契約書の個人情報に関する条項を確認しないまま利用している企業は少なくありません。まずは現在利用しているサービスの契約書を見直し、個人情報の取り扱いに関する記述があるかどうかを確認することから始めましょう。
データの保存場所(国内・海外)の確認
クラウドサービスによっては、データが海外のサーバーに保存されている場合があります。改正法では外国への個人情報の第三者提供に関するルールが強化されており、移転先の国の個人情報保護制度を確認したうえで、必要に応じて従業員への情報提供を行うことが求められます。
サービスを契約する前に「データはどの国のサーバーに保存されるか」を必ず確認し、海外保存の場合はその国の情報保護制度についても把握しておくことが重要です。
採用から退職まで——ライフサイクル別の人事データ管理の実務
採用・入社時の対応
応募者から履歴書や職務経歴書を受け取る際は、利用目的を明確に特定・明示することが義務です。「採用選考のためにのみ使用します」と明示したにもかかわらず、同じ情報を別の目的(たとえば取引先への紹介など)に使うことは法律違反になります。
不採用になった応募者の個人情報についても、適切な時期に廃棄するプロセスを定めておく必要があります。慣行として選考終了後6ヶ月から1年を目安に廃棄しているケースが多いですが、自社のポリシーとして明文化し、実際に運用することが重要です。紙の履歴書はシュレッダー処理、電子データは完全削除の手順を定めておきましょう。
在職中の情報管理
在職中の従業員の個人情報管理で特に重要なのは、健康診断結果などの要配慮個人情報へのアクセス権限の設定です。健康情報が必要以上に多くの人の目に触れる状況は、従業員のプライバシーを侵害するだけでなく、法的リスクにもつながります。
テレワークの普及により、社外で人事データを扱う機会が増えています。私物のパソコンへのデータ保存禁止、VPN(仮想プライベートネットワーク)の使用義務化、画面の覗き見防止フィルターの活用など、社外での取り扱いルールを明確に定めることが求められます。
退職後の情報廃棄
退職した従業員の個人情報についても、いつまでも保管し続けることは適切ではありません。一方で、賃金台帳などの雇用関係書類は労働基準法上の保存義務(3年から5年)があるため、一律に削除することもできません。法律上の保存義務が終了した時点で確実に削除・廃棄する仕組みを整えておきましょう。また、バックアップデータや旧システムに残存しているデータも廃棄の対象です。見落としがちな点なので、定期的な棚卸しを行うことをおすすめします。
今日から始める実践ポイント——優先度の高い5つの取り組み
法律の全体像を理解したうえで、中小企業が優先的に取り組むべき実践ポイントを整理します。専任担当者がいなくても、段階的に対応を進めることが可能です。
- 個人情報取扱規程の整備と定期見直し:どのような情報を、誰が、どのような目的で、どれくらいの期間保管するかを明文化した規程を作成します。すでに規程がある場合も、改正法の内容を踏まえて年1回は見直しを行いましょう。
- 利用中のクラウドサービスの契約確認:現在使用している人事関連のシステムやツールについて、契約書における個人情報の取り扱い条項とデータの保存場所を確認します。不明な点はサービス事業者に問い合わせましょう。
- 漏洩時の初動対応マニュアルの作成:漏洩が発生した場合に誰が何をするかを定めたマニュアルを用意します。速報の期限(概ね3日から5日以内)を念頭に置き、連絡体制と報告窓口を明確にしておきます。
- 従業員への定期的な教育:個人情報の取り扱いに関する研修を年1回以上実施します。テレワーク時の注意事項や不審なメールへの対応なども含めると効果的です。
- 採用応募者情報の廃棄ルールの確立:不採用者の個人情報をいつ・どのように廃棄するかを手順として定め、実際に運用する体制を整えます。紙と電子データの両方について手順を確認しましょう。
なお、個人情報保護委員会のウェブサイトには、中小企業向けのガイドラインや参考資料が公開されています。規程のひな形や確認シートなども活用できるため、まずは公的な情報源にあたることをおすすめします。また、対応に不安がある場合は、社会保険労務士や弁護士などの専門家に相談することも一つの有効な選択肢です。
まとめ
個人情報保護法の改正は、中小企業にとっても無関係ではありません。漏洩報告義務の新設、本人の権利強化、クラウドサービス利用時の委託先管理——これらはすべて、規模の大小を問わずすべての事業者に適用されるルールです。
「何から手をつければよいかわからない」という状況から抜け出すためには、まず自社が保有している人事データの種類と管理状況を棚卸しすることが出発点となります。要配慮個人情報(健康診断結果等)とマイナンバーは特に厳格な管理が必要であること、利用中のクラウドサービスには委託先管理義務が伴うこと、そして漏洩発生時には速やかな報告義務があることを頭に入れたうえで、社内の体制を少しずつ整えていきましょう。
法律への対応は、一度仕組みを整えてしまえば継続的な維持管理はそれほど難しくありません。従業員の信頼を守り、企業の信用を守るための投資として、今から計画的に取り組んでいただくことを強くおすすめします。
よくある質問
Q1: 改正個人情報保護法は本当に小さな会社にも適用されるのですか?
はい、適用されます。かつては5,000件以下の小規模事業者は除外されていましたが、この規定は2017年に廃止されました。現在は従業員が1人でも個人情報を取り扱う事業者はすべて法律の適用対象となります。
Q2: 個人情報の漏洩が発生した場合、すぐに完全な原因分析を終えてから報告する必要があるのですか?
いいえ、そうする必要はありません。むしろ、漏洩を知ってから概ね3~5日以内に「速報」として、原因分析や被害範囲の確定を待たずに報告義務があります。その後30日以内に詳細な「確報」を提出する2段階の報告プロセスになっています。
Q3: マイナンバーは給与計算以外の目的にも活用できるのですか?
いいえ、できません。マイナンバーは法律で定められた目的(給与所得の源泉徴収票の作成や社会保険の手続きなど)以外に利用することが厳禁です。この違反は直結する法律違反になるため、十分な注意が必要です。
労働法改正への対応や安全衛生管理体制の整備には、INTERMINDの産業医サービスが力になります。専門家による継続的なサポートで法令対応を進められます。
