2005年 11月 29日 ( 1 )

2005年 11月 29日
誰でもわかる!簡単【個人情報保護法】25 ~ガイドライン解説13:従業者の監督~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の13回目です。
今回は従業者の監督についてです。

個人情報保護法には
法第21条
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

と規定されています。

従業者の管理は「組織的安全管理」「人的安全管理」でも記載されていましたが、ここで規定されているのは「監督」についてです。
規程を策定するなど社内ルールを作り(組織的安全管理)、教育を実施(人的安全管理」しても、実際に個人情報を取り扱う従業者が教育研修で理解し、社内ルールを守っているかを監督しなければいけないとされています。

なお、「従業者」とは、

従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員等

とされています。社内で個人情報を取り扱う人、全てだと考えてよいでしょう。

具体的にどのような方法で監督をするべきか?ということですが、ガイドラインでは、残念ながらその方法は規定されていません。ただ、その反対の例として、【従業者に対して必要かつ適切な監督を行っていない場合】が挙げられています。

事例1) 従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを、あらかじめ定めた間隔で定期的に確認せず、結果、個人データが漏えいした場合
事例2) 内部規程等に違反して個人データが入ったノート型パソコンを繰り返し持ち出されていたにもかかわらず、その行為を放置した結果、紛失し、個人データが漏えいした場合

事例1)では 「あらかじめ定めた間隔で定期的に確認せず」とありますので、個人情報の取り扱い状況を定期的に確認する仕組みが必要だということです。社内監査以外にも、定期的な「自主点検」が必要ということでしょう。

事例2)では「その行為を放置した結果」とありますので、ノート型パソコンを持ち出す際に、個人情報が含まれていないかを確認する仕組み等が必要だといえます。

このような仕組み・ルールを導入する方法以外にも、その他安全管理措置の一環として従業者を対象とするビデオ及びオンラインによるモニタリングを実施する方法もあります。

モニタリングの実施は、経営者の立場からすると、「安心感」を得るための有効な手法ですが、反面、モニタリングされる従業者の立場に立つと「不信感」の要因になりかねません。

「社長は私たち社員を信用していないのか?」

と思われ、労使の信頼関係にヒビが入る可能性が高いのです。

ガイドラインではモニタリング実施する際に留意する点として、以下の事項が挙げています。

・モニタリングの目的、すなわち取得する個人情報の利用目的をあらかじめ特定し、社内規程に定めるとともに、従業者に明示すること。
・モニタリングの実施に関する責任者とその権限を定めること。
・モニタリングを実施する場合には、あらかじめモニタリングの実施について定めた社内規程案を策定するものとし、事前に社内に徹底すること。
・モニタリングの実施状況については、適正に行われているか監査又は確認を行うこと。

これらの事項を定めるとともに、モニタリングの導入の際に、労使できちんと話し合いをしておく事が重要でしょう。
[PR]

by office-izutani | 2005-11-29 12:32 | 誰でも簡単【個人情報保護】