個人情報と聞くと、顧客や取引先など、社外の人物や組織の情報をイメージするかと思います。
しかし、実際は社内で働く従業員の情報も個人情報に含まれます。
またJAPHICマーク取得企業は、個人情報保護に特化した企業として、従業員の個人情報の取り扱いも徹底しなければいけません。
今回はこちらのポイントについて解説します。
従業員の個人情報に該当する情報
JAPHICマーク取得企業は、複数の従業員によって構成されています。
このような雇用契約を結んでいる従業員については、主に以下の情報が個人情報という扱いになります。
・氏名
・住所
・生年月日
・職歴
・給与
・健康情報
・雇用情報(所属部署、雇用形態、役職、等級、入社年月日、退社年月日など)
・評価データ など
基本的な情報から、JAPHICマーク取得企業が情報を管理する際のすべてが従業員の個人情報に該当します。
そのため、当然雇用する従業員が多いJAPHICマーク取得企業ほど、これらの個人情報の管理は難しくなります。
ちなみに従業員には、正社員のほか契約社員やパートタイマー、アルバイトなども含まれています。
従業員の個人情報における利用目的
JAPHICマーク取得企業は、所属する従業員の個人情報であれば好きに利用できるというわけではありません。
確かに顧客や取引先などに比べると、従業員は第三者とは言えない存在だと言えます。
しかし、法律上は顧客や取引先などと同じように個人情報を管理する必要があり、その情報を利用する際はあらかじめ利用目的を定めなければいけません。
また従業員の個人情報の利用目的については、主に以下のことが挙げられます。
詳細人事・労務 給与計算、社会保険の手続き、人事考課、研修、解職・退職など
健康管理 健康診断、ストレスチェックなど
その他 業務上の連絡、福利厚生の提供、従業員教育など
もちろんこれらの目的で個人情報を利用する旨については、従業員に前もって伝えておき、同意を得なければいけません。
目的外利用については、当然禁止されています。
目的外利用は、あらかじめ明示的に告知・同意を得た目的以外の用途に個人情報を使うことです。
従業員の個人情報の取り扱いにおけるその他の注意点
JAPHICマーク取得企業における従業員の個人情報は、目的外利用ができませんが、利用目的を変更することはできます。
しかし、このときも本人の同意を得る必要があります。
変更前の利用目的と関連性のない変更や、本人が予想できないような変更は認められません。
また目的の具体性の不足も、変更が認められない可能性があります。
例えば“当社事業活動のための利用”などと明示しても、従業員は具体的に何のために個人情報を利用するのかわからないため、変更事項としてはふさわしくありません。
ちなみに、JAPHICマーク取得企業の中には、自社のホームページを運用しているところもあるでしょう。
このとき、従業員の個人情報をホームページに無断で掲載するのはNGです。
たとえ自社の従業員であっても、前述した個人情報を掲載する際は許可が必要です。
さらに従業員の履歴書については、採用活動以外の目的で閲覧することが禁止されています。
従業員がJAPHICマーク取得企業に入社したときに提出した履歴書は、取得に際し、採用選考に使用する等の旨を伝えているはずです。
そのため、それ以外の目的においては、閲覧することさえも原則不可になります。
履歴書は従業員の個人情報が多く記載されているため、特に取り扱いに注意しなければいけません。
まとめ
JAPHICマーク取得企業の個人情報保護体制は、顧客や取引先だけでなく、従業員についても完璧に近くなければいけません。
そうでなければ、個人情報が漏えいして信用が低下したり、マークを更新できなかったりする可能性があります。
もちろん従業員との間にトラブルが起こると、生産性が低下したり離職者が増加したりすることも考えられるため、注意してください。
