従業員の個人情報収集・処理における
企業の告知と同意取得について
馮超 森康晃 陸益凡
泰和泰(北京)法律事務所
ビッグデータ及び情報時代の到来に伴い、個人情報の保護は、
徐々に個人や企業にとって最も重要な関心事となる法律問題の一つとなってきています。
2021年11月1日に施行される『個人情報保護法』(以下、「個保法」と称す)は、
個人情報保護に関連する法的規範の系統性及び運用性を大きく改善し、
社会全体における個人情報の権利意識を高めてきました。
『データセキュリティ法』や『個人情報保護法』の施行により、
企業は個人情報の収集、使用、処理について、
より厳格なコンプライアンスを求められるようになったため、
従業員の個人情報の収集、使用、処理が徐々に注目されてきています。
インターネットビジネスサービスを本業としておらず、
ユーザーから個人情報データを収集していない企業などでも、
従業員の個人情報の収集、使用、処理に関わることは避けられないと、
あらゆる業種の企業が認識しているようです。
『個人情報保護法』は、さまざまな企業において、これらの分野で依然として重要な規範的役割を担っています。
現在、従業員の個人情報規範の問題については、中国は
『民法典』『労働契約法』『個人情報保護法』『ネットワークセキュリティ法』『データセキュリティ法』
をシステムとして個人情報保護システムを形成しており、
そのうち『民法典』は個人プライバシー権を通じて個人情報及びその他の権利を保護し、
『個人情報保護法』はこのシステムの中核となる最も重要な法律として、
個人情報に対して具体的な措置を規定しています。
従業員の個人情報の越境移転に関しては、『ネットワークセキュリティ法』『データセキュリティ法』及び
『個人情報保護法』が相互に連携して規範しています。
これらの法規範は、企業における個人情報データの管理について、具体的かつ厳格な要求を定めています。
従業員の個人情報の不適切な取り扱いは、
企業にとって情報及びデータのコンプライアンス上のリスクをもたらす可能性があるため、
企業コンプライアンスでの重要な内容となっています。
企業が従業員の採用、勤怠管理、人事考課、給与支払い、社会保険、関連会社間の従業員移動、契約管理など
必要な人事管理活動を行う場合、必然的に従業員の個人情報を収集、保存、使用、共有、提供することになります。
これらの活動において、企業が自らの経営ニーズに法律かつコンプライアンスに従い、
『個保法』に定められた個人情報保護に関する義務を果たし、
自らの状況に適した個人情報保護制度とコンプライアンス体制を構築し、
情報活用と保護のバランスを模索することは、企業にとって緊急の課題であります。
『個人情報保護法』の8章74条を分析し、
個人情報の定義や適用範囲、個人情報の処理に関する原則やルール、個人情報の越境移転に関するルール、
個人情報処理活動における本人の権利や情報処理者の義務、個人情報保護に関する業務を行う部門、
及び法律違反に対する法的責任など
個人情報の発生から削除までのサイクルに関わりうる重要な法律問題をすべて網羅しています。
すべての情報収集・処理活動の基礎・出発点には、情報処理者と個人との間の告知と同意のルール、
すなわち企業の開示・明示的な告知義務と個人の同意の権利が含まれます。
「告知-同意」のルールは、
『個保法』における個人情報の処理に関する公開性と透明性の原則を具体化したものであるとともに、
企業が果たすべき重要な義務であり、『個保法』による個人情報の処理活動の中核となるものです。
企業は、従業員の個人情報を収集・処理する際に、従業員に告知し、同意を得ることが求められているため、
本文では、『個保法』の「告知-同意」ルールの見直しを通じて、
従業員に個人情報の収集・処理の具体的な内容について告知し、
同意を得るための社内制度や文書の整備について、企業へのアドバイスを提供することとします。
一、『個保法』に基づく個人情報の収集・処理の際に企業の告知義務について
(一)企業の告知事項
『個保法』第7条、第13条、第14条の規定によれば、企業は公開性と透明性の原則に従い、
法的許可や本人の同意に基づくかどうかにかかわらず、
個人情報の収集と処理の目的、方法、範囲などについて従業員に告知しなければならないと規定しています。
『個人情報保護法』第17条は、
より具体的に「個人情報処理者は、個人情報を処理する前に、目立つかつ分かりやすい言葉で、
真実、正確かつ完全に次の事項を本人に告知しなければならない」と規定しています:
「個人情報の処理者の名称または氏名及び連絡先;
個人情報の処理の目的、処理の方法、処理される個人情報の種類及び保存期間;
本法に基づく個人の権利行使の方法及び手続き;
その他、法律及び行政規則で定められた告知事項。」
上記の条文によれば、企業が従業員に対して、
企業の人事管理の遂行に必要な個人情報の収集・処理活動について、
社内文書や契約書を通じて告知する場合、
従業員に告知すべき内容は、通常以下の内容が含まれています:
企業による個人情報の収集・処理の目的と適用範囲、企業の基本情報(名称、住所、連絡先)、情報収集範囲(情報の種類、出所、収集方法、収集の時間及び場所)。
情報使用及び処理方法は情報処理の方法及び手続き、使用目的、また労働契約の履行、報酬及び福利厚生管理、保険及び福利厚生管理、人材配置及びセキュリティ措置などの使用範囲など、そのほか、従業員の個人情報の第三者組織または個人への提供または共有、情報の保存、送信、処理、バックアップ、削除及び廃棄、セキュリティ対策などの情報保護措置など。
従業員が個人的権利を行使できる方法、情報の有効期間と保存期間、従業員が同意を確認できる方法など。
また、企業が敏感な個人情報の収集及び処理に関与する場合、
同法第30条に基づき、
敏感な個人情報の処理の必要性及び個人の権利に与える影響について
従業員に告知する必要があります。
企業が従業員の個人情報を他の個人情報処理者または国外に提供することに関与する場合、
同法第23条及び第39条に従い、
従業員に対し、受取人の名称、連絡先、処理目的、処理方法及び個人情報の種類、
ならびに国外の受取人に対する本人の権利行使の方法及び手続きなどを告知することが必要です。
(二)企業が告知義務を履行する時間
従業員が個人情報を提供する前に、雇用側である企業が従業員に知らせる義務を果たすことが求められています。
(三)企業の告知義務についての要求
上記の規定は、企業に対して
「個人情報処理者は、個人情報を処理する前に、目立つかつ分かりやすい言葉で、真実、正確かつ完全に次の事項を本人に告知しなければならない。」
と求めています。
『個保法』のこの規定は、EUのGDPRの第12条と同様で、即ち
「管理者は、第13条及び第14条に言及する処理に関するあらゆる情報、ならびに第15条から22条及び34条に規定する、特に、子どもを対象としたあらゆる情報を、簡潔、透明、分かりやすいかつアクセス可能な形式でデータ主体に提供するために適切な措置を講じなければならない」。
また、個人情報の収集と処理の完全性と正確性について責任を負い、
告知する情報が真実、正確かつ完全であることにし、
従業員に提供する情報が実際の処理と一致しているようにし、
内容に変更があった場合には、速やかにその変更を伝え、再度同意を得ることを徹底するものとします。
(四)個人情報の保存期間の告知:最短期間
『個保法』の最小範囲の原則(第6条)は、
企業が個人情報を収集・処理できる範囲を2つの方面から制限し、
個人情報の処理が個人の権利と利益に最も影響を与えないことを要求し、
企業は個人情報を過度に収集せず、処理目的を満たすために必要な最小範囲に限定し、
この厳密に限定された範囲内で収集・処理することを要求しています。
この原則の延長線上に、企業による個人情報の保存期間と利用期間も最小限の範囲に限定されるべきです。
インターネットやデータ処理業務を行わない大多数の企業では、
従業員の雇用契約が終了または解除されると、個人情報を保存・処理する目的が徐々に失われ、
情報を保存・処理する必要性が低くなるため、企業による個人情報の保存と使用期間は限定されるべきです。
目的が達成して期間が終了する際に、それらのデータは必然的に削除・廃棄に迫られます。
個人情報を保護し、データの漏洩を防ぐために、
企業は個人情報を収集・処理した目的を達成するための最短期間は保存期間であることを明確にし、
その期間を従業員にできるだけ明確に知らせる必要があります。
企業は雇用者として従業員の情報を処理することの期間について、すでに法的規制がありました。
まず、『労働契約法』第50条では、
雇用者、解約または解除された雇用契約の書類を少なくとも2年間、
検査のために保存しなければならないと規定し、
『賃金支払暫定施行規定』第6条でも、
雇用者は労働者に支払った賃金の金額、時間、受取人の氏名及び署名を書面で記録して、
検査のため2年間保存しなければならないと規定しています。
第二に、関連する法的規定がない場合、個人情報の保存期間が長くなればなるほど、
漏洩や紛失の可能性が高くなるため、
雇用者である企業が、『個保法』第19条に基づき、企業の実情を考慮して、
個人情報の保存期間を目的達成に必要な「最短期間」に限定し、従業員に告知することを推奨します。
(五)権利行使の方法について告知
企業は、従業員の個人情報を収集・処理する前に、
『個保法』第4章で規定される「個人の個人情報処理活動における権利」及び権利を行使するための有効な方法、
例えば、従業員は個人情報の訂正・追加、削除、同意の撤回を求める方法なども告知しなければなりません。
二、企業による従業員の個人情報の収集と処理に関する個人同意の取得の義務
(一)企業が従業員の個人情報を収集・処理できる法的許可状況。
『個保法』における個人情報の処理の中核は「告知-同意」ルールです。
しかし、現実には、企業が日常経営や人事管理のために従業員の個人情報を取得し、
取り扱わなければならないことが多いです。
そのため、法律では企業が従業員の個人情報を取得する場合と、
企業がユーザーの個人情報を商業業務のため取得する場合と、その基礎を異にしており、
後者の方が「同意」ルールが厳しく、取得にはユーザーの明示的かつ個別の同意が必要となります。
前者については、『個保法』第13条1項2号が新設され、
「本人が当事者である契約の締結もしくは履行に必要なもの、
又は法律に従い定められた労働規則及び締結する労働契約に基づく人事管理の実施に必要なもの」
という人事管理上の必要性に基づいて従業員の個人情報を処理する権利が使用者に直接付与されています。
このほか、同条は、企業が本人の同意を得ることなく従業員の個人情報を処理することができる状況として、
以下の4つを規定している:
人民法院、人民検察院、公安機関の要請による提供、また労働仲裁の開始、訴訟、訴訟への対応を目的とした労働者人事紛争仲裁委員会または人民法院への情報提供など、法的役割または法的義務の履行に必要な場合;
公衆衛生上の緊急事態に対応するため、または緊急事態における自然人の生命、健康及び財産を保護するために必要な場合。例えば、新型コロナの予防及び制御のために、疫病予防指揮弁公室などの政府部門に従業員に関する情報を提供する場合。
報道、世論監察、その他公益を目的とした行為を行うために、従業員の個人情報を合理的な範囲内で処理する場合;
個人が自ら開示した個人情報、その他合法的に開示された個人情報を、『個人情報保護法』の規定に従って合理的な範囲内で処理する場合。
『個保法』第13条の上記の分析により、
企業は、採用、雇用、雇用契約の履行期間中に、
従業員の氏名、生年月日、電話番号、住所、給与、学歴、職歴、
その他人事管理上通常収集する情報を含むがこれに限定されない基本的に特定できる個人情報を
収集、処理するにあたり従業員の同意を得る必要がありません。
しかし、『個保法』では、
雇用者がこの規定を濫用し、企業が収集・処理する個人情報の範囲が恣意的に拡大することを避けるため、
人事管理の実施に合理的限定を設け、「労働規則の策定または労働契約の締結」によって、
雇用者が人事管理の実施に必要な個人情報の範囲を定め、従業員に告知しなければならないと規定しています。
(二)法律で認められている以外の非必要な個人情報の収集・処理について、従業員の同意を得る義務。
その他法律で認められる範囲を超える場合、
例えば人事管理の実施に必要でない個人情報の収集・処理について、
会社は従業員の署名入り同意書を取得し、
従業員が結果を明確に知らされた場合に情報提供を拒否する権利を保障することが求められています。
例えば、婚姻状況、宗教信仰、基本的でない健康情報(例:感染症、病歴)、家族状況など、
一般的に雇用契約に直接関係するまた必要とされると思われない情報があります。
これらの情報を収集する場合は、応募者または従業員本人の同意を得るものとし、
相手方が同意しないことを理由に雇用契約を拒否または解除することはできません。
また、企業が従業員に対して、個人向け福利厚生を提供する場合、
例えば従業員とその家族のための商業保険、旅行サービス、健康診断または住宅手当や車手当など、
個人及び家族の識別情報や健康情報の収集・利用が必要となる場合や、
勤怠管理のための顔認証や企業広報のための従業員の肖像利用を予定している場合、
これらの情報は人事管理の実施に必要な情報ではなく、
必要性が十分でなく、収集及び処理前に従業員の同意を必要とし、
従業員に対して個人情報の提供を強制しないものとします。
(三)個人情報の収集・処理に関連する状況が変化した場合、従業員の同意を再度取得する義務。
『個保法』第14条の規定に基づき、個人情報の処理目的、処理方法、個人情報の種類を変更する場合は、
従業員に告知し、適時、再度同意を得るものとします。
企業の同意取得は従業員の自由意志を尊重すべきで、
同意を得た場合、企業は、『個保法』第15条の規定に基づき、
従業員に同意を撤回する権利を認め、そのための便宜を図るものとします。
三、その他、個人情報の収集・処理について、企業が従業員の個別同意を得る必要がある場合
『個保法』第13条は、企業が個人情報を処理する際に本人の同意を得る必要がない場合をいくつか列挙しているが、
同法第7条、第13条第1項第1号、第14条により、
多くの場合、企業による個人情報の処理について従業員に知らせ、
本人の明示の同意を得るという原則と義務があることは変わりません。
さらに、個人情報の開示の方法は、同法第17条第2項により、
「公開し、かつ、容易に閲覧できる状態に置かなければならない」とされています。
企業による個人情報の収集・処理の状況にかかわらず、
同意を得なければならないか否かにかかわらず、
従業員に対して公開し、容易に閲覧できるようにすることが原則であることが明らかであります。
同法の他の具体的な規定によると、
企業は、以下の理由で個人情報を収集・処理する場合、
従業員の個別同意を得なければならないとします。
(一) 企業は、敏感な個人情報を収集・処理する場合、「本人に告知し、個別同意を得る」必要があります。
『個保法』では、敏感な個人情報を法的なレベルで定義し、その処理について具体的なルールを定めており、
敏感な個人情報の処理は、個人情報保護に関する重要な課題として無視することができません。
『個保法』第29条は、
「敏感な個人情報の処理については、個人の同意を得なければならない。敏感な個人情報の処理について、法律又は行政規則で書面による同意を得なければならないと規定されている場合には、その規定を適用する。」
と規定しており、
同法第30条は、
「個人情報の処理者が敏感な個人情報を処理場合には、同法の規定により本人に告知しなくてもいいことを除き、同法第17条第1項に定める事項のほか、敏感な個人情報の処理の必要性及び個人の権利利益に及ぼす影響について、本人に告知しなければならない。」
と規定しています。
『個保法』第28条では、敏感な個人情報を、漏洩したり不正に利用されたりすると、
自然人の人間としての尊厳が容易に侵害され、
その身体や財産の安全が脅かされるおそれがある個人情報と定義しており、
生体情報、宗教信仰、特定の身分、医療健康、金融口座、行方などの情報、
14歳未満の未成年者の個人情報などが含まれます。
実際には、収集した情報が「敏感な個人情報」に分類されるべきかどうかわからない場合、
GB/T 35273-2020『情報セキュリティ技術 個人情報セキュリティ規範』(以下、『国標GB/T 35273と略す)
第3条2項及び同付属書Bに参照することができます。
|
個人財産情報 |
銀行口座、本人確認情報(パスワード)、預金情報(資金量、支払・受取記録等)、不動産情報、融資情報、信用情報、取引・消費記録、フロー記録等、及び仮想通貨、仮想取引、ゲーム交換コード等の仮想財産情報。 |
|
個人健康生理情報 |
病状、病院記録、診療指示、検査報告、手術・麻酔記録、投薬記録、薬物・食物アレルギー情報、生育情報、過去の病歴、治療歴、家族病歴、現病歴、感染症歴等の医療に関する個人記録など。 |
|
個人生体情報 |
個人の遺伝子、指紋、声紋、掌紋、耳、虹彩、顔認識特徴など。 |
|
個人識別情報 |
身分証明書、軍官証、パスポート、運転免許証、労働許可証、社会保障カード、居住証など。 |
|
その他の情報 |
性的指向、結婚歴、宗教信仰、未公表の違法犯罪歴、通信記録及びその内容、名簿、友人リスト、グループリスト、行方、ウェブ閲覧記録、宿泊情報、正確な位置情報など。 |
敏感な個人情報の特殊性から、企業は当該情報を収集・処理する際に、
より高度な注意を払い、合理性、必要性を第一に考慮し、
収集・処理前に従業員に事前に告知し、個別同意を得る義務を厳格に履行する必要があります。
(二)企業は、中国国外で収集・処理された個人情報の提供について、「本人に告知し、個別同意を得る」必要があります。
中国国外に企業による個人情報の提供は、個別同意が必要です。
『個保法』第39条は、
「個人情報処理者が中華人民共和国外で個人情報を提供する場合、本人に海外の受取人の名称、連絡先、処理目的、処理方法、個人情報の種類、本人が海外の受取人に対して本法に基づく権利を行使する方法及び手続きを告知し、本人の個別同意を取得しなければならない。」
と規定しています。
企業のデータ処理が越境移転を伴う場合、関連する情報の内容について別途告知し、
明示的な同意を得る必要があり、越境移転される情報に敏感な個人情報が含まれる場合、
告知には、敏感な個人情報の処理の必要性や個人の権益への影響など、
前述した告知すべき内容も含める必要があります。
多国籍企業の場合、従業員の人事管理及び従業員の移動に伴い、個人情報の越境移転が多く、
例えば従業員の個人情報を海外本社(送信、アクセス)又はその他の海外パートナー、
投資家、第三者、サービス提供商、管理監督機構などと共有する場合は、
企業は事前に従業員に告知して同意を得る必要があります。
告知の内容は、越境移転される個人情報の範囲や海外の受取人の情報だけでなく、
越境移転される個人情報の権益にもたらすリスク、
海外の受取人が個人情報の安全を守るために具体的な措置を取ることができるか、
個人情報が改ざん、破損、漏えい、紛失した後に個人情報の権益を守るための経路など、
情報の処理方法や保護措置など様々な側面を含む必要があります。
一般に、個人情報を中国国外に転送する場合、
中国の『個保法』及びEUのGDPRは、個人情報処理業者に対し、
国外に保存、使用及び転送される個人情報及びデータについて、
少なくとも国内と同じレベルの保護をユーザー又は従業員に提供することを求めています。
(三)個人情報を第三者に提供または共有する際の「本人に告知し、個別同意を得る」必要があります。
『個保法』第23条は、
「個人情報処理者が、自己が処理した個人情報を他の個人情報処理者に提供する場合、本人に受領人の名称または氏名、連絡先、処理目的、処理方法及び個人情報の種類を告知し、本人の個別同意を得なければならない。」
と規定しています。
このような状況に対して、『国標GB/T 35273』の第9.2条には類似した規定があります:
「b) 個人情報の共有又は移転の目的、データの受領者の種類及び起こりうる結果について、個人情報主体に告知し、個人情報主体の事前承認による同意を得る; c) 敏感な個人情報の共有又は移転前に、b)で告知した内容に加えて、さらに個人情報主体に、関係する個人敏感情報の種類、データ受取者の身元及びデータセキュリティ能力を告知し、個人情報主体から事前に明示的な同意を得る。」
上記の規定から、企業が従業員の個人情報を第三者に提供する場合、
前述の告知内容について本人に告知し、個別同意を得なければならず、
また、共有の形で第三者に提供され、その内容に敏感個人情報が含まれる場合、
その告知内容も敏感個人情報の告知内容の要求に準拠しなければならないことが明らかです。
実際、企業が求職者の背景調査を行う必要がある場合、企業は事前に求職者に対して、
個人情報が雇用の背景調査のために企業または第三者の調査サービス提供者に
提供される可能性があることを書面で明確に告知し、
この活動にのみ使用し、相手方の同意を得ること、
時間内に取得できない場合、企業は背景調査終了後に求職者の遡及同意も取得すべきことをお勧めします。
音科(深セン)技術有限公司、陳嘉玲労働契約紛争事件(案号:粤0391民初1973号)において、
原告が被告の同意と許可を得ていなかったまま
被告の個人情報が大量に含まれている背景調査資料を深セン市較真技術有限公司に提供し、
侵害の疑いがあり、そのため資料の真偽と合理性が裁判所に認められていません。
(四)企業は従業員の個人情報を開示する場合、「本人に告知し、個別同意を得る」必要があります。
『個保法』には、個人情報の開示について厳しい規定があります。
同法第25条によれば、雇用者は従業員の個人情報を開示する場合、従業員の個別同意を得る必要があり、
第27条によれば、個人情報が開示された場合でも、従業員は企業の開示を明示的に拒否でき、
個人の権益に重大な影響を与える場合は、個人の同意を得なければならないとされています。
現実には、雇用者が事業展開のために従業員の職務、履歴書、写真、ビデオ情報を開示する必要があり、
さらには懲戒処分を公に知らせ、または第三者の背景調査で開示する必要がある場合は、
その法的リスクに十分留意し、従業員の個別の同意を得る必要があります。
(五)企業は、従業員の個人的な顔や身元識別情報を公共安全以外の目的で使用する場合、「本人に告知し、個別同意を得る」必要があります。
公共の場で収集された個人の顔や身元識別情報は、
『個保法』により「公共安全の維持」の目的に限定されており、
それ以外の目的で利用する場合は、従業員個人の同意が必要です。
四、企業による従業員の個人情報を収集・処理する前に「告知-同意」ルールを遵守するためのアドバイス
(一)従業員からの個人情報の収集を最小限にとどめ、当該情報の処理について明確かつ具体的で合理的な目的を告知すること。
『個保法』第5条は、同法第一義的原則である適法性、正当性、必要性、誠実性を定め、
必要な場合にのみ個人情報を収集することが、
個人情報処理事業者による情報の収集・処理の前提を構成しています。
第6条の明確性と相関性は第5条の延長で、
個人情報の処理は明確かつ合理的な目的が必要とされ、
情報処理中に例えば収集の範囲、処理の方法は、その目的厳密にをめぐってしなければならない、
その上、第7条に基づき、従業員にその目的、処理の方法及び範囲を告知しなければなりません。
(二)従業員への告知義務は、個人情報の処理に関する規則、労働規則、または法令に基づき労働契約の締結など、様々な方法で果たされること。
「告知」の方法が顕著かつ明確であるという『個保法』の要求に従い、
企業が収集した個人情報を労働規則や労働契約に記載することは、
従業員への集団告知を容易にすると同時に、
企業の人力資源管理を効率的に実施するための方法です。
実際、企業が業務設備を通じて個人情報を収集する場合、
労働規則で従業員に使用する電子メール、コンピュータ、携帯電話など
業務に関連する電子機器及び電子アカウントは「業務設備」であり、業務にのみ使用すること、
及び企業が管理目的でこれらの機器及びアカウントに対する統一監視及び審査を実施することを告知し、
同時に収集目的や処理方法を知らせます。
企業の労働規則や契約は、『個保法』及びその他の関連する法律と矛盾しないように注意する必要があります。
同時に、個人情報の処理に関する規則や従業員の同意書の製作によって告知義務を履行することも、
『個保法』が推奨する方法の一つであり、
企業が処理規則を公開し、閲覧や保存を容易にすることができるようになります。
処理規則及び同意書は、一般的に、雇用に関与する可能性のある雇用者による
従業員の個人情報の収集、保存、使用、加工、送信、提供、開示、削除などの内容が含まれます。
また、多くの従業員は、
個人情報、敏感な個人情報及び個人のプライバシー保護について完全かつ正確な理解が不足しているため、
企業は、従業員に対して、研修や講義でこれらの活動の合理的な範囲及び内容を認識・理解させることもでき、
これを補足的に知らせる方法として利用することができます。
(三)企業が従業員に個人情報の処理規則や同意書、具体的かつ詳細で、告知すべき内容をすべて含むものでなければならないこと。
企業が従業員の個人情報の収集・処理について、規則や同意書などで告知する場合、
『個保法』に規定されている告知すべき内容をすべて網羅し、
基本的な内容を従業員に対して詳細かつ具体的に説明・記載しなければならず、
情報の省略や不完全なものとなるにはいけません。
『個保法』の施行後、多くの企業がコンプライアンス要求を満たすために、
「従業員の個人情報の収集・処理同意書」などの文書を作成しています。
しかし、これらの同意書は、企業による従業員から収集する個人情報の概要が
1段落、あるいは1文程度で示され、具体的な情報が記載されていないことが多く、
曖昧なまま従業員から包括的な同意を得るものになっています。
このような状況は、『個保法』第7条に規定される公開性と透明性の原則に違反し、
情報処理の目的、方法及び範囲、従業員が個人情報に関する権利を行使するための方法及び手続き、
ならびに雇用者が従業員情報を処理するための規則について、
従業員に個別に告知されていないものです。
また、最小範囲の原則により、企業は処理目的を達成するための最小限の範囲で
個人情報を収集し処理する権利しか有しないため、
一括した告知は最小範囲を超えた取集・処理につながる可能性があり、
『個保法』に違反することになるかもしれません。
(四)「個人の個別同意」の告知方法
『個保法』では、個別同意の具体的な形態は定められていません。
しかし、個人の「個別同意」は、個人が十分かつ完全に「知情」になり、
自らかつ明確に「同意」を表明することが必要です。
一般的な意味での「同意」とは異なり、
「個別同意」は個人が同意または拒否を表明する完全な自由を持つことを保証します。
そのため、「個別同意」はより厳格であり、
個人情報を処理者が従業員に個別に説明し、従業員の書面による同意を得ることがよいです。
終わりに
『個保法』の施行後、いくつかの条項の実施については、実務で検討し、
その後の施行規則でさらに明確にする必要がありますが、
企業は、『個保法』ですでに明確化された法的義務に注意を払い、社内規則で実施する必要があります。
特に、従業員の個人情報の収集・処理に関する告知と同意を得る義務は、
人事管理の過程における基本的または複雑な情報処理に関連しており、
企業は『個保法』の要求を満たすために、速やかに個人情報処理の状況の見直しを行い、
実際の状況に従い、従業員に告知し同意を得るための関連文書を準備することをお勧めします。
