採用活動における個人情報の取扱い|個人情報保護法のルールを弁護士が解説

    事業者が採用活動を行う際には、候補者から受け取った個人情報(個人データ)の取扱いについて、個人情報保護法のルールを遵守する必要があります。

    今回は最新の法改正を踏まえて、事業者が遵守すべき個人情報保護法の主なルールをまとめました。

    採用活動において事業者が取得する個人情報の例


    事業者が採用活動を行う際には、候補者に関するさまざまな個人情報を取得します。

    (例)
    ・候補者の氏名
    ・候補者の住所
    ・候補者の学歴、職歴
    ・候補者が有する資格
    ・候補者に対する面接の記録
    ・候補者から提出された履歴書データ
    ・候補者に係る採否の結果
    など

    なお、データベースで管理されている個人情報は「個人データ」と呼ばれます。

    事業者がこれらの個人情報(個人データ)を取り扱う際には、個人情報保護法のルールを遵守しなければなりません。

    個人情報の取扱いには、段階ごとに注意が必要


    個人情報保護法では、以下の各段階に関して、個人情報(個人データ)等の取扱いにつき細かくルールを定めています。

    事業者としては、段階ごとに定められたルールを正しく理解したうえで、その遵守を徹底する必要があります。

    (1)個人情報の取得
    (2)個人情報の利用
    (3)個人情報の管理
    (4)個人情報の第三者提供
    (5)個人情報の加工
    (6)本人による請求への対応

    次の項目から、上記6つの段階における個人情報(個人データ)の取扱いルールと、採用活動を行う企業のチェックポイントを見ていきましょう。

    個人情報保護法のポイント(1)|個人情報の取得


    個人情報を取得するに当たっては、偽りその他の不正な手段を用いてはなりません。
    また、要配慮個人情報(取扱いに特に注意を要する個人情報)を取得する際には、事前に本人の同意を得る必要があります(個人情報保護法20条)。

    さらに事業者は、個人情報の利用目的をできる限り特定する必要があります(同法17条)。
    個人情報の利用目的は、あらかじめ公表するか、取得時において本人に通知しなければならないのが原則です(同法21条)。

    <採用活動を行う企業の主なチェックポイント>
    ・個人情報の取得目的や管理方法などを、候補者に対して正確に伝える。
    ・採用ページなどに個人情報の取得目的(=採用選考に関して利用すること)を明記する。

    個人情報保護法のポイント(2)|個人情報の利用


    事業者は原則として、本人の事前同意を得ることなく、利用目的の達成に必要な範囲を超えて個人情報を取り扱うことが禁止されています(個人情報保護法18条)。

    また、違法・不当な行為を助長し、または誘発するおそれがある方法によって、個人情報を利用することは認められません(同法19条)。

    さらに、事業者は個人データを正確かつ最新の内容に保つこと、利用の必要がなくなった場合には遅滞なく消去することの努力義務を負います(同法22条)。

    <採用活動を行う企業の主なチェックポイント>
    ・採用活動の一環として取得した個人情報は、採用担当者を含めた必要最小限度のメンバー間でのみ共有する(目的外利用や不正利用を防止するため)。
    ・採用選考の終了後、候補者に関する個人データを遅滞なく消去する。

    個人情報保護法のポイント(3)|個人情報の管理


    事業者が個人データを管理するに当たっては、漏えい・滅失・毀損の防止をはじめとして、安全管理のために適切な措置を講じることが義務付けられています(個人情報保護法23条)。

    また、従業員に個人データを取扱わせる場合や、他社に個人データの取扱いを委託する場合には、事業者は必要かつ適切な監督を行わなければなりません(同法24条、25条)。

    万が一、保有個人データの漏えい・滅失・毀損などが生じた場合には、原則として個人情報保護委員会に対する報告と、本人に対する通知を行う必要があります(同法26条)。

    <採用活動を行う企業の主なチェックポイント>
    ・候補者の個人データについて、以下に挙げるような安全管理措置を講じる。
    (a)情報セキュリティに関する社内規程や部署の整備
    (b)従業員に対する情報セキュリティ研修
    (c)重要なファイルに対するパスワードやアクセス権の設定
    (d)システム上のセキュリティ強化
    など
    ・候補者の個人データを取り扱う従業員に対して、情報セキュリティに関する研修を行う。
    ・従業員向けの個人データの取扱いマニュアルを整備する。
    ・委託先に対して、個人データの取扱いに関する契約上の義務を課す。

    個人情報保護法のポイント(4)|個人情報の第三者提供

    事業者が個人データを第三者に提供する場合、原則として本人の事前同意を得なければなりません。
    さらに、第三者提供時には提供記録を作成・保存する必要があるほか、他の事業者から個人データの提供を受ける場合には、取得経緯などを確認することが必要です(個人情報保護法27条~30条)。

    <採用活動を行う企業の主なチェックポイント>
    ・採用活動の一環として取得した個人データは、原則として他の事業者に提供しない。
    ・グループ会社との間で候補者の個人データを共有する場合には、本人の事前同意を得る。

    個人情報保護法のポイント(5)|個人情報の加工


    個人情報を加工して「仮名加工情報」または「匿名加工情報」を作成する場合、個人情報保護ガイドライン*1に従って作成し、かつ安全管理措置を講じる必要があります(個人情報保護法41条1項、2項、43条1項、2項、46条)。

    仮名加工情報:他の情報と照合しない限り、特定の個人を識別できないように加工された個人に関する情報

    匿名加工情報:復元不可能な形で特定の個人を識別できないように加工した個人に関する情報

     

    <採用活動を行う企業の主なチェックポイント>
    ・候補者の個人情報を加工したデータを用いてプレゼン資料などを作成する際には、個人情報保護ガイドラインの内容に十分留意して作成、管理を行う。

    個人情報保護法のポイント(6)|本人による請求への対応


    事業者の保有個人データについては、本人による開示請求、訂正・追加・削除請求、利用停止・消去請求が認められる場合があります(個人情報保護法33条~38条)。
    事業者は、請求が個人情報保護法上の要件を満たしていると判断した場合、遅滞なくそれに応じた措置を講じなければなりません。

    なお、事業者は以下の各事項について、本人による請求を受け付ける方法を定めることができます(同法37条1項、同法施行令12条)。

    ・請求の申出先
    ・請求に際して提出すべき書面(電磁的記録を含む)の様式、その他の請求の方式
    ・請求者が本人または代理人であることの確認方法
    ・手数料の徴収方法

     

    <採用活動を行う企業の主なチェックポイント>
    ・本人による開示請求等を受け付ける方法を定める(事務処理の便宜のため)。
    ・開示請求等の当否を審査する担当者を定める。
    ・開示請求等の審査担当者は、個人情報保護法に基づく各請求の要件に習熟する(研修やマニュアルの整備など)。

    まとめ


    採用活動を行う企業は、候補者の個人情報(個人データ)の取扱いに関して、個人情報保護法の多岐にわたるルールを踏まえる必要があります。

    個人情報保護法は、数年に1度のペースで法改正が行われますので、常に最新の法規制を把握・理解するように努めてください。

    wp01-2

    お役立ち資料のご案内

    適性検査eF-1Gご紹介資料

    ・適性検査eF-1Gの概要
    ・適性検査eF-1Gの特徴・アウトプット
    ・適性検査eF-1Gの導入実績や導入事例

    ≫ 資料ダウンロードはこちら
    著者:阿部 由羅(あべ ゆら)
    ゆら総合法律事務所代表弁護士。西村あさひ法律事務所・外資系金融機関法務部を経て現職。事業者法務・ベンチャー支援・不動産・金融法務・相続などを得意とする。その他、一般民事から事業者法務まで幅広く取り扱う。各種webメディアにおける法律関連記事の執筆にも注力している。
    https://abeyura.com/
    https://twitter.com/abeyuralaw

    *1
    「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」個人情報保護委員会 p8~13、p33~43
    https://www.ppc.go.jp/files/pdf/211029_guidelines04.pdf