採用活動で応募者の個人情報を担当者が流出してしまったら? 企業の情報漏えい対策

オンライン面接のイメージ

採用活動で応募者の個人情報を採用担当者が流出してしまった場合、企業はどのような対応を取るべきなのでしょうか。その際のペナルティや個人情報保護法による企業の義務、改正個人情報保護法による採用活動への影響などについて、弁護士法人ブレイス・弁護士の渡邉直貴さんに伺いました。

求人を掲載

個人情報の取り扱いに関する事業者(企業)の義務

事業者(企業)は「個人情報保護法」により、業務上で得た個人情報を適切に扱う義務を負っています。個人情報の取り扱いに関する義務のポイントは以下のとおりです。

 

◆取得・利用

1. 利用目的の特定・通知

収集した個人情報をどんな目的に利用するのかを具体的に特定して、本人に通知または公表しなければなりません。また、その目的以外に利用してはいけません。

 

◆保管・管理

2. 安全管理措置

個人情報漏えい防止のため、セキュリティ面での安全管理措置を講じる必要があります。利用しなくなった個人情報を完全に消去することも重要です。

 

3. 従業員・委託先の監督

個人データ管理責任者を選任し、当該責任者や個人情報取り扱い者に対して、必要な教育・研修を行う必要があります。また、個人情報の入力・編集などの処理を外部に委託する場合は、委託先に対する監督義務があります。

 

◆第三者提供

4. 第三者提供における本人の同意

第三者に提供する場合は原則として、本人に同意を得る必要があります。ただし、災害などで人の生命の保護に必要だが本人の同意を得ることが困難であるなどの事情があれば、例外的に本人の同意なく第三者に提供できる場合があります。

 

5. 第三者提供の記録・保存

いつ、誰から誰に、どのようなデータを提供・受領したのか記録して保存する必要があります。また、受領の際に、不正に取得されたデータでないか確認が必要です。

 

◆開示請求等の対応

6. データの開示

本人からデータの開示を求められた場合、原則として開示が必要です。

 

7. 苦情処理

個人情報の処理に関して苦情が寄せられた場合は、適切・迅速に対応する必要があります。

 
Indeed (インディード) | はじめての求人投稿、初期設定を電話でサポート! | 詳しくはこちらIndeed (インディード) | はじめての求人投稿、初期設定を電話でサポート! | 詳しくはこちら

「改正個人情報保護法」の改正ポイント

2022年4月、「改正個人情報保護法」が施行されました。以下は、主な改正ポイントです。

1.個人情報の開示請求などの対象拡大

改正前と改正後の大きな変化は、「個人情報の利用停止・消去を請求できる権利」が拡充されたことです。改正前は「目的外利用」「不正取得」「第三者提供義務違反」の場合に限定されていました。改正後は新たに「利用する必要がなくなった場合」「重大な漏えい等が発生した場合」「本人の権利または正当な利益が害されるおそれがある場合」が追加されました。

 

2.情報を漏えいした際の報告の義務

改正前は情報漏えいを起こしても報告義務がありませんでしたが、改正後は「個人情報保護委員会と本人への報告」が義務化されました。

 

採用活動における個人情報取り扱いの注意点

採用活動における個人情報には、第一に履歴書などの応募書類があります。採用者に関しては企業で保管することになりますが、不採用者についての対応は企業によって異なります。
 
個人情報保護法に応募書類の返却に関する規定はありません。しかし、採用活動終了に伴い、前述した個人情報取り扱いのポイント1)の「利用目的の特定・通知」を達成している以上、不採用者の応募書類は速やかに返却、もしくは破棄(削除)することが求められます。メールなどからダウンロードした書類のデータはもちろん、やりとりしたメール自体を削除するのが好ましいでしょう。
 
個人情報保護法の改正によって新たに発生する、応募者による利用停止・消去の請求権の存在も踏まえて、必要がなくなった履歴書などについては、より慎重に対応しなければなりません。トラブルを招かないためにも、確実に応募書類の返却を行うか、できない場合はあらかじめ適切な対応方法を応募者に周知させておく必要があるでしょう。

 

応募者の個人情報を流出してしまった場合の法的罰則

現行の個人情報保護法では、不正な利益を得る目的がある場合を除き、個人情報漏えい自体を罰する規定はありません。
 
ただし、企業が個人情報保護法に基づく命令に従わず、適切に対応しない場合には罰則が科されることがあります。この処罰については、改正により厳罰化されています。

 

◆個人情報保護委員会からの命令に違反した場合

1年以下の懲役または100万円以下の罰金

 

◆不正な利益を得る目的をもって個人情報を漏えいした場合

1年以下の懲役または50万円以下の罰金
 
刑事上の罰則が科されなかったとしても、民事上で損害賠償責任が発生する可能性があります。賠償金額はケースバイケースですが、一人あたり数千円から数万円が相場です。個人情報の漏えいが多人数におよべば、数千万円単位の賠償額となるリスクがあります。中小企業にとっては死活問題となるので注意が必要です。

 
Indeed (インディード) | 日本で世界でNo.1 Indeedで求人掲載してみませんか | 詳しくはこちらIndeed (インディード) | 日本で世界でNo.1 Indeedで求人掲載してみませんか | 詳しくはこちら

採用活動における個人情報漏えいのうっかりミス

現代のIT社会においては、個人情報は紙ではなくデータで保存されるのが一般的です。特に近年、クラウド技術の進展により、多くの企業で個人情報を含む大多数の情報がネットワーク上に保管されています。
 
よくある漏えいの事案として、個人情報のデータをインターネット上で誰でも閲覧可能な状態に設定してしまったという、うっかりミスが挙げられます。
 
また採用活動では、応募者には応募書類を破棄したと伝えていたにもかかわらず、実際には保管されたままになっており、情報漏えいをきっかけにこの事実が明るみになってしまったという事案もありました。

 

個人情報漏えいの発覚で企業が取るべき措置

個人情報の漏えいが発覚した場合、次の6つについて必要な措置を講ずることが望ましいとされています(個人情報保護委員会)。

 

◆個人情報を漏えいしてしまった際の対処

  1. 事業者内部における報告および被害の拡大防止
  2. 事実関係の調査および原因の究明
  3. 影響範囲の特定
  4. 再発防止策の検討および実施
  5. 影響を受ける可能性のある本人への連絡
  6. 事実関係および再発防止策等の公表

前述したように、改正個人情報保護法では「個人情報保護委員会と本人への報告」が義務化されました。漏えいが発覚したら、必ず報告を行ってください。

 

情報管理の明確なルール化と運用状況のチェックが必須

情報漏えいが発生する前にしっかりと防止することが何よりも重要なのはいうまでもありません。
 
IT社会の進展は便利である反面、誰でもアクセスできる状態にすることも可能なため、情報漏えいのリスクがより増大します。管理ソフトなどの設定やID、パスワードの管理についてルールを明確に定めるなどして、適切に管理することが求められます。
 
さらには、定めたルールがきちんと遵守されているかどうか、ルール策定後の運用状況の管理も非常に重要になってくるでしょう。

 

※記事内で取り上げた法令は2022年9月時点のものです。
 
<取材先>
弁護士法人ブレイス 弁護士 渡邉直貴さん
京都大学法学部卒業。弁護士としてのモットーは「局地的な勝敗」ではなく「終局的な解決」。お客様がより幸せになれる終局的な解決に向けた多面的なアドバイスで、安心感と満足感を与える法的サービスを提供。税理士・社労士・メンタルヘルスマネジメントⅠ種の資格も有している。
 
TEXT:塚本佳子
EDITING:Indeed Japan + 南澤悠佳 + ノオト


 
マンガで解説 Indeedで求人をはじめよう!ダウンロードはこちら 

求人を掲載
準備はできましたか?求人を掲載

*ここに掲載されている内容は、情報提供のみを目的としています。Indeed は就職斡旋業者でも法的アドバイスを提供する企業でもありません。Indeed は、求人内容に関する一切の責任を負わず、また、ここに掲載されている情報は求人広告のパフォーマンスを保証するものでもありません。