社員がスマホを落とすと、会社が法的責任を負う?

知らないと危ない「改正個人情報保護法」のポイント

日本経済新聞出版社

隣の企業はどうしてる?「個人情報保護」従業員への研修・教育

個人情報とプライバシーの取り扱いで、企業の担当者が悩みを持つことも多いと聞きます。

個人情報を取り扱う際には個人情報保護法だけではなく、プライバシー権についても配慮が必要となります。企業の担当者とお話をしていても、皆さん、個人情報保護法についてはしっかり検討なさっています。ただし、個人情報保護法上は問題がなくても、個人のプライバシーを不当に侵害していないのかは、別途考えなければいけません。そこまで考えなければ、企業がサービスをつくることはできないことになります。

具体的にはどんなケースが考えられますか。

たとえば最近の話題でいうと、万引き犯の情報を企業間で共有することが行われ始めていますが、これは、個人情報保護法上はいろいろな解釈があり得ると思います。
個人情報を第三者提供する際には、「人の生命、身体、財産の保護のために必要がある場合であって、本人の同意を得ることが困難なときには本人の同意なく第三者に提供することができる」という例外規定があります。個人情報保護委員会のガイドラインでも、意図的に業務妨害を行う悪質者の情報などは共有しても構わないと例示されています。
万引き犯は窃盗罪という刑法犯なので、個人情報保護法上は、要件を満たしていれば情報の共有は認められると思います。

一方でプライバシーの問題があるわけですね。

そうです。たとえば共有した万引き犯の顔写真を店頭に貼り付けた場合、それはプライバシーを不当に侵害していないか、別途、問題になります。
個人のプライバシーが非常に重要になっている世の中なので、個人情報保護法とは別に、企業の方はぜひともプライバシーを侵害していないかまで検討していただきたいと思います。
今の話でいえば、自分の会社を守るためであれば、万引き犯の情報を企業間で共有してもよいのですが、それを貼り出すことまでしてもいいのか、そのあたりを検討するということです。

個人情報保護法に関しては、従業員教育の重要性もよく言われます。なぜ従業員教育が必須になるのでしょうか?

現在、個人情報は正社員、契約社員、嘱託社員、派遣社員、パート社員、アルバイト社員などあらゆる従業員が取り扱うものになっています。したがって、あらゆる従業員に対して教育することが必要になります。
たとえば、先の話(PART2掲載)のようにスマートフォン(スマホ)に入っているアドレス帳も典型的な個人情報になりますし、「特定の個人を識別することのできる情報」が個人情報なので、ビジネス上の情報であってもすべて個人情報になります。たとえば、従業員の氏名、取引先の担当者の名刺1枚、商品の配送伝票、防犯カメラの映像……これらもすべて個人情報になるのです。
規模を問わず会社・店舗で働いていれば、個人情報を取り扱っていない従業員のほうが少ないと思います。なので、あらゆる従業員に対する教育が必要になってきます。

法律でも従業員教育は定められているのですか。

個人情報保護法では、企業には従業者(役員や従業員だけでなく、派遣社員も含みます)に対する監督義務がありますし、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン」(以下、ガイドライン)でも「人的安全管理措置」として、従業者への周知徹底と教育が義務化されています。周知徹底と教育をしなければ、安全管理措置義務違反ということで企業が個人情報保護法に違反していることになってしまいます。
企業にとって、従業員教育は必須ということです。

従業員教育はどのように行っていけばいいのでしょうか。

ガイドラインには、従業員教育を含めて安全管理措置義務はリスクに応じて適切な措置を講じてくださいと書かれています。したがって、従業員教育もリスクに応じて行うことが重要になります。

リスクに応じて、とは具体的には?

たとえば本社にいて巨大なデータベース、個人情報のカタマリのようなものに触る人と、地方の店舗で接客業務に就く人では取り扱う個人情報の量や内容が異なるので、そのあたりはリスクに応じて行うことになります。会社の規模や取り扱うデータの内容に応じて、適切な対応をしていくことが大事です。
重要な情報を取り扱っている人は1年に一度集めて座学を行うこともあり得ますし、全社的に通信教育を行うこともあり得るでしょう。あるいは、本を買って全員で勉強することもあると思います。従業員がどんな情報を取り扱っているのかを踏まえて、その従業員のリスクをどうやって少なくしていくのかが企業には求められます。

誰にどんな教育が必要かを企業がしっかり把握することが大事なんですね。

おっしゃるとおりです。一例として、配送のドライバーを多数雇用している場合、そのドライバーが直接的に気をつけなければいけないのは配送伝票になります。この伝票を紛失(漏えい)しないためには何をすべきか。これがリスクに応じた教育になります。個人情報とはなんなのか。配送先の伝票であっても、これは個人情報になることを理解してもらう必要があります。その伝票を紛失しないために社内にはこのようなルールがあること、法律がこうなっているということを、きちんと学んでもらうことになります。
リスクに応じて全従業員にきちんと徹底して教育を行ってください。

関連著者・監修者

影島 広泰(かげしま ひろやす)

弁護士
一橋大学法学部卒業。2003年弁護士登録、牛島総合法律事務所入所。2013年に同事務所パートナーに就任。2015年、情報化推進国民会議本委員。“マイナンバー制度・個人情報保護法への実務対応"の第一人者として、企業法務に従事するほか、寄稿、講演・セミナーでも大人気。経済産業省、商工会議所から金融機関やシンクタンク、企業の主催まで、講演・セミナーの地域・対象も多岐にわたる。さらに、システム開発、リスクマネジメント、エンターテインメント分野の法的スキーム開発などにも携わる。
日本経済新聞社「企業が選ぶ弁護士ランキング」(2016年)の情報管理部門で、「企業が選ぶランキング」2位に輝く。
主な著書に『新・個人情報保護法とマイナンバーの実務』(日本経済新聞出版社)、『平成29年5月施行 改正個人情報保護法の実務対応マニュアル』(大蔵財務協会)、『詳解 個人情報保護法と企業実務』(清文社)など。

※本データは、小社での最新刊発行当時に掲載されていたものです。