【個人情報保護法第21条】従業者の監督 2015/04/04
法令解説ブログバックナンバーリスト(個人情報保護法・マイナンバー法・ストレスチェック制度・議員秘書規則・女性活躍推進法)
個人情報保護規程(マイナンバー法・ストレスチェック網羅版)
14. 従業者の監督
| (従業者の監督)
保護法第21条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。 |
従業者の監督【保護法ガイドライン】
個人情報取扱事業者は、保護法第20条に基づく安全管理措置を遵守させるよう、従業者に対し必要かつ適切な監督をしなければならない(保護法第2条第4項の規定による利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)。その際、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じ、必要かつ適切な措置を講じるものとする。また、特に、中小企業者においては、事業の規模及び実態、取り扱う個人データの性質及び量等に応じた措置を講じることが望ましい。
なお、「従業者」とは、個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれる。
従業者に対して必要かつ適切な監督を行っていない場合
| ① | 従業者が個人データの安全管理措置を定める規程等に従って業務を行っていることを、あらかじめ定めた間隔で定期的に確認せず、結果、個人データが漏えいした場合 |
| ② | 内部規程等に違反して個人データが入ったノート型パソコン又は可搬型外部記録媒体を繰り返し持ち出されていたにもかかわらず、その行為を放置した結果、紛失し、個人データが漏えいした場合 |
従業者のモニタリングを実施する上での留意点【保護法ガイドライン】
個人データの取扱いに関する従業者及び委託先の監督、その他安全管理措置の一環として従業者を対象とするビデオ及びオンラインによるモニタリング(以下「モニタリング」という。)を実施する場合は、次の点に留意する。
その際、雇用管理に関する個人情報の取扱いに関する重要事項を定めるときは、あらかじめ労働組合等に通知し、必要に応じて、協議を行うことが望ましい。また、その重要事項を定めたときは、労働者等に周知することが望ましい。
なお、本ガイドライン及び雇用管理分野における個人情報保護に関するガイドライン第10に規定する雇用管理に関する個人情報の取扱いに関する重要事項とは、モニタリングに関する事項等をいう。
① モニタリングの目的、すなわち取得する個人情報の利用目的をあらかじめ特定し、社内規程に定めるとともに、従業者に明示すること。
② モニタリングの実施に関する責任者とその権限を定めること。
③ モニタリングを実施する場合には、あらかじめモニタリングの実施について定めた社内規程案を策定するものとし、事前に社内に徹底すること。
④ モニタリングの実施状況については適正に行われているか監査又は確認を行うこと。
