〈第1報告〉柄川忠一さん
関西電力における個人情報保護の概要
2005年4月に個人情報保護法が全面施行されるに伴い、従業員情報の取扱いについて取り組みを開始した。従業員は計22,428人(本年3月末現在)であり、個人情報取扱事業者の基準である5,000人を超えている。その他顧客情報も1300万人、その他株主や地権者など、多様な個人情報を保有しており、事業展開も関西一円に広がっている。そのような事情に応じた個人情報保護の取り組みを進めている。組織概要としては、本社組織の下に、人事部門として人材活性化グループがあるが、個人情報保護の取り組みについては、経営改革・IT本部が統括し、顧客情報も含めて、電子情報システムを全て管理している。従業員の個人情報保護については、IT本部の方針を受けて、人材活性化室が取り組んでおり、全社各事業所に取扱いについて通知し、管理・指導している。当社においては、平成12年(2000年)にかけて、個人情報保護の規程が策定され、今般の個人情報保護法全面実施に伴い、社内規定を見直した。これまでルールが明確でなかったところを、定義や義務の概要、違反への対応、罰則などを定め、本年3月には全社的に通知を行った。
法が施行された前後における取り組みの変化について言えば、「個人情報保護規程」を策定し、「個人情報保護規程取扱通達」、特に「従業員情報の保護に係る取扱通達」を人材活性化室で取極めた。
〈第1報告〉日納真吾さん
関西電力における従業員情報の保護
従業員の個人情報保護については、本年3月に厚生労働省がガイドラインを策定したが、これに対応するために、特命チームが編成され、関係部門の協力を得て、方針を策定した。その際、コンプライアンスの観点から、保護法および関連ガイドラインを厳格に遵守することを旨とした。
保護法上取扱事業者の義務として上げられている点については、全て遵守するよう取扱内容を決定した。安全管理措置や正確性の確保などについては、他の個人情報も同様に、全社的に一律な措置を取ることとしている。利用目的に関しては、限定列挙することとした。特に従業員情報を人事労務の関係にのみ用いるのではなく、社内での営業活動や、社内報での利用など、限定的に明示し、それ以外には用いないことを説明している。正確性の確保については、2001年に人事制度を改訂し、成果主義を導入した。その際に自己情報を変更する場合には、システム上で自ら訂正することとしている。また、会社だけが保有している評価情報・賃金情報については、従業員がいつでも照会可能なシステムを構築した。健康情報についてもシステム化し、健康診断の問診票は個人がシステム上答えることとし、これを持って健診を受診し、委託業者から結果を受け取るという形になっている。
安全管理措置については、お客さま情報と従業員情報は同一システムで管理し、顧客情報と同等の措置を講じている。ICカードとパスワード、さらにコンピュータの識別番号と一致しないと人事情報が確認できないシステムを導入している。また、担当者別に異なる権限が付与されており、自らの業務に関係のないデータにアクセスできないようにしている。さらに、いつ、誰が、どのデータにアクセスしたかを把握できるようにしている。委託先についても同様の安全管理措置を講じるよう委託契約上求めており、定期的に立ち入り検査を実施することとしている。
第三者提供については、出向等に関わって、慎重に検討した。法で定める提供の方法については、基本的には同意を得ることとしている。ただし、頻繁にデータのやり取りが発生する場合であって、準社内利用(労組・健保組合など)と子会社への出向の事前調整については、限定的に共同利用をすることとした。同意の方式については、最初に全て同意を得る包括的同意を子会社以外への出向・異動通知の場合について採用し、その他の場合については都度同意としている。同意を得られない場合には外部には出さないことを厳守している。オプトアウト(不同意の場合のみ提供しない仕組み)については、即時反映が困難であることから、導入を見送っている。また、提供先については全て安全管理措置等に関する覚書を締結し、情報漏洩があった場合には速やかに通報して頂き、複製の禁止や情報の返還を求めている。
人事制度改訂に伴って、ほとんどの情報を開示している。例えば査定についても、仮に申出があれば、査定の経緯について上司からフィードバックすることとし、異動についても従業員の希望が叶わなかった場合、その理由について説明している。但し、採用の際のメモ書き等についても開示請求されると適正な実施に支障が生じるため、プロセスにかかわる一部については、労働組合と協議し、お見せしていない。
従業員に関してもプライバシー・ポリシーとその方針別表を策定し、さらにその解説文書を作成して、従業員に配布している。また、これらの内容をポータルサイト上に掲載し、閲覧してもらうだけではなく、全社員にメールを送付して取り扱いについて確認してもらっている。また、事前に説明会を何度も開催し、従業員が理解できた段階で同意をとる作業を行った。
産業医が診療行為によって取得した健康情報について、会社が必要最小限度の提供を受けることについても同意を取得している。ただし、健康情報というセンシティブな情報については極力限定しており、実際に健康情報、特に病名などの生データを見ることができるのは、産業医と看護師、そして健康管理スタッフのみである。上司に対しては、就業制限などの結果のみを知らせている。
法施行以後に入社した従業員については、新入社員研修等の際に、書面によって同意を取得している。退職者については別途退職者向けのプライバシー・ポリシーを策定し、HPに掲載するとともに、OB会を通じて情報発信をしている。社内システムにアクセスできない出向者については、各種文書を送付して、書面で同意を得ている。10数名の方が同意できないとしているが、その方の情報は外部に提供しない措置を取っている。
さらに、従業員教育を徹底している。最近ではE−ラーニング(PCネットワーク上の学習システム)だけではなく、人事部門スタッフを全員集めて、集合教育を実施している。また、各従業員も、他の従業員の情報を保護してもらわないといけないので、情報漏洩しない義務を負う旨お知らせした。また、実務上生じた問題に対応して2度修正を加え、Q&A集を作成し、相談にも乗っている。関係会社向けに教育を実施し、ヘルプデスクを開設している。
〈第2報告〉大西英雄さん
労働者の個人情報保護に関する富士火災の取り組みについて
当社は、損害保険事業を営んでいることから、顧客情報に関して鋭意取り組んでいるが、従業員情報に関しても、保護のための取り組みを実施している。
全社的な取り組みとしてまず、個人情報保護宣言ないし保護方針を策定している。HP上公開しているが、これに基づく詳細な規程として、個人情報保護管理基本規程、安全管理に係る取扱規程・実務基準などを策定した。これは社内イントラネットでのみ閲覧可能となっている。個人情報保護体制としては、経営層における管理責任体制、全社的な保護に係るサポート体制、各種個人情報単位・日常的な個人情報取扱部署における責任体制を整備している。従業員情報については、人事部長が管理責任者となっている。
人事関係については、採用に関する指針、採用業務における個人情報取扱いに関する規程、従業者の個人情報取扱に関する規程を個別的に策定している。従業者の個人情報については、採用以前、採用後、退職後といったステージが考えられるが、退職後については採用後の規程が適用されることとなっている。
採用業務に関しては、原則として、社会的差別の原因となる恐れのある個人情報の収集を禁止し、第三者から間接収集する際には、本人の事前同意を条件としている。中途採用の際の前職照会については、第三者からの情報収集を一切行っておらず、照会を受けた場合にも、提供していない。また、リクルーターは活用していないので、その教育等については実施していない。ホームページ上の採用情報としては、内勤社員とプロフェッショナル・アドバイザーとに分けて掲載しているが、内勤職については積極的に採用していないので、エントリーシートは活用していない。他方、プロフェッショナル・アドバイザーについては、応募者情報の利用目的や管理方法、第三者への提供、開示・訂正等について明示し、その上でエントリーシートに記入していただいている。
労働契約締結以降については、原則として本人から直接収集することとしている。健康情報の取扱いについては、診断結果は、現在、親展により袋とじ封筒形式で直接本人にお渡しする。メンタルヘルス情報については、上司にも報告しない。ただし、就業制限が係る場合には、本人の同意を得て人事グループ長と本人の上司に報告することとしている。健保組合との関係では、組合自体が保護規程を定め、当社との個人情報のやり取りは全く行われていない。ただし、被保険者からの請求があった場合にのみ開示するとしている。健康診断を持って代理診査に宛てる場合は、本人の署名・捺印の同意書を得て、密封封筒に入れてお渡ししている。病欠後の復職可否については、病院に直接訪ねることなく、「復職可能診断書」を本人を経由して会社に提出することとしている。
センシティブ情報については、採用業務規程上、原則として収集を禁止している。ただし、採用後の規程には明示の規定がないため、明記する方向で検討している。各種検査による個人情報収集に関しては、真偽判定機器を用いた検査や、HIV検査・遺伝子診断を禁止し、またアルコール検査や、薬物検査は原則禁止し、特別な職業上の必要性があって、本人の同意がある場合にのみ実施することとしている。ただし、採用活動に伴う個人特性分析については、目的や内容について説明は行っているものの、同意書はとってはいない。
個人情報利用に関するルールの有無に関しては、規程上、利用目的や取扱範囲、その際の注意義務を定めている。保管については、退職者については退職後30年間を経過した時点で廃棄する。
第三者提供については、出向に関連してグループ会社ないし特定の会社との間で共同利用する時には、法所定の事項を公表することとし、第三者提供それ自体については、原則禁止している。労働組合への情報提供については、覚書を締結している。
開示・訂正・利用停止に関するルールとしては、請求対応マニュアルを定め、本人からの請求に限り、合理的な範囲内で対応するものとしている。人事情報・人事考課情報の開示については、社内イントラ上評定マニュアルを公表し、目標面談・考課時面談・フィードバック面談を実施すること、上司から文書により行うことを定めている。不採用者の評価・選考基準の開示については、2007年度採用に向けて、検討中である
さらに、人権推進部でも、セクハラやパワハラを受けたといった個人情報を扱っているため、かかる事象については、その解決にのみ利用することとし、ヒアリングに関するデータは、人権推進部ないし人事グループのみが取り扱う。第三者に提供する場合には、本人の同意を得ることとしている。
|