Zenn
🦆

個人情報としての従業員情報の線引き

2025/02/26に公開
Security
idea

なぜ作成したのか

  • 自社の情報分類に機密情報、社外秘情報の線引きはあるものの、個人情報の枠がないので、線引きをしていきたい気持ち

参考

https://motifyhr.jp/blog/employee/information01/
https://www.ppc.go.jp/personalinfo/faq/APPI_QA/

よくある管理項目

  1. 従業員コード
  2. 氏名
  3. 住所
  4. 役職名
  5. 所属部署
  6. 生年月日
  7. 入社年月日
  8. 退職年月日
  9. 性別
  10. 配偶者の有無
  11. 従業員区分(正社員・嘱託社員・アルバイト等)
  12. 特記事項(障害者雇用・その他)
  13. 保有資格、職務経歴
  14. 異動履歴、研修の記録、部署構成員

従業員情報のどこまでが個人情報か

  • 人事情報は全て従業員の個人情報であり、会社経営においては、トップシークレットといえます。

  • これらが漏洩すると訴訟リスクにもなりかねませんので、取扱いには十分注意が必要です。

    • 個人情報データをPC画面で開いたままにしたり、メールでの誤送信やデスクに個人情報の書かれた書類を置きっぱなしにするなどの行為はコンプライアンス上あってはいけないことです。
    • そうした事態を未然に防ぐためにも、従業員の情報は病院のカルテや結婚式場のお客様情報と同じく、必ず保護されるべき情報であり、コンプライアンス面でも信頼される人事情報管理が必要です。

  • 会社で情報の管理や共有を行う際、見られる情報の権限管理も非常に重要になります。

  • 「このアカウントでは誰まで閲覧権限を付与するのか」を決めることはとても重要になります。アカウントごと、階層ごとの閲覧権限をしっかり定める必要があります。

  • 情報の「どこまで」を「誰」に共有すべきなのかは、下記を参考に線引きするようにしましょう。

    • 住所、電話番号、健康診断結果、家族構成:個人的な情報のため同僚には開示不可
    • 評価、給与:同僚に開示不可、その人の評価を決める上司のみ開示、他部署には開示不可
    • 趣味、仕事での得意分野など:仕事を円滑に進める意味で必要な場合は、同僚・後輩・上司に開示可

その他FAQ

定義

「個人情報」「個人データ」「保有個人データ」とは、どのようなものですか。
https://www.ppc.go.jp/all_faq_index/faq3-q2-1/

「個人情報」と「個人データ」の違いは何か。
https://www.ppc.go.jp/all_faq_index/faq2-q2-3/

「個人識別符号」とはどのようなものを指しますか。
https://www.ppc.go.jp/all_faq_index/faq4-q008_/

「匿名加工情報」とはどのようなものを指しますか。
https://www.ppc.go.jp/all_faq_index/faq4-q010/

「仮名加工情報」とはどのようなものを指しますか。
https://www.ppc.go.jp/all_faq_index/faq4-q009_/

匿名加工情報と仮名加工情報の違いは何ですか
https://www.ppc.go.jp/all_faq_index/faq1-q14-1/

個人情報である仮名加工情報と個人情報でない仮名加工情報とは何ですか
https://www.ppc.go.jp/all_faq_index/faq1-q14-2/

統計情報と匿名加工情報の違いは何ですか。
https://www.ppc.go.jp/all_faq_index/faq1-q15-2/

識別

個人情報

住所や電話番号だけで個人情報に該当しますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-3/

メールアドレスだけでも個人情報に該当しますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-4/

レセプトに記載された情報は、「個人情報」に該当しますか。
https://www.ppc.go.jp/all_faq_index/faq4-q003/

レセプト等に記載された情報は、医師の個人情報にも該当しますか。
https://www.ppc.go.jp/all_faq_index/faq4-q004/

健保組合等の保有する個人情報には、例えばどのようなものがありますか。
https://www.ppc.go.jp/all_faq_index/faq4-q001/

個人番号には、死者の個人番号も含まれますか。
https://www.ppc.go.jp/all_faq_index/faq5-q9-1/

オンラインゲームで「ニックネーム」及び「ID」を公開していますが、個人情報に該当しますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-9/

氏名等の特定の個人を識別することができる記述等を削除した情報は、個人情報に該当しますか。
https://www.ppc.go.jp/all_faq_index/faq3-q2-11/

A社が保有する個人情報を、特定の個人を識別できない統計情報としてB社に提供した場合、B社においては、この情報は個人情報に該当しますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-17/

顧客との電話の通話内容は個人情報に該当しますか。また、通話内容を録音している場合、録音している旨を相手方に伝えなければなりませんか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-10/

顧客との電話の通話内容を録音していますが、通話内容から特定の個人を識別することはできません。この場合の録音記録は、個人情報に該当しますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-11/

レセプトから特定の個人を識別できる記述等を削除した場合、レセプトに記載された情報は「個人情報」に該当しないことになりますか。
https://www.ppc.go.jp/all_faq_index/faq4-q002/

死亡した個人の情報については、「個人情報」に該当せず、個人情報保護法の対象にはなりませんが、どのように取り扱うべきですか。
https://www.ppc.go.jp/all_faq_index/faq3-q2-7/

個人番号をばらばらの数字に分解して保管すれば、個人番号に該当しないと考えてよいですか。
https://www.ppc.go.jp/all_faq_index/faq5-q9-3/

個人番号の一部のみを用いたものや、個人番号を不可逆に変換したものは、個人番号に該当しないと考えてよいですか。
https://www.ppc.go.jp/all_faq_index/faq5-q9-4/

ガイドライン(通則編)では、氏名のみでも個人情報に該当するとされていますが、同姓同名の人もあり、他の情報がなく氏名だけのデータでも個人情報といえますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-2/

事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合において、ある取扱部門のデータベースと他の取扱部門のデータベースの双方を取り扱うことができないときには、「容易に照合することができ」(法第2条第1項)ないといえますか。 B 社に提供した場合、B 社においては、この情報は個人情報に該当しますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-18/

官報や民間の新聞等により公表されている情報であっても「個人情報」に当たるか。
https://www.ppc.go.jp/all_faq_index/faq2-q2-1/

カメラ画像から抽出した性別や年齢といった属性情報や、人物を全身のシルエット画像等に置き換えて作成した店舗等における移動軌跡データ(人流データ)は、個人情報に該当しますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-12_/

複数人の個人情報を機械学習の学習用データセットとして用いて生成した学習済みパラメータは、個人情報に当たりますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-8/

法人の代表者の情報は「個人情報」に当たるか。また、法人情報のデータベースの中に法人代表者の氏名等があった場合、当該情報は「個人データ」に当たるのか。
https://www.ppc.go.jp/all_faq_index/faq2-q2-6/

個人情報に該当しない事例としては、どのようなものがありますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-7/

個人番号を暗号化等により秘匿化すれば、個人番号に該当しないと考えてよいですか。
https://www.ppc.go.jp/all_faq_index/faq5-q9-2/

個人データ

施行規則第7条に規定する「個人データ」には、どのような情報が含まれますか。
https://www.ppc.go.jp/all_faq_index/faq1-q6-1_/

顧客から提出された書類と「個人データ」について、①契約書等の書類の形で本人から提出され、これからデータベースに登録しようとしている情報は「個人データ」に該当するか。
https://www.ppc.go.jp/all_faq_index/faq2-q2-7/

例えば、医療機関で保存している院内処方せんについて、インデックス等を付けずに段ボール箱に入れて保存しており、容易に検索することができない場合、個人データに該当しないと考えていいですか。
https://www.ppc.go.jp/all_faq_index/faq3-q2-9/

保有個人データ

行政機関等において、ある個人から当該個人の情報に関するアクセスログの開示請求を受けたが、当該アクセスログは保有個人情報に該当するのか。
https://www.ppc.go.jp/all_faq_index/faq7-q2-3-1_/

ユーザーから商品クレームに関する問合せ等があり、それをデータベース化しています。データベースには、ユーザーの氏名・電話番号及び対応履歴等だけでなく、会社としての所見(例えば、「悪質なクレーマーと思われる」) が記録されていることもあります。これらは全て保有個人データに該当し、開示の請求に応じなければならないですか。
https://www.ppc.go.jp/all_faq_index/faq1-q9-9/

個人情報データベース等

ガイドライン(通則編)2-4の個人情報データベース等に該当する事例1に、「電子メールソフトに保管されているメールアドレス帳」とありますが、他人には容易に検索できない独自の分類方法によりメールアドレスを分類した状態である場合は、個人情報データベース等に該当しないと考えてよいですか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-39/

個人情報データベース等に入力する前の帳票類であれば、個人情報データベース等に該当しませんか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-48/

録音した会話の内容に個人の氏名が含まれていますが、この場合、個人情報データベース等に該当しますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-42/

防犯カメラやビデオカメラなどで記録された映像情報は、特定の個人を識別することができる映像であれば、個人情報データベース等に該当しますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-41/

従業者が業務上使用している携帯電話等の電話帳に氏名と電話番号のデータが登録されている場合、個人情報データベース等に該当しますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-38/

メールソフトのアドレス帳や一定の規則で整理された名刺について、従業者本人しか使用できない状態であれば、企業の個人情報データベース等には該当しないと考えてよいですか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-37/

文書作成ソフトで議事録を作成しました。議事録には会議出席者の氏名が記録されており、文書作成ソフトの検索機能を用いれば、特定の個人を検索することが可能です。この議事録は個人情報データベース等に該当しますか
https://www.ppc.go.jp/all_faq_index/faq1-q1-40/

カーナビゲーションシステムを購入したユーザーにおいて、ルート設定や過去の訪問歴等を記録した場合は、当該ユーザーにとって当該カーナビゲーションシステムは個人情報データベース等から除外されますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-46/

市販の電話帳等を無償で譲り受けた場合は個人情報データベース等から除外されますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-44/

個人関連情報

メールアドレスは個人関連情報に該当しますか
https://www.ppc.go.jp/all_faq_index/faq1-q8-2/

Cookie等の端末識別子は個人関連情報に該当しますか。家族等で情報端末を共用している場合はどうですか
https://www.ppc.go.jp/all_faq_index/faq1-q8-1/

要配慮個人情報

受刑の経歴は、要配慮個人情報に該当しますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-30/

無罪判決を受けた事実は、要配慮個人情報に該当しますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-33/

同和地区出身であることは、要配慮個人情報に該当するのか。
https://www.ppc.go.jp/all_faq_index/faq7-q2-4-2/

不起訴処分となった場合は、「刑事事件に関する手続」として要配慮個人情報に該当しますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-34/

ある人の犯罪行為を撮影した防犯カメラ映像は、要配慮個人情報に該当しますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-31/

外国政府により刑事事件に関する手続を受けた事実は、要配慮個人情報に該当しますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-32/

消費者直販型遺伝子検査の結果(いわゆるDTC遺伝子検査の結果)は、要配慮個人情報に該当しますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-29/

「○△教に関する本を購入した」という購買履歴の情報や、特定の政党が発行する新聞や機関誌等を購読しているという情報は、要配慮個人情報に該当しますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-27/

個人識別符号

携帯電話番号やクレジットカード番号は個人識別符号に該当しますか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-25/

施行令第1条第1号に規定された個人識別符号に関するガイドライン(通則編)の記載において、「本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの」とありますが、これは、事業者が認証を目的としてある符号を取り扱っている場合にのみ、当該符号が個人識別符号に該当するという趣旨ですか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-23/

医療・介護保険各法に規定する保険者番号・被保険者記号・番号は、それぞれの番号等自体が個人識別符号なのですか、それとも3つ揃うことで個人識別符号なのですか。
https://www.ppc.go.jp/all_faq_index/faq1-q1-26/

匿名加工情報

個人情報から作成した統計情報についても匿名加工情報に該当しますか。
https://www.ppc.go.jp/all_faq_index/faq1-q15-1/

所感

  • 「個人情報の保護に関する法律についてのガイドライン」に関するQ&A から定義や識別に関する内容をピックアップしていたが、データをまとめてBot化させておくのが一番利便性高そう
  • FAQが個別HTMLになってるので学習データとして取り込みにくいのが難点ではある
  • いっそ個人情報保護委員会がわでAPI提供してほしいくらい
GitHubで編集を提案

Discussion