前回の「個人情報漏えい事件を斬る(38):公益通報者保護法で,個人情報保護法違反の告発は増えるか? 」では,コンプライアンス(法令順守)の観点から2つの法律の関係について触れた。

 個人情報保護対策の観点からは,企業の外部に情報を持ち出せないように物理的・技術的対策を施すのが普通だ。しかし,公益通報者保護法上の「通報対象事実(注1)」に該当する情報については,外部の第三者(所管行政機関,法律事務所,報道機関など)への情報流出が正当化されることになる。例えば,個人情報を記載した電子メールであっても,通報対象事実であれば通報のための持ち出しは正当化される。個人情報保護法順守のための施策が,公益通報者保護法順守の妨げになるようでは,コンプライアンスの意味がない。

 現に海外では,ヨーロッパの個人データ保護指令(EU指令)と内部告発者の保護を規定した米国企業改革法(注2)との接触問題など,守るべき法令間の関係に企業が振り回される事態が起きている。今後,日本でも,個人情報管理の現場だけでは判断できない問題が表面化する可能性がある。


(注1)通報対象事実には,個人の生命または身体の保護,消費者の利益の擁護,環境の保全,公正な競争の確保などに関する法律違反事実が該当する
(注2)SOX法。米国の証券市場で株式公開した企業とその連結対象子会社が適応対象となる


衆参両院で指摘された公益通報者の個人情報保護対策

 さて,今回は従業員の個人情報保護の観点から公益通報者保護法を考えてみたい。

 公益通報者保護制度の元では,企業の正社員だけでなく,パート社員,アルバイト,契約社員,派遣社員,さらに取引先の従業員も通報者の対象範囲に入る。企業内部で通報を受け付ける場合,通報者や通報の対象となった者(被通報者)の個人情報を取り扱うことになり,取得した個人情報を厳格に管理する必要がある。

 公益通報者保護法の法律審議時に,衆議院で「公益通報を受けた事業者及び行政機関は,公益通報者の個人情報を漏らすことがあってはならないこと」,参議院で「公益通報者の氏名等個人情報の漏えいが,公益通報者に対する不利益な取扱いにつながるおそれがあることの重大性にかんがみ,公益通報を受けた者が,公益通報者の個人情報の保護に万全を期するよう措置すること」という付帯決議が採択されている。このことからも,公益通報者の個人情報管理の重要性が分かるだろう(「公益通報者保護法に対する附帯決議 」参照)。万一,公益通報者に関する個人情報の漏えいが発生したら,単なる個人情報保護法違反にとどまらず,企業全体の存亡に関わる問題に発展しかねない。


従業員の個人情報管理体制確立が大前提

 公益通報者保護法は,企業規模に関係なくあらゆる事業者を対象としている。前回紹介した内閣府国民生活局の「公益通報者保護制度ウェブサイト 」では,民間事業者向けガイドライン研究会参考資料 」に,「中堅・中小企業向け通報処理の仕組みについて 」を掲載するなど,中堅・中小企業(SMB)向け対策も念頭に置かれている。SMBでも経営者には注意が必要だ。

 同様に,業種・業態に関係なく全てのSMBに関わってくるのが,従業員の個人情報管理である。厚生労働省の「厚生労働分野における個人情報の適切な取扱いのためのガイドライン等 」をみると,人事・労務管理に関連する個人情報保護ガイドラインだけでも,下記の通り存在する。

・医療分野〔健康保険組合〕
・雇用管理分野
・職業紹介等・労働者派遣分野
・労働組合分野
・企業年金分野

 当たり前の話だが,従業員の個人情報管理自体に問題がある企業が,公益通報者の個人情報を保護できるはずがない。顧客や取引先の個人情報保護に目が行きがちだが,これを機会に,従業員の個人情報管理体制も見直してはどうか。SMBは,人材が要である。

 次回は,個人情報保護法施行1年経過後に発生した個人情報漏えい事件について触れてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/