第115回,第116回,第117回と,日本郵政グループの個人情報保護対策を取り上げてきた。連結ベースで約24万人の従業員を抱える同グループにとって,雇用管理を所管する厚生労働省の存在も大きい。人事労務管理に関わる個人情報には,いわゆるセンシティブ情報が含まれることが多く,訴訟などの法務リスクも高い。
今回は,従業員情報と訴訟の観点から最近の事例を考察してみたい。
損害賠償請求訴訟に発展したJAL労働組合への不適切情報提供
完全民営化を経験した先輩格の企業に日本航空(JAL)がある。第89回で触れたように2007年2月,同社で日本航空労働組合(JALFIO)への不適切な個人情報提供があったことが報道された。流出した個人情報には,同社の客室乗務員約7000人分の思想信条,家族関係や,容姿などに対する評価が含まれていた。
その後,5月29日には,同社が情報流出に関与した元JALFIOのOBの管理職職員ら4人を停職30日などの懲戒処分,他に関与した社員21人を所属長による注意処分としたことを発表した。さらに,国土交通省航空局と厚生労働省東京労働局に対して,個人情報流出の経緯と再発防止策を報告したことが報じられた。問題となった情報流出は個人情報保護法施行前に起きたものだが,同社の調査で2005年4月以降も客室乗務員の新入社員の個人情報が流出していたことも判明したという。
この11月26日には,客室乗務員ら194人と日本航空キャビンクルーユニオンが,「プライバシーを侵害され,精神的苦痛を受けた」として,JALFIOと日本航空などを相手取って損害賠償を求める訴訟を東京地裁に起こした。新聞報道によると,乗務員らは慰謝料などとして1人当たり22万円を請求,同ユニオンは会社による団結権の侵害があったとして550万円を請求しているという。
「個人情報」と「プライバシー情報」「センシティブ情報」の違いを理解しよう
日本航空のケースで流出した個人情報に含まれていた「思想信条」「家族関係」「容姿などに対する評価」は,いずれも個人の私生活上の事実に関わる情報であり,世間一般の人が知らないし本人も公開を望まない内容の情報である。これはいわゆる「プライバシー情報」「センシティブ情報」に該当するものであり,一般の「個人情報」と区別して考える必要がある。
センシティブ情報については「JIS Q15001:2006『個人情報保護マネジメントシステム要求事項』」の「3.4.2.3 特定の機敏な個人情報の取得,利用及び提供の制限」で具体的な類型が列挙されているが,この項目はOECD理事会勧告,EU個人データ保護指令などにも規定されたグローバルスタンダードである。一般の個人情報よりも,法務リスクのレベルが格段に高い点は言うまでもない。個人情報保護法以前の問題である。
従業員情報ではないが,第78回で,東京ビューティーセンター(TBC)の顧客情報流出事件を取り上げたことがある。東京地裁は,TBCの運営会社に対して,個人情報流出で1人当たり3万5000円の賠償命令を出した。裁判では,基本情報に加えて,関心を持ったエステのコース名,アンケートの回答など,他人に知られたくない事柄が含まれていたことが争点となった。
日本航空をめぐる訴訟については今後の動向を見守るしかないが,センシティブなプライバシー情報を含む従業員情報は,どの会社にも存在する。センシティブか否かは,人間が判断しなければ区別できないが,いったん判断した後の情報管理についてはITによる効率化,自動化が可能である。ただし判断する側が,個人情報とプライバシー情報の違いを知らなかったら,そもそもITでは手の打ちようがない。この点については要注意だ。
次回は,派遣社員を個人情報保護の観点から考えてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
