なぜ"休む理由"を聞かないほうがいいのか

写真拡大

■メアドや携帯番号は個人情報ではない?

5月30日から、改正個人情報保護法が全面施行され、これまで対象外だった小規模取扱事業者(5000人以下の個人情報を取り扱う事業者)にも同法が適用されるようになる。中小企業は、早急な対応が必要だ。

従来から適用対象だった企業ものんびりしていられない。影島広泰弁護士は次のようにアドバイスする。

「個人情報保護法が成立して14年。担当者が異動になったりIT技術の複雑化などで、勘違いをしたまま管理をしている企業が目立ち始めています」

よくある勘違いは、対象になる情報の種類だ。個人情報は「特定の個人を識別できる情報」を指す。個人情報といえば氏名や住所と考える人も多いが、それ以外でも個人を特定できる情報は保護の対象になる。

たとえば、今回の改正で明確化された「個人識別符号」も、個人情報に含まれる。個人識別符号は、大きく分けて2つ。顔認証や指紋認証などに使われる生体認証データ、そしてパスポート番号やマイナンバーなどの公的な番号だ。これらはいままでグレーな扱いだったが、今後は個人情報として管理する必要が生じる。

一方、同じくグレーでありながら、今回は個人識別符号とならなかった情報もある。メールアドレスや携帯電話番号だ。これらの情報単体では個人を特定できない場合があるからだ。ただし、取り扱いには要注意だ。

「メールアドレスに氏名が入っているものは個人を特定できるので個人情報にあたります。そういったメールアドレスが紛れ込むことを考えると、実務ではすべて個人情報として取り扱わざるをえません。携帯電話番号も、普通は名前と一緒に管理するはずなので、要注意です」

■同僚が休んだ理由を顧客に話すのはNG

今回、規制強化されるのが人種、信条、病歴、犯歴などの「要配慮個人情報」だ。これらの情報は以前から個人情報として保護されてきた。しかし今回の改正で、今後はとくに慎重な取り扱いが求められるようになり、本人の同意なく取得することや、第三者に提供することが禁じられた。

禁止はあたりまえにも思えるが、じつは無意識のうちに要配慮個人情報を外に話してしまうシーンは珍しくない。

「同僚がインフルエンザで会社を休んだとします。同僚あてに顧客から電話がかかってきたとき、『インフルエンザで休んでます』と答えると、個人情報保護違反のおそれあり。インフルエンザに罹患中という情報は、立派な病歴情報。また顧客だけでなく社員の情報も個人情報です」

部下から「母が入院したので休みます」といわれて、上司が記録したりするのもグレーだ。会社が、部下の母の同意なく病歴を取得することになるからだ。もともと法律上、有休の理由を聞く必要はない。何も言わず休ませるのも賢明だろう。

(ジャーナリスト 村上 敬 答えていただいた人=弁護士 影島広泰 図版作成=大橋昭一)