教育・監督を怠ると責任が重くなる
やるべきことをしていなかったことを「過失がある」といいます。
そして、個人情報保護法第22条は、従業者の監督を義務づけています。
従いまして、従業者の監督を怠っていた場合、個人情報の漏えい事故があった場合に「過失あり」という評価がなされ、損害賠償責任が発生する可能性が高まります。
また、法的な責任はおくとしても世間からの評価は大きく損なわれます。なので、従業者の教育・監督は重要です。
従業者って誰?
監督の対象は「従業者」です。「従業員」ではありません。「従業者」です。
そもそも、この「従業者」とは誰でしょう?
従業員といえば雇用関係にある人、いわゆる会社の社員です。個人情報保護法でわざわざ「従業員」ではなく「従業者」という用語を使っているのは、「従業者」の方が範囲が広いからです。
具体的には、正社員以外のパートや契約社員はもちろん、役員や派遣社員も含まれます。
つまり、「業務に関して個人情報を取り扱う可能性のある人全員」ということになります。
従業者との非開示契約
NDA(Non-Disclosure Agreement、非開示契約)
従業者との間にNDAを結ぶのが有効です。
NDAのポイントは次の通りです。
- 個人情報と営業秘密保持を分ける
- 雇用契約等が終了後も非開示義務を負わせる
- 罰則規定を設ける(ただし労基法に注意)
1点目は個人情報と営業秘密を明確に分けるということです。両者の定義が異なるので何について非開示義務を負っているのかを明確にする必要があるということです。契約書自体を2通別々に作成しても良いと思います。
2点目はNDAのヌケ・モレ防止です。退職後は使用者の指揮監督下にあるわけではありませんが、個人情報を漏えいされては困りますのでNDAの内容として退職後も非開示義務を負うことを明かにするということです。
3点目はNDAの実効性確保です。ただし労基法に注意が必要で、損害賠償額をあらかじめ○万円と決めておくのはまずいです。労基法第16条に「使用者は、労働契約の不履行について違約金を定め、又は損害賠償額を予定する契約をしてはならない」と規定されているからです。「損害賠償の請求をすることがあります」くらいにとどめておくのがいいでしょう。
誓約書
内容は非開示契約と同様です。ただ、契約書と誓約書では形式が異なります。
契約は当事者間の合意ですから、契約書には使用者と従業者双方が署名・捺印します。これに対して誓約書は従業者のみが署名・捺印して提出するものです。
なので、「誓約書には法的効力がない」と説明している本もあります。
それはさておき、個人情報の取扱いに対する意識を高める効果はありますし、こちらの方がお手軽なので実務上は誓約書の差し入れをお願いする場合が多いのではないでしょうか?
従業者の教育と監督(モニタリング)
ルールの周知
規定を定めても従業者がその存在を知らないのでは無意味です(そしてそういったケースはしばしばあります)。
ルールの周知は1回限りでなく定期的に行なうと効果的です。また、業務マニュアルに組み込んでしまえば確実性が高まります。
教育
教育の実施には現場の協力が不可欠です。研修参加で頭数が減るからです。そこで、研修参加を昇進の条件として参加に対する理解を得やすくしたり、e-ラーニングの活用で現場の負担を軽くする工夫も必要になります。
教育の理解度確認も必要です。参加するだけでよいのであれば実効性に疑問符がつくからです。
また、教育の記録をとっておくことも重要です。個人情報取扱事業者としてなすべきことをしていたという証拠になるからです。
従業者の監視(モニタリング)
重要なのは監視対象者への事前通知です。監視されていることを知らされていないことを不快に思う人もいるからです。また、監視の目的は違反の予防であって違反の指摘ではないからです。
また、監視カメラによる撮影などはそれ自体個人情報の取得にあたりますので、利用目的を通知する必要があるという言い方もできます。
監視結果の記録は個人情報を含みますので、その取扱いには十分注意しましょう。