2　個人情報取扱事業者の義務等

（3）個人情報データの管理

2）安全管理措置（法第20条関連）

法20条

　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人のデータの安全管理のために必要かつ適切な措置を講じなければならない。

　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のため、組織的、人的、物理的及び技術的な安全管理措置を講じなければならない（括弧書略）。その際、本人の個人データが漏えい、滅失又はき損等を市た場合の本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じ、必要かつ適切な措置を講じるものとする。なお、その際には、個人データを記録した媒体の性質に応じた安全管理措置を講じることが望ましい。

（略）

人的安全管理措置

　人的安全管理措置とは、従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練等を行うことをいう。

【人的安全管理措置として講じなければならない事項】

�@雇用契約時及び委託契約時における非開示契約の締結

�A従業者に対する教育・訓練の実施

　なお、管理者が定めた規定等を守るよう監督することについては、法第21条を参照。

【各項目について講じることが望まれる事項】

�@雇用契約時及び委託契約時における非開示契約の締結をする上で望まれる事項

従業者の採用時又は委託契約時における非開示契約の締結

※雇用契約又は委託契約等における非開示条項は、契約終了後も一定期間有効であることは望ましい

非開示契約に違反した場合の措置に関する規程の整備

※個人データを取り扱う従業者ではないが、個人データを保有する建物等に立ち入る可能性がある者、個人データを取り扱う情報システムにアクセスする可能性がある者についてもアクセス可能な関係者の範囲及びアクセス条件について契約書等に明記することが望ましい。なお、個人データを取り扱う従業者以外の者には、情報システムの開発・保守関係者、清掃担当者、警備員等が含まれる。

�A従業者に対する周知・教育・訓練を実施する上で望まれる事項

個人データ及び情報システムの安全管理に関する従業者の役割及び責任を定めた内部規程等についての周知

個人データ及び情報システムの安全管理に関する従業者の役割及び責任についての教育・訓練の実施

従業者に対する必要かつ適切? な教育・訓練が実施されていることの確認

（略）

2）従業者の監督（法第21条関連）

法第21条

　個人取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

　個人取扱事業者は、法第20条に基づく安全管理措置を遵守させるよう、従業者に対し必要かつ適切な監督をしなければならない（括弧書略）。その際、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じ、必要かつ適切な措置を講じるものとする。

　なお、「従業者」とは、個人取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係にある従業員（正社員、契約社員、嘱託職員、パート社員、アルバイト社員等）のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれる。

（略）

【従業者のモニタリングを実施する上での留意点】

　個人データ取扱いに関する従業者及び委託先の監督、その他安全管理措置の一環として従業者を対象とするビデオ及びオンラインによるモニタリング（以下「モニタリング」という。）を実施する場合は、次の点に留意する。

　その際、雇用管理に関する個人情報の取扱いに関する重要事項を定めるときは、あらかじめ労働組合等に通知し、必要に応じて、協議を行うことが望ましい。また、その重要事項を定めたときは、労働者等に周知することが望ましい。

　なお、本ガイドライン及び雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針第三　九（一）に規定する雇用管理に関する個人情報の取扱いに関する重要事項とは、モニタリングに関する事項等をいう。

?0 モニタリングの目的、すなわち取得する個人情報の利用目的をあらかじめ特定し、社内規程に定めるとともに、従業者に明示すること。

?1 モニタリングの実施に関する責任者とその権限を定めること。

?2 モニタリングを実施する場合には、あらかじめモニタリングの実施について定めた社内規程案を策定するものとし、事前に社内に徹底すること。

?3 モニタリングの実施状況については、適正に行われるか監査又は確認を行うこと。

第三　事業者が講ずべき措置の適切かつ有効な実施を図るための指針となるべき事項

一　法第十五条に規定する利用目的の特定に関する事項事業者は利用目的の特定に当たっては、単に抽象的、一般的に特定するのではなく、労働者等本人が、取得された当該本人の個人情報が利用された結果が合理的に想定できる程度に、具体的、個別的に特定すること。

二　法第十六条及び法第二十三条第一項に規定する本人の同意に関する事項事業者が労働者等本人の同意を得るに当たっては、当該本人に当該個人情報の利用目的を通知し、又は公表した上で、当該本人が口頭、書面等により当該個人情報の取扱いについて承諾する意思表示を行うことが望ましいこと。

三　法第二十条に規定する安全管理措置及び法第二十一条に規定する従業者の監督に関する事項

事業者は、雇用管理に関する個人データの安全管理のために次に掲げる措置を講ずるように努めるものとすること。

（一）雇用管理に関する個人データを取り扱う従業者及びその権限を明確にした上で、その業務を行わせること。

（二）雇用管理に関する個人データは、その取扱いについての権限を与えられた者のみが業務の遂行上必要な限りにおいて取り扱うこと。

（三）雇用管理に関する個人データを取り扱う者は、業務上知り得た個人データの内容をみだりに第三者に知らせ、又は不当な目的に使用してはならないこと。その業務に係る職を退いた後も同様とすること。

（四）雇用管理に関する個人データの取扱いの管理に関する事項を行わせるため、当該事項を行うために必要な知識及び経験を有していると認められる者のうちから個人データ管理責任者を選任すること。

（五）雇用管理に関する個人データ管理責任者及び個人データを取り扱う従業者に対し、その責務の重要性を認識させ、具体的な個人データの保護措置に習熟させるため、必要な教育及び研修を行うこと。

四　（略）

五　法第二十三条に規定する第三者提供に関する事項

事業者は、雇用管理に関する個人データの第三者への提供（法第二十三条第一項第一号から第四号までに該当する場合を除く。）に当たって、次に掲げる事項に留意するものとすること。

（一）提供先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること。

（二）当該個人データの再提供を行うに当たっては、あらかじめ文書をもって事業者の了承を得ること。但し、当該再提供が、法第二十三条第一項第一号から第四号までに該当する場合を除く。

（三）提供先における保管期間等を明確化すること。

（四）利用目的達成後の個人データの返却又は提供先における破棄若しくは削除が適切かつ確実になされること。

（五）提供先における個人データの複写及び複製（安全管理上必要なバックアップを目的とするものを除く。）を禁止すること。

六　法第二十五条第一項に規定する保有個人データの開示に関する事項

事業者は、あらかじめ、労働組合等と必要に応じ協議した上で、労働者等本人から開示を求められた保有個人データについて、その全部又は一部を開示することによりその業務の適正な実施に著しい支障を及ぼすおそれがある場合に該当するとして非開示とすることが想定される保有個人データの開示に関する事項を定め、労働者等に周知させるための措置を講ずるよう努めなければならないこと。

七　法第二十九条第二項に規定する本人の利便を考慮した適切な措置に関する事項

事業者は、労働者等からの雇用管理に関する個人データの開示等の求めができるだけ円滑に行われるよう、閲覧の場所及び時間等について十分配慮すること。

八　法第三十一条に規定する苦情の処理に関する事項

事業者は、雇用管理に関する個人情報の取扱いに関する苦情の適切かつ迅速な処理を行うため苦情及び相談を受け付けるための窓口の明確化等必要な体制の整備に努めること。

九　その他事業主等が雇用管理に関する個人情報の適切な取扱いを確保するための措置を行うに当たって配慮すべき事項

（一）事業者は、六に定める保有個人データの開示に関する事項その他雇用管理に関する個人情報の取扱いに関する重要事項を定めるときは、あらかじめ労働組合等に通知し、必要に応じて、協議を行うことが望ましいものであること。

（二）事業者は、九の（一）の重要事項を定めたときは、労働者等に周知することが望ましいものであること。