従業員自身の名刺もPマークの保護対象に含まれますか?自分自身の情報の扱いは?
各従業員それぞれに、保持している個人情報の洗い出しを依頼しているところなのですが、各従業員それぞれが保持している自分自身の情報(自分の名刺など)も保護すべき個人情報に含まれるでしょうか?
それとも自分自身の情報ですから保護対象には入らないのでしょうか?(自分の情報であるからどのように扱うかは個人の自由?)
ご質問ありがとうございます。結論から申し上げますと、「従業員が業務で扱う自分自身の情報(自社の名刺、社員証、給与情報等)」や「業務で交換した他者の名刺」は、すべて組織が保護すべき個人情報に含まれます。
「自分の情報だから自由にしてよい」という誤解を解き、組織として適切に管理するための根拠を3つの視点で解説します。
1. 「誰の情報か」ではなく「誰が管理しているか」が基準
プライバシーマーク(Pマーク)およびJIS Q 15001における「個人情報の特定」の対象は、「組織が業務を遂行するために取得・保有している個人情報」です。
- 従業員の自社名刺:
名刺は会社が費用を負担して作成し、業務上の「看板」として預けているものです。 - 他者との交換名刺:
従業員が個人の資格で交換したものではなく、組織の一員として交換したものである以上、それは「組織の資産」であり、組織が管理責任を負うべき情報となります。
「個人のもの」と混同して、退職時に持ち出したり、自宅で不用意に保管したりすることは、組織としての管理義務違反(セキュリティ事故)に繋がります。
2. Pマークの根底にある「受託(預かりもの)」の考え方
Pマーク制度においては「個人情報は本人からの預かりものである」という考え方が徹底されています。
これは従業員自身の情報であっても例外ではありません。組織は従業員から「雇用契約や業務遂行のために、氏名や顔写真などの情報を使わせていただいている」という立場です。
そのため、組織内にある情報は、たとえ本人のものであっても「組織のルール(PMS)」に従って、漏洩や滅失がないよう保護しなければならないのです。
3. 実務上の「洗い出し」のアドバイス
各従業員に洗い出しを依頼される際は、以下の基準を伝えるとスムーズです。
- 業務に関連するか?:
業務で使う名刺、名簿、メールアドレスなどはすべて対象。 - 私的な情報は除外:
業務と全く関係のない個人のスマートフォンの連絡先や、プライベートな写真は(会社端末に入っていない限り)対象外。
運用のアドバイス
従業員の方々に説明する際は、「名刺は会社の大切な顧客資産であり、預かりものである」という認識を共有することが重要です。
「自分のもの」という意識が強いと、紛失や持ち出しに対する危機意識が薄れ、重大なインシデントに繋がりかねません。この機会に、名刺の適切な保管方法や、不要になった際の廃棄ルールを再徹底することをお勧めいたします。
最新の申請様式や、こうした実務上の疑問を解消する解説を含む「プライバシーマーク取得支援パッケージ」では、具体的な洗い出しの手順や教育資料も提供しております。ぜひ貴社のスムーズなPMS構築にお役立てください。
