各社員に配布後の書類も、プライバシーマークの対象範囲になるのでしょうか?
保護対象となる個人情報についてです。
給与明細や健康診断結果など、会社が社員に配布した書類は、各社員で管理すべき個人情報として、台帳での管理は必要となるのでしょうか。
経理課や総務課で管理している情報に関してはわかるのですが、各社員に配布後の書類の扱いがよくわかりません。
結論から申し上げますと、「会社側に原本やコピー(データ含む)が一切残らず、完全に本人に渡り切った状態」であれば、その書類自体を個人情報管理台帳に載せて継続管理する必要はありません。
しかし、実務上は「配布して終わり」とはいかないケースがあるため、以下の3つの視点で整理していただくのが最も安全で、審査員への説明もスムーズになります。
1. 管理責任の「境界線」を定義する
個人情報保護の対象となるのは、組織が「権限を持って管理している個人情報」です。
- 配布前:
経理や総務が作成・保管している段階は、当然「組織の管理対象」です。 - 配布後:
本人の手に渡った瞬間から、その情報の管理権限は本人に移動します。したがって、本人が自宅に持ち帰った給与明細を紛失しても、それは「組織としての事故(漏えい)」には当たりません。
2. 「会社にデータが残っているか」が重要
書類そのものは配布してしまっても、作成元のデータ(給与計算ソフト内のデータや健診結果の控え)が会社に残っているはずです。
台帳で管理すべきは、配布した「紙」そのものよりも、会社が保有し続けている「マスターデータ(または控え)」です。
ポイント:
台帳には「給与明細(紙)」ではなく、「給与支給データ」や「従業員個人情報(健診結果含む)」として、その保管場所やアクセス権限を記載してください。
3. 「配布プロセス」のリスク対策(独自性のポイント)
書類自体は本人の管理になりますが、「本人に正しく手渡されるまでのプロセス」は会社の責任範囲です。
例えば、以下のようなケースは組織の管理不備(事故)として扱われます。
- 給与明細を社内メール便やレターケースに入れて放置し、他人が見られる状態だった。
- 宛先を間違えて、Aさんの給与明細をBさんに渡してしまった。
実務的な運用のアドバイス
Pマークの審査では、「配布後のトラブル」を避けるために、以下のようなルール化(教育)が行われているかが重要視されます。
- 配布時のルール:
「手渡しを原則とする」「シュレッダー等での適切な廃棄を推奨する」といった案内を社員教育に含める。 - 電子化の検討:
最近では、紙での配布を廃止し、Web閲覧方式に切り替える企業が増えています。この場合、「紙の紛失リスク」はなくなりますが、代わりに「ID・パスワードの管理」が組織の管理対象として台帳に加わります。
本人に配布しており、会社で一時的にも原本や控えなどを保管していないのであれば台帳などでの管理は必要はありません。配布後は個人での管理になるかと思います。
「会社の手元にある情報の管理」と「本人へ安全に届けるまでの手順」を切り分けて考えることで、無駄のないスマートなPMS構築が可能になります。
