個人情報への開示請求への対応 – 雇用主への新たなガイダンスは?
2022年4月から2023年5月までの間に、英国個人データ保護監督機関 (ICO)には個人情報の開示請求(Subject Access Requests、以下「SAR」または「アクセス請求」)に関する1万5千件以上の苦情が寄せられました。これによりICOはSARへの対応に関する雇用主向けガイダンスを発行するに至りました。
ICOのポリシーグループマネージャーは企業がSARやそれに対して負っている義務を誤解しているとの見解を持っています。そのため、このニュースレターではQ&A 形式でSARへの対応についてご案内します。特に、雇用主にとって役立つと思われる、ICOが挙げた実例に焦点を当てています。
再確認:SARとは何か、そしてなぜ従業員はSARを行うのか?
英国では、英国データ保護制度(英国一般データ保護規則 (UK GDPR)と2018 年データ保護法 (DPA 2018))の下、個人はいかなる組織に対しても、当該組織が保有する自身の個人データにアクセスできる権利を有します。これをSARと呼びます。
従業員や退職者は企業が保有する自身の個人情報の写しを得るためSARを行います。個人情報が最新のものとなっていることを確認するため、あるいは自身の個人情報が正しく処理されていないと疑念を持っていることを理由にSARを行う場合もあるかもしれません。しかし、大抵の場合、SARは職場で対立が起きている場合に、従業員がその対立に関連する、あるいはその可能性のある情報を集めるために利用される傾向があります。関連するデータ量によってはSARへの対応は非常に時間のかかるプロセスであるため、早期解決を望む企業からより有利な和解条件を得るための戦術としてSARが用いられることは珍しくありません。
開示請求の内容について従業員に確認することはできるか?
はい、可能です。従業員からの請求は「私に関してどのような情報を保存していますか?」のように曖昧であることが多く、何を求めているのか正確に理解することが難しいことがあります。情報請求に対応する前に、どのような情報またはデータ処理について請求をしているのか従業員に確認することができます。
対応期限は一ヶ月ですが、確認が取れるまでの期間は期限にカウントされません。しかし、確認請求は、真にそれが必要な場合や請求に対応するために大量のデータ処理が必要な場合に限るべきであることに注意してください。また、従業員が請求を絞ることができないまたは拒否した場合、ICOは雇用主が従業員の請求に応じるために合理的な調査を行うことを期待しています。
企業としては、請求内容を明確にしたり請求に対応したりするために積極的に取り組むことが重要であり、プロセスの時間稼ぎや開示請求に対応しないことを目的に確認請求を行うことはICOへの苦情につながるかもしれません。
企業は当該従業員がCCに含まれるメールも開示しなければならないか?
ICOは、メールに含まれる情報が開示請求している従業員の個人情報にあたるかどうかの判断は雇用主である企業に委ねられると明示しています。
判断にあたって重要なポイントは以下の通りです。
- アクセス請求の対象はあくまでメールに含まれる開示請求者本人の個人情報に関するものに限られます。すなわち、メールの一部を開示することでSARへの対応として足りる場合もあります。
- そのメールの主旨が開示請求者に関する内容でないことで、直ちにそのメールが開示請求者の個人情報を含まないと言えるわけではありません。
- 開示請求者がメール受信者であっても必ずしもそのメールの内容のすべてが個人情報となるわけではなく、文脈が判断のポイントとなります。ただし、開示請求者のメールアドレスと氏名は、開示請求者の個人情報にあたるため開示しなければなりません。
例 – 従業員がすべてのメールの写しを要求した場合
ある従業員が自身の個人情報が含まれるすべてのメールの写しを要求しました。その中には、当該従業員と同僚が受け取った、最も多くの案件に対応したチームメンバーを表彰するチームイベントへの招待状も含まれており、そのメールには、成績優秀な上位5名のチームメンバーが記載された表も記載されていました。
そのメールの内容は開示請求した従業員に関するものであるため個人情報を含むと判断され、開示する必要があります。ただし、開示前に他の従業員の個人情報(氏名等)は削除する必要があります。
ソーシャルメディア上の情報も含める必要があるか?
はい、含める必要があります。企業がFacebook、WhatsApp、TwitterのようなソーシャルメディアやMS Teams、Zoomのようなチャットツールを活用している場合、企業はソーシャルメディアやチャットツールでのデータ処理の管理者となります。
例えば業務目的で個人のWhatsAppアカウントでチャットを使用している場合、これらも開示対象になりうることを認識しておく必要があります。UK GDPRは業務目的でのソーシャルメディア上の活動も対象にしています。
そのため、SARがなされた場合には、企業が使用しているソーシャルメディアやチャットツールに開示請求者の個人情報が含まれていないか検索しなければなりません。
また、ソーシャルメディアへの投稿も考慮しなければなりません。例えば、会社が有するFacebookページへの投稿に対して従業員がコメントできる状況において、従業員がFacebookへのコメントも対象にSARを行った場合、SARに対応するため投稿内容をレビューし、開示請求者に提供する必要があります。
請求内容に他者の個人情報が含まれている場合はどうするか?
1. 証言書
雇用主や人事部はしばしば、懲戒や内部調査に際して他の従業員や個人から取得した証言書もSARに応じて開示すべきかという問題に直面します。
ICOは新たなガイダンスにおいて、雇用主や人事部の機密保持義務について言及しています。従業員や個人が証言を行った際に機密保持が保証されていて、身元を保護する手段が他に無い場合、SARへの対応のために証言書を開示することは差し控えるべきです。
例 – 証言書の写しの開示が求められた場合
ある従業員が、自身が関与したとされるジュニアスタッフへのいじめの告発に関する証言書の開示を要求しました。その証言書は、機密保持を前提としていじめを目撃した同僚から取得したものです。
まず最初に以下の点を検討しました。
- 開示請求者または証言者の、どのような個人情報が証言書に含まれているか
- 証言者は人事部によって機密保持を保証されていたか
- 証言者の身元を特定できないように証言書を編集できるかどうか
検討した結果、以下の理由に基づいて証言書を開示しないことに決めました。
- 証言書は機密保持の期待のもとに提供されたものであったこと
- 証言書の一部情報を削除したとしても証言者の身元が特定されうること
上記の対応はICOの新たなガイダンスに準拠したものです。
2. 内部告発
内部告発者からの報告には、不正行為を疑われる人物だけでなく情報提供者や他の目撃者の情報も含まれる可能性があります。
企業は、開示請求者の個人情報へのアクセス請求権と内部告発者の機密保持の権利との間でバランスを取る必要があります。
内部告発者は1998年の公益情報開示法 (PIDA)によって保護されています。そのため、企業はPIDAとデータ保護法の利益を比較衡量する必要があります。
例 – 金融行為規制機構(FCA)に内部告発を行った場合
ある銀行の従業員が上司についてFCAに対して内部告発を行いました。その後、内部告発を受けた上司が人事部対してSARを行いました。銀行は、当該上司に対して行っている調査に悪影響を及ぼす可能性があることを理由に、内部告発書を開示しないことを決めました。本件は、SARの拒否が合法であると考えられる例のひとつと言えます。
3CSにできること
SARへの対応やその他雇用法に関するご相談やアドバイスが必要な場合は、担当者へお問合せください。
